目前,,我國(guó)已經(jīng)開展了網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查,、數(shù)據(jù)安全專項(xiàng)審查、數(shù)據(jù)出境安全審查,、黨政機(jī)關(guān)云服務(wù)安全評(píng)估等工作,,同時(shí)還開展了網(wǎng)絡(luò)安全產(chǎn)品,、管理體系、服務(wù)資質(zhì)和人員能力四大類的網(wǎng)絡(luò)安全認(rèn)證工作,,下一步還將開展面向關(guān)鍵信息基礎(chǔ)設(shè)施的云服務(wù)安全評(píng)估,、APP安全認(rèn)證、數(shù)據(jù)安全管理認(rèn)證等重要工作,。審查認(rèn)證工作在我國(guó)國(guó)家網(wǎng)絡(luò)安全保障體系中正在發(fā)揮愈來愈大的作用,。
9月19日,,在湖北省武漢市召開的“2019‘黃鶴杯’網(wǎng)絡(luò)安全人才與創(chuàng)新峰會(huì)”上,中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(以下簡(jiǎn)稱網(wǎng)安中心)主任魏昊發(fā)表了題為《關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全與審查認(rèn)證制度》的演講,,系統(tǒng)論述了審查認(rèn)證工作是保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要手段,,我國(guó)開展審查認(rèn)證工作的背景和依據(jù)等觀點(diǎn)。
供應(yīng)鏈安全是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要內(nèi)容
中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心承擔(dān)著我國(guó)網(wǎng)絡(luò)安全審查相關(guān)技術(shù)支撐和具體組織實(shí)施工作,,同時(shí)負(fù)責(zé)網(wǎng)絡(luò)安全認(rèn)證工作,。
魏昊介紹說,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(送審稿)》(以下簡(jiǎn)稱《保護(hù)條例》)中對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的定義是,,一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全,、國(guó)計(jì)民生,、公共利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等,。關(guān)鍵信息基礎(chǔ)設(shè)施從其構(gòu)成上既有傳統(tǒng)IT系統(tǒng),,也有工業(yè)控制系統(tǒng),結(jié)構(gòu)復(fù)雜,、差異性大,。在我國(guó),重要信息系統(tǒng)的生產(chǎn),、設(shè)計(jì),、運(yùn)行維護(hù)仍然嚴(yán)重依賴全球供應(yīng)鏈,不僅面臨被植入后門,、被監(jiān)控竊聽風(fēng)險(xiǎn),,還面臨嚴(yán)重的斷供威脅。因此,,ICT供應(yīng)鏈安全是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的重要組成部分,,確保我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全,,是目前最緊迫的任務(wù),。
ICT供應(yīng)鏈即網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈,是指為滿足供應(yīng)關(guān)系,,通過資源和過程將需方,、供方相互連接的網(wǎng)鏈結(jié)構(gòu),可用于將ICT產(chǎn)品和服務(wù)提供給需方(《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(GB/T36637-2018)),。ICT供應(yīng)鏈的風(fēng)險(xiǎn)來自供應(yīng)鏈安全威脅和供應(yīng)鏈本身的脆弱性,,具有隱蔽性強(qiáng),極難發(fā)現(xiàn),;攻擊,、破壞成本低,效果卻極顯著;防御成本高,,產(chǎn)品應(yīng)用后難以替換,;能夠成為政治、經(jīng)濟(jì),、貿(mào)易的重要打壓手段的特點(diǎn),。目前,ICT供應(yīng)鏈安全已經(jīng)成為各國(guó)關(guān)注的焦點(diǎn)安全問題,。
