自 2021 年 9 月 1 日起 ,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）已正式施行?！稐l例》的出臺，是確保關(guān)鍵信息基礎(chǔ)設(shè)施安全的關(guān)鍵手段。貫徹落實《條例》的要求，對于保障國家安全、經(jīng)濟發(fā)展和社會穩(wěn)定，以及推進信息化建設(shè)具有十分重要的意義。其中，《條例》第 19 條和 20 條，對運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)提出了具體要求，對應對關(guān)鍵信息基礎(chǔ)設(shè)施的供應鏈安全風險意義重大。

　　一、《條例》的重要內(nèi)涵

　　一是深入貫徹落實習近平總書記關(guān)于網(wǎng)絡(luò)強國的重要思想和“四個堅持”的重要指示要求，落實《網(wǎng)絡(luò)安全法》要求，進一步健全了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的相關(guān)法律法規(guī)。國家已出臺了《網(wǎng)絡(luò)安全法》，在第三章“網(wǎng)絡(luò)運行安全”第 31-39 條內(nèi)容中，用了近三分之一的篇幅規(guī)范網(wǎng)絡(luò)運行安全，特別強調(diào)要保障關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全，對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基本要求、部門分工以及主體責任等問題作了基本法層面的總體制度安排 , 并規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法應由國務(wù)院制定?！稐l例》正是以此為依據(jù) , 通過 6 章共計 51 條內(nèi)容對關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)的一系列制度作了更為具體的規(guī)定 ,涵蓋總則、關(guān)鍵信息基礎(chǔ)設(shè)施認定、運營者責任義務(wù)、保障和促進、法律責任、附則等諸多方面，進一步健全了我國網(wǎng)絡(luò)安全和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的相關(guān)法律法規(guī)。

　　二是應對當前復雜國際形勢帶來的安全風險，成為我國關(guān)鍵信息基礎(chǔ)設(shè)施安全重要制度保障。當前，在網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購全球化的態(tài)勢下，供應鏈安全與國家安全間的關(guān)系愈發(fā)密切。美國將切斷網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應鏈作為其維護技術(shù)領(lǐng)先地位、實施貿(mào)易制裁的重要手段，近年來不斷針對中國高科技企業(yè)發(fā)起單邊制裁與措施，不僅使我國網(wǎng)絡(luò)產(chǎn)品和服務(wù)企業(yè)的供應鏈安全受到威脅，還將威脅我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全與自主控制權(quán)，進而影響我國的政治、經(jīng)濟和社會安全。因此，《條例》出臺恰逢其時，成為關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應鏈安全的重要保障。

　　三是明確了各層級監(jiān)督管理職能，特別是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作部門和運營者的職責分工?！稐l例》闡述了監(jiān)督管理工作機制，國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào) , 國務(wù)院公安部門負責指導監(jiān)督 , 并進一步明確了電信、能源等部門負責認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，并對其安全保護進行持續(xù)監(jiān)督管理。省級人民政府有關(guān)部門也肩負關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理職責。通過各層級的協(xié)同監(jiān)督和管理，進一步提升了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護力度?！稐l例》指出，運營者在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護中承擔主體責任，并對運營者自身安全管理機制、人員機構(gòu)設(shè)置、安全防護、保障服務(wù)等方面進行了具體規(guī)定。

　　四是強化關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全風險意識，對采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)提出了具體要求。關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風險，包括：產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風險；產(chǎn)品和服務(wù)供應中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險；產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素。為有效應對關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全風險，《條例》第 19 條和 20 條對運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)提出了具體要求，及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務(wù)給關(guān)鍵信息基礎(chǔ)設(shè)施運行帶來風險和危害，保障關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全，維護國家安全。

　　二、加強關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全的工作建議

　　供應鏈安全是一個全球性問題，近幾年針對操作系統(tǒng)、數(shù)據(jù)庫、行業(yè)應用軟件、大型工業(yè)軟件等軟件供應鏈的攻擊呈明顯上升趨勢。2019 年，委內(nèi)瑞拉遭遇全國性斷電事件；2020 年，美國遭遇“太陽風”（SolarWinds）事件，超過 250 家機構(gòu)和企業(yè)受到影響；2021 年，美國最大輸油管道遭勒索攻擊，影響數(shù)千萬人日常生活。這些安全事件都是黑客利用軟件安全漏洞進行攻擊造成的。因此，研究如何貫徹落實好《條例》有關(guān)要求，指導關(guān)鍵信息基礎(chǔ)設(shè)施運營者做好網(wǎng)絡(luò)安全風險防范，確保關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全十分必要，建議重點開展以下幾方面工作。

