新华三解读《网络安全法》考验安全企业的时代

6月1日，《中华人民共和国网络安全法》（下文简称《网络安全法》）正式实施。作为我国第一部关于网络安全的综合性法律，对于企业、个人和机构的身份和行为都作出了新的法律概念和规定，他们将对在中国境内建设、运营、维护和使用网络产生深远的影响。

为了让更多企业和个人关注、理解这部具有历史意义和现实意义的法律，赛迪网安全频道记者走访多家企业和机构。他们不仅仅是安全专家，也是《网络安全法》中最直接体现权利和义务的“主角”。借此机会，分享他们对本部法律重要细则的深刻理解，也为规范行业行为敲响警钟。

2017年4月份，新华三集团发布了“大安全”战略。借助“自主创新+生态共建”，为数字经济打造主动防御的“大安全”体系。他们强调核心技术自主创新，打造统一的生态共享平台，为百行百业提供完整、专业的安全解决方案。在《网络安全法》实施之际，新华三安全产品线接受了赛迪网采访。

新华三安全总结《网络安全法》六大亮点

新华三安全表示，当今世界如何应对网络安全威胁已是全球性的问题，欧美等网络强国纷纷建立全方位的网络安全法律体系，网络安全立法演变为全球范围内的利益协调与国家主权斗争，有法可依成为谈判与对抗的必要条件。2013年斯诺登曝光“棱镜门”事件，2014年我国成立网络安全与信息化领导小组，面对国内外网络安全形势的客观实际和紧迫需要，2015年开始制定《国家网络安全法》旨在加强国内网络空间治理，规范网络信息传播秩序，加大对危害网络安全行为的惩戒力度，立法标志着我国网络空间法治化进程的实质性展开，因此制定网络安全法是迫切的是必要的。

《网络安全法》于2017年6月1日正式实施，是我国网络安全领域的基础性法律，是一部综合性、框架性的法律，共7章79条，具有6大亮点：

第一，明确了网络空间主权的原则；

第二，明确了网络产品和服务提供者的安全义务；

第三，明确了网络运营者的安全义务；

第四，进一步完善了个人信息保护规则；

第五，建立了关键信息基础设施安全保护制度；

第六，确立了关键信息基础设施重要数据跨境传输的规则

对于《网络安全法》中出现的“网络运营者”身份，新华三安全认为从广义范围上讲，网络安全厂商为用户提供网络安全产品和服务，即为网络服务提供者；狭义上看，网络安全厂商更应属于网络产品、服务提供者。

立法明确安全厂商责任重大

个人信息和数据安全作为重点，安全厂商又是网络产品和服务的提供者，《网络安全法》是否明确规定了厂商应该提供哪些基本的服务?

新华三表示，《网络安全法》第22条明确规定：网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

2017年3月7日（两会期间） Apache Struts2爆出存在S2-045远程代码执行漏洞，新华三安全产品部积极响应，安全攻防团队协助国家互联网应急中心进行巡检，并发布《新华三关于Apache Struts2远程代码执行漏洞的安全公告》。

2017年5月12日，勒索软件“Wannacry”波及全球，新华三立即组织应急响应人员，发布【重大预警】和相关分析报告，积极响应用户需求，有效的保障了用户网络的安全。

上述两个安全事件，反映出新华三作为网络安全的重要企业，积极响应网络安全法中对于网络产品、服务提供者应尽的安全义务“发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

安全产品和服务须符合国家标准强制性要求

除了对于信息安全和网络运营者的重视，《网络安全法》对于安全企业也提出了相应的准入门槛和运行安全能力的要求，相关条款的提出会对安全企业产生哪些影响？安全企业该如何应对？

新华三举出三则法律条款，证实的确存在市场准入门槛。《网络安全法》第22条明确规定：网络产品、服务应当符合相关国家标准的强制性要求。第23条规定：网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。第35条规定：关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

目前，新华三所有的安全产品均按照国家规定要求取得了相关资质证书，包括不限于销售许可证、国家信息安全产品认证证书、信息技术产品安全测评证书、涉密信息系统产品检测证书、军用信息安全产品认证证书等；同时也会积极参与网络关键设备和网络安全专用产品目录的产品认证和检测工作，积极落实《网络产品和服务安全审查办法（试行）》配合国家安全审查。

另外，新华三作为中关村可信计算产业联盟的副理事长单位，积极响应国家号召，努力开发安全可信的网络产品和服务。

单位或个人违反《网络安全法》将受严惩

同时，新华三安全为记者举例说明违反《网络安全法》是要受到严厉惩罚的。如第六章（共17条） 法律责任，针对单位或个人违法情况进行了详细规定，主要有责令整改，给予警告；罚款；暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照； 没收所得；拘留；治安管理处罚；刑事处罚；记入信用档案等处罚形式。

如违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

同时为防止“监守自盗”，对网信部门和有关部门的违法行为也进行了规定，此外境外的机构、组织、个人攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，也要依法追究法律责任。