国盟信息安全通报2020年06月07日第217期.pdf

资源描述

1、国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 1 http:/ 2020 年 6 月 07 日第 217 期国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 2 http:/ 国盟信息安全通报（第第 217 期期）国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 312 个，其中高危漏洞 92 个、中危漏洞 182 个、低危漏洞 38 个。漏洞平均分值为 5.84。本周收录的漏洞中，涉及 0day 漏洞121 个（占 39%），其中互联网上出现 “WordPress Ul

2、timate Member 跨站点请求伪造漏洞、 OpenEMR 远程代码执行漏洞（CNVD-2018-14867） ”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 3956 个，与上周（5021 个）环比减少 21%。国际国际信息安全信息安全学习联学习联盟盟 2020 年年 06 月月 07 日日国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 3 http:/ 主要内容主要内容一、一、概述概述 . 4 4 二、二、安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况 . 4 4 漏洞产生原因（2

3、020 年 05 月 24 日2020 年 06 月 07） . 4 漏洞引发的威胁（2020 年 05 月 24 日2020 年 06 月 07） . 5 漏洞影响对象类型（2020 年 05 月 24 日2020 年 06 月 07） . 5 三、三、安全产业动态安全产业动态 . 6 6 民法典保护我们无处安放的隐私 . 6 使用民生相关 App 请认准官方版，防范山寨/高仿 App 套取个人信息！ . 10 开启网络安全审查制度建设 2.0 时代 . 15 数据安全立法，需平衡好各方诉求 . 19 四、四、政府之声政府之声 . 2121 第七次全国人口普查准备中，泄露个人信息将依法追责

4、. 21 中国互联网协会发布防范未成年人沉迷网络倡议书 . 23 中华人民共和国民法典正式通过 . 25 八部门集中开展网络直播行业专项整治行动 . 26 五、五、本期重要漏洞实例本期重要漏洞实例 . 2727 WordPress SiteOrigin Page Builder 插件代码执行漏洞 . 27 IBM Security Identity Governance and Intelligence 信息泄露漏洞 . 27 OpenStack Keystone 信息泄露漏洞 . 28 QEMU megasas_lookup_frame 越界读取漏洞. 28 六、六、本期网络安全事件本期网络

5、安全事件 . 2929 泰国移动运营商泄露 83 亿互联网记录 . 29 深圳某企业遭黑客入侵，报案反被行政警告处罚 . 30 澳大利亚黑客在 Twitter 上发布苹果员工机密信息后被判缓刑 . 32 北京某安全公司技术员利用网络敲诈勒索比特币获刑 3 年 . 33 台当局内务部门疑遭黑客入侵 2000 万笔个人信息被网上售卖 . 34 快递公司员工参与出售 2 万余条公民个人信息获刑并禁业 . 35 注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 4 http:/

6、一、一、概述概述国盟信息安全通报是根据国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 312 个，其中高危漏洞 92 个、中危漏洞 182 个、低危漏洞 38 个。漏洞平均分值为 5.84。本周收录的漏洞中，涉及 0day 漏洞 121个（占 39%），其中互联网上出现“WordPress Ultimate Member 跨站点请求伪造漏洞、 OpenEMR 远程代码执行漏洞（CNVD-2018-14867） ” 等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 3956 个，与上周（5021 个）环比减少 21%。二、

7、二、安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况漏洞产生原因漏洞产生原因（2020 年年 05 月月 24 日日2020 年年 06 月月 07）国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 5 http:/ 漏洞引发的威胁漏洞引发的威胁（2020 年年 05 月月 24 日日2020 年年 06 月月 07）漏洞影响对象类型漏洞影响对象类型（2020 年年 05 月月 24 日日2020 年年 06 月月 07）国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 6 http:/

8、三、三、安全产业动态安全产业动态民法典保护我们无处安放的隐私民法典保护我们无处安放的隐私 2020 年 5 月 28 日，人民大会堂响起经久不息的掌声，十三届全国人大三次会议审议通过中华人民共和国民法典，中国的民事权利保障迎来了一个全新时代。互联网生活早已成为公共生活的一个庞大子集，这同时也给隐私保护带来了极大的挑战。我一身是嘴也说不清楚了。在经典电影搜索中，女主角因一小概率事件，而被“人肉搜索” 。一夜之间，她所有的个人信息散布网络，毫无隐私可言。全城网民，藏在匿名 ID 背后，不计后果地指责女主角。被揭隐私的女主角，仿佛自己被强行剥光丢进人群中一般。这样的电影情节看似夸张，但现实

