2020年4月27日，國家網信辦、發改委等12個部門聯合發布了《網絡安全審查辦法》（以下簡稱《辦法》），《辦法》于2020年6月1日起正式實施。 　　通覽全文，《辦法》明確了主要適用主體--關鍵信息基礎設施運營者，從《辦法》第一條規定中便可明顯看出。此外，《辦法》中還規定了另一個間接義務主體--產品和服務提供者。 　　工業網絡安全企業作為傳統的網絡產品和服務提供商，如何適用《網絡安全審查辦法》？可以從以下幾點來考慮。 　　一、辦法第六條規定：對于申報網絡安全審查的采購活動，運營者應通過采購文件、協議等要求產品和服務提供者配合網絡安全審查，包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或必要的技術支持服務等。 。 　　該點其實在《辦法》的征求意見稿中第七條也有所體現，但意見稿中僅規定了供應商具有配合審查的義務，并未詳細說明義務的具體內容。而在《辦法》中，對于網絡產品和服務供應商應配合審查義務進行了細化，對供應商應做出的承諾內容進行了明確的規定。 　　作為網絡產品和服務供應商，工業網絡安全廠商應主動在與運營商簽訂采購文件、協議中增加相應條款，說明自身企業產品確定已得到相關第三方機構的安全檢測認證證書，以方便關鍵信息基礎設施運營機構運營者了解已采購的產品安全性，在需要申報網絡安全審查時，方便提供相關材料。同時，為了更好地保護供應商相關產品的知識產權和商業機密，建議與運營商簽訂合同條款中加入必要的知識產權和商業機密保護機制，從而避免因安全審查造成產權和機密外泄進而產生不必要的損失。 　　二、辦法第七條規定：運營者申報網絡安全審查，應當提交以下材料： 　�。ㄒ唬┥陥髸�； 　�。ǘ�）關于影響或可能影響國家安全的分析報告； 　�。ㄈ�）采購文件、協議、擬簽訂的合同等； 　�。ㄋ模┚W絡安全審查工作需要的其他材料。 　　此條辦法規定，與關鍵信息基礎設施運營機構合作的工業網絡安全企業售賣的產品，只有按照相關國家標準的強制性要求，取得安全認證或者安全檢測且符合要求后，方可進行銷售。運營商在采購此類產品，啟動安全審查時需要《辦法》中明確規定的影響或可能影響國家安全的分析報告。 　　工業網絡安全廠商提供產品安全性測試認證報告作為分析報告材料的部分支撐基礎，將進一步推動安全審查實施和雙方合作進程。而安全性測試認證或許可參考中國網絡安全審查技術與認證中心的網絡關鍵設備和網絡安全專用產品安全認證或國家信息安全產品認證等，也更加說明了前文中提到的在合同中進行相應產品安全性承諾的必要性。 　　三、辦法第九條有如下規定：網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險，主要考慮以下因素： 　�。ㄒ唬┊a品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險； 　�。ǘ�）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害； 　�。ㄈ�）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險； 　�。ㄋ模┊a品和服務提供者遵守中國法律、行政法規、部門規章情況； 　�。ㄎ澹┢渌�可能危害關鍵基礎設施安全和國家安全的因素。 　　《辦法》第九條對于可能影響國家安全的因素做出了詳細描述，總結為供應鏈安全問題，這與本《辦法》第一條相互呼應，道出了制定《辦法》的目的在于確保關鍵信息基礎設施供應鏈安全，從而維護國家安全。從供應鏈安全的角度而言，網絡產品和服務的采購對于關鍵信息基礎設施的運行帶來不同層面的影響，包括可能導致關鍵信息基礎設施被非法控制、重要信息泄露、產品組件遭遇中斷威脅等。尤其是產品組件斷供威脅，它不僅是關鍵信息基礎設施廠商可能面臨的威脅，也是工業網絡安全廠商應該時刻防范的危險。為此，工業網絡安全廠商應盡量采用開放式的軟硬件技術架構，制定多邊的采購策略，保證充足的后備供應，進行合理的需求管理，保持一定的庫存冗余，積極應對供應鏈安全問題。 　　《網絡安全審查辦法》是我國推進《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》兩大法律落地的重要行政辦法。工業網絡安全廠商是該辦法的重要參與方，應充分理解該辦法，準確執行該辦法，肩負起保障我國關鍵基礎設施安全的廠商責任。