審查認(rèn)證制度是保障供應(yīng)鏈安全的重要手段
據(jù)魏昊介紹,,審查的作用是對(duì)現(xiàn)實(shí)和潛在風(fēng)險(xiǎn)進(jìn)行全面評(píng)估、判定及處置,,其目的是建立準(zhǔn)入,、退出和持續(xù)監(jiān)督機(jī)制。審查從風(fēng)險(xiǎn)入手,,覆蓋所有重要產(chǎn)品和服務(wù),,更廣泛、更靈活,、更快速,;檢測(cè)、認(rèn)證更關(guān)注產(chǎn)品和服務(wù)的標(biāo)準(zhǔn)符合性,,審查需要在此基礎(chǔ)上對(duì)產(chǎn)品和服務(wù)的可控,、可信做出判斷;現(xiàn)有認(rèn)證,、測(cè)評(píng)等工作都是審查制度的重要支撐,。在國(guó)際范圍內(nèi),審查認(rèn)證制度被證明是保障IT供應(yīng)鏈安全行之有效的重要手段,。通過認(rèn)證檢測(cè),,有效降低產(chǎn)品服務(wù)存在的技術(shù)風(fēng)險(xiǎn),提高管理規(guī)范性,,拉高安全底線,。通過在取得認(rèn)證的基礎(chǔ)上進(jìn)行審查,對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施重點(diǎn)保護(hù),。
在2016年發(fā)布的《網(wǎng)絡(luò)安全法》中,,關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是核心內(nèi)容之一,作為落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要手段,,審查,、認(rèn)證、檢測(cè),、評(píng)估等在法律條文中多次出現(xiàn),。同年發(fā)布實(shí)施的《網(wǎng)絡(luò)空間安全戰(zhàn)略》中提出,,建立實(shí)施網(wǎng)絡(luò)安全審查制度,加強(qiáng)供應(yīng)鏈安全管理,,對(duì)黨政機(jī)關(guān),、重點(diǎn)行業(yè)采購(gòu)使用的重要信息技術(shù)產(chǎn)品和服務(wù)開展安全審查,提高產(chǎn)品和服務(wù)的安全性和可控性,,防止產(chǎn)品服務(wù)提供者和其他組織利用信息技術(shù)優(yōu)勢(shì)實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益,。
我國(guó)發(fā)布的《認(rèn)證認(rèn)可檢驗(yàn)檢測(cè)發(fā)展“十三五”規(guī)劃》中提出,建立完善全面覆蓋信息技術(shù)產(chǎn)品,、系統(tǒng),、服務(wù)、管理和人員的信息安全認(rèn)證評(píng)價(jià)系等5項(xiàng)網(wǎng)絡(luò)安全相關(guān)內(nèi)容,。今年5月,,由中央網(wǎng)信辦研究起草的《網(wǎng)絡(luò)安全審查辦法》(以下簡(jiǎn)稱《審查辦法》)面向社會(huì)公開征求意見,并將根據(jù)各方意見修改完善后,,適時(shí)發(fā)布,。
在認(rèn)證認(rèn)可方面,魏昊表示,,今后我國(guó)將加大力度運(yùn)用認(rèn)證認(rèn)可手段,,為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作提供支撐,其中包括開展網(wǎng)絡(luò)安全專用產(chǎn)品和網(wǎng)絡(luò)關(guān)鍵設(shè)備的認(rèn)證工作,;改進(jìn),、完善現(xiàn)行認(rèn)證、認(rèn)可體系,,與審查工作充分銜接,;加強(qiáng)大數(shù)據(jù)、隱私保護(hù),、關(guān)鍵信息基礎(chǔ)設(shè)施等重點(diǎn)領(lǐng)域的標(biāo)準(zhǔn),、檢測(cè)、認(rèn)證技術(shù)研究和制度建設(shè),;落實(shí)質(zhì)量提升要求,,加強(qiáng)對(duì)智能家居等消費(fèi)品網(wǎng)絡(luò)安全的檢測(cè)認(rèn)證工作;積極開展國(guó)際認(rèn)證認(rèn)可合作,,促進(jìn)我國(guó)出口產(chǎn)品,、服務(wù)走向國(guó)際市場(chǎng),;大力開展網(wǎng)絡(luò)安全質(zhì)量技術(shù)基礎(chǔ)(NQI)研究工作,,在提升供給的同時(shí),提高網(wǎng)絡(luò)安全認(rèn)證有效性,。
《中國(guó)質(zhì)量報(bào)》