9、生活中类似的事情确有发生。很多人都在疑惑：轻点搜索就能知天下的今天，很多人都在疑惑：轻点搜索就能知天下的今天，我们的隐私又该如何安放？我们的隐私又该如何安放？日前，中华人民共和国民法典（草案）（以下简称民法典草案）就隐私权问题，对相关规定进行了多次修改、增加，旨在进一步保护人们的隐私权。 “互联网“互联网+”时代一丝不挂的个人信息”时代一丝不挂的个人信息当下的我们，正活在一个信息爆炸， “娱乐至死”的互联网+时代。随着移动互联网、云计算、大数据、物联网以及区块链等技术的发展，实名认证、人脸识别、5G、AI 等越来越多国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际

10、信息安全学习联盟主办 7 http:/ 的新兴技术，也不断普及到了人们日新月异的生活中。与此同时，处于信息交流极其便捷、迅速这一大环境中的人们，也开始逐渐担忧自身隐私保护的问题。尤其是微博、微信朋友圈、贴吧、豆瓣、知乎等开放式网络社交平台的广泛应用，使得我们的个人信息在网上一览无余。其中， “人肉搜索”是一种以互联网为媒介，网民们利用现代信息科学技术，以及匿名知情人提供信息的方式，搜集特定人或事的有关信息，以查找人物身份或事件真相。关于“人肉搜索”最早的代表事件为“陈自瑶事件” ，后来发生的“虐猫事件” “华南虎事件” “范跑跑事件” “躲猫猫事件”等多起事件，使得“人肉搜索”

11、成为一种盛行于网络的群众运动。起初， “人肉搜索”在某种程度上能够起到惩恶扬善的作用，但一些网民超越道德和法律的底线，通过这种方式，将当事人的个人信息完全披露，并给当事人及其家人的生活产生巨大影响，甚至造成强烈的人身攻击。现今，过度的“人肉搜索”已经涉及侵犯人们的隐私权、名誉权、安宁权等多项权利。曾经，北京一位女白领写下“死亡博客”后跳楼身亡，由此引出了中国第一次进入司法程序的“人肉搜索”案。女白领姜岩于生前两个月，在博客中以日记形式记载了自己的心路历程，并将丈夫真实的个人信息一同写入其中。伴随着姜岩的自杀，日记内容及其丈夫王菲的姓名、照片、住址、工作单位等身份信息全部被公之于众，从而被网

12、民们“人肉搜索” 。王菲也因此遭到了严重的人身攻击、私人生活的安宁被扰等不良影响。被“人肉搜索”的王菲将三家网站起诉至法院，最终其中两家网站被判侵犯王菲隐私权、名誉权。由于侵犯隐私的问题频繁出现，以及人们对于隐私保护的迫切需要，同时法院也曾发出过应该对“人肉搜索”等新生网络事物进行正确引导的司法建议，从而引起了相关部门的高度重视。本次民法典人格权编草案三次审议稿规定，隐私是自然人不愿为他人知晓的本次民法典人格权编草案三次审议稿规定，隐私是自然人不愿为他人知晓的私密空间、私密空间、私密活动和私密信息等。但也有一些法律人士提出，应将维护私人生活安宁、排除他人非法私密活动和私密信息等。

13、但也有一些法律人士提出，应将维护私人生活安宁、排除他人非法侵扰这一隐私权的重要内容，增加于隐私的定义中。侵扰这一隐私权的重要内容，增加于隐私的定义中。 2019 年 12 月 23 日，提请十三届全国人大常委会第十五次会议审议的民法典草案，采纳了上述意见，将隐私的定义完善为隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。有委员表示，无论最初“人肉搜索”是出于何种善意，但现在这一行为已反向而行，正在逐步侵蚀着我们的生活。对于“人肉搜索”等一系列侵犯个人隐私的行为，我们应予以强烈反对，以维护我们的个人隐私。国盟信息安全通报（2020 年 6 月 07 日第 21

