自 2021 年 9 月 1 日起 ,《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）已正式施行,。《條例》的出臺,，是確保關鍵信息基礎設施安全的關鍵手段,。貫徹落實《條例》的要求，對于保障國家安全,、經(jīng)濟發(fā)展和社會穩(wěn)定,，以及推進信息化建設具有十分重要的意義。其中,，《條例》第 19 條和 20 條,，對運營者采購網(wǎng)絡產(chǎn)品和服務提出了具體要求,，對應對關鍵信息基礎設施的供應鏈安全風險意義重大。

　　一,、《條例》的重要內(nèi)涵

　　一是深入貫徹落實習近平總書記關于網(wǎng)絡強國的重要思想和“四個堅持”的重要指示要求,，落實《網(wǎng)絡安全法》要求，進一步健全了關鍵信息基礎設施安全保護的相關法律法規(guī),。國家已出臺了《網(wǎng)絡安全法》,，在第三章“網(wǎng)絡運行安全”第 31-39 條內(nèi)容中，用了近三分之一的篇幅規(guī)范網(wǎng)絡運行安全,，特別強調(diào)要保障關鍵信息基礎設施的運行安全,，對關鍵信息基礎設施安全保護的基本要求、部門分工以及主體責任等問題作了基本法層面的總體制度安排 , 并規(guī)定關鍵信息基礎設施的具體范圍和安全保護辦法應由國務院制定,?！稐l例》正是以此為依據(jù) , 通過 6 章共計 51 條內(nèi)容對關鍵信息基礎設施保護相關的一系列制度作了更為具體的規(guī)定 ,涵蓋總則、關鍵信息基礎設施認定,、運營者責任義務,、保障和促進、法律責任,、附則等諸多方面,，進一步健全了我國網(wǎng)絡安全和關鍵信息基礎設施安全保護的相關法律法規(guī)。

　　二是應對當前復雜國際形勢帶來的安全風險,，成為我國關鍵信息基礎設施安全重要制度保障,。當前，在網(wǎng)絡產(chǎn)品和服務采購全球化的態(tài)勢下,，供應鏈安全與國家安全間的關系愈發(fā)密切,。美國將切斷網(wǎng)絡產(chǎn)品和服務供應鏈作為其維護技術(shù)領先地位、實施貿(mào)易制裁的重要手段,，近年來不斷針對中國高科技企業(yè)發(fā)起單邊制裁與措施,，不僅使我國網(wǎng)絡產(chǎn)品和服務企業(yè)的供應鏈安全受到威脅，還將威脅我國關鍵信息基礎設施的安全與自主控制權(quán),，進而影響我國的政治,、經(jīng)濟和社會安全。因此,，《條例》出臺恰逢其時,，成為關鍵信息基礎設施網(wǎng)絡產(chǎn)品和服務供應鏈安全的重要保障。

　　三是明確了各層級監(jiān)督管理職能,，特別是關鍵信息基礎設施安全保護工作部門和運營者的職責分工,。《條例》闡述了監(jiān)督管理工作機制,，國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào) , 國務院公安部門負責指導監(jiān)督 , 并進一步明確了電信,、能源等部門負責認定本行業(yè),、本領域的關鍵信息基礎設施，并對其安全保護進行持續(xù)監(jiān)督管理,。省級人民政府有關部門也肩負關鍵信息基礎設施安全保護和監(jiān)督管理職責,。通過各層級的協(xié)同監(jiān)督和管理，進一步提升了關鍵信息基礎設施安全保護力度,?！稐l例》指出，運營者在關鍵信息基礎設施安全保護中承擔主體責任,，并對運營者自身安全管理機制,、人員機構(gòu)設置、安全防護,、保障服務等方面進行了具體規(guī)定,。

　　四是強化關鍵信息基礎設施供應鏈安全風險意識，對采購網(wǎng)絡產(chǎn)品和服務提出了具體要求,。關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險,，包括：產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,，以及重要數(shù)據(jù)被竊取,、泄露、毀損的風險,；產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害,；產(chǎn)品和服務的安全性、開放性,、透明性、來源的多樣性,，供應渠道的可靠性以及因為政治,、外交、貿(mào)易等因素導致供應中斷的風險,；產(chǎn)品和服務提供者遵守中國法律,、行政法規(guī)、部門規(guī)章情況,；其他可能危害關鍵信息基礎設施安全和國家安全的因素,。為有效應對關鍵信息基礎設施供應鏈安全風險，《條例》第 19 條和 20 條對運營者采購網(wǎng)絡產(chǎn)品和服務提出了具體要求,，及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務給關鍵信息基礎設施運行帶來風險和危害,，保障關鍵信息基礎設施供應鏈安全，維護國家安全,。

