据国家网信办官方微信公众号27日消息，网信办等12个部门近日联合发布《网络安全审查办法》(下称《办法》)。将于今年6月1日起实施。

 

知道创宇作为一家秉承着侠之大者，为国为民理念的网络安全公司，为您分析这次《办法》出台的“5W+ 1H”

 

Why:《办法》为何颁布？

 

近年来，网络环境越发复杂，安全维护面临多种多样的挑战。

国家互联网应急中心发布的《2019年我国互联网网络安全态势综述》提到，我国拒绝服务攻击、APT攻击、安全漏洞、数据安全、移动互联网安全、互联网黑灰产、工业控制系统安全等七个方面的治理处置取得了明显的成效，但依旧任重道远。

 

完整报告可从往期推送中获取

 

根据知道创宇发布的《2019年度网络安全（云防御）态势报告》指出，2019年DDoS攻击年平均峰值较2018年上涨11%，达到215Gbps，有针对性的攻击行为更加频繁。

 

此次《办法》的出台，是基于国家对关键信息基础设施运维安全的考虑，希望通过国家监管审查、网络运营者依法遵守的方式，共同维护网络安全。

 

Who:《方法》审查的对象是谁？

 

此次审查的对象是：关键信息基础设施运营者

 

具体包括：

 

（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（四）广播电台、电视台、通讯社等新闻单位；

（五）其他重点单位。

 

关键信息的运营者一旦轻视网络安全所带来的威胁，后果将不堪设想。

 

 

据卡巴斯基实验室报道，2018年3月，中国某军工企业在2018年年初遭到美、俄两国黑客攻击。

 

2019年3月，国外黑客组织利用勒索病毒对我国部分政府部门和医院等公立机构展开邮件攻击，用户被感染后，重要数据会被加密，造成难于估量的后果。

 

就在今年3月2日，俄罗斯50多家大型企业遭到未知攻击者勒索。攻击使用物联网设备，尤其是路由器，伪装成欧尚、马格尼特、斯拉夫尼奥夫等50多家知名公司发送钓鱼电子邮件，对公司人员进行勒索攻击。

 

近年来的案例，警示着关键信息基础设施运营者：关键信息基础设施是网络防御的核心，应该将建立有韧性的网络防御体系作为战略目标。

 

安全防护没做好，遭受损失的同时，更要面临法律制裁。

 

根据《网络安全法》第六十五条、第六十六条规定，信息基础设施的运营者若违反相关法令，会面临暂停相关业务与罚款警告，并可能被责令停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

 

What:审查的内容为何？

 

《方法》指出，审查的重点评估的运营者是其产品和服务可能给国家带来安全风险的，主要考虑以下因素：

 

  （一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

  （二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

  （三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

  （四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

  （五）其他可能危害关键信息基础设施安全和国家安全的因素。

 

 

When:何时申报审查？

 

关于何时申报网络安全审查，相关负责人介绍，通常情况下，关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。

如果在签署合同后申报网络安全审查，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效，以避免因为没有通过网络安全审查而造成损失。

 

关于网络安全审查有无时限要求，该负责人称，通常情况下，网络安全审查在45个工作日内完成，情况复杂的会延长15个工作日。进入特别审查程序的审查项目，可能还需要45个工作日或者更长。根据《办法》要求，补充提供材料的时间不计入审查时限。

 

Where:制定《方法》的机构是？

 

本《方法》由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局12个部门联合制定。

 

 

How:如何完成相关申报？

 

有关如何申报，《方法》指出：

运营者申报网络安全审查，应当提交以下材料：

 

申报书；

关于影响或可能影响国家安全的分析报告；

采购文件、协议、拟签订的合同等；

网络安全审查工作需要的其他材料。

 

《办法》的出台，以及“等保2.0”时代的到来，都要求运营者更加注重网络安全。