作者：中國電子技術(shù)標準化研究院 王秉政

 

　　隨著(zhù)經(jīng)濟全球化發(fā)展，市場(chǎng)競爭已從單一企業(yè)間競爭向產(chǎn)業(yè)供應鏈競爭方向延伸，供應鏈安全管理是保障產(chǎn)業(yè)健康有序發(fā)展的重要舉措。信息通信技術(shù)（ICT）的廣泛應用促進(jìn)了其產(chǎn)業(yè)發(fā)展的全球化進(jìn)程，ICT系統的運行依賴(lài)于分布在全球相互聯(lián)系的供應鏈生態(tài)系統。然而，供應鏈中存在的產(chǎn)品脆弱性、服務(wù)非可控、惡意對抗等不安全因素，都會(huì )使整個(gè)系統面臨嚴重的安全風(fēng)險，甚至威脅國家安全。

 

　　2017年6月1日，《中華人民共和國網(wǎng)絡(luò )安全法》（以下簡(jiǎn)稱(chēng)“《網(wǎng)絡(luò )安全法》”）正式實(shí)施，我國進(jìn)入了全面規范網(wǎng)絡(luò )空間安全管理的新時(shí)代?！毒W(wǎng)絡(luò )安全法》明確了包括網(wǎng)絡(luò )產(chǎn)品和服務(wù)在內的ICT產(chǎn)業(yè)應朝著(zhù)安全可信的方向發(fā)展。同時(shí)，為保障國家安全，關(guān)鍵信息基礎設施運營(yíng)者應當在采購等環(huán)節落實(shí)國家網(wǎng)絡(luò )安全審查政策，將供應鏈的安全性和可控性作為采購環(huán)節的重要參考點(diǎn)，滿(mǎn)足網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全可信的需求，提高信息通信產(chǎn)業(yè)安全可控水平。

 

　　ICT供應鏈面臨的安全風(fēng)險來(lái)源眾多。一是供應鏈自身脆弱性導致其成為網(wǎng)絡(luò )攻擊的重要渠道和對象，由于ICT供應鏈包含從規劃設計到開(kāi)發(fā)、測試、生產(chǎn)、采購、外包、集成、銷(xiāo)售、物流、安裝、使用、維護等眾多環(huán)節，使其面臨著(zhù)信息泄露、惡意篡改、供應中斷與產(chǎn)品質(zhì)量參差不齊等安全威脅。任一環(huán)節或組件出現問(wèn)題，都可能影響整個(gè)供應鏈的安全。二是ICT供應鏈的全球化發(fā)展，使系統用戶(hù)在復雜的國際環(huán)境下對供應鏈安全風(fēng)險的察覺(jué)和管控能力下降，面臨著(zhù)來(lái)自全球金融資本市場(chǎng)考驗和各國間差異性合規的挑戰。三是當前企業(yè)對ICT供應鏈安全管理制度缺失與不完善，企業(yè)通常只針對系統及產(chǎn)品開(kāi)發(fā)生命周期過(guò)程部署安全防護措施，而對外部供應鏈安全風(fēng)險管理意識較為薄弱。

 

　　美國作為ICT供應鏈安全管理的先行者，早在2012年就發(fā)布了“美國全球供應鏈國家安全戰略”，將全球供應鏈提升為國家安全戰略。對涉及國家安全的信息系統采購，美國遵循統一負責、分散實(shí)施原則，通過(guò)分類(lèi)分級對系統及產(chǎn)品進(jìn)行安全評估認證。美國國防部通過(guò)有關(guān)規劃預算、集成開(kāi)發(fā)、采購運行的各類(lèi)系統對采購過(guò)程進(jìn)行風(fēng)險分析和管理，各系統間相互支撐與制約，確保ICT采購的安全可控性。目前，美國已從國家政策制定、產(chǎn)品測評認證、供應鏈安全評估到外商投資安全審查等層面，逐步形成了針對ICT供應鏈的深層次安全管理體系。

 

　　為確保ICT供應鏈安全可控，除充分借鑒國外ICT供應鏈安全管理經(jīng)驗外，應考慮我國ICT產(chǎn)業(yè)基本國情，從國家政策法規、行業(yè)安全可信體系、安全管理實(shí)施等層面，建立分層次的ICT供應鏈安全管理體系。

 

　　一是加強ICT供應鏈安全管理政策研究。貫徹落實(shí)網(wǎng)絡(luò )強國戰略，加強ICT供應鏈安全管理頂層設計研究。制定相關(guān)國家政策法規與行業(yè)指導性文件，與現有《網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全審查辦法（試行）》等規章制度有效銜接，推動(dòng)具有針對性和可操作性國家標準的研制，為實(shí)施涉及國家安全的網(wǎng)絡(luò )產(chǎn)品和服務(wù)測評認證、ICT供應鏈安全評估奠定基礎。

 

　　二是推動(dòng)ICT供應鏈安全可信體系建設。以組件供應商（硬件、軟件和服務(wù)）、系統集成商（系統集成和解決方案提供商）、系統用戶(hù)（系統運營(yíng)商、所有者和第三方管理機構）等為主體，將可信要素貫穿于系統全生命周期，明確信任描述、驗證、控制和監督關(guān)系，實(shí)現對各環(huán)節各要素的良好監控，推動(dòng)形成安全可信的ICT供應鏈生態(tài)系統。

 

　　三是配套實(shí)施ICT網(wǎng)絡(luò )產(chǎn)品與服務(wù)安全評估。加大針對網(wǎng)絡(luò )安全關(guān)鍵技術(shù)與產(chǎn)品的研究投入，提高安全檢測能力。對信息系統供應商、集成商、服務(wù)商等開(kāi)展有關(guān)行業(yè)資質(zhì)、市場(chǎng)信譽(yù)、物理安全、保密資質(zhì)、安全管理與技術(shù)等內容的安全評估工作，推動(dòng)實(shí)施可信度跟蹤與持續性評估制度，完善市場(chǎng)準入與監督機制，降低供應鏈系統自身脆弱性。