　　二,、加強關鍵信息基礎設施供應鏈安全的工作建議

　　供應鏈安全是一個全球性問題,，近幾年針對操作系統(tǒng)、數(shù)據(jù)庫,、行業(yè)應用軟件,、大型工業(yè)軟件等軟件供應鏈的攻擊呈明顯上升趨勢。2019 年,，委內(nèi)瑞拉遭遇全國性斷電事件,；2020 年，美國遭遇“太陽風”（SolarWinds）事件,，超過 250 家機構(gòu)和企業(yè)受到影響,；2021 年，美國最大輸油管道遭勒索攻擊,，影響數(shù)千萬人日常生活,。這些安全事件都是黑客利用軟件安全漏洞進行攻擊造成的。因此,，研究如何貫徹落實好《條例》有關要求,，指導關鍵信息基礎設施運營者做好網(wǎng)絡安全風險防范，確保關鍵信息基礎設施供應鏈安全十分必要,，建議重點開展以下幾方面工作,。

　　一是進一步完善關鍵信息基礎設施供應鏈安全管理的政策、標準和措施,。充分借鑒國內(nèi)外已在供應鏈安全領域開展的研究,，如美國頒布的《ICT 供應鏈風險管理標準》（NIST SP800-161）、《商用信息技術(shù)軟件及固件審查項目 》（VET）,、《確保信息通信技術(shù)與服務供應鏈安全》等管理要求,，我國發(fā)布的《信息安全技術(shù) ICT 供應鏈安全風險管理指南》（GB/T 36637-2018）等。國家網(wǎng)信管理部門繼續(xù)細化條例各項要求,，出臺指導意見,，制定完善關鍵信息基礎設施供應鏈安全的相關標準，指導相關部門,、行業(yè)保護工作部門和運營者研究制定實施關鍵信息基礎設施安全管理措施,。

　　二是充分利用好國家網(wǎng)絡安全審查制度，建立關鍵信息基礎設施供應鏈安全常態(tài)化監(jiān)管機制,。2020 年 , 國家互聯(lián)網(wǎng)信息辦公室等 12 個部門聯(lián)合發(fā)布的《網(wǎng)絡安全審查辦法》,， 明確要求電信、廣播電視,、能源,、金融等行業(yè)領域的重要網(wǎng)絡和信息系統(tǒng)運營者在采購網(wǎng)絡產(chǎn)品和服務時，應當申報網(wǎng)絡安全審查，確保關鍵信息基礎設施供應鏈安全,。國家網(wǎng)信部門協(xié)同行業(yè)保護工作部門要建立關鍵信息基礎設施供應鏈安全常態(tài)化監(jiān)管機制,，重點關注供應鏈安全風險最為突出和急迫的行業(yè)及領域，開展供應鏈安全風險評估,，針對關鍵信息基礎設施使用的重要基礎通用軟件,、行業(yè)軟件、數(shù)據(jù)庫,、軟件下載平臺,、云平臺等，要開展開源代碼安全檢測,，有效防范軟件供應鏈安全威脅,。國家監(jiān)管部門要加大對網(wǎng)絡攻擊、傳播病毒,、設置軟件后門等違法犯罪的打擊力度,。

　　三是加大對信創(chuàng)產(chǎn)業(yè)的扶持 , 建立完善關鍵信息基礎設施軟件供應鏈安全生態(tài)體系。在國家相關政策的扶持和帶動下,，國產(chǎn)的軟硬件已經(jīng)得到了較快發(fā)展,，信創(chuàng)產(chǎn)業(yè)規(guī)模化效應不斷擴大形成,，帶來的軟件供應鏈安全問題日顯突出,，國家相關部門應加大對信創(chuàng)產(chǎn)品、行業(yè)應用軟件和大型工業(yè)軟件安全防護建設的政策支持,，鼓勵國內(nèi)信創(chuàng)廠商和金融,、電信、能源等重點行業(yè)加大研發(fā)投入,，加快突破核心關鍵技術(shù)突破,，盡快形成一大批核心通用基礎和行業(yè)軟件儲備，不斷完善重點行業(yè)軟件供應鏈安全生態(tài)體系,，積極有效應對關鍵信息基礎設施軟件供應鏈安全風險,。

　　四是加強關鍵信息基礎設施網(wǎng)絡安全關鍵崗位人才隊伍建設。近年來,，國家加強網(wǎng)絡安全學科建設，在高校增設網(wǎng)絡空間安全一級學科,，并建立了國家網(wǎng)絡安全人才與創(chuàng)新基地,，已經(jīng)開始培養(yǎng)了一大批網(wǎng)絡安全專業(yè)人才。關鍵信息基礎設施運營者應設立網(wǎng)絡安全監(jiān)測,、檢測和風險評估等關鍵崗位,，推動關鍵信息基礎設施網(wǎng)絡安全防護能力建設 , 開展網(wǎng)絡安全監(jiān)測、檢測和風險評估。通過參加國家不同層級網(wǎng)絡攻防演練,、專業(yè)教育培訓等方式,，不斷強化關鍵崗位專業(yè)人員業(yè)務水平。

　　國際網(wǎng)絡空間安全形勢日益復雜,，針對關鍵信息基礎設施的網(wǎng)絡攻擊威脅與日俱增,，有關部門和關鍵信息基礎設施運營者要堅決貫徹落實好《條例》，不斷強化責任主體意識,，采取有效措施防范供應鏈安全風險,，確保關鍵信息基礎設施安全運行。