2020年4月27日,國家互聯(lián)網(wǎng)信息辦公室等12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(以下簡稱審查辦法),,要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),,影響或可能影響國家安全的,,應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查,。審查辦法作為落實(shí)《網(wǎng)絡(luò)安全法》第三十五條提出的網(wǎng)絡(luò)安全審查制度的重要制度文件,,將重點(diǎn)關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險,,確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,。
一,、關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全面臨的主要風(fēng)險
關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全涉及了網(wǎng)絡(luò)產(chǎn)品和服務(wù)從無到有再到廢棄的整個生命周期,,不僅包含傳統(tǒng)的生產(chǎn)、倉儲,、銷售、交付等供應(yīng)鏈環(huán)節(jié),,還延伸到產(chǎn)品的設(shè)計,、開發(fā)、集成等生命周期,,以及交付后的安裝、運(yùn)維等過程,。結(jié)合審查辦法第九條提出的網(wǎng)絡(luò)安全審查重點(diǎn)考慮的因素,關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全風(fēng)險主要體現(xiàn)在以下幾個方面:
(一)采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈完整性威脅,,可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制風(fēng)險
近年來,網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈完整性威脅的問題越來越突出,,其主要表現(xiàn)在:一是惡意篡改,。在供應(yīng)鏈的任一環(huán)節(jié)對產(chǎn)品、服務(wù)及其所包含的組件,、部件,、元器件,、數(shù)據(jù)等進(jìn)行惡意篡改,、植入,、替換、偽造,,以嵌入包含惡意邏輯的軟件或硬件,。二是假冒偽劣。網(wǎng)絡(luò)產(chǎn)品或上游組件存在侵犯知識產(chǎn)權(quán),、質(zhì)量低劣等問題,,如盜版、翻新機(jī),、低配充高配、未經(jīng)授權(quán)的貼牌或代工等,。三是違規(guī)遠(yuǎn)程控制,。網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在遠(yuǎn)程控制功能,但未告知遠(yuǎn)程控制的目的,、范圍和關(guān)閉方法,,甚至采用隱蔽接口、未明示功能模塊,、加載禁用或繞過安全機(jī)制的組件等手段實(shí)現(xiàn)遠(yuǎn)程控制功能,。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“產(chǎn)品和服務(wù)使用后帶來關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞風(fēng)險”,,從而影響國家安全,。
(二)采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨數(shù)據(jù)安全威脅,,可能導(dǎo)致重要數(shù)據(jù)被泄露等風(fēng)險
關(guān)鍵信息基礎(chǔ)設(shè)施采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)投入使用后,可能會采集和處理個人信息或重要數(shù)據(jù),,而且在當(dāng)前云管端的服務(wù)模式下,,通常還存在前端產(chǎn)品與后臺系統(tǒng)甚至外部第三方之間的數(shù)據(jù)流轉(zhuǎn)。因此,,網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能面臨多種數(shù)據(jù)安全威脅:一是敏感數(shù)據(jù)泄露,。由于數(shù)據(jù)安全能力不足、內(nèi)部人員違規(guī)操作,、違規(guī)共享等原因,,網(wǎng)絡(luò)產(chǎn)品和服務(wù)收集的個人信息和重要數(shù)據(jù)可能被未授權(quán)泄露。未公開的政府信息,、大面積人口,、基因健康、地理等重要數(shù)據(jù)一旦泄露,,可能直接影響經(jīng)濟(jì)安全,、社會穩(wěn)定、公共健康和安全,。二是敏感數(shù)據(jù)濫用,。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者可能匯聚了大量供貨信息和用戶信息,尤其當(dāng)這些產(chǎn)品和服務(wù)應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施時,,一旦濫用大數(shù)據(jù)技術(shù)對掌握的大量敏感數(shù)據(jù)進(jìn)行分析挖掘并任意共享或發(fā)布,,可能對國家安全和公眾利益造成威脅。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“產(chǎn)品和服務(wù)使用后導(dǎo)致重要數(shù)據(jù)被竊取,、泄露,、毀損的風(fēng)險”,從而影響國家安全,。
