強化供應鏈安全保障工作,保護關鍵信息基礎設施安全
2021年8月17日,《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)公布,標志著國家對關鍵信息基礎設施保護工作的制度設計已經完成,關鍵信息基礎設施保護工作進入新階段。當今社會的正常穩定運行,越來越離不開關鍵信息基礎設施的支撐。鐵路、民航、公路等交通運輸系統,奔騰不息,給人民群眾出行帶來便利,也為經濟社會運行輸運物資;電力、石油等能源系統,日夜工作,為經濟社會運行輸送“血液”;通信、互聯網平臺等公共通信和信息服務系統,時時互聯,方便大家溝通的同時,承載了大量的國家重要數據和個人信息。
保障關鍵信息基礎設施安全的一個很重要方面是確保關鍵信息基礎設施使用的網絡產品和服務的供應鏈安全。網絡產品和服務供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下日顯突出,一旦出現問題會給關鍵信息基礎設施帶來嚴重危害。2020年12月13日,FireEye發布了關于“太陽風”供應鏈攻擊的通告,某基礎網絡管理軟件的軟件更新包中被黑客植入后門。該事件波及范圍極大,約有超過250家美國聯邦機構和企業受到影響。總體而言,供應鏈安全存在以下四個方面的主要風險:
(一)網絡產品和服務自身安全風險,以及被非法控制、干擾和中斷運行的風險;
(二)網絡產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈安全風險;
(三)網絡產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險;
(四)網絡產品和服務提供者利用用戶對產品和服務的依賴,損害網絡安全和用戶利益的風險。
黨中央和國務院高度重視關鍵信息基礎設施的供應鏈安全,習近平總書記曾經指出“供應鏈的‘命門’掌握在別人手里,那就好比在別人的墻基上砌房子,再大再漂亮也可能經不起風雨,甚至會不堪一擊”。《條例》第十九條明確“運營者應當優先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查。”為控制關鍵信息基礎供應鏈安全風險,國家陸續出臺了相關制度,建立并不斷完善供應鏈安全保障體系。
一是網絡安全審查制度。2020年4月13日,國家網信辦等12部委聯合發布《網絡安全審查辦法》(以下簡稱《審查辦法》),第一條即明確,該辦法的制定是為了確保關鍵信息基礎設施供應鏈安全。要求“運營者采購網絡產品和服務的,應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查”;明確審查范圍是“核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務”;指出運營者應當申報網絡安全審查,而沒有申報或者使用網絡安全審查未通過的產品和服務,根據《網絡安全法》第六十五條規定,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款(與《條例》第四十一條一致)。
二是云計算服務安全評估制度。為提高關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,2019年7月2日,國家網信辦、發展改革委、工信部、財政部等4部委聯合制定了《云計算服務安全評估辦法》(以下簡稱《云評估辦法》)。通過《云評估辦法》的實施,客觀評價、嚴格監督云平臺的安全性和可控性,特別提出了要重點評估“云平臺技術、產品和服務供應鏈安全情況”。通過云計算服務安全評估的實施,提高關鍵信息基礎設施領域云計算服務準入門檻,為關鍵信息基礎設施運營者把關。此外,云計算服務安全評估工作機制辦公室還通過抽查等方式,對通過評估的云平臺進行持續監督,確保云平臺在安全控制措施有效性、應急響應、風險處置等方面持續符合要求。
三是網絡關鍵設備和網絡安全專用產品安全檢測認證。2017年6月1日,國家網信辦、工信部、公安部、國家認監委聯合發布公告,制定了《網絡關鍵設備和網絡安全專用產品目錄(第一批)》,明確了應進行安全認證或檢測的15類網絡關鍵設備和網絡安全專用產品,要求這些設備和產品按照國家標準的強制性要求,安全認證合格或安全檢測符合要求后方可銷售或提供。這項工作對關鍵信息基礎設施使用的重要設備和產品提出了強制性的合規要求,為關鍵信息基礎設施產品提供基礎保障。
四是加強關鍵信息基礎設施供應鏈安全管理和督促檢查。《條例》第十九條明確“運營者應當優先采購安全可信的網絡產品和服務”。國家網信辦牽頭,會同工信部、國資委以及有關保護工作部門持續開展中央部門和關鍵信息基礎設施運營者供應鏈安全督促檢查工作,了解各單位供應鏈安全管理情況,重點檢查運營者優先采購安全可信的網絡產品和服務方面的組織保障、制度建設和執行情況,提高運營者對供應鏈安全管理的重視程度,促進運營者加快開展供應鏈安全風險評估,嚴格按照國家有關要求開展重要網絡產品和服務的采購、部署、使用和維護,降低供應鏈安全風險。
除以上關鍵信息基礎供應鏈安全風險保障措施外,針對關鍵信息基礎設施運營者“履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度”的要求,國家制定了《個人信息安全規范》等國家標準,并擬開展數據安全管理認證工作,以更好地指導關鍵信息基礎設施運營者開展個人信息和數據安全保護工作。
《條例》的發布,劃定了關鍵信息基礎設施的范圍,明確了運營者、保護工作部門,以及有關網絡安全職能部門的職責,為開展關鍵信息基礎設施供應鏈安全工作提供了制度保障。相信在國家網信辦的統籌協調下,在運營者的積極參與下,關鍵信息基礎設施供應鏈安全工作一定會邁上一個新的臺階。(作者:魏昊,中國網絡安全審查技術與認證中心)