14、7 期）国际信息安全学习联盟主办 8 http:/ 新法草案全方位加强隐私保护新法草案全方位加强隐私保护民法典人格权编草案不仅完善了对隐私的定义，在个人信息保护方面也作出了新的规定：自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等均属于个人信息的范围。几年前，北京一名小学生小凡因在接受某电视台采访时说“上次我查资料，忽然蹦出一个窗口，很黄很暴力，我赶快给关了” 。这一句话，引发了一场网络上的轩然大波。 “很黄很暴力”瞬间成为爆款流行语，网友在恶搞的同时，也有人对小凡的话的真实性提出质疑。于是，网友们 “人肉搜索” 出了小凡的名字、出生

15、年月日、所在学校、平时成绩以及所获奖励，甚至连她出生的医院也被搜出。事情从最初的质疑，逐渐演变为讽刺、挖苦，进而升级为侮辱。一夜之间，一名未成年少女成为一众网友攻击的对象。网民们还通过视频、图片、恶搞漫画、帖子等形式疯狂恶搞“很黄很暴力” ，甚至还有人用色情漫画来影射小凡。小凡的个人信息暴露得如此彻底，与“人肉搜索”密不可分，但各类信息科学技术的突飞猛进，也使得我们的隐私在网络共享。使用身份证实名制认证后，所有的个人信息便一目国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 9 http:/ 了然，这也是令我们担忧的问题之一。对此，一些专业人

16、士称，此种行为已严重侵害到了未成年人的隐私权。并指出通过网络舆论侵犯人们个人隐私，是一个相当大的问题，同时也呼吁加强对未成年人个人信息的保护。近些年，有关侵犯未成年人隐私的案件不断增多。曾有一家网站采访了某教育中心，随后该网站刊出关于探访北京戒网瘾学校的照片和文章。此网站在未取得未成年人法定代理人同意的情况下，私自使用未经模糊处理的未成年人付某的正面全身照，并配有与“上网成瘾”有关的文字。这种擅自曝光未成年人个人隐私和个人信息的行为，已严重侵犯了未成年人的隐私权本次民法典人格权编草案本次民法典人格权编草案也专门对未成年人个人信息保护作出了新规定：收集使用未也专门对未成年人个人信息保护作

17、出了新规定：收集使用未成年人等无民事行为能力人或者限制民事行为能力人的个人信息的成年人等无民事行为能力人或者限制民事行为能力人的个人信息的,应当征得其监护人同意应当征得其监护人同意,但是法律、行政法规另有规定的除外。以此更好地保护未成年人的个人隐私。但是法律、行政法规另有规定的除外。以此更好地保护未成年人的个人隐私。此外, 还特别增加了对履职过程中知悉个人信息的国家机关及其工作人员的相关规定：国家机关及其工作人员对于履行职责过程中知悉的自然人隐私、个人信息,应当予以保密,不得泄露或者非法向他人提供。民法典人格权编草案同时还增加了任何组织或者个人不得搜查、进入、窥视、拍摄他人的宾馆房间等私密

18、空间这一重要规定。从而严厉打击宾馆房间私装摄像头偷拍等此类恶劣行为，全方位保护我们的个人隐私。 “大护法”增强民众安全感“大护法”增强民众安全感现在处于“互联网+”时代的我们，无论做任何事均脱离不了无处不在的网络。很久没去过医院的记者，在不久前去某医院看病时，不再需要病历本，一刷自己的医保卡，所有信息和既往病史全部出现在医生的电脑上。虽然节省了时间，但这同时也增加了个人信息、隐私安全的隐患。不光是民法典人格权编草案对隐私的有关内容进行了修改补充，民法典侵权责任编草案也进一步完善了网络侵权、患者隐私及个人信息保护等方面的规定。产妇刚生完孩子，早教机构就发来的“贺喜”短信无缝衔接；病患刚

19、做完手术，康复中心便立即来电自荐。如此令人“窒息”的操作，很多人都经历过。当下，很多医生在为病人检查时，经常会带着四五个实习医生，且有男有女。当自己的身体暴露在众目睽睽之下时,大部分病人都会感到非常难堪。患者遇到医疗检查时被实习生观摩的情况常有发生。有些患者表示拒绝后，有的医生会称这种情况很正常。对于医者来说这已是司空见惯的事，但患者不是医生，他们无法理解这种医学上的学习。因此医生在做类似行为之前，也应事先征得病人国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 10 http:/ 的同意。民法典侵权责任编草案将相关规定修改为：医疗机构及其

