2021年8月17日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱《條例》）公布，標(biāo)志著國家對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的制度設(shè)計已經(jīng)完成，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作進(jìn)入新階段。當(dāng)今社會的正常穩(wěn)定運行，越來越離不開關(guān)鍵信息基礎(chǔ)設(shè)施的支撐。鐵路、民航、公路等交通運輸系統(tǒng)，奔騰不息，給人民群眾出行帶來便利，也為經(jīng)濟社會運行輸運物資；電力、石油等能源系統(tǒng)，日夜工作，為經(jīng)濟社會運行輸送“血液”；通信、互聯(lián)網(wǎng)平臺等公共通信和信息服務(wù)系統(tǒng)，時時互聯(lián)，方便大家溝通的同時，承載了大量的國家重要數(shù)據(jù)和個人信息。

 

　　保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的一個很重要方面是確保關(guān)鍵信息基礎(chǔ)設(shè)施使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈安全。網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈安全風(fēng)險在當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢下日顯突出，一旦出現(xiàn)問題會給關(guān)鍵信息基礎(chǔ)設(shè)施帶來嚴(yán)重危害。2020年12月13日，F(xiàn)ireEye發(fā)布了關(guān)于“太陽風(fēng)”供應(yīng)鏈攻擊的通告，某基礎(chǔ)網(wǎng)絡(luò)管理軟件的軟件更新包中被黑客植入后門。該事件波及范圍極大，約有超過250家美國聯(lián)邦機構(gòu)和企業(yè)受到影響。總體而言，供應(yīng)鏈安全存在以下四個方面的主要風(fēng)險：

 

　?。ㄒ唬┚W(wǎng)絡(luò)產(chǎn)品和服務(wù)自身安全風(fēng)險，以及被非法控制、干擾和中斷運行的風(fēng)險；

 

　?。ǘ┚W(wǎng)絡(luò)產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險；

 

　?。ㄈ┚W(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲、處理、使用用戶相關(guān)信息的風(fēng)險；

 

　　（四）網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用用戶對產(chǎn)品和服務(wù)的依賴，損害網(wǎng)絡(luò)安全和用戶利益的風(fēng)險。

 

　　黨中央和國務(wù)院高度重視關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全，習(xí)近平總書記曾經(jīng)指出“供應(yīng)鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經(jīng)不起風(fēng)雨，甚至?xí)豢耙粨?rdquo;。《條例》第十九條明確“運營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查。”為控制關(guān)鍵信息基礎(chǔ)供應(yīng)鏈安全風(fēng)險，國家陸續(xù)出臺了相關(guān)制度，建立并不斷完善供應(yīng)鏈安全保障體系。

 

　　一是網(wǎng)絡(luò)安全審查制度。2020年4月13日，國家網(wǎng)信辦等12部委聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》（以下簡稱《審查辦法》），第一條即明確，該辦法的制定是為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。要求“運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的，應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險。影響或者可能影響國家安全的，應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查”；明確審查范圍是“核心網(wǎng)絡(luò)設(shè)備、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù)，以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”；指出運營者應(yīng)當(dāng)申報網(wǎng)絡(luò)安全審查，而沒有申報或者使用網(wǎng)絡(luò)安全審查未通過的產(chǎn)品和服務(wù)，根據(jù)《網(wǎng)絡(luò)安全法》第六十五條規(guī)定，由有關(guān)主管部門責(zé)令停止使用，處采購金額一倍以上十倍以下罰款；對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款（與《條例》第四十一條一致）。

 

　　二是云計算服務(wù)安全評估制度。為提高關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平，2019年7月2日，國家網(wǎng)信辦、發(fā)展改革委、工信部、財政部等4部委聯(lián)合制定了《云計算服務(wù)安全評估辦法》（以下簡稱《云評估辦法》）。通過《云評估辦法》的實施，客觀評價、嚴(yán)格監(jiān)督云平臺的安全性和可控性，特別提出了要重點評估“云平臺技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況”。通過云計算服務(wù)安全評估的實施，提高關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域云計算服務(wù)準(zhǔn)入門檻，為關(guān)鍵信息基礎(chǔ)設(shè)施運營者把關(guān)。此外，云計算服務(wù)安全評估工作機制辦公室還通過抽查等方式，對通過評估的云平臺進(jìn)行持續(xù)監(jiān)督，確保云平臺在安全控制措施有效性、應(yīng)急響應(yīng)、風(fēng)險處置等方面持續(xù)符合要求。

 

　　三是網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全檢測認(rèn)證。2017年6月1日，國家網(wǎng)信辦、工信部、公安部、國家認(rèn)監(jiān)委聯(lián)合發(fā)布公告，制定了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，明確了應(yīng)進(jìn)行安全認(rèn)證或檢測的15類網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，要求這些設(shè)備和產(chǎn)品按照國家標(biāo)準(zhǔn)的強制性要求，安全認(rèn)證合格或安全檢測符合要求后方可銷售或提供。這項工作對關(guān)鍵信息基礎(chǔ)設(shè)施使用的重要設(shè)備和產(chǎn)品提出了強制性的合規(guī)要求，為關(guān)鍵信息基礎(chǔ)設(shè)施產(chǎn)品提供基礎(chǔ)保障。

 

　　四是加強關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全管理和督促檢查。《條例》第十九條明確“運營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。國家網(wǎng)信辦牽頭，會同工信部、國資委以及有關(guān)保護(hù)工作部門持續(xù)開展中央部門和關(guān)鍵信息基礎(chǔ)設(shè)施運營者供應(yīng)鏈安全督促檢查工作，了解各單位供應(yīng)鏈安全管理情況，重點檢查運營者優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)方面的組織保障、制度建設(shè)和執(zhí)行情況，提高運營者對供應(yīng)鏈安全管理的重視程度，促進(jìn)運營者加快開展供應(yīng)鏈安全風(fēng)險評估，嚴(yán)格按照國家有關(guān)要求開展重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購、部署、使用和維護(hù)，降低供應(yīng)鏈安全風(fēng)險。

 

　　除以上關(guān)鍵信息基礎(chǔ)供應(yīng)鏈安全風(fēng)險保障措施外，針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者“履行個人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個人信息和數(shù)據(jù)安全保護(hù)制度”的要求，國家制定了《個人信息安全規(guī)范》等國家標(biāo)準(zhǔn)，并擬開展數(shù)據(jù)安全管理認(rèn)證工作，以更好地指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展個人信息和數(shù)據(jù)安全保護(hù)工作。

 

　　《條例》的發(fā)布，劃定了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，明確了運營者、保護(hù)工作部門，以及有關(guān)網(wǎng)絡(luò)安全職能部門的職責(zé)，為開展關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全工作提供了制度保障。相信在國家網(wǎng)信辦的統(tǒng)籌協(xié)調(diào)下，在運營者的積極參與下，關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全工作一定會邁上一個新的臺階。（作者：魏昊，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心）