《关键信息基础设施安全保护条例》 加强供应链安全工作
自 2021 年 9 月 1 日起 ,《关键信息基础设施安全保护条例》(以下简称《条例》)已正式施行。《条例》的出台,是确保关键信息基础设施安全的关键手段。贯彻落实《条例》的要求,对于保障国家安全、经济发展和社会稳定,以及推进信息化建设具有十分重要的意义。其中,《条例》第 19 条和 20 条,对运营者采购网络产品和服务提出了具体要求,对应对关键信息基础设施的供应链安全风险意义重大。
一、《条例》的重要内涵
一是深入贯彻落实习近平总书记关于网络强国的重要思想和“四个坚持”的重要指示要求,落实《网络安全法》要求,进一步健全了关键信息基础设施安全保护的相关法律法规。国家已出台了《网络安全法》,在第三章“网络运行安全”第 31-39 条内容中,用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全,对关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了基本法层面的总体制度安排 , 并规定关键信息基础设施的具体范围和安全保护办法应由国务院制定。《条例》正是以此为依据 , 通过 6 章共计 51 条内容对关键信息基础设施保护相关的一系列制度作了更为具体的规定 ,涵盖总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任、附则等诸多方面,进一步健全了我国网络安全和关键信息基础设施安全保护的相关法律法规。
二是应对当前复杂国际形势带来的安全风险,成为我国关键信息基础设施安全重要制度保障。当前,在网络产品和服务采购全球化的态势下,供应链安全与国家安全间的关系愈发密切。美国将切断网络产品和服务供应链作为其维护技术领先地位、实施贸易制裁的重要手段,近年来不断针对中国高科技企业发起单边制裁与措施,不仅使我国网络产品和服务企业的供应链安全受到威胁,还将威胁我国关键信息基础设施的安全与自主控制权,进而影响我国的政治、经济和社会安全。因此,《条例》出台恰逢其时,成为关键信息基础设施网络产品和服务供应链安全的重要保障。
三是明确了各层级监督管理职能,特别是关键信息基础设施安全保护工作部门和运营者的职责分工。《条例》阐述了监督管理工作机制,国家网信部门负责统筹协调 , 国务院公安部门负责指导监督 , 并进一步明确了电信、能源等部门负责认定本行业、本领域的关键信息基础设施,并对其安全保护进行持续监督管理。省级人民政府有关部门也肩负关键信息基础设施安全保护和监督管理职责。通过各层级的协同监督和管理,进一步提升了关键信息基础设施安全保护力度。《条例》指出,运营者在关键信息基础设施安全保护中承担主体责任,并对运营者自身安全管理机制、人员机构设置、安全防护、保障服务等方面进行了具体规定。
四是强化关键信息基础设施供应链安全风险意识,对采购网络产品和服务提出了具体要求。关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。为有效应对关键信息基础设施供应链安全风险,《条例》第 19 条和 20 条对运营者采购网络产品和服务提出了具体要求,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。
二、加强关键信息基础设施供应链安全的工作建议
供应链安全是一个全球性问题,近几年针对操作系统、数据库、行业应用软件、大型工业软件等软件供应链的攻击呈明显上升趋势。2019 年,委内瑞拉遭遇全国性断电事件;2020 年,美国遭遇“太阳风”(SolarWinds)事件,超过 250 家机构和企业受到影响;2021 年,美国最大输油管道遭勒索攻击,影响数千万人日常生活。这些安全事件都是黑客利用软件安全漏洞进行攻击造成的。因此,研究如何贯彻落实好《条例》有关要求,指导关键信息基础设施运营者做好网络安全风险防范,确保关键信息基础设施供应链安全十分必要,建议重点开展以下几方面工作。
一是进一步完善关键信息基础设施供应链安全管理的政策、标准和措施。充分借鉴国内外已在供应链安全领域开展的研究,如美国颁布的《ICT 供应链风险管理标准》(NIST SP800-161)、《商用信息技术软件及固件审查项目 》(VET)、《确保信息通信技术与服务供应链安全》等管理要求,我国发布的《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)等。国家网信管理部门继续细化条例各项要求,出台指导意见,制定完善关键信息基础设施供应链安全的相关标准,指导相关部门、行业保护工作部门和运营者研究制定实施关键信息基础设施安全管理措施。
二是充分利用好国家网络安全审查制度,建立关键信息基础设施供应链安全常态化监管机制。2020 年 , 国家互联网信息办公室等 12 个部门联合发布的《网络安全审查办法》, 明确要求电信、广播电视、能源、金融等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当申报网络安全审查,确保关键信息基础设施供应链安全。国家网信部门协同行业保护工作部门要建立关键信息基础设施供应链安全常态化监管机制,重点关注供应链安全风险最为突出和急迫的行业及领域,开展供应链安全风险评估,针对关键信息基础设施使用的重要基础通用软件、行业软件、数据库、软件下载平台、云平台等,要开展开源代码安全检测,有效防范软件供应链安全威胁。国家监管部门要加大对网络攻击、传播病毒、设置软件后门等违法犯罪的打击力度。
三是加大对信创产业的扶持 , 建立完善关键信息基础设施软件供应链安全生态体系。在国家相关政策的扶持和带动下,国产的软硬件已经得到了较快发展,信创产业规模化效应不断扩大形成,带来的软件供应链安全问题日显突出,国家相关部门应加大对信创产品、行业应用软件和大型工业软件安全防护建设的政策支持,鼓励国内信创厂商和金融、电信、能源等重点行业加大研发投入,加快突破核心关键技术突破,尽快形成一大批核心通用基础和行业软件储备,不断完善重点行业软件供应链安全生态体系,积极有效应对关键信息基础设施软件供应链安全风险。
四是加强关键信息基础设施网络安全关键岗位人才队伍建设。近年来,国家加强网络安全学科建设,在高校增设网络空间安全一级学科,并建立了国家网络安全人才与创新基地,已经开始培养了一大批网络安全专业人才。关键信息基础设施运营者应设立网络安全监测、检测和风险评估等关键岗位,推动关键信息基础设施网络安全防护能力建设 , 开展网络安全监测、检测和风险评估。通过参加国家不同层级网络攻防演练、专业教育培训等方式,不断强化关键岗位专业人员业务水平。
国际网络空间安全形势日益复杂,针对关键信息基础设施的网络攻击威胁与日俱增,有关部门和关键信息基础设施运营者要坚决贯彻落实好《条例》,不断强化责任主体意识,采取有效措施防范供应链安全风险,确保关键信息基础设施安全运行。