20、医民法典侵权责任编草案将相关规定修改为：医疗机构及其医务人员泄露患者隐私和个务人员泄露患者隐私和个人信息或者未经患者同意公开其病历资料，应当承担侵权责任。人信息或者未经患者同意公开其病历资料，应当承担侵权责任。在青岛某大医院产科发生过一起案件。案犯胡肖明、冯晓、刘奇先后通过该医院的两名年轻产科护士，非法获取产妇及其家庭联系电话等各种信息，并通过售卖信息非法牟利。这两名年轻的女护士，通过微信在一年多的时间里，总共提供了包括姓名、联系电话、出生时间、家庭住址在内的近 1.3 万条产妇相关信息。医疗机构及其医务人员泄露患者隐私和个人信息，或擅自公开患者病历资料属于严重的侵权行为。最终，被告六人因侵

21、犯公民个人信息罪，受到了应有的处罚。民法典侵权责任编草案的修改，意味着无论其所作行为是否对病患造成损害，医疗机构及其医务人员均应承担相应的侵权责任。在更好地保护患者隐私的同时，对医疗工作者们也起到警示作用，让患者们可以安安心心看病来，健健康康回家去。随着社会的发展，很多新问题也随之而来。民法典草案这一“大护法”正在针对当今社会的各类问题，进行不断的更新、完善，保护我们无处安放的隐私，给予民众更多的安全感。（来源：人民法治）使用民生相关使用民生相关 AppApp 请认准官方版，防范山寨请认准官方版，防范山寨/ /高仿高仿 AppApp 套取个人信息！套取个人信息！ 1、

22、 “高仿、 “高仿/山寨”山寨”App 现象突出现象突出当下，各式各样的 App 已成为我们生活、工作等的必需品，据统计，近 9 亿网民中手机上网比例高达 99.1%，移动互联网服务便捷、即时、普惠的特点在 App 中得到充分体现，用户每天在各类 App 上平均花费时长达 4.9 小时，占用户日均上网时长的 81.7%。因此，开发、运营 App 成为很多企业和机构为用户提供服务的优先选择。但是，一款成熟的 App 从设计、开发、运营要耗费大量人力物力，日积月累方可赢得用户对其品牌的认可，而此时，个别机构、个人却打起了“模仿、抄袭”的歪心思，短短几周甚至几天，就可以开发出一款图标、外

23、观、名字与正版 App 极为相似，凭肉眼很难分辨的“高仿版” “山寨版” ，甚至想方设法在常见“应用商店”上线，吸引用户下载使用。据统计，一款下载量超过 1 亿的 App，市场上会出现几百种各式各样的“山寨货” 。 2、民生领域，非官方、民生领域，非官方 App 可能存在套取个人信息风险可能存在套取个人信息风险国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 11 http:/ 民生领域关系着广大群众衣食住行等根本问题，是检验群众幸福感、获得感的最重要标尺之一。近年来，涉及社保、治安、交通、教育、医疗、就业等民生相关领域的社会服务已经都逐步从线下

24、转移到线上，随着互联网普及及上网技能被越来越多民众所掌握， “一站式购票缴费” 、 “数据多跑路，群众少跑路” 、 “一网通办”等已经成为当下有关部门重点推行的便民措施。然而，当提供社会服务的官方机构开始通过 App 等方式向大众提供“便捷” “免费”的服务时，有些“机构和个人”趁机开发出一些“非官方”App，有部分甚至通过“高仿/山寨”方式直接欺骗用户使用，直接盗取用户个人信息或诱骗用户转账、充值；有的通过扮演“中间人” “代理人”角色，在为用户提供服务的同时，掌握了用户大量个人信息，个别还打起了使用用户个人信息进行推送商业广告、借贷等进行变现的“小算盘” 。近期，就有媒体曝光有网友在使

