自 2021 年 9 月 1 日起 ,《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)已正式施行。《條例》的出臺,是確保關鍵信息基礎設施安全的關鍵手段。貫徹落實《條例》的要求,對于保障國家安全、經濟發展和社會穩定,以及推進信息化建設具有十分重要的意義。其中,《條例》第 19 條和 20 條,對運營者采購網絡產品和服務提出了具體要求,對應對關鍵信息基礎設施的供應鏈安全風險意義重大。
一、《條例》的重要內涵
一是深入貫徹落實習近平總書記關于網絡強國的重要思想和“四個堅持”的重要指示要求,落實《網絡安全法》要求,進一步健全了關鍵信息基礎設施安全保護的相關法律法規。國家已出臺了《網絡安全法》,在第三章“網絡運行安全”第 31-39 條內容中,用了近三分之一的篇幅規范網絡運行安全,特別強調要保障關鍵信息基礎設施的運行安全,對關鍵信息基礎設施安全保護的基本要求、部門分工以及主體責任等問題作了基本法層面的總體制度安排 , 并規定關鍵信息基礎設施的具體范圍和安全保護辦法應由國務院制定。《條例》正是以此為依據 , 通過 6 章共計 51 條內容對關鍵信息基礎設施保護相關的一系列制度作了更為具體的規定 ,涵蓋總則、關鍵信息基礎設施認定、運營者責任義務、保障和促進、法律責任、附則等諸多方面,進一步健全了我國網絡安全和關鍵信息基礎設施安全保護的相關法律法規。
二是應對當前復雜國際形勢帶來的安全風險,成為我國關鍵信息基礎設施安全重要制度保障。當前,在網絡產品和服務采購全球化的態勢下,供應鏈安全與國家安全間的關系愈發密切。美國將切斷網絡產品和服務供應鏈作為其維護技術領先地位、實施貿易制裁的重要手段,近年來不斷針對中國高科技企業發起單邊制裁與措施,不僅使我國網絡產品和服務企業的供應鏈安全受到威脅,還將威脅我國關鍵信息基礎設施的安全與自主控制權,進而影響我國的政治、經濟和社會安全。因此,《條例》出臺恰逢其時,成為關鍵信息基礎設施網絡產品和服務供應鏈安全的重要保障。
三是明確了各層級監督管理職能,特別是關鍵信息基礎設施安全保護工作部門和運營者的職責分工。《條例》闡述了監督管理工作機制,國家網信部門負責統籌協調 , 國務院公安部門負責指導監督 , 并進一步明確了電信、能源等部門負責認定本行業、本領域的關鍵信息基礎設施,并對其安全保護進行持續監督管理。省級人民政府有關部門也肩負關鍵信息基礎設施安全保護和監督管理職責。通過各層級的協同監督和管理,進一步提升了關鍵信息基礎設施安全保護力度。《條例》指出,運營者在關鍵信息基礎設施安全保護中承擔主體責任,并對運營者自身安全管理機制、人員機構設置、安全防護、保障服務等方面進行了具體規定。
四是強化關鍵信息基礎設施供應鏈安全風險意識,對采購網絡產品和服務提出了具體要求。關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險,包括:產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;產品和服務提供者遵守中國法律、行政法規、部門規章情況;其他可能危害關鍵信息基礎設施安全和國家安全的因素。為有效應對關鍵信息基礎設施供應鏈安全風險,《條例》第 19 條和 20 條對運營者采購網絡產品和服務提出了具體要求,及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全。
