2020年4月27日,國家互聯(lián)網(wǎng)信息辦公室等12個部門聯(lián)合發(fā)布了《網(wǎng)絡安全審查辦法》(以下簡稱審查辦法),要求關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,影響或可能影響國家安全的,應當進行網(wǎng)絡安全審查。審查辦法作為落實《網(wǎng)絡安全法》第三十五條提出的網(wǎng)絡安全審查制度的重要制度文件,將重點關注關鍵信息基礎設施采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險,確保關鍵信息基礎設施供應鏈安全。
一、關鍵信息基礎設施供應鏈安全面臨的主要風險
關鍵信息基礎設施供應鏈安全涉及了網(wǎng)絡產(chǎn)品和服務從無到有再到廢棄的整個生命周期,不僅包含傳統(tǒng)的生產(chǎn)、倉儲、銷售、交付等供應鏈環(huán)節(jié),還延伸到產(chǎn)品的設計、開發(fā)、集成等生命周期,以及交付后的安裝、運維等過程。結合審查辦法第九條提出的網(wǎng)絡安全審查重點考慮的因素,關鍵信息基礎設施供應鏈安全風險主要體現(xiàn)在以下幾個方面:
(一)采購的網(wǎng)絡產(chǎn)品和服務面臨供應鏈完整性威脅,可能導致關鍵信息基礎設施被非法控制風險
近年來,網(wǎng)絡產(chǎn)品和服務面臨供應鏈完整性威脅的問題越來越突出,其主要表現(xiàn)在:一是惡意篡改。在供應鏈的任一環(huán)節(jié)對產(chǎn)品、服務及其所包含的組件、部件、元器件、數(shù)據(jù)等進行惡意篡改、植入、替換、偽造,以嵌入包含惡意邏輯的軟件或硬件。二是假冒偽劣。網(wǎng)絡產(chǎn)品或上游組件存在侵犯知識產(chǎn)權、質(zhì)量低劣等問題,如盜版、翻新機、低配充高配、未經(jīng)授權的貼牌或代工等。三是違規(guī)遠程控制。網(wǎng)絡產(chǎn)品和服務存在遠程控制功能,但未告知遠程控制的目的、范圍和關閉方法,甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過安全機制的組件等手段實現(xiàn)遠程控制功能。這些安全威脅可能導致審查辦法第九條提出的“產(chǎn)品和服務使用后帶來關鍵信息基礎設施被非法控制、遭受干擾或破壞風險”,從而影響國家安全。
(二)采購的網(wǎng)絡產(chǎn)品和服務面臨數(shù)據(jù)安全威脅,可能導致重要數(shù)據(jù)被泄露等風險
關鍵信息基礎設施采購的網(wǎng)絡產(chǎn)品和服務投入使用后,可能會采集和處理個人信息或重要數(shù)據(jù),而且在當前云管端的服務模式下,通常還存在前端產(chǎn)品與后臺系統(tǒng)甚至外部第三方之間的數(shù)據(jù)流轉(zhuǎn)。因此,網(wǎng)絡產(chǎn)品和服務可能面臨多種數(shù)據(jù)安全威脅:一是敏感數(shù)據(jù)泄露。由于數(shù)據(jù)安全能力不足、內(nèi)部人員違規(guī)操作、違規(guī)共享等原因,網(wǎng)絡產(chǎn)品和服務收集的個人信息和重要數(shù)據(jù)可能被未授權泄露。未公開的政府信息、大面積人口、基因健康、地理等重要數(shù)據(jù)一旦泄露,可能直接影響經(jīng)濟安全、社會穩(wěn)定、公共健康和安全。二是敏感數(shù)據(jù)濫用。網(wǎng)絡產(chǎn)品和服務提供者可能匯聚了大量供貨信息和用戶信息,尤其當這些產(chǎn)品和服務應用于關鍵信息基礎設施時,一旦濫用大數(shù)據(jù)技術對掌握的大量敏感數(shù)據(jù)進行分析挖掘并任意共享或發(fā)布,可能對國家安全和公眾利益造成威脅。這些安全威脅可能導致審查辦法第九條提出的“產(chǎn)品和服務使用后導致重要數(shù)據(jù)被竊取、泄露、毀損的風險”,從而影響國家安全。
