2.6 关于关键信息基础设施采购网络产品和服务的说明_网络空间安全与关键信息基础设施安全-QQ阅读男生轻小说网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

2.6 关于关键信息基础设施采购网络产品和服务的说明

《网络安全法》规定了关键信息基础设施运营者在采购网络安全服务时要满足的基本要求，主要包括网络产品和安全服务提供者的强制性要求、网络关键设备和网络安全专用产品的安全认证和安全检测制度、漏洞扫描和利用、网络安全服务人员管理等。网络产品和服务提供者需要认真对待。

2.6.1 必知的强制性要求

1.约束要求

《网络安全法》第二十二条规定，网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

同时，进一步约束网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

特别强调不得设置恶意程序，执行双告知特别是要向有关主管部门报告，不得随意终止提供安全服务。这里还提出了对用户信息收集的相关要求，请读者参考后面的章节内容。

2.法律责任

《网络安全法》第六十条规定，违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处5万元以上50万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）设置恶意程序的；

（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；

（三）擅自终止为其产品、服务提供安全维护的。

《网络安全法》第六十四条规定，网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得1倍以上10倍以下罚款，没有违法所得的，处100万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得1倍以上10倍以下罚款，没有违法所得的，处100万元以下罚款。

2.6.2 产品认证和检测制度

《网络安全法》第二十三条规定，网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

也就是说，网络产品和安全服务提供者所提供的产品必修经过许可。产品销售许可制度的实施主要是公安部的计算机信息系统安全专用产品销售许可证和工信部的电信产品进网许可证；另一个重点是国家会陆续分批次出台网络关键设备和网络安全专用产品目录，该项工作由网信部门负责。今后核心关键在于如何避免重复认证、检测，变相检测，一个产品涉及多部门多名目的认证检测等问题。

2.6.3 限制发布网络安全信息

1.约束要求

《网络安全法》第二十六条规定，开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

本条的核心是网络产品和安全服务提供者，即第三方安全服务要守法；特别提到发布系统漏洞、病毒和攻击、入侵安全信息的，要遵守国家规定如《网络安全威胁信息发布管理办法（征求意见稿）》《网络安全漏洞管理规定（征求意见稿）》。这里要提醒提供安全服务的厂商要关注这一条，避免再出现类似停业整顿这样的悲剧。

2.法律责任

《网络安全法》第六十二条规定，违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处1万元以上10万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处5000元以上5万元以下罚款。

2019年11月20日，国家互联网信息办公室向社会公开征求对《网络安全威胁信息发布管理办法（征求意见稿）》。在介绍出台背景中，明确指出有组织或个人打着研究、交流、传授网络安全技术的旗号，随意发布计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法，以及网络攻击、网络侵入过程和方法的细节，为恶意分子和网络黑产从业人员提供了技术资源，降低了网络攻击的门槛；有组织或个人未经网络运营者同意，公开网络规划设计、拓扑结构、资产信息、软件代码等属性信息和脆弱性信息，容易被恶意分子利用威胁网络运营者网络安全，特别是关键信息基础设施的相关信息一旦被公开，危害更大；部分网络安全企业和机构为推销产品、赚取眼球，不当评价有关地区、行业网络安全攻击、事件、风险、脆弱性状况，误导舆论，造成不良影响；部分媒体、网络安全企业随意发布网络安全预警信息，夸大危害和影响，容易造成社会恐慌。

2.6.4 严禁网络安全漏洞验证和利用

为关键信息基础设施提供安全服务的网络运营者，严禁在关键信息基础设施场景下进行漏洞验证和利用。

2019年6月，工业和信息化部会同有关部门起草了《网络安全漏洞管理规定（征求意见稿）》，在第二条中明确指出，中华人民共和国境内网络产品、服务提供者和网络运营者，以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织或个人，应当遵守本规定。

漏洞验证工作通常有产品供应商、系统开发方、运营服务方、设备或系统的提供者/开发者来负责。也就是说，验证漏洞不是第三方服务或企业来做验证。一旦违反，有关主管部门可责令其暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，并对直接负责的主管人员和其他直接责任人员处5000元以上5万元以下罚款等，甚至追究刑事责任和民事责任。

2.6.5 安全服务人员准入要求

凡违反《网络安全法》规定的违法行为，应记入信用档案并予以公示。《网络安全法》第七十一条规定，有《网络安全法》规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。同时，《网络安全法》第七十四条规定，违反本法规定，给他人造成损害的，依法承担民事责任。违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

对违反《网络安全法》第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

也就是说，从事网络安全服务或者运营的人员不能有违反《网络安全法》的记录。