25、用非官方社保、公积金查询 App 后，自己频繁收到推销贷款、购房的骚扰电话，还有网友使用“山寨版”12306 购票 App，在使用抢票功能后被骗取手续费用。总之，虽然不能直接断定非官方 App 一定存在问题，但与民生领域官方推出的App 相比，非官方的 App 除了使用个人信息达成相应服务目的后，是否会长期留存收集的个人信息，个人信息怎么用、用在哪？往往是一个未知数。因此，如果相关民生领域已经发布了官方版 App，建议广大网友尽可能识别并避免使用“非官方”的 App，防止个人信息可能被泄露、滥用。 3、认准常用民生类“官方、认准常用民生类“官方 App” 以下是简单归纳的一些官方和非官

26、方 App 的对比，仅供参考：国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 12 http:/ 国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 13 http:/ 4、如何判断、如何判断 App 是否为官方出品？是否为官方出品？从上图中的信息不难看出，一般来说，对于政府部门、公共服务机构等发布的 App，最主要的是要认准发布单位，如果不是职能部门或下属机构发布的 App，则需要再三查看评论，或者充分试用确保无误；其次，政府部门、公共服务机构等发布的 App 名称简洁，不夹带“最新版” “快速版”

27、“优惠版”等诱导性强的用词。但是，需要注意的是，一些非官方版本的 App 可能会采取竞价排名、流量引导、虚假刷量等方式，吸引用户下载使用，政府部门、公共服务机构等发布的 App 在应用商店、搜索引擎等的排名中不一定排名靠前。此外，很多政府部门、公共服务机构只是通过网站提供服务，并没有发布其官方 App，但是，还是出现了一些 App 打着“权威” “官方”等名义的擦边球，通过“代理人”方式在 App 内为用户提供服务，被很多人误以为是官方出品并长期使用，因此，查看并认准发布方身份非常关键。不光如此，很多企业发布的 App 也会被“高仿/山寨” ，导致网民遭受“诈骗” “钓鱼” ，引发财产受损，

28、个人信息泄露等。 5、如何对“高仿、如何对“高仿/山寨山寨 App”进行治理的思考”进行治理的思考 “高仿“高仿/山寨山寨 App”为何屡禁不止？”为何屡禁不止？要回答这个问题，我们不妨做以下探讨：要回答这个问题，我们不妨做以下探讨：首先，如何界定什么是“高仿/山寨”一直是个难题。如果是从名称、功能、图标、界面、宣传方式等角度发现 App 之间是否存在相似性来看，恐怕很难给出一个相对固定的标准，如果从商标、产权等角度去衡量，问题的复杂性可能更高，因为大量 App 的功能、服务模式等本身就是高度同质化的状态，即使引发“口水战” 、 “打官司” ，恐怕是旷日持久，很难短时间内改变现状。其次，应

29、用商店能否进行公正把关同样是难题。有人说，为什么应用商店还会允许“高仿/山寨 App”上线，其实逻辑很简单，因为应用商店无法解决好刚才提出的界定“高仿/山寨 App”的难题。应用商店会根据国家有关法律法规以及相关监管要求，对 App 进行审核和管理。同时，出于应用商店之间的市场竞争机制，不断充实、丰富应用市场中 App 的类型、数量，吸引更多用户使用往往成为其核心经营思路。一旦从“是否为高仿/山寨”角度进行审核，一则审核机制谁来定，谁来审，其过程很难保证公正性，操作不当很有可能会被沦为竞争对手互相打压的工具；二则是否因为审核等原因会导致原有的市场竞争机制被破坏？会对鼓励创新等的氛围和环境造成

30、影响？缺乏了新鲜血液循环，是否会导致应用市场活力、竞争力等下降等都是个未知数，利弊很难评判。再者，开发“高仿/山寨 App”的成本低，其频繁改头换面等都加大了对其审核监督的难度和成本，另一方面，部分网民对手机系统、应用商店、常用软件等的基本情况还不够了解，国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 14 http:/ 不少人对“优惠” “破解” “秒杀” “红包”等诱导性词缺乏抵抗力，未做慎重观察，直接注册使用，这也间接让恶意的“高仿/山寨 App”有机可趁，趁机牟利。将个人信息保护的要求作为审核点可能是突破口将个人信息保护的要求