(三)采購的網(wǎng)絡產(chǎn)品和服務面臨供應鏈中斷威脅,可能導致關鍵信息基礎設施業(yè)務連續(xù)性危害
網(wǎng)絡產(chǎn)品和服務供應鏈通常由分布在各地、多個層級的供應商組成,隨著異地供應商、供應商層級的增多,關鍵信息基礎設施對網(wǎng)絡產(chǎn)品和服務供應鏈的透明性和安全風險控制能力都在下降,可能面臨網(wǎng)絡產(chǎn)品服務供應量或質(zhì)量下降、供應鏈中斷或終止的安全威脅,主要表現(xiàn)在:一是突發(fā)事件中斷。由于戰(zhàn)爭等人為的和地震、臺風等自然的不可抗力引發(fā)的突發(fā)事件,造成產(chǎn)品和服務的供應鏈中斷,例如數(shù)量、質(zhì)量或成本與預訂管理目標的顯著偏離等。二是國際環(huán)境影響。隨著信息通信產(chǎn)業(yè)的全球化發(fā)展,許多網(wǎng)絡產(chǎn)品均由全球分布的供應商開發(fā)、集成和交付。由于國際環(huán)境和地域的復雜性,存在因貿(mào)易管制、限制銷售、知識產(chǎn)權、合規(guī)標準差異等因素,導致產(chǎn)品服務中必需的組件、算法或技術等無法獲取或難以滿足當?shù)睾弦?guī)要求,從而造成產(chǎn)品不能及時交付。三是不正當競爭行為。供應商利用用戶對產(chǎn)品和服務的依賴性,實施不正當競爭或損害用戶利益的行為,例如通過技術手段,限制或阻礙用戶選擇其他供應商的產(chǎn)品、組件或技術等。四是支持服務中斷。當供應商停止生產(chǎn)和維護某些系統(tǒng)或其中某些組件時,網(wǎng)絡產(chǎn)品和服務可能由于不被支持而被迫中斷運行。這些安全威脅可能導致審查辦法第九條提出的“采購產(chǎn)品和服務可能對關鍵信息基礎設施業(yè)務連續(xù)性造成危害”,從而影響國家安全。
二、加強供應鏈安全管理已成為國際社會共識
目前國際社會對加強供應鏈安全管理已形成共識。2015年7月聯(lián)合國信息通信領域發(fā)展政府專家組發(fā)布《關于從國際安全的角度看信息和電信領域的發(fā)展政府專家組的報告》,提出:“各國應采取合理步驟來保證供應鏈的完整性,讓用戶們對產(chǎn)品安全能有信心。各國應力爭防止惡意信息通信技術工具和技術手段的泛濫,以及使用暗藏功能于有害用途。”近年來,很多國家紛紛出臺國家供應鏈安全政策,采取測評認證、供應商安全評估、安全審查等多種手段加強供應鏈安全管理。以美國為例,美國從2012年開始實施全球供應鏈國家安全戰(zhàn)略,近年來陸續(xù)出臺了一系列政策加強供應鏈安全管控。2017年,美國開展“評估和強化制造與國防工業(yè)基礎及供應鏈彈性”項目,圍繞國防工業(yè)基礎的16個重點領域進行分析,明確了影響美國制造和國防工業(yè)基礎及供應鏈彈性的主要風險,包括單一來源供應、脆弱市場、產(chǎn)能受限、外國依賴、原材料短缺、基礎設施陳舊落后等問題。2018年,美國發(fā)布《國家網(wǎng)絡戰(zhàn)略》,針對聯(lián)邦政府、國防系統(tǒng)、關鍵基礎設施、交通運輸、下一代信息通信基礎設施等領域的供應鏈安全管理提出了具體要求,主要包括促進供應鏈風險態(tài)勢及相關信息共享,加強供應鏈風險審查評估,推動相關標準的實施應用等。(作者:胡影,中國電子技術標準化研究院信息安全研究中心數(shù)據(jù)安全部主任)