二、加強關鍵信息基礎設施供應鏈安全的工作建議
供應鏈安全是一個全球性問題,近幾年針對操作系統、數據庫、行業應用軟件、大型工業軟件等軟件供應鏈的攻擊呈明顯上升趨勢。2019 年,委內瑞拉遭遇全國性斷電事件;2020 年,美國遭遇“太陽風”(SolarWinds)事件,超過 250 家機構和企業受到影響;2021 年,美國最大輸油管道遭勒索攻擊,影響數千萬人日常生活。這些安全事件都是黑客利用軟件安全漏洞進行攻擊造成的。因此,研究如何貫徹落實好《條例》有關要求,指導關鍵信息基礎設施運營者做好網絡安全風險防范,確保關鍵信息基礎設施供應鏈安全十分必要,建議重點開展以下幾方面工作。
一是進一步完善關鍵信息基礎設施供應鏈安全管理的政策、標準和措施。充分借鑒國內外已在供應鏈安全領域開展的研究,如美國頒布的《ICT 供應鏈風險管理標準》(NIST SP800-161)、《商用信息技術軟件及固件審查項目 》(VET)、《確保信息通信技術與服務供應鏈安全》等管理要求,我國發布的《信息安全技術 ICT 供應鏈安全風險管理指南》(GB/T 36637-2018)等。國家網信管理部門繼續細化條例各項要求,出臺指導意見,制定完善關鍵信息基礎設施供應鏈安全的相關標準,指導相關部門、行業保護工作部門和運營者研究制定實施關鍵信息基礎設施安全管理措施。
二是充分利用好國家網絡安全審查制度,建立關鍵信息基礎設施供應鏈安全常態化監管機制。2020 年 , 國家互聯網信息辦公室等 12 個部門聯合發布的《網絡安全審查辦法》, 明確要求電信、廣播電視、能源、金融等行業領域的重要網絡和信息系統運營者在采購網絡產品和服務時,應當申報網絡安全審查,確保關鍵信息基礎設施供應鏈安全。國家網信部門協同行業保護工作部門要建立關鍵信息基礎設施供應鏈安全常態化監管機制,重點關注供應鏈安全風險最為突出和急迫的行業及領域,開展供應鏈安全風險評估,針對關鍵信息基礎設施使用的重要基礎通用軟件、行業軟件、數據庫、軟件下載平臺、云平臺等,要開展開源代碼安全檢測,有效防范軟件供應鏈安全威脅。國家監管部門要加大對網絡攻擊、傳播病毒、設置軟件后門等違法犯罪的打擊力度。
三是加大對信創產業的扶持 , 建立完善關鍵信息基礎設施軟件供應鏈安全生態體系。在國家相關政策的扶持和帶動下,國產的軟硬件已經得到了較快發展,信創產業規模化效應不斷擴大形成,帶來的軟件供應鏈安全問題日顯突出,國家相關部門應加大對信創產品、行業應用軟件和大型工業軟件安全防護建設的政策支持,鼓勵國內信創廠商和金融、電信、能源等重點行業加大研發投入,加快突破核心關鍵技術突破,盡快形成一大批核心通用基礎和行業軟件儲備,不斷完善重點行業軟件供應鏈安全生態體系,積極有效應對關鍵信息基礎設施軟件供應鏈安全風險。
四是加強關鍵信息基礎設施網絡安全關鍵崗位人才隊伍建設。近年來,國家加強網絡安全學科建設,在高校增設網絡空間安全一級學科,并建立了國家網絡安全人才與創新基地,已經開始培養了一大批網絡安全專業人才。關鍵信息基礎設施運營者應設立網絡安全監測、檢測和風險評估等關鍵崗位,推動關鍵信息基礎設施網絡安全防護能力建設 , 開展網絡安全監測、檢測和風險評估。通過參加國家不同層級網絡攻防演練、專業教育培訓等方式,不斷強化關鍵崗位專業人員業務水平。
國際網絡空間安全形勢日益復雜,針對關鍵信息基礎設施的網絡攻擊威脅與日俱增,有關部門和關鍵信息基礎設施運營者要堅決貫徹落實好《條例》,不斷強化責任主體意識,采取有效措施防范供應鏈安全風險,確保關鍵信息基礎設施安全運行。
