2020年4月27日,國家互聯(lián)網(wǎng)信息辦公室等12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(以下簡稱審查辦法),要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的,應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查。審查辦法作為落實《網(wǎng)絡(luò)安全法》第三十五條提出的網(wǎng)絡(luò)安全審查制度的重要制度文件,將重點(diǎn)關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險,確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。
一、關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全面臨的主要風(fēng)險
關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全涉及了網(wǎng)絡(luò)產(chǎn)品和服務(wù)從無到有再到廢棄的整個生命周期,不僅包含傳統(tǒng)的生產(chǎn)、倉儲、銷售、交付等供應(yīng)鏈環(huán)節(jié),還延伸到產(chǎn)品的設(shè)計、開發(fā)、集成等生命周期,以及交付后的安裝、運(yùn)維等過程。結(jié)合審查辦法第九條提出的網(wǎng)絡(luò)安全審查重點(diǎn)考慮的因素,關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全風(fēng)險主要體現(xiàn)在以下幾個方面:
(一)采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈完整性威脅,可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制風(fēng)險
近年來,網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈完整性威脅的問題越來越突出,其主要表現(xiàn)在:一是惡意篡改。在供應(yīng)鏈的任一環(huán)節(jié)對產(chǎn)品、服務(wù)及其所包含的組件、部件、元器件、數(shù)據(jù)等進(jìn)行惡意篡改、植入、替換、偽造,以嵌入包含惡意邏輯的軟件或硬件。二是假冒偽劣。網(wǎng)絡(luò)產(chǎn)品或上游組件存在侵犯知識產(chǎn)權(quán)、質(zhì)量低劣等問題,如盜版、翻新機(jī)、低配充高配、未經(jīng)授權(quán)的貼牌或代工等。三是違規(guī)遠(yuǎn)程控制。網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在遠(yuǎn)程控制功能,但未告知遠(yuǎn)程控制的目的、范圍和關(guān)閉方法,甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過安全機(jī)制的組件等手段實現(xiàn)遠(yuǎn)程控制功能。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“產(chǎn)品和服務(wù)使用后帶來關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞風(fēng)險”,從而影響國家安全。
(二)采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨數(shù)據(jù)安全威脅,可能導(dǎo)致重要數(shù)據(jù)被泄露等風(fēng)險
關(guān)鍵信息基礎(chǔ)設(shè)施采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)投入使用后,可能會采集和處理個人信息或重要數(shù)據(jù),而且在當(dāng)前云管端的服務(wù)模式下,通常還存在前端產(chǎn)品與后臺系統(tǒng)甚至外部第三方之間的數(shù)據(jù)流轉(zhuǎn)。因此,網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能面臨多種數(shù)據(jù)安全威脅:一是敏感數(shù)據(jù)泄露。由于數(shù)據(jù)安全能力不足、內(nèi)部人員違規(guī)操作、違規(guī)共享等原因,網(wǎng)絡(luò)產(chǎn)品和服務(wù)收集的個人信息和重要數(shù)據(jù)可能被未授權(quán)泄露。未公開的政府信息、大面積人口、基因健康、地理等重要數(shù)據(jù)一旦泄露,可能直接影響經(jīng)濟(jì)安全、社會穩(wěn)定、公共健康和安全。二是敏感數(shù)據(jù)濫用。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者可能匯聚了大量供貨信息和用戶信息,尤其當(dāng)這些產(chǎn)品和服務(wù)應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施時,一旦濫用大數(shù)據(jù)技術(shù)對掌握的大量敏感數(shù)據(jù)進(jìn)行分析挖掘并任意共享或發(fā)布,可能對國家安全和公眾利益造成威脅。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“產(chǎn)品和服務(wù)使用后導(dǎo)致重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險”,從而影響國家安全。