31、作为审核点可能是突破口从上文分析来看， “高仿/山寨 App”有一个普遍的共性问题，就是在其收集使用个人信息方面存在问题甚至存在违法违规行为。以此为出发点，假如抛开“高仿/山寨 App”的界定等难点问题，就从个人信息保护的审核监督出发，如果促使存在违法违规收集使用个人信息行为的 App 不会再被用户下载使用，同样可以达到防止用户利益遭受侵害的目的。然而，如要达成以个人信息保护为审核点避免“高仿/山寨 App”被下载使用，则需要执行对数百万款 App 收集使用个人信息行为动态、全覆盖式的审核监督。除了依赖专业的检测评估力量、高效的技术监督手段外，还需要制定相应的审核规则与应用商店等关

32、键角色的深度参与，这就有待在持续开展 App 违法违规收集使用个人信息的治理工作过程中，深入研究和完善相关标准规范、协作程序、技术手段，形成常态化监督管理机制。对“民生”密切相关对“民生”密切相关 App 的几点建议的几点建议就当下，如何能进一步引导和保障民众安心使用“民生”密切相关 App，有以下建议供参考：一是继续推进 App 安全认证相关工作，尤其是重点民生领域 App 的安全认证，并由应用商店等进行优先展示、推介；二是充分调研有关职能部门发布的民生紧密相关领域已有App 情况，由有关官方机构提供专用标识，设置下载专区，加大宣传力度，引导民众使用；三是持续受理民众和 App 运

33、营单位对“高仿/山寨 App”违法违规收集使用个人信息行为的举报，进一步加大对“高仿/山寨 App”的曝光和监督管理力度；四是持续开展民众安全意识宣传科普活动，强化民众对“高仿/山寨 App”的识别能力，提升个人信息保护意识和技能。 6、结语、结语 “高仿/山寨” App 一方面在用户使用时可能带来安全隐患，另一方面给公平竞争环境、创新活力带来挑战，在持续治理完善移动互联网生态过程中，是始终绕不开的难题之一。移动互联网的繁荣发展，App 数量是一种体现，但 App 质量更是关键，只有 App 质量过硬、用户肯定、安全可信，才能涌现出更多真正有竞争力的优秀 App，更好地服务于经济民生。（来源

34、：APP 治理工作组）国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 15 http:/ 开启网络安全审查制度建设开启网络安全审查制度建设 2.02.0 时代时代网络安全审查办法将于今年 6 月 1 日正式实施，这是网络空间安全形势日益复杂、对抗性加剧的国际环境下，进一步完善我国网络安全体系建设，落实习近平总书记“加快构建关键信息基础设施安全保障体系” 的重大举措，是加固我国网络空间安全的一道独特有效屏障。一、办法出台具有重大现实意义一、办法出台具有重大现实意义随着我国网络空间安全战略的构建与实施，网络安全审查法制化建设也走上了快车道。

35、2015 年 7 月通过的中华人民共和国国家安全法第五十九条规定： “国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险” 。该法明确提出对网络信息技术产品和服务等进行国家安全审查，成为网络安全审查办法(以下简称办法）的基础。2016 年 11月通过的中华人民共和国网络安全法第二节“关键信息基础设施的运行安全”中的第三十五条规定： “关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院

36、有关部门组织的国家安全审查” ，标注了网络安全审查法治化建设的“零公里” 。 2017 年 5 月，国家互联网信息办公室发布网络产品和服务安全审查办法(试行）（以下简称试行办法），可以视为我国网络安全审查制度 1.0 版。2020 年 4 月 13 日，国家互联网信息办公室等十二部委以部委令方式公布新办法，是在 2017 年试行办法的基础上，结合网络空间安全形势制定的网络安全审查制度的 2.0 版，标志着我国网络安全审查法治建设进入新时代，意义重大。一是应对当前网络空间日益复杂安全形势的需要。一是应对当前网络空间日益复杂安全形势的需要。据国家互联网应急中心（CNCERT）国盟信息安全

37、通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 16 http:/ 公布的2019 年我国互联网安全态势综述报告，2019 年，我国持续遭受来自“方程式组织” “APT28” “蔓灵花” “海莲花” “黑店” “白金”等 30 余个 APT 组织网络窃密攻击，我国党政机关、国防军工和科研院所，以及通信、外交、能源、商务、金融、军工、海洋等行业、物联网和供应链等领域成为重点攻击对象，国家网络空间安全受到严重威胁。而这类攻击都是通过利用第三方产品和安全漏洞或薄弱环节入侵关键信息系统的，供应链安全风险十分突出。据国家信息安全漏洞库（CNNVD)报告，2019 年

