《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 專題·供應(yīng)鏈安全 | 貫徹《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》 加強(qiáng)供應(yīng)鏈安全工作

專題·供應(yīng)鏈安全 | 貫徹《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》 加強(qiáng)供應(yīng)鏈安全工作

2021-11-28
來(lái)源: 中國(guó)信息安全

  自 2021 年 9 月 1 日起 ,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》)已正式施行?!稐l例》的出臺(tái),是確保關(guān)鍵信息基礎(chǔ)設(shè)施安全的關(guān)鍵手段。貫徹落實(shí)《條例》的要求,對(duì)于保障國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定,以及推進(jìn)信息化建設(shè)具有十分重要的意義。其中,《條例》第 19 條和 20 條,對(duì)運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)提出了具體要求,對(duì)應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全風(fēng)險(xiǎn)意義重大。

  一、《條例》的重要內(nèi)涵

  一是深入貫徹落實(shí)習(xí)近平總書(shū)記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想和“四個(gè)堅(jiān)持”的重要指示要求,落實(shí)《網(wǎng)絡(luò)安全法》要求,進(jìn)一步健全了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的相關(guān)法律法規(guī)。國(guó)家已出臺(tái)了《網(wǎng)絡(luò)安全法》,在第三章“網(wǎng)絡(luò)運(yùn)行安全”第 31-39 條內(nèi)容中,用了近三分之一的篇幅規(guī)范網(wǎng)絡(luò)運(yùn)行安全,特別強(qiáng)調(diào)要保障關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的基本要求、部門(mén)分工以及主體責(zé)任等問(wèn)題作了基本法層面的總體制度安排 , 并規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法應(yīng)由國(guó)務(wù)院制定。《條例》正是以此為依據(jù) , 通過(guò) 6 章共計(jì) 51 條內(nèi)容對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)的一系列制度作了更為具體的規(guī)定 ,涵蓋總則、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定、運(yùn)營(yíng)者責(zé)任義務(wù)、保障和促進(jìn)、法律責(zé)任、附則等諸多方面,進(jìn)一步健全了我國(guó)網(wǎng)絡(luò)安全和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的相關(guān)法律法規(guī)。

  二是應(yīng)對(duì)當(dāng)前復(fù)雜國(guó)際形勢(shì)帶來(lái)的安全風(fēng)險(xiǎn),成為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全重要制度保障。當(dāng)前,在網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)全球化的態(tài)勢(shì)下,供應(yīng)鏈安全與國(guó)家安全間的關(guān)系愈發(fā)密切。美國(guó)將切斷網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈作為其維護(hù)技術(shù)領(lǐng)先地位、實(shí)施貿(mào)易制裁的重要手段,近年來(lái)不斷針對(duì)中國(guó)高科技企業(yè)發(fā)起單邊制裁與措施,不僅使我國(guó)網(wǎng)絡(luò)產(chǎn)品和服務(wù)企業(yè)的供應(yīng)鏈安全受到威脅,還將威脅我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的安全與自主控制權(quán),進(jìn)而影響我國(guó)的政治、經(jīng)濟(jì)和社會(huì)安全。因此,《條例》出臺(tái)恰逢其時(shí),成為關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈安全的重要保障。

  三是明確了各層級(jí)監(jiān)督管理職能,特別是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門(mén)和運(yùn)營(yíng)者的職責(zé)分工。《條例》闡述了監(jiān)督管理工作機(jī)制,國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào) , 國(guó)務(wù)院公安部門(mén)負(fù)責(zé)指導(dǎo)監(jiān)督 , 并進(jìn)一步明確了電信、能源等部門(mén)負(fù)責(zé)認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施,并對(duì)其安全保護(hù)進(jìn)行持續(xù)監(jiān)督管理。省級(jí)人民政府有關(guān)部門(mén)也肩負(fù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理職責(zé)。通過(guò)各層級(jí)的協(xié)同監(jiān)督和管理,進(jìn)一步提升了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)力度?!稐l例》指出,運(yùn)營(yíng)者在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中承擔(dān)主體責(zé)任,并對(duì)運(yùn)營(yíng)者自身安全管理機(jī)制、人員機(jī)構(gòu)設(shè)置、安全防護(hù)、保障服務(wù)等方面進(jìn)行了具體規(guī)定。

