2021年8月17日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）公布，標志著國家對關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的制度設(shè)計已經(jīng)完成，關(guān)鍵信息基礎(chǔ)設(shè)施保護工作進入新階段。當今社會的正常穩(wěn)定運行，越來越離不開關(guān)鍵信息基礎(chǔ)設(shè)施的支撐。鐵路、民航、公路等交通運輸系統(tǒng)，奔騰不息，給人民群眾出行帶來便利，也為經(jīng)濟社會運行輸運物資；電力、石油等能源系統(tǒng)，日夜工作，為經(jīng)濟社會運行輸送“血液”；通信、互聯(lián)網(wǎng)平臺等公共通信和信息服務(wù)系統(tǒng)，時時互聯(lián)，方便大家溝通的同時，承載了大量的國家重要數(shù)據(jù)和個人信息。

保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的一個很重要方面是確保關(guān)鍵信息基礎(chǔ)設(shè)施使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈安全。網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈安全風險在當前日趨嚴峻的網(wǎng)絡(luò)安全形勢下日顯突出，一旦出現(xiàn)問題會給關(guān)鍵信息基礎(chǔ)設(shè)施帶來嚴重危害。2020年12月13日，F(xiàn)ireEye發(fā)布了關(guān)于“太陽風”供應(yīng)鏈攻擊的通告，某基礎(chǔ)網(wǎng)絡(luò)管理軟件的軟件更新包中被黑客植入后門。該事件波及范圍極大，約有超過250家美國聯(lián)邦機構(gòu)和企業(yè)受到影響?？傮w而言，供應(yīng)鏈安全存在以下四個方面的主要風險：

（一）網(wǎng)絡(luò)產(chǎn)品和服務(wù)自身安全風險，以及被非法控制、干擾和中斷運行的風險；

（二）網(wǎng)絡(luò)產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風險；

（三）網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲、處理、使用用戶相關(guān)信息的風險；

（四）網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用用戶對產(chǎn)品和服務(wù)的依賴，損害網(wǎng)絡(luò)安全和用戶利益的風險。

黨中央和國務(wù)院高度重視關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全，習近平總書記曾經(jīng)指出“供應(yīng)鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經(jīng)不起風雨，甚至會不堪一擊”?！稐l例》第十九條明確“運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查。”為控制關(guān)鍵信息基礎(chǔ)供應(yīng)鏈安全風險，國家陸續(xù)出臺了相關(guān)制度，建立并不斷完善供應(yīng)鏈安全保障體系。

一是網(wǎng)絡(luò)安全審查制度。2020年4月13日，國家網(wǎng)信辦等12部委聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》（以下簡稱《審查辦法》），第一條即明確，該辦法的制定是為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。要求“運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的，應(yīng)當預判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應(yīng)當向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查”；明確審查范圍是“核心網(wǎng)絡(luò)設(shè)備、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù)，以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”；指出運營者應(yīng)當申報網(wǎng)絡(luò)安全審查，而沒有申報或者使用網(wǎng)絡(luò)安全審查未通過的產(chǎn)品和服務(wù)，根據(jù)《網(wǎng)絡(luò)安全法》第六十五條規(guī)定，由有關(guān)主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款（與《條例》第四十一條一致）。

二是云計算服務(wù)安全評估制度。為提高關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平，2019年7月2日，國家網(wǎng)信辦、發(fā)展改革委、工信部、財政部等4部委聯(lián)合制定了《云計算服務(wù)安全評估辦法》（以下簡稱《云評估辦法》）。通過《云評估辦法》的實施，客觀評價、嚴格監(jiān)督云平臺的安全性和可控性，特別提出了要重點評估“云平臺技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況”。通過云計算服務(wù)安全評估的實施，提高關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域云計算服務(wù)準入門檻，為關(guān)鍵信息基礎(chǔ)設(shè)施運營者把關(guān)。此外，云計算服務(wù)安全評估工作機制辦公室還通過抽查等方式，對通過評估的云平臺進行持續(xù)監(jiān)督，確保云平臺在安全控制措施有效性、應(yīng)急響應(yīng)、風險處置等方面持續(xù)符合要求。

三是網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全檢測認證。2017年6月1日，國家網(wǎng)信辦、工信部、公安部、國家認監(jiān)委聯(lián)合發(fā)布公告，制定了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，明確了應(yīng)進行安全認證或檢測的15類網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，要求這些設(shè)備和產(chǎn)品按照國家標準的強制性要求，安全認證合格或安全檢測符合要求后方可銷售或提供。這項工作對關(guān)鍵信息基礎(chǔ)設(shè)施使用的重要設(shè)備和產(chǎn)品提出了強制性的合規(guī)要求，為關(guān)鍵信息基礎(chǔ)設(shè)施產(chǎn)品提供基礎(chǔ)保障。

四是加強關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全管理和督促檢查。《條例》第十九條明確“運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。國家網(wǎng)信辦牽頭，會同工信部、國資委以及有關(guān)保護工作部門持續(xù)開展中央部門和關(guān)鍵信息基礎(chǔ)設(shè)施運營者供應(yīng)鏈安全督促檢查工作，了解各單位供應(yīng)鏈安全管理情況，重點檢查運營者優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)方面的組織保障、制度建設(shè)和執(zhí)行情況，提高運營者對供應(yīng)鏈安全管理的重視程度，促進運營者加快開展供應(yīng)鏈安全風險評估，嚴格按照國家有關(guān)要求開展重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購、部署、使用和維護，降低供應(yīng)鏈安全風險。

除以上關(guān)鍵信息基礎(chǔ)供應(yīng)鏈安全風險保障措施外，針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者“履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度”的要求，國家制定了《個人信息安全規(guī)范》等國家標準，并擬開展數(shù)據(jù)安全管理認證工作，以更好地指導關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展個人信息和數(shù)據(jù)安全保護工作。

《條例》的發(fā)布，劃定了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，明確了運營者、保護工作部門，以及有關(guān)網(wǎng)絡(luò)安全職能部門的職責，為開展關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全工作提供了制度保障。相信在國家網(wǎng)信辦的統(tǒng)籌協(xié)調(diào)下，在運營者的積極參與下，關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全工作一定會邁上一個新的臺階。

（作者：魏昊，中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心）

（來源：中國網(wǎng)信網(wǎng)）