38、，新增通用软硬件漏洞数量 16374 条，达到历年最高点，其中，高危漏洞首次达到近一半的占比，且国外厂商漏洞数量占较大比重，输入型漏洞带来的风险加大。这些漏洞影响范围从主流操作系统到最常见的应用产品，广泛影响我国基础软硬件安全及其应用安全，危及我国家安全，因此，加强网络安全审查十分必要与迫切。二是防范我网络产品和服务市场快速增长面临风险的需要。二是防范我网络产品和服务市场快速增长面临风险的需要。我国拥有规模庞大的信息基础设施，是网络产品和服务市场增长速度最快的国家。仅以网络安全领域市场为例，据国际数据公司（IDC）数据显示， 2019 年，全球网络安全相关硬件、软件、服务投资约

39、为 1066.3亿美元；2019 年至 2023 年，全球网络安全相关支出复合年均增长率约 9.44%；2023 年，将达到 1512.3 亿美元。 2019 年，中国网络安全市场总体支出约为 73.5 亿美元； 2019 年至 2023年，中国网络相关支出复合年均增长率为 25.1%,增速领跑全球， 2023 年，支出将达到 179 亿美元。虽然我国占全球网络安全市场份额仅 10%多一点，但是增长速度领跑世界，潜力巨大。我国基础设施的供应商主要来自国外，一些核心产品如芯片、高科技材料、关键部件仍大量依赖进口。因此，网络产品和服务的供应链安全与否，供应渠道的可靠与否，直接关系到我网

40、络安全，特别是在推进“新基建”的关键时期，办法的出台恰逢其时，是对诚信守法供应商的保护，更是对网络攻击等非法行为的威慑。三是完善我国网络空间安全治理体系和治理能力现代化的重要举措。三是完善我国网络空间安全治理体系和治理能力现代化的重要举措。加强网络安全审查制度建设，全面提升网络安全审查能力，是贯彻习近平总书记推进治理体系和治理能力现代化重要思想的具体体现。建立网络安全审查制度，是我国国家治理体系不可缺少的重要一环，目的是及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全。办法的出台，为我国开展网络安全审查工作提供了重要的制度保障，

41、是我国网络空间安全积极防御，推进实施网络强国战略的重大举措。四是和平利用网络空间、坚定维护网络空间安全战略的体现。四是和平利用网络空间、坚定维护网络空间安全战略的体现。办法借鉴了美西方发达国家网络安全审查制度，并结合了自身实际和我国网络空间安全 “新理念” 而制定。美国、英国、德国、澳大利亚、俄罗斯等国已先后建立网络安全审查制度，通过设立专门的审查机国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 17 http:/ 构，制定审查标准，委托第三方认证等措施，对关键基础设施的产品和服务开展安全审查，包括对供应商的背景进行审查，排除安全风险和漏洞。

42、我国制定网络安全审查制度，是通过法制手段保障国家安全，减少网络空间技术对抗与冲突的有力措施，是推动构建网络空间命运共同体的具体举措。二、网络安全审查工作的法律保障大大增强二、网络安全审查工作的法律保障大大增强办法第一条明确国家安全法网络安全法是上位法，据此制定的办法具有强有力的法律约束，体现在如下几点：一是审查对象法定化。一是审查对象法定化。办法第二条规定： “关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查” ，定义了直接审查对象为关键信息基础设施运营者对网络产品和服务的采购行为；第六条 “对于申报网络

43、安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查” ，明确了产品和服务的提供者是间接审查对象，使审查对象鲜明清晰法定。办法第二十条强调了 “关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者” ，根据中央网络安全和信息化委员会关于关键信息基础设施安全保护工作有关事项的通知精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当按照办法要求考虑申报网络安全审查。较试行办法直接针对“网络产品与服务”的审查，该办法将

