目前，我國已經(jīng)開展了網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查、數(shù)據(jù)安全專項(xiàng)審查、數(shù)據(jù)出境安全審查、黨政機(jī)關(guān)云服務(wù)安全評估等工作，同時(shí)還開展了網(wǎng)絡(luò)安全產(chǎn)品、管理體系、服務(wù)資質(zhì)和人員能力四大類的網(wǎng)絡(luò)安全認(rèn)證工作，下一步還將開展面向關(guān)鍵信息基礎(chǔ)設(shè)施的云服務(wù)安全評估、APP安全認(rèn)證、數(shù)據(jù)安全管理認(rèn)證等重要工作。審查認(rèn)證工作在我國國家網(wǎng)絡(luò)安全保障體系中正在發(fā)揮愈來愈大的作用。

9月19日，在湖北省武漢市召開的“2019‘黃鶴杯’網(wǎng)絡(luò)安全人才與創(chuàng)新峰會”上，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（以下簡稱網(wǎng)安中心）主任魏昊發(fā)表了題為《關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全與審查認(rèn)證制度》的演講，系統(tǒng)論述了審查認(rèn)證工作是保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要手段，我國開展審查認(rèn)證工作的背景和依據(jù)等觀點(diǎn)。

供應(yīng)鏈安全是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要內(nèi)容

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心承擔(dān)著我國網(wǎng)絡(luò)安全審查相關(guān)技術(shù)支撐和具體組織實(shí)施工作，同時(shí)負(fù)責(zé)網(wǎng)絡(luò)安全認(rèn)證工作。

魏昊介紹說，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（送審稿）》（以下簡稱《保護(hù)條例》）中對關(guān)鍵信息基礎(chǔ)設(shè)施的定義是，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。關(guān)鍵信息基礎(chǔ)設(shè)施從其構(gòu)成上既有傳統(tǒng)IT系統(tǒng)，也有工業(yè)控制系統(tǒng)，結(jié)構(gòu)復(fù)雜、差異性大。在我國，重要信息系統(tǒng)的生產(chǎn)、設(shè)計(jì)、運(yùn)行維護(hù)仍然嚴(yán)重依賴全球供應(yīng)鏈，不僅面臨被植入后門、被監(jiān)控竊聽風(fēng)險(xiǎn)，還面臨嚴(yán)重的斷供威脅。因此，ICT供應(yīng)鏈安全是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的重要組成部分，確保我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全，是目前最緊迫的任務(wù)。

ICT供應(yīng)鏈即網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈，是指為滿足供應(yīng)關(guān)系，通過資源和過程將需方、供方相互連接的網(wǎng)鏈結(jié)構(gòu)，可用于將ICT產(chǎn)品和服務(wù)提供給需方（《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》（GB/T36637-2018））。ICT供應(yīng)鏈的風(fēng)險(xiǎn)來自供應(yīng)鏈安全威脅和供應(yīng)鏈本身的脆弱性，具有隱蔽性強(qiáng)，極難發(fā)現(xiàn)；攻擊、破壞成本低，效果卻極顯著；防御成本高，產(chǎn)品應(yīng)用后難以替換；能夠成為政治、經(jīng)濟(jì)、貿(mào)易的重要打壓手段的特點(diǎn)。目前，ICT供應(yīng)鏈安全已經(jīng)成為各國關(guān)注的焦點(diǎn)安全問題。

審查認(rèn)證制度是保障供應(yīng)鏈安全的重要手段

據(jù)魏昊介紹，審查的作用是對現(xiàn)實(shí)和潛在風(fēng)險(xiǎn)進(jìn)行全面評估、判定及處置，其目的是建立準(zhǔn)入、退出和持續(xù)監(jiān)督機(jī)制。審查從風(fēng)險(xiǎn)入手，覆蓋所有重要產(chǎn)品和服務(wù)，更廣泛、更靈活、更快速；檢測、認(rèn)證更關(guān)注產(chǎn)品和服務(wù)的標(biāo)準(zhǔn)符合性，審查需要在此基礎(chǔ)上對產(chǎn)品和服務(wù)的可控、可信做出判斷；現(xiàn)有認(rèn)證、測評等工作都是審查制度的重要支撐。在國際范圍內(nèi)，審查認(rèn)證制度被證明是保障IT供應(yīng)鏈安全行之有效的重要手段。通過認(rèn)證檢測，有效降低產(chǎn)品服務(wù)存在的技術(shù)風(fēng)險(xiǎn)，提高管理規(guī)范性，拉高安全底線。通過在取得認(rèn)證的基礎(chǔ)上進(jìn)行審查，對于關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施重點(diǎn)保護(hù)。

在2016年發(fā)布的《網(wǎng)絡(luò)安全法》中，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是核心內(nèi)容之一，作為落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要手段，審查、認(rèn)證、檢測、評估等在法律條文中多次出現(xiàn)。同年發(fā)布實(shí)施的《網(wǎng)絡(luò)空間安全戰(zhàn)略》中提出，建立實(shí)施網(wǎng)絡(luò)安全審查制度，加強(qiáng)供應(yīng)鏈安全管理，對黨政機(jī)關(guān)、重點(diǎn)行業(yè)采購使用的重要信息技術(shù)產(chǎn)品和服務(wù)開展安全審查，提高產(chǎn)品和服務(wù)的安全性和可控性，防止產(chǎn)品服務(wù)提供者和其他組織利用信息技術(shù)優(yōu)勢實(shí)施不正當(dāng)競爭或損害用戶利益。

我國發(fā)布的《認(rèn)證認(rèn)可檢驗(yàn)檢測發(fā)展“十三五”規(guī)劃》中提出，建立完善全面覆蓋信息技術(shù)產(chǎn)品、系統(tǒng)、服務(wù)、管理和人員的信息安全認(rèn)證評價(jià)系等5項(xiàng)網(wǎng)絡(luò)安全相關(guān)內(nèi)容。今年5月，由中央網(wǎng)信辦研究起草的《網(wǎng)絡(luò)安全審查辦法》（以下簡稱《審查辦法》）面向社會公開征求意見，并將根據(jù)各方意見修改完善后，適時(shí)發(fā)布。

在認(rèn)證認(rèn)可方面，魏昊表示，今后我國將加大力度運(yùn)用認(rèn)證認(rèn)可手段，為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作提供支撐，其中包括開展網(wǎng)絡(luò)安全專用產(chǎn)品和網(wǎng)絡(luò)關(guān)鍵設(shè)備的認(rèn)證工作；改進(jìn)、完善現(xiàn)行認(rèn)證、認(rèn)可體系，與審查工作充分銜接；加強(qiáng)大數(shù)據(jù)、隱私保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施等重點(diǎn)領(lǐng)域的標(biāo)準(zhǔn)、檢測、認(rèn)證技術(shù)研究和制度建設(shè)；落實(shí)質(zhì)量提升要求，加強(qiáng)對智能家居等消費(fèi)品網(wǎng)絡(luò)安全的檢測認(rèn)證工作；積極開展國際認(rèn)證認(rèn)可合作，促進(jìn)我國出口產(chǎn)品、服務(wù)走向國際市場；大力開展網(wǎng)絡(luò)安全質(zhì)量技術(shù)基礎(chǔ)（NQI）研究工作，在提升供給的同時(shí)，提高網(wǎng)絡(luò)安全認(rèn)證有效性。

《中國質(zhì)量報(bào)》