国家网信办发布网络安全产品新规,安全厂商们坐不住了?(附意见稿全文)

对于IT界来说,平静似乎是个奢侈品,即使在春节期间。这不,尚未走出春节假期的大家,看到2月4日国家网信办发布《网络产品和服务安全审查办法(征求意见稿)》,例如第四条提出会重点审查网络产品和服务的安全性、可控性。这让安全厂商们不得不引起了重视,成了节后先掀开的第一个话题热潮。

屏幕快照 2017-02-06 下午4.42.28

厂商看法各一

该审查办法出台后,笔者第一时间联系了一些从事网络产品和服务安全安全的产商负责人,期望听听他们的一些意见。不过,从大家的反馈来看,这一针对审查意见的征集后续影响,还有待观察。

在如今国家对网络安全问题的不断重视之后,国内网络安全市场的业态其实已经发生了很大的变化。例如,资本推手在网络安全市场不断加码,笔者曾在《未来网络安全重塑,保障安全的会不会只有四五家?》文中讨论过网络安全市场愈演愈烈的兼并重组态势。

在的业态变化问题的背后,其实是用户针对网络安全新生需求的推动,尤其是企业网络应用向云化、大数据、移动化方面的迁移趋势在加强。咨询公司普华永道在其发布《2017年全球信息安全状况报告》就显示,去年,全球59%的企业增加了网络安全支出,以应对因业务生态系统数字化所面临的威胁。

业务生态系统数字化的发展趋势,加速了网络安全市场的整合,一方面,有着更具综合网络安全解决方案的服务商陆续出现,如深信服、金山安全。同时,一些可以快速接驳企业新趋势的创业型公司也大量涌现,例如HanSight瀚思、英方云、杰思安全等。

作为站在企业网络安全应用第一线的他们,自然关注着顶层设计的一举一动。面对这份意见征集稿,他们也表达了自己的看法。

英方云:新规对领先企业的影响不大

英方云可为为企业数据安全与业务连续性提供灾备服务,在去年实现上市并成为腾讯云的合作伙伴。英方股份CEO胡军擎向记者表示,国家网信办将网络产品的自主可控性纳入重点,肯定对于规范日益增长的国内网络安全市场是个利好因素。“但是,这种政策性引导对于希望投身该市场的领先服务提供者来说,影响不大。这类厂商的技术服务已实现与全球同步,在商业合规性上已经做得很好,甚至远高于市场准入标准。”

HanSight:拥有核心技术、自主源代码的国内安全公司会凸显

瀚思 ( HanSight ) 成立于2014年是一家基于大数据的安全技术服务商,去年完成了A轮融资3000万人民币。其联合创始人董昕表示,这种审查办法的出台,对市场无疑是一大利好因素,“尤其是,拥有核心技术、自主源代码的国内安全公司将更有优势。”

董昕还表示,该审查办法的出台,其实是反映出国家对网络空间安全治理的连续性重视,“无论是《国家信息化发展战略纲要》、《国家网络空间安全战略》等长期纲要的发布,还是《网络安全法》的立法通过,无不反映出国家对网络空间安全治理的重视程度。《网络安全审查意见稿》也是在这一大背景下诞生的落地文件之一。” 另外,董昕介绍,HanSight瀚思自成立之日起,就专注于政府、金融、电信等特大型行业,并掌握着核心专利和全部源代码。随着《网络安全法》、《审查意见稿》等法律法规的出台、落地,瀚思还会加大对合规性的研发、咨询、产品投入,力争成为云、大数据时代新安全战略的“标配”。(笔者注:HanSight瀚思刚刚加入Cisco pxGrid全球合作伙伴计划,无疑是中国网络安全企业在符合全球合规性表现得一个很好例证。)

深信服:审查规定利于市场规范,客户需求推动市场创新

作为中国网络安全领域的资深玩家,深信服也在时刻关注着这样动态。深信服产品副总裁张开翼表示,这一征求意见稿的发布,对于党政部门及重点行业的网络安全产品和服务采购会有很大的影响,也势必会引起为用户提供网络安全相关产品和服务供应商的密切关注。“首先,作为审查办法,对规范市场肯定有积极作用,能够提高各类网络安全产品和服务自身的安全性和可控性,改善关系国家安全和公共利益的信息系统的安全性。