　　一是進一步完善關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全管理的政策、標準和措施。充分借鑒國內(nèi)外已在供應鏈安全領(lǐng)域開展的研究，如美國頒布的《ICT 供應鏈風險管理標準》（NIST SP800-161）、《商用信息技術(shù)軟件及固件審查項目 》（VET）、《確保信息通信技術(shù)與服務(wù)供應鏈安全》等管理要求，我國發(fā)布的《信息安全技術(shù) ICT 供應鏈安全風險管理指南》（GB/T 36637-2018）等。國家網(wǎng)信管理部門繼續(xù)細化條例各項要求，出臺指導意見，制定完善關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全的相關(guān)標準，指導相關(guān)部門、行業(yè)保護工作部門和運營者研究制定實施關(guān)鍵信息基礎(chǔ)設(shè)施安全管理措施。

　　二是充分利用好國家網(wǎng)絡(luò)安全審查制度，建立關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全常態(tài)化監(jiān)管機制。2020 年 , 國家互聯(lián)網(wǎng)信息辦公室等 12 個部門聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法》， 明確要求電信、廣播電視、能源、金融等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時，應當申報網(wǎng)絡(luò)安全審查，確保關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全。國家網(wǎng)信部門協(xié)同行業(yè)保護工作部門要建立關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全常態(tài)化監(jiān)管機制，重點關(guān)注供應鏈安全風險最為突出和急迫的行業(yè)及領(lǐng)域，開展供應鏈安全風險評估，針對關(guān)鍵信息基礎(chǔ)設(shè)施使用的重要基礎(chǔ)通用軟件、行業(yè)軟件、數(shù)據(jù)庫、軟件下載平臺、云平臺等，要開展開源代碼安全檢測，有效防范軟件供應鏈安全威脅。國家監(jiān)管部門要加大對網(wǎng)絡(luò)攻擊、傳播病毒、設(shè)置軟件后門等違法犯罪的打擊力度。

　　三是加大對信創(chuàng)產(chǎn)業(yè)的扶持 , 建立完善關(guān)鍵信息基礎(chǔ)設(shè)施軟件供應鏈安全生態(tài)體系。在國家相關(guān)政策的扶持和帶動下，國產(chǎn)的軟硬件已經(jīng)得到了較快發(fā)展，信創(chuàng)產(chǎn)業(yè)規(guī)?；粩鄶U大形成，帶來的軟件供應鏈安全問題日顯突出，國家相關(guān)部門應加大對信創(chuàng)產(chǎn)品、行業(yè)應用軟件和大型工業(yè)軟件安全防護建設(shè)的政策支持，鼓勵國內(nèi)信創(chuàng)廠商和金融、電信、能源等重點行業(yè)加大研發(fā)投入，加快突破核心關(guān)鍵技術(shù)突破，盡快形成一大批核心通用基礎(chǔ)和行業(yè)軟件儲備，不斷完善重點行業(yè)軟件供應鏈安全生態(tài)體系，積極有效應對關(guān)鍵信息基礎(chǔ)設(shè)施軟件供應鏈安全風險。

　　四是加強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全關(guān)鍵崗位人才隊伍建設(shè)。近年來，國家加強網(wǎng)絡(luò)安全學科建設(shè)，在高校增設(shè)網(wǎng)絡(luò)空間安全一級學科，并建立了國家網(wǎng)絡(luò)安全人才與創(chuàng)新基地，已經(jīng)開始培養(yǎng)了一大批網(wǎng)絡(luò)安全專業(yè)人才。關(guān)鍵信息基礎(chǔ)設(shè)施運營者應設(shè)立網(wǎng)絡(luò)安全監(jiān)測、檢測和風險評估等關(guān)鍵崗位，推動關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護能力建設(shè) , 開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風險評估。通過參加國家不同層級網(wǎng)絡(luò)攻防演練、專業(yè)教育培訓等方式，不斷強化關(guān)鍵崗位專業(yè)人員業(yè)務(wù)水平。

　　國際網(wǎng)絡(luò)空間安全形勢日益復雜，針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊威脅與日俱增，有關(guān)部門和關(guān)鍵信息基礎(chǔ)設(shè)施運營者要堅決貫徹落實好《條例》，不斷強化責任主體意識，采取有效措施防范供應鏈安全風險，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全運行。