《网络安全法下关键信息基础设施运营者采购网络产品和服务的规范与要求》
一、引言
在当今数字化时代,关键信息基础设施的安全稳定运行对于国家、社会和公民的利益至关重要,网络安全法对关键信息基础设施的运营者采购网络产品和服务作出规定,这一规定旨在从源头上保障关键信息基础设施的安全性、可靠性和可控性,防范各类网络安全风险。
二、关键信息基础设施运营者采购的基本原则
1、安全可控原则
- 关键信息基础设施运营者采购网络产品和服务时,必须确保所采购的产品和服务在安全方面是可控制的,这意味着运营者要对产品和服务的安全性能有深入的了解,包括其可能存在的漏洞、安全防护机制以及数据安全处理方式等,对于一款网络防火墙产品,运营者需要了解其是否能够有效抵御常见的网络攻击,如DDoS攻击、恶意软件入侵等,并且能够对防火墙的规则进行自主配置和管理,以适应自身业务需求的安全防护要求。
- 从可控性角度来看,运营者应避免采购那些可能存在安全后门或者被国外势力控制的网络产品和服务,在全球化的网络环境下,一些国外网络产品可能会受到其本国政府的监管要求,存在将数据传输到国外特定机构的风险,某些国外云服务提供商可能会按照其本国法律要求,将用户数据存储在特定国家的数据中心,并可能在未告知用户的情况下被用于情报收集等目的。
2、符合国家安全标准原则
- 国家安全是至关重要的考量因素,网络产品和服务必须符合国家制定的网络安全标准,这些标准涵盖了从网络设备的硬件安全到软件加密算法、数据隐私保护等多个方面,在通信网络中使用的基站设备,其采购必须符合国家关于电磁辐射安全、通信加密等相关标准,不符合国家安全标准的网络产品和服务可能会对国家的通信安全、金融安全、能源安全等关键领域造成严重威胁。
- 国家会根据网络安全形势的发展不断更新和完善相关安全标准,关键信息基础设施运营者需要密切关注这些标准的变化,及时调整采购策略,随着量子计算技术的发展,国家可能会提高对加密算法安全性的标准要求,运营者在采购涉及数据加密的网络服务时,就需要确保所采购的服务采用符合新标准的加密算法。
三、采购过程中的安全审查要求
1、审查机制的建立
- 网络安全法规定了对关键信息基础设施运营者采购网络产品和服务的安全审查机制,这一机制由国家相关部门主导,旨在对拟采购的网络产品和服务进行全面的安全评估,在审查过程中,会涉及到对产品和服务提供商的背景调查,包括其企业的股权结构、关联企业、所在国家或地区的网络安全政策等,如果一家网络产品提供商有大量外资控股,且其外资来源国存在对我国不友好的网络安全政策,那么该产品在采购审查时就会受到更严格的关注。
- 对于产品和服务本身的技术审查也是重要环节,审查部门会评估产品的源代码安全性(在可行的情况下)、是否存在已知的安全漏洞以及其更新维护机制是否健全等,以操作系统软件为例,审查部门会检查其内核代码是否存在可被利用的安全风险,是否能够及时获得安全补丁更新等。
2、审查的范围和重点
- 审查的范围广泛,涵盖了网络设备(如路由器、交换机等)、软件(操作系统、数据库管理系统等)、云服务等各类网络产品和服务,重点关注那些对关键信息基础设施运行具有关键支撑作用的产品和服务,在金融领域,核心交易系统所使用的数据库管理系统和中间件产品的采购审查就非常严格,因为这些产品一旦出现安全问题,可能会导致金融交易数据泄露、交易中断等严重后果,影响金融市场的稳定。
- 新兴的网络技术和服务也是审查的重点对象,随着物联网、5G、人工智能等技术的快速发展,与之相关的网络产品和服务不断涌现,物联网设备的大量接入可能带来新的网络安全风险,关键信息基础设施运营者在采购物联网传感器、智能终端等设备时,需要经过严格的安全审查,以确保这些设备不会成为网络攻击的入口,不会对关键信息基础设施的整体安全造成威胁。
四、对国内网络产业的影响和促进作用
1、产业发展机遇
- 这一规定为国内网络产业提供了发展机遇,由于关键信息基础设施运营者在采购时更加注重安全可控和符合国家安全标准,国内网络产品和服务提供商有更多机会参与竞争,国内的网络安全企业可以针对关键信息基础设施的安全需求,研发和提供具有自主知识产权的防火墙、入侵检测系统等产品,在云服务领域,国内云服务商可以通过提升自身的安全性能和数据隐私保护能力,吸引关键信息基础设施运营者采用其服务。
- 促进国内网络产业的技术创新,为了满足关键信息基础设施运营者的严格要求,国内网络企业会加大在安全技术研发方面的投入,在加密技术方面,国内企业可能会致力于研发更先进、更安全的国产加密算法,以替代可能存在安全风险的国外算法,这不仅有助于提高国内网络产品和服务的安全性,也有利于提升我国在网络安全技术领域的国际竞争力。
2、提升整体网络安全水平
- 关键信息基础设施运营者按照规定采购网络产品和服务,将从整体上提升我国关键信息基础设施的网络安全水平,通过优先选择安全可靠的国内产品和经过严格审查的国外产品,减少了因网络产品和服务漏洞而导致的安全风险,在电力系统的关键信息基础设施中,如果所有采购的网络设备和监控系统都经过严格的安全审查,那么遭受网络攻击导致大规模停电的风险就会大大降低。
- 这种对采购的规范也有助于建立网络安全的生态体系,在这个生态体系中,网络产品和服务提供商、关键信息基础设施运营者、安全监管部门等各方相互协作,共同推动网络安全的发展,安全监管部门通过审查为运营者提供采购指导,运营者的需求又促使提供商不断改进产品和服务的安全性能,从而形成一个良性循环,不断提升我国网络安全的整体水平。
五、结论
网络安全法对关键信息基础设施运营者采购网络产品和服务的规定具有深远意义,它不仅从国家安全、关键信息基础设施安全的角度出发,规范了采购行为,建立了安全审查机制,而且对国内网络产业的发展起到了积极的促进作用,关键信息基础设施运营者必须严格遵守相关规定,在采购过程中充分考虑安全因素,确保我国关键信息基础设施在安全可靠的网络产品和服务支撑下稳定运行,国家也应继续完善相关法律法规和审查标准,以适应不断变化的网络安全形势。
评论列表