(三)采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈中斷威脅,,可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性危害
網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈通常由分布在各地、多個層級的供應(yīng)商組成,,隨著異地供應(yīng)商,、供應(yīng)商層級的增多,關(guān)鍵信息基礎(chǔ)設(shè)施對網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈的透明性和安全風(fēng)險控制能力都在下降,,可能面臨網(wǎng)絡(luò)產(chǎn)品服務(wù)供應(yīng)量或質(zhì)量下降,、供應(yīng)鏈中斷或終止的安全威脅,主要表現(xiàn)在:一是突發(fā)事件中斷,。由于戰(zhàn)爭等人為的和地震,、臺風(fēng)等自然的不可抗力引發(fā)的突發(fā)事件,造成產(chǎn)品和服務(wù)的供應(yīng)鏈中斷,,例如數(shù)量,、質(zhì)量或成本與預(yù)訂管理目標(biāo)的顯著偏離等,。二是國際環(huán)境影響。隨著信息通信產(chǎn)業(yè)的全球化發(fā)展,,許多網(wǎng)絡(luò)產(chǎn)品均由全球分布的供應(yīng)商開發(fā),、集成和交付。由于國際環(huán)境和地域的復(fù)雜性,,存在因貿(mào)易管制,、限制銷售、知識產(chǎn)權(quán),、合規(guī)標(biāo)準(zhǔn)差異等因素,,導(dǎo)致產(chǎn)品服務(wù)中必需的組件、算法或技術(shù)等無法獲取或難以滿足當(dāng)?shù)睾弦?guī)要求,,從而造成產(chǎn)品不能及時交付,。三是不正當(dāng)競爭行為。供應(yīng)商利用用戶對產(chǎn)品和服務(wù)的依賴性,,實(shí)施不正當(dāng)競爭或損害用戶利益的行為,,例如通過技術(shù)手段,限制或阻礙用戶選擇其他供應(yīng)商的產(chǎn)品,、組件或技術(shù)等,。四是支持服務(wù)中斷。當(dāng)供應(yīng)商停止生產(chǎn)和維護(hù)某些系統(tǒng)或其中某些組件時,,網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能由于不被支持而被迫中斷運(yùn)行,。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“采購產(chǎn)品和服務(wù)可能對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性造成危害”,從而影響國家安全,。
二,、加強(qiáng)供應(yīng)鏈安全管理已成為國際社會共識
目前國際社會對加強(qiáng)供應(yīng)鏈安全管理已形成共識。2015年7月聯(lián)合國信息通信領(lǐng)域發(fā)展政府專家組發(fā)布《關(guān)于從國際安全的角度看信息和電信領(lǐng)域的發(fā)展政府專家組的報告》,,提出:“各國應(yīng)采取合理步驟來保證供應(yīng)鏈的完整性,,讓用戶們對產(chǎn)品安全能有信心。各國應(yīng)力爭防止惡意信息通信技術(shù)工具和技術(shù)手段的泛濫,,以及使用暗藏功能于有害用途,。”近年來,,很多國家紛紛出臺國家供應(yīng)鏈安全政策,采取測評認(rèn)證,、供應(yīng)商安全評估,、安全審查等多種手段加強(qiáng)供應(yīng)鏈安全管理。以美國為例,,美國從2012年開始實(shí)施全球供應(yīng)鏈國家安全戰(zhàn)略,,近年來陸續(xù)出臺了一系列政策加強(qiáng)供應(yīng)鏈安全管控,。2017年,美國開展“評估和強(qiáng)化制造與國防工業(yè)基礎(chǔ)及供應(yīng)鏈彈性”項(xiàng)目,,圍繞國防工業(yè)基礎(chǔ)的16個重點(diǎn)領(lǐng)域進(jìn)行分析,,明確了影響美國制造和國防工業(yè)基礎(chǔ)及供應(yīng)鏈彈性的主要風(fēng)險,包括單一來源供應(yīng),、脆弱市場,、產(chǎn)能受限、外國依賴,、原材料短缺,、基礎(chǔ)設(shè)施陳舊落后等問題。2018年,,美國發(fā)布《國家網(wǎng)絡(luò)戰(zhàn)略》,,針對聯(lián)邦政府、國防系統(tǒng),、關(guān)鍵基礎(chǔ)設(shè)施,、交通運(yùn)輸、下一代信息通信基礎(chǔ)設(shè)施等領(lǐng)域的供應(yīng)鏈安全管理提出了具體要求,,主要包括促進(jìn)供應(yīng)鏈風(fēng)險態(tài)勢及相關(guān)信息共享,,加強(qiáng)供應(yīng)鏈風(fēng)險審查評估,推動相關(guān)標(biāo)準(zhǔn)的實(shí)施應(yīng)用等,。(作者:胡影,,中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心數(shù)據(jù)安全部主任)