金融业采购网络安全产品服务情况

‘壹’ 网络安全审查办法

《网络安全审查办法》是为了确保关键信息基础设施供应链安全，维护国家安全，由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局等12部门联合制定的办法。2020年4月27日，《网络安全审查办法》正式发布，自2020年6月1日起实施。
网络安全审查主要审查的内容如下：
1、产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险。
2、产品和服务供应中断对关键信息基础设施业务连续性的危害。
3、产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。
4、产品和服务提供者遵守中国法律、行政法规、部门规章情况。
5、其他可能危害关键信息基础设施安全和国家安全的因素。
其中电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当在与产品和服务提供方正式签署合同前申报网络安全审查。通常情况下，网络安全审查在45个工作日内完成，情况复杂的会延长15个工作日。进入特别审查程序的审查项目，可能还需要45个工作日或者更长。关键信息基础设施运营者或产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息承担保密义务的，可以向网络安全审查办公室或有关部门举报。

‘贰’ 网络安全问题对网络金融发展有什么影响

多数涉及网络的金融行业，对网络的需求并没有什么特别的，无外乎一个稳定不断线，一个信息安全。

但是仅仅是这两项要求也很少有产品能做到！

巡路免疫网络安全解决方案可以解决这个问题，其实现在很多公司的网络中都存在大量网络协议攻击导致了大家一些应用（网络打印机不能连接，内部服务器访问时快时慢，语音电话不清甚至电脑跟老牛似的）不能正常使用。对于这些大家包括我原来也是认为就是系统病毒或者外网攻击问题造成的，通过与专业人士沟通以后才清楚，简单说：现在很多网络问题80%是由于内部网络问题（网络协议攻击）造成的，传统的解决办法（上防火墙、上入侵检测系统、防毒）主要是外网、系统木马病毒和文件病毒进行被动防范，对于网络协议攻击没有有效的解决办法。巡路免疫网络解决方案不是一个单独的产品，而是一套由软硬件、内网安全协议，安全策略构成的完整组件。它由接入模块、运营中心、终端免疫驱动、内网安全协议、安全策略组成，从内网的角度解决攻击问题，应对目前网络攻击复杂性、多样性、更多从内网发起的趋势，更有效地解决网络威胁。通过这个方案可以让我们的网络变成身体强壮，让咱们的网络可以自我防御和管理 。

‘叁’ 中国网络安全现状

2021年7月20日，新浪科技发文称iPhone手机存在安全隐患，Pegasus恶意软件可能会入侵用户的iPhone手机，窃取用户的信息和邮件，甚至可以控制手机的麦克风和摄像头，大数据时代用户或无隐私可言。

实际上，我国对打击大数据泄露安全事件有着强大的决心和执行力，在滴滴事件之后，国家网信办依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规修订了《网络安全审查好办法》，向社会公开征求意见，拟规定掌握超百万用户信息国外上市须审查。

由此可见，在我国互联网高速发展的时代，用户数据的监管变得越来越困难，此次网信办修订《网络安全审查办法》凸显了我国对收集隐私数据行为严厉打击的决心。

网络安全行业主要企业：目前国内网络安全行业的主要企业有深信服(300454)、安恒信息(688023)、绿盟科技(300369)、启明星辰(002439)、北信源(300352)等。

1、iPhone存在漏洞对用户数据安全造成威胁

2021年7月20日，新浪科技发文称iPhone存在漏洞，Pegasus恶意软件在用户不点击链接的情况下也可以入侵用户的手机，窃取信息和邮件，甚至可以操控用户的摄像头，此消息一出，网友大呼大数据时代无隐私可言，网络安全问题堪忧，实际上，在我国对网络安全问题有着强大的决心，滴滴事件之后，国家网信办依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规修订了《网络安全审查好办法》，向社会公开征求意见，拟规定掌握超百万用户信息国外上市须审查。

由此可见，在我国互联网高速发展的时代，用户数据的监管变得越来越困难，此次网信办修订《网络安全审查办法》凸显了我国对收集隐私数据行为严厉打击的决心。

综合来看，滴滴事件对国家数据安全层面敲起了警钟，而iPhone此次网络安全漏洞问题针对个人数据安全问题敲响了警铃，相信未来随着我国网络安全相关法案的不断完善，我国个人网络安全问题将得到有效的保护。

—— 以上数据参考前瞻产业研究院《中国网络安全行业发展前景预测与投资战略规划分析报告》

‘肆’ 网络安全审查办法

第一条为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。第二条关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。第四条在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。第五条运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。第六条对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。第七条运营者申报网络安全审查，应当提交以下材料：

（一）申报书；

（二）关于影响或可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同等；

（四）网络安全审查工作需要的其他材料。第八条网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。第九条网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）其他可能危害关键信息基础设施安全和国家安全的因素。第十条网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；情况复杂的，可以延长15个工作日。第十一条网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的，网络安全审查办公室以书面形式将审查结论通知运营者；意见不一致的，按照特别审查程序处理，并通知运营者。第十二条按照特别审查程序处理的，网络安全审查办公室应当听取相关部门和单位意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者。第十三条特别审查程序一般应当在45个工作日内完成，情况复杂的可以适当延长。第十四条网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。第十五条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

‘伍’ 金融机构需要哪些网络安全产品

金融机构需要具备网络安全产品。
1、数据中心：高端设施（如防火墙）；
2、信息系统：服务器/存储，包括各类操作系统，开发工具以及应用软件等
3、云计算服务：虚拟化和云平台