强化供应链安全保障工作
保护关键信息基础设施安全
魏昊
中国网络安全审查技术与认证中心
2021年8月17日,《关键信息基础设施安全保护条例》(以下简称《条例》)公布,标志着国家对关键信息基础设施保护工作的制度设计已经完成,关键信息基础设施保护工作进入新阶段。当今社会的正常稳定运行,越来越离不开关键信息基础设施的支撑。铁路、民航、公路等交通运输系统,奔腾不息,给人民群众出行带来便利,也为经济社会运行输运物资;电力、石油等能源系统,日夜工作,为经济社会运行输送“血液”;通信、互联网平台等公共通信和信息服务系统,时时互联,方便大家沟通的同时,承载了大量的国家重要数据和个人信息。
保障关键信息基础设施安全的一个很重要方面是确保关键信息基础设施使用的网络产品和服务的供应链安全。网络产品和服务供应链安全风险在当前日趋严峻的网络安全形势下日显突出,一旦出现问题会给关键信息基础设施带来严重危害。2020年12月13日,FireEye发布了关于“太阳风”供应链攻击的通告,某基础网络管理软件的软件更新包中被黑客植入后门。该事件波及范围极大,约有超过250家美国联邦机构和企业受到影响。总体而言,供应链安全存在以下四个方面的主要风险:
(一)网络产品和服务自身安全风险,以及被非法控制、干扰和中断运行的风险;
(二)网络产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
(三)网络产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
(四)网络产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。
党中央和国务院高度重视关键信息基础设施的供应链安全,习近平总书记曾经指出“供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击”。《条例》第十九条明确“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”为控制关键信息基础供应链安全风险,国家陆续出台了相关制度,建立并不断完善供应链安全保障体系。
一是网络安全审查制度。2020年4月13日,国家网信办等12部委联合发布《网络安全审查办法》(以下简称《审查办法》),第一条即明确,该办法的制定是为了确保关键信息基础设施供应链安全。要求“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查”;明确审查范围是“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”;指出运营者应当申报网络安全审查,而没有申报或者使用网络安全审查未通过的产品和服务,根据《中华人民共和国网络安全法》第六十五条规定,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款(与《条例》第四十一条一致)。
二是云计算服务安全评估制度。为提高关键信息基础设施运营者采购使用云计算服务的安全可控水平,2019年7月2日,国家网信办、发展改革委、工信部、财政部等4部委联合制定了《云计算服务安全评估办法》(以下简称《云评估办法》)。通过《云评估办法》的实施,客观评价、严格监督云平台的安全性和可控性,特别提出了要重点评估“云平台技术、产品和服务供应链安全情况”。通过云计算服务安全评估的实施,提高关键信息基础设施领域云计算服务准入门槛,为关键信息基础设施运营者把关。此外,云计算服务安全评估工作机制办公室还通过抽查等方式,对通过评估的云平台进行持续监督,确保云平台在安全控制措施有效性、应急响应、风险处置等方面持续符合要求。
三是网络关键设备和网络安全专用产品安全检测认证。2017年6月1日,国家网信办、工信部、公安部、国家认监委联合发布公告,制定了《网络关键设备和网络安全专用产品目录(第一批)》,明确了应进行安全认证或检测的15类网络关键设备和网络安全专用产品,要求这些设备和产品按照国家标准的强制性要求,安全认证合格或安全检测符合要求后方可销售或提供。这项工作对关键信息基础设施使用的重要设备和产品提出了强制性的合规要求,为关键信息基础设施产品提供基础保障。
四是加强关键信息基础设施供应链安全管理和督促检查。《条例》第十九条明确“运营者应当优先采购安全可信的网络产品和服务”。国家网信办牵头,会同工信部、国资委以及有关保护工作部门持续开展中央部门和关键信息基础设施运营者供应链安全督促检查工作,了解各单位供应链安全管理情况,重点检查运营者优先采购安全可信的网络产品和服务方面的组织保障、制度建设和执行情况,提高运营者对供应链安全管理的重视程度,促进运营者加快开展供应链安全风险评估,严格按照国家有关要求开展重要网络产品和服务的采购、部署、使用和维护,降低供应链安全风险。
除以上关键信息基础供应链安全风险保障措施外,针对关键信息基础设施运营者“履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度”的要求,国家制定了《个人信息安全规范》等国家标准,并拟开展数据安全管理认证工作,以更好地指导关键信息基础设施运营者开展个人信息和数据安全保护工作。
《条例》的发布,划定了关键信息基础设施的范围,明确了运营者、保护工作部门,以及有关网络安全职能部门的职责,为开展关键信息基础设施供应链安全工作提供了制度保障。相信在国家网信办的统筹协调下,在运营者的积极参与下,关键信息基础设施供应链安全工作一定会迈上一个新的台阶。