2020年4月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室等12個(gè)部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》（以下簡(jiǎn)稱審查辦法），要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查。審查辦法作為落實(shí)《網(wǎng)絡(luò)安全法》第三十五條提出的網(wǎng)絡(luò)安全審查制度的重要制度文件，將重點(diǎn)關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。

一、關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全面臨的主要風(fēng)險(xiǎn)

關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全涉及了網(wǎng)絡(luò)產(chǎn)品和服務(wù)從無(wú)到有再到廢棄的整個(gè)生命周期，不僅包含傳統(tǒng)的生產(chǎn)、倉(cāng)儲(chǔ)、銷售、交付等供應(yīng)鏈環(huán)節(jié)，還延伸到產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)、集成等生命周期，以及交付后的安裝、運(yùn)維等過(guò)程。結(jié)合審查辦法第九條提出的網(wǎng)絡(luò)安全審查重點(diǎn)考慮的因素，關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全風(fēng)險(xiǎn)主要體現(xiàn)在以下幾個(gè)方面：

（一）采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈完整性威脅，可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制風(fēng)險(xiǎn)

近年來(lái)，網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈完整性威脅的問(wèn)題越來(lái)越突出，其主要表現(xiàn)在：一是惡意篡改。在供應(yīng)鏈的任一環(huán)節(jié)對(duì)產(chǎn)品、服務(wù)及其所包含的組件、部件、元器件、數(shù)據(jù)等進(jìn)行惡意篡改、植入、替換、偽造，以嵌入包含惡意邏輯的軟件或硬件。二是假冒偽劣。網(wǎng)絡(luò)產(chǎn)品或上游組件存在侵犯知識(shí)產(chǎn)權(quán)、質(zhì)量低劣等問(wèn)題，如盜版、翻新機(jī)、低配充高配、未經(jīng)授權(quán)的貼牌或代工等。三是違規(guī)遠(yuǎn)程控制。網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在遠(yuǎn)程控制功能，但未告知遠(yuǎn)程控制的目的、范圍和關(guān)閉方法，甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過(guò)安全機(jī)制的組件等手段實(shí)現(xiàn)遠(yuǎn)程控制功能。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“產(chǎn)品和服務(wù)使用后帶來(lái)關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞風(fēng)險(xiǎn)”，從而影響國(guó)家安全。

（二）采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨數(shù)據(jù)安全威脅，可能導(dǎo)致重要數(shù)據(jù)被泄露等風(fēng)險(xiǎn)

關(guān)鍵信息基礎(chǔ)設(shè)施采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)投入使用后，可能會(huì)采集和處理個(gè)人信息或重要數(shù)據(jù)，而且在當(dāng)前云管端的服務(wù)模式下，通常還存在前端產(chǎn)品與后臺(tái)系統(tǒng)甚至外部第三方之間的數(shù)據(jù)流轉(zhuǎn)。因此，網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能面臨多種數(shù)據(jù)安全威脅：一是敏感數(shù)據(jù)泄露。由于數(shù)據(jù)安全能力不足、內(nèi)部人員違規(guī)操作、違規(guī)共享等原因，網(wǎng)絡(luò)產(chǎn)品和服務(wù)收集的個(gè)人信息和重要數(shù)據(jù)可能被未授權(quán)泄露。未公開(kāi)的政府信息、大面積人口、基因健康、地理等重要數(shù)據(jù)一旦泄露，可能直接影響經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公共健康和安全。二是敏感數(shù)據(jù)濫用。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者可能匯聚了大量供貨信息和用戶信息，尤其當(dāng)這些產(chǎn)品和服務(wù)應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施時(shí)，一旦濫用大數(shù)據(jù)技術(shù)對(duì)掌握的大量敏感數(shù)據(jù)進(jìn)行分析挖掘并任意共享或發(fā)布，可能對(duì)國(guó)家安全和公眾利益造成威脅。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“產(chǎn)品和服務(wù)使用后導(dǎo)致重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)”，從而影響國(guó)家安全。

（三）采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)面臨供應(yīng)鏈中斷威脅，可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性危害

