2021年8月17日，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）公布，標志著國家對關鍵信息基礎設施保護工作的制度設計已經(jīng)完成，關鍵信息基礎設施保護工作進入新階段。當今社會的正常穩(wěn)定運行，越來越離不開關鍵信息基礎設施的支撐。鐵路、民航、公路等交通運輸系統(tǒng)，奔騰不息，給人民群眾出行帶來便利，也為經(jīng)濟社會運行輸運物資；電力、石油等能源系統(tǒng)，日夜工作，為經(jīng)濟社會運行輸送“血液”；通信、互聯(lián)網(wǎng)平臺等公共通信和信息服務系統(tǒng)，時時互聯(lián)，方便大家溝通的同時，承載了大量的國家重要數(shù)據(jù)和個人信息。

 

　　保障關鍵信息基礎設施安全的一個很重要方面是確保關鍵信息基礎設施使用的網(wǎng)絡產(chǎn)品和服務的供應鏈安全。網(wǎng)絡產(chǎn)品和服務供應鏈安全風險在當前日趨嚴峻的網(wǎng)絡安全形勢下日顯突出，一旦出現(xiàn)問題會給關鍵信息基礎設施帶來嚴重危害。2020年12月13日，F(xiàn)ireEye發(fā)布了關于“太陽風”供應鏈攻擊的通告，某基礎網(wǎng)絡管理軟件的軟件更新包中被黑客植入后門。該事件波及范圍極大，約有超過250家美國聯(lián)邦機構和企業(yè)受到影響。總體而言，供應鏈安全存在以下四個方面的主要風險：

 

　?。ㄒ唬┚W(wǎng)絡產(chǎn)品和服務自身安全風險，以及被非法控制、干擾和中斷運行的風險；

 

　　（二）網(wǎng)絡產(chǎn)品及關鍵部件生產(chǎn)、測試、交付、技術支持過程中的供應鏈安全風險；

 

　?。ㄈ┚W(wǎng)絡產(chǎn)品和服務提供者利用提供產(chǎn)品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險；

 

　?。ㄋ模┚W(wǎng)絡產(chǎn)品和服務提供者利用用戶對產(chǎn)品和服務的依賴，損害網(wǎng)絡安全和用戶利益的風險。

 

　　黨中央和國務院高度重視關鍵信息基礎設施的供應鏈安全，習近平總書記曾經(jīng)指出“供應鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經(jīng)不起風雨，甚至會不堪一擊”?！稐l例》第十九條明確“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務；采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。”為控制關鍵信息基礎供應鏈安全風險，國家陸續(xù)出臺了相關制度，建立并不斷完善供應鏈安全保障體系。

 

　　一是網(wǎng)絡安全審查制度。2020年4月13日，國家網(wǎng)信辦等12部委聯(lián)合發(fā)布《網(wǎng)絡安全審查辦法》（以下簡稱《審查辦法》），第一條即明確，該辦法的制定是為了確保關鍵信息基礎設施供應鏈安全。要求“運營者采購網(wǎng)絡產(chǎn)品和服務的，應當預判該產(chǎn)品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查”；明確審查范圍是“核心網(wǎng)絡設備、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務”；指出運營者應當申報網(wǎng)絡安全審查，而沒有申報或者使用網(wǎng)絡安全審查未通過的產(chǎn)品和服務，根據(jù)《網(wǎng)絡安全法》第六十五條規(guī)定，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款（與《條例》第四十一條一致）。

 

　　二是云計算服務安全評估制度。為提高關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，2019年7月2日，國家網(wǎng)信辦、發(fā)展改革委、工信部、財政部等4部委聯(lián)合制定了《云計算服務安全評估辦法》（以下簡稱《云評估辦法》）。通過《云評估辦法》的實施，客觀評價、嚴格監(jiān)督云平臺的安全性和可控性，特別提出了要重點評估“云平臺技術、產(chǎn)品和服務供應鏈安全情況”。通過云計算服務安全評估的實施，提高關鍵信息基礎設施領域云計算服務準入門檻，為關鍵信息基礎設施運營者把關。此外，云計算服務安全評估工作機制辦公室還通過抽查等方式，對通過評估的云平臺進行持續(xù)監(jiān)督，確保云平臺在安全控制措施有效性、應急響應、風險處置等方面持續(xù)符合要求。

 

　　三是網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全檢測認證。2017年6月1日，國家網(wǎng)信辦、工信部、公安部、國家認監(jiān)委聯(lián)合發(fā)布公告，制定了《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄（第一批）》，明確了應進行安全認證或檢測的15類網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品，要求這些設備和產(chǎn)品按照國家標準的強制性要求，安全認證合格或安全檢測符合要求后方可銷售或提供。這項工作對關鍵信息基礎設施使用的重要設備和產(chǎn)品提出了強制性的合規(guī)要求，為關鍵信息基礎設施產(chǎn)品提供基礎保障。

 

　　四是加強關鍵信息基礎設施供應鏈安全管理和督促檢查?！稐l例》第十九條明確“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務”。國家網(wǎng)信辦牽頭，會同工信部、國資委以及有關保護工作部門持續(xù)開展中央部門和關鍵信息基礎設施運營者供應鏈安全督促檢查工作，了解各單位供應鏈安全管理情況，重點檢查運營者優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務方面的組織保障、制度建設和執(zhí)行情況，提高運營者對供應鏈安全管理的重視程度，促進運營者加快開展供應鏈安全風險評估，嚴格按照國家有關要求開展重要網(wǎng)絡產(chǎn)品和服務的采購、部署、使用和維護，降低供應鏈安全風險。

 

　　除以上關鍵信息基礎供應鏈安全風險保障措施外，針對關鍵信息基礎設施運營者“履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度”的要求，國家制定了《個人信息安全規(guī)范》等國家標準，并擬開展數(shù)據(jù)安全管理認證工作，以更好地指導關鍵信息基礎設施運營者開展個人信息和數(shù)據(jù)安全保護工作。

 

　　《條例》的發(fā)布，劃定了關鍵信息基礎設施的范圍，明確了運營者、保護工作部門，以及有關網(wǎng)絡安全職能部門的職責，為開展關鍵信息基礎設施供應鏈安全工作提供了制度保障。相信在國家網(wǎng)信辦的統(tǒng)籌協(xié)調下，在運營者的積極參與下，關鍵信息基礎設施供應鏈安全工作一定會邁上一個新的臺階。（作者：魏昊，中國網(wǎng)絡安全審查技術與認證中心）