2020年4月27日,國家互聯網信息辦公室等12個部門聯合發布了《網絡安全審查辦法》(以下簡稱審查辦法),要求關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全的,應當進行網絡安全審查。審查辦法作為落實《網絡安全法》第三十五條提出的網絡安全審查制度的重要制度文件,將重點關注關鍵信息基礎設施采購網絡產品和服務可能帶來的國家安全風險,確保關鍵信息基礎設施供應鏈安全。
一、關鍵信息基礎設施供應鏈安全面臨的主要風險
關鍵信息基礎設施供應鏈安全涉及了網絡產品和服務從無到有再到廢棄的整個生命周期,不僅包含傳統的生產、倉儲、銷售、交付等供應鏈環節,還延伸到產品的設計、開發、集成等生命周期,以及交付后的安裝、運維等過程。結合審查辦法第九條提出的網絡安全審查重點考慮的因素,關鍵信息基礎設施供應鏈安全風險主要體現在以下幾個方面:
(一)采購的網絡產品和服務面臨供應鏈完整性威脅,可能導致關鍵信息基礎設施被非法控制風險
近年來,網絡產品和服務面臨供應鏈完整性威脅的問題越來越突出,其主要表現在:一是惡意篡改。在供應鏈的任一環節對產品、服務及其所包含的組件、部件、元器件、數據等進行惡意篡改、植入、替換、偽造,以嵌入包含惡意邏輯的軟件或硬件。二是假冒偽劣。網絡產品或上游組件存在侵犯知識產權、質量低劣等問題,如盜版、翻新機、低配充高配、未經授權的貼牌或代工等。三是違規遠程控制。網絡產品和服務存在遠程控制功能,但未告知遠程控制的目的、范圍和關閉方法,甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過安全機制的組件等手段實現遠程控制功能。這些安全威脅可能導致審查辦法第九條提出的“產品和服務使用后帶來關鍵信息基礎設施被非法控制、遭受干擾或破壞風險”,從而影響國家安全。
(二)采購的網絡產品和服務面臨數據安全威脅,可能導致重要數據被泄露等風險
關鍵信息基礎設施采購的網絡產品和服務投入使用后,可能會采集和處理個人信息或重要數據,而且在當前云管端的服務模式下,通常還存在前端產品與后臺系統甚至外部第三方之間的數據流轉。因此,網絡產品和服務可能面臨多種數據安全威脅:一是敏感數據泄露。由于數據安全能力不足、內部人員違規操作、違規共享等原因,網絡產品和服務收集的個人信息和重要數據可能被未授權泄露。未公開的政府信息、大面積人口、基因健康、地理等重要數據一旦泄露,可能直接影響經濟安全、社會穩定、公共健康和安全。二是敏感數據濫用。網絡產品和服務提供者可能匯聚了大量供貨信息和用戶信息,尤其當這些產品和服務應用于關鍵信息基礎設施時,一旦濫用大數據技術對掌握的大量敏感數據進行分析挖掘并任意共享或發布,可能對國家安全和公眾利益造成威脅。這些安全威脅可能導致審查辦法第九條提出的“產品和服務使用后導致重要數據被竊取、泄露、毀損的風險”,從而影響國家安全。
(三)采購的網絡產品和服務面臨供應鏈中斷威脅,可能導致關鍵信息基礎設施業務連續性危害
網絡產品和服務供應鏈通常由分布在各地、多個層級的供應商組成,隨著異地供應商、供應商層級的增多,關鍵信息基礎設施對網絡產品和服務供應鏈的透明性和安全風險控制能力都在下降,可能面臨網絡產品服務供應量或質量下降、供應鏈中斷或終止的安全威脅,主要表現在:一是突發事件中斷。由于戰爭等人為的和地震、臺風等自然的不可抗力引發的突發事件,造成產品和服務的供應鏈中斷,例如數量、質量或成本與預訂管理目標的顯著偏離等。二是國際環境影響。隨著信息通信產業的全球化發展,許多網絡產品均由全球分布的供應商開發、集成和交付。由于國際環境和地域的復雜性,存在因貿易管制、限制銷售、知識產權、合規標準差異等因素,導致產品服務中必需的組件、算法或技術等無法獲取或難以滿足當地合規要求,從而造成產品不能及時交付。三是不正當競爭行為。供應商利用用戶對產品和服務的依賴性,實施不正當競爭或損害用戶利益的行為,例如通過技術手段,限制或阻礙用戶選擇其他供應商的產品、組件或技術等。四是支持服務中斷。當供應商停止生產和維護某些系統或其中某些組件時,網絡產品和服務可能由于不被支持而被迫中斷運行。這些安全威脅可能導致審查辦法第九條提出的“采購產品和服務可能對關鍵信息基礎設施業務連續性造成危害”,從而影響國家安全。
二、加強供應鏈安全管理已成為國際社會共識
目前國際社會對加強供應鏈安全管理已形成共識。2015年7月聯合國信息通信領域發展政府專家組發布《關于從國際安全的角度看信息和電信領域的發展政府專家組的報告》,提出:“各國應采取合理步驟來保證供應鏈的完整性,讓用戶們對產品安全能有信心。各國應力爭防止惡意信息通信技術工具和技術手段的泛濫,以及使用暗藏功能于有害用途。”近年來,很多國家紛紛出臺國家供應鏈安全政策,采取測評認證、供應商安全評估、安全審查等多種手段加強供應鏈安全管理。以美國為例,美國從2012年開始實施全球供應鏈國家安全戰略,近年來陸續出臺了一系列政策加強供應鏈安全管控。2017年,美國開展“評估和強化制造與國防工業基礎及供應鏈彈性”項目,圍繞國防工業基礎的16個重點領域進行分析,明確了影響美國制造和國防工業基礎及供應鏈彈性的主要風險,包括單一來源供應、脆弱市場、產能受限、外國依賴、原材料短缺、基礎設施陳舊落后等問題。2018年,美國發布《國家網絡戰略》,針對聯邦政府、國防系統、關鍵基礎設施、交通運輸、下一代信息通信基礎設施等領域的供應鏈安全管理提出了具體要求,主要包括促進供應鏈風險態勢及相關信息共享,加強供應鏈風險審查評估,推動相關標準的實施應用等。(作者:胡影,中國電子技術標準化研究院信息安全研究中心數據安全部主任)