網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈通常由分布在各地、多個(gè)層級(jí)的供應(yīng)商組成，隨著異地供應(yīng)商、供應(yīng)商層級(jí)的增多，關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈的透明性和安全風(fēng)險(xiǎn)控制能力都在下降，可能面臨網(wǎng)絡(luò)產(chǎn)品服務(wù)供應(yīng)量或質(zhì)量下降、供應(yīng)鏈中斷或終止的安全威脅，主要表現(xiàn)在：一是突發(fā)事件中斷。由于戰(zhàn)爭(zhēng)等人為的和地震、臺(tái)風(fēng)等自然的不可抗力引發(fā)的突發(fā)事件，造成產(chǎn)品和服務(wù)的供應(yīng)鏈中斷，例如數(shù)量、質(zhì)量或成本與預(yù)訂管理目標(biāo)的顯著偏離等。二是國(guó)際環(huán)境影響。隨著信息通信產(chǎn)業(yè)的全球化發(fā)展，許多網(wǎng)絡(luò)產(chǎn)品均由全球分布的供應(yīng)商開(kāi)發(fā)、集成和交付。由于國(guó)際環(huán)境和地域的復(fù)雜性，存在因貿(mào)易管制、限制銷售、知識(shí)產(chǎn)權(quán)、合規(guī)標(biāo)準(zhǔn)差異等因素，導(dǎo)致產(chǎn)品服務(wù)中必需的組件、算法或技術(shù)等無(wú)法獲取或難以滿足當(dāng)?shù)睾弦?guī)要求，從而造成產(chǎn)品不能及時(shí)交付。三是不正當(dāng)競(jìng)爭(zhēng)行為。供應(yīng)商利用用戶對(duì)產(chǎn)品和服務(wù)的依賴性，實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益的行為，例如通過(guò)技術(shù)手段，限制或阻礙用戶選擇其他供應(yīng)商的產(chǎn)品、組件或技術(shù)等。四是支持服務(wù)中斷。當(dāng)供應(yīng)商停止生產(chǎn)和維護(hù)某些系統(tǒng)或其中某些組件時(shí)，網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能由于不被支持而被迫中斷運(yùn)行。這些安全威脅可能導(dǎo)致審查辦法第九條提出的“采購(gòu)產(chǎn)品和服務(wù)可能對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性造成危害”，從而影響國(guó)家安全。

二、加強(qiáng)供應(yīng)鏈安全管理已成為國(guó)際社會(huì)共識(shí)

目前國(guó)際社會(huì)對(duì)加強(qiáng)供應(yīng)鏈安全管理已形成共識(shí)。2015年7月聯(lián)合國(guó)信息通信領(lǐng)域發(fā)展政府專家組發(fā)布《關(guān)于從國(guó)際安全的角度看信息和電信領(lǐng)域的發(fā)展政府專家組的報(bào)告》，提出：“各國(guó)應(yīng)采取合理步驟來(lái)保證供應(yīng)鏈的完整性，讓用戶們對(duì)產(chǎn)品安全能有信心。各國(guó)應(yīng)力爭(zhēng)防止惡意信息通信技術(shù)工具和技術(shù)手段的泛濫，以及使用暗藏功能于有害用途?！苯陙?lái)，很多國(guó)家紛紛出臺(tái)國(guó)家供應(yīng)鏈安全政策，采取測(cè)評(píng)認(rèn)證、供應(yīng)商安全評(píng)估、安全審查等多種手段加強(qiáng)供應(yīng)鏈安全管理。以美國(guó)為例，美國(guó)從2012年開(kāi)始實(shí)施全球供應(yīng)鏈國(guó)家安全戰(zhàn)略，近年來(lái)陸續(xù)出臺(tái)了一系列政策加強(qiáng)供應(yīng)鏈安全管控。2017年，美國(guó)開(kāi)展“評(píng)估和強(qiáng)化制造與國(guó)防工業(yè)基礎(chǔ)及供應(yīng)鏈彈性”項(xiàng)目，圍繞國(guó)防工業(yè)基礎(chǔ)的16個(gè)重點(diǎn)領(lǐng)域進(jìn)行分析，明確了影響美國(guó)制造和國(guó)防工業(yè)基礎(chǔ)及供應(yīng)鏈彈性的主要風(fēng)險(xiǎn)，包括單一來(lái)源供應(yīng)、脆弱市場(chǎng)、產(chǎn)能受限、外國(guó)依賴、原材料短缺、基礎(chǔ)設(shè)施陳舊落后等問(wèn)題。2018年，美國(guó)發(fā)布《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》，針對(duì)聯(lián)邦政府、國(guó)防系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施、交通運(yùn)輸、下一代信息通信基礎(chǔ)設(shè)施等領(lǐng)域的供應(yīng)鏈安全管理提出了具體要求，主要包括促進(jìn)供應(yīng)鏈風(fēng)險(xiǎn)態(tài)勢(shì)及相關(guān)信息共享，加強(qiáng)供應(yīng)鏈風(fēng)險(xiǎn)審查評(píng)估，推動(dòng)相關(guān)標(biāo)準(zhǔn)的實(shí)施應(yīng)用等。（作者：胡影，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心數(shù)據(jù)安全部主任）