当然,这也在一定程度上提高了市场的准入门槛,由于安全需求更加多样化,客户需求对技术创新的推动作用仍然存在,网络安全相关产品和服务的市场机会一定会催生更多的厂商和服务商进入这个市场,对于这类创业型供应商的具体影响还要看审查办法的实施细则情况。”

杰思安全:很多基础性的技术工作有了可量化的验证办法

杰思安全CEO蒋波向记者表示:“意见稿的出台会对未来的安全建设有深远的影响,未来各企事业单位在采用网络产品和服务时,会更加全面重视其IT环境的安全风险。更重要的是,给出了具体的执行和操作保障,更加有利于网络安全法的全面贯彻和实施。假以时日必将大大改善我国的网络安全状况。对杰思安全而言,此次意见稿的出台对我们有非常正面的影响,我们做的很多基础性的技术工作有了可量化的验证办法。”

国家网信办新规

为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,国家互联网信息办公室起草了 《网络产品和服务安全审查办法(征求意见稿)》,前日起向社会公开征求意见。

《征求意见稿》提到,国家互联网信息办公室将会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。网络安全审查办公室具体组织实施网络安全审查。

同时,《征求意见稿》第四条指出,审查重点在于网络产品和服务的安全性、可控性上。主要包括:(一)产品和服务被非法控制、干扰和中断运行的风险;(二)产品及关键部件研发、交付、技术支持过程中的风险;(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;(五)其他可能危害国家安全和公共利益的风险。

与此前一脉相承

这应当是国家网信办在2017开年针对网络安全掀起的第一次热潮,但也可以说是此前众多举措的一项延续。

众所周知,近几年来,国家针对信息安全领域的自主可控问题一直保持上升趋势,不仅有国家领导人对国家网信办的亲自领衔,更在近年来多项顶层设计的出台。例如仅在2016年,就密集性的发布了多项安全法规:

8月中央网信办、国家质检总局、国家标准委联合印发了《关于加强国家网络安全标准化工作的若干意见》(以下简称《若干意见》)面向建设网络强国的宏伟目标,部署了当前和今后一个时期国家网络安全标准化工作的重点任务。

11月,国家网信办发布了《互联网直播服务管理规定》,以加强互联网直播规范管理,促进行业健康有序发展。

同在11月,中央网信办、国家发展改革委、国务院扶贫办正式印发《网络扶贫行动计划》(以下简称《行动计划》),对我国网络扶贫工作做出了整体部署。

12月,国家网信办又发布《国家网络空间安全战略》(以下简称《战略》)。该《战略》贯彻落实习近平总书记网络强国战略思想,阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,切实维护国家在网络空间的主权、安全、发展利益,是指导国家网络安全工作的纲领性文件。

可以说,国家网信办的一举一动,对从事网络安全产品和服务的厂商来说都有很紧密的联系,尤其是本次征求意见稿的出台,直接关乎自身的发展。

附件

网络产品和服务安全审查办法

(征求意见稿)

第一条网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。

第二条关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。

第三条坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查。

第四条重点审查网络产品和服务的安全性、可控性,主要包括:

(一)产品和服务被非法控制、干扰和中断运行的风险;

(二)产品及关键部件研发、交付、技术支持过程中的风险;

(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;

(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;

(五)其他可能危害国家安全和公共利益的风险。

第五条国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。

网络安全审查办公室具体组织实施网络安全审查。

第六条网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

第七条国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。

第八条根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。

第九条金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。

第十条党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。

第十一条关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。

关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。

第十二条承担网络安全审查的第三方机构,应坚持客观、公正、公平的原则,参照有关标准,重点从可控性、透明性、可信性等方面,对网络产品和服务及提供者进行评价,并对评价结果负责。

第十三条网络产品和服务提供者应对网络安全审查工作予以配合。

第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。

第十四条网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告。

第十五条本办法由国家互联网信息办公室负责解释。

第十六条本办法自2017年 月 日起实施。