44、审查对象聚焦在运营者，其采购行为主体更加鲜明突出，防止被外国厂商误读。二是审查工作主体法定化。二是审查工作主体法定化。办法第四条首先明确了网络安全审查工作是在中央网络安全和信息化委员会领导下，由国家互联网信息办公室及发改委、工信部、公安部、国家安全部、财政部、商务部、人民银行、国家市场监督管理总局、广播广电总局、保密局、密码管理局 12 个部委建立国家网络安全审查工作机制，网络安全审查办公室设在国家互联网信息办公室，负责制定审查制度规范，组织网络安全审查。将审查工作的主体通过行政法规确定下来，较试行办法更加透明、清晰、规范。办法第十条规定： “网络安全审查办公室在规定时间内对运营者的申请

45、进行初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见” ，该表述除明确了开展审查工作的主体单位是 12 个部委外，还有“相关关键信息基础设施保护工作部门” ，强调了审查机制中各部委和关键信息基础设施保护工作部门依法行政的主体责任。国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 18 http:/ 三、网络安全审查工作更聚焦核心安全利益三、网络安全审查工作更聚焦核心安全利益办法在审查工作内容上体现了新的网络安全观，审查重点更加清晰，操作性更强。一是审查目标的调整是践行习

46、近平总书记“树立正确的网络安全观”的体现。一是审查目标的调整是践行习近平总书记“树立正确的网络安全观”的体现。办法第一条审查目标强调的是“为了确保关键信息基础设施供应链安全” ，将关键信息基础设施供应链安全作为审查目标的关注重点，更看重的是产品和服务的使用主体、使用目的、使用方式以及产品供应渠道的可靠程度等综合因素，深入贯彻了习总书记关于 “网络安全是整体的而不是割裂的” “是相对的而不是绝对的”理念。办法较试行办法将安全审查目标放在“网络产品和服务的安全可控水平”等脆弱性上，不仅是着眼点的调整，也是对网络安全理念认识的提升。二是审查重点更加明晰。二是审查重点更加明晰。办法第九条明确

47、了重点评估采购网络产品和服务可能带来的国家安全风险的 5 个主要考虑因素。首先，将“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险”作为第一项评估的风险因素，突出体现了当前网络安全面临的风险和隐患的实质和鲜明特点。其次，考虑了产品和服务供应一旦中断对关键信息基础设施业务连续性带来的危害。第三，强调了“产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险” ，突出体现了对网络空间安全属性的把握，开放、透明、多样性符合国际贸易规则，对国内供应商和国外供应商一视同仁，有利于推进构建网

48、络空间命运共同体。第四，新增加了“产品和服务提供者遵守中国法律、行政法规、部门规章情况”等非技术性因素，取代了试行办法中的背景审查的表述，符合依法审查的理念，更显国际通用性，审查重点更加突出清晰。三是审查工作更具操作性。三是审查工作更具操作性。办法较试行办法新增了 6 条，在操作程序和时限、知识产权保护、保密、监督问责等方面都有更加明确的表述。首先，调整了网络安全审查的启动机制，由试行办法中根据国家有关部门的要求、全国性行业协会建议、市场反映和企业申请四种启动方式，调整为由运营者申报和 “网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序

49、报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查” ，可见，启动审查的环节虽然减少了，相关部委可提出审查要求，但是审批权限上调了，启动条件更加严格。其次，增加了风险预判机制，要求运营者采购网络产品和服务时，应预判安全风险，对影响或可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查，将安全关口前移至初始和前端。第三，操作程序更加清晰透明，对安全审查运营者所需提交的四项申请材料做了明确规定；对网络安全国盟信息安全通报（2020 年 6 月 07 日第 217 期）国际信息安全学习联盟主办 19 http:/ 审查办公室的初步审查、征求意见、启动特别审查程序做了清晰

50、规定，特别是新增加了不同阶段审查工作的时限等。第四，对保密、监督、问责等事宜做了明确规定。四、办法落地实施亟待配套规程四、办法落地实施亟待配套规程办法尽管已具有较强的操作性，但毕竟是原则性的，在具体实施中，仍需要更详细的操作规程支撑。因此，一是建议国家互联网信息办公室尽快出台网络安全审查工作实施细则，进一步优化审查工作流程；制定风险预判标准等，让审查机构、运营者、产品和服务提供者有规可依，操作便利。二是建议国家互联网信息办公室牵头建立部级联席会议机制，确定一批具有信息安全检验检测资质、国内外普遍认可、不以赢利为目的的国家级测评机构作为第三方机构，提供网络安全审查技术支持。三是建

展开阅读全文