(三)采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈中斷威脅,可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性危害
網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈通常由分布在各地、多個層級的供應(yīng)商組成,隨著異地供應(yīng)商、供應(yīng)商層級的增多,關(guān)鍵信息基礎(chǔ)設(shè)施對網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈的透明性和安全風(fēng)險控制能力都在下降,可能面臨網(wǎng)絡(luò)產(chǎn)品服務(wù)供應(yīng)量或質(zhì)量下降、供應(yīng)鏈中斷或終止的安全威脅,主要表現(xiàn)在:一是突發(fā)事件中斷。由于戰(zhàn)爭等人為的和地震、臺風(fēng)等自然的不可抗力引發(fā)的突發(fā)事件,造成產(chǎn)品和服務(wù)的供應(yīng)鏈中斷,例如數(shù)量、質(zhì)量或成本與預(yù)訂管理目標(biāo)的顯著偏離等。二是國際環(huán)境影響。隨著信息通信產(chǎn)業(yè)的全球化發(fā)展,許多網(wǎng)絡(luò)產(chǎn)品均由全球分布的供應(yīng)商開發(fā)、集成和交付。由于國際環(huán)境和地域的復(fù)雜性,存在因貿(mào)易管制、限制銷售、知識產(chǎn)權(quán)、合規(guī)標(biāo)準(zhǔn)差異等因素,導(dǎo)致產(chǎn)品服務(wù)中必需的組件、算法或技術(shù)等無法獲取或難以滿足當(dāng)?shù)睾弦?guī)要求,從而造成產(chǎn)品不能及時交付。三是不正當(dāng)競爭行為。供應(yīng)商利用用戶對產(chǎn)品和服務(wù)的依賴性,實施不正當(dāng)競爭或損害用戶利益的行為,例如通過技術(shù)手段,限制或阻礙用戶選擇其他供應(yīng)商的產(chǎn)品、組件或技術(shù)等。四是支持服務(wù)中斷。當(dāng)供應(yīng)商停止生產(chǎn)和維護(hù)某些系統(tǒng)或其中某些組件時,網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能由于不被支持而被迫中斷運(yùn)行。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“采購產(chǎn)品和服務(wù)可能對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性造成危害”,從而影響國家安全。
二、加強(qiáng)供應(yīng)鏈安全管理已成為國際社會共識
目前國際社會對加強(qiáng)供應(yīng)鏈安全管理已形成共識。2015年7月聯(lián)合國信息通信領(lǐng)域發(fā)展政府專家組發(fā)布《關(guān)于從國際安全的角度看信息和電信領(lǐng)域的發(fā)展政府專家組的報告》,提出:“各國應(yīng)采取合理步驟來保證供應(yīng)鏈的完整性,讓用戶們對產(chǎn)品安全能有信心。各國應(yīng)力爭防止惡意信息通信技術(shù)工具和技術(shù)手段的泛濫,以及使用暗藏功能于有害用途。”近年來,很多國家紛紛出臺國家供應(yīng)鏈安全政策,采取測評認(rèn)證、供應(yīng)商安全評估、安全審查等多種手段加強(qiáng)供應(yīng)鏈安全管理。以美國為例,美國從2012年開始實施全球供應(yīng)鏈國家安全戰(zhàn)略,近年來陸續(xù)出臺了一系列政策加強(qiáng)供應(yīng)鏈安全管控。2017年,美國開展“評估和強(qiáng)化制造與國防工業(yè)基礎(chǔ)及供應(yīng)鏈彈性”項目,圍繞國防工業(yè)基礎(chǔ)的16個重點(diǎn)領(lǐng)域進(jìn)行分析,明確了影響美國制造和國防工業(yè)基礎(chǔ)及供應(yīng)鏈彈性的主要風(fēng)險,包括單一來源供應(yīng)、脆弱市場、產(chǎn)能受限、外國依賴、原材料短缺、基礎(chǔ)設(shè)施陳舊落后等問題。2018年,美國發(fā)布《國家網(wǎng)絡(luò)戰(zhàn)略》,針對聯(lián)邦政府、國防系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施、交通運(yùn)輸、下一代信息通信基礎(chǔ)設(shè)施等領(lǐng)域的供應(yīng)鏈安全管理提出了具體要求,主要包括促進(jìn)供應(yīng)鏈風(fēng)險態(tài)勢及相關(guān)信息共享,加強(qiáng)供應(yīng)鏈風(fēng)險審查評估,推動相關(guān)標(biāo)準(zhǔn)的實施應(yīng)用等。(作者:胡影,中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心數(shù)據(jù)安全部主任)