  四是強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全風(fēng)險(xiǎn)意識(shí),對(duì)采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)提出了具體要求。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn),包括:產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn);產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;產(chǎn)品和服務(wù)的安全性、開(kāi)放性、透明性、來(lái)源的多樣性,供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn);產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門(mén)規(guī)章情況;其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家安全的因素。為有效應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全風(fēng)險(xiǎn),《條例》第 19 條和 20 條對(duì)運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)提出了具體要求,及早發(fā)現(xiàn)并避免采購(gòu)產(chǎn)品和服務(wù)給關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行帶來(lái)風(fēng)險(xiǎn)和危害,保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,維護(hù)國(guó)家安全。

  二、加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的工作建議

  供應(yīng)鏈安全是一個(gè)全球性問(wèn)題,近幾年針對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、行業(yè)應(yīng)用軟件、大型工業(yè)軟件等軟件供應(yīng)鏈的攻擊呈明顯上升趨勢(shì)。2019 年,委內(nèi)瑞拉遭遇全國(guó)性斷電事件;2020 年,美國(guó)遭遇“太陽(yáng)風(fēng)”(SolarWinds)事件,超過(guò) 250 家機(jī)構(gòu)和企業(yè)受到影響;2021 年,美國(guó)最大輸油管道遭勒索攻擊,影響數(shù)千萬(wàn)人日常生活。這些安全事件都是黑客利用軟件安全漏洞進(jìn)行攻擊造成的。因此,研究如何貫徹落實(shí)好《條例》有關(guān)要求,指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范,確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全十分必要,建議重點(diǎn)開(kāi)展以下幾方面工作。

  一是進(jìn)一步完善關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全管理的政策、標(biāo)準(zhǔn)和措施。充分借鑒國(guó)內(nèi)外已在供應(yīng)鏈安全領(lǐng)域開(kāi)展的研究,如美國(guó)頒布的《ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》(NIST SP800-161)、《商用信息技術(shù)軟件及固件審查項(xiàng)目 》(VET)、《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全》等管理要求,我國(guó)發(fā)布的《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(GB/T 36637-2018)等。國(guó)家網(wǎng)信管理部門(mén)繼續(xù)細(xì)化條例各項(xiàng)要求,出臺(tái)指導(dǎo)意見(jiàn),制定完善關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的相關(guān)標(biāo)準(zhǔn),指導(dǎo)相關(guān)部門(mén)、行業(yè)保護(hù)工作部門(mén)和運(yùn)營(yíng)者研究制定實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全管理措施。

  二是充分利用好國(guó)家網(wǎng)絡(luò)安全審查制度,建立關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全常態(tài)化監(jiān)管機(jī)制。2020 年 , 國(guó)家互聯(lián)網(wǎng)信息辦公室等 12 個(gè)部門(mén)聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法》, 明確要求電信、廣播電視、能源、金融等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí),應(yīng)當(dāng)申報(bào)網(wǎng)絡(luò)安全審查,確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。國(guó)家網(wǎng)信部門(mén)協(xié)同行業(yè)保護(hù)工作部門(mén)要建立關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全常態(tài)化監(jiān)管機(jī)制,重點(diǎn)關(guān)注供應(yīng)鏈安全風(fēng)險(xiǎn)最為突出和急迫的行業(yè)及領(lǐng)域,開(kāi)展供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估,針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施使用的重要基礎(chǔ)通用軟件、行業(yè)軟件、數(shù)據(jù)庫(kù)、軟件下載平臺(tái)、云平臺(tái)等,要開(kāi)展開(kāi)源代碼安全檢測(cè),有效防范軟件供應(yīng)鏈安全威脅。國(guó)家監(jiān)管部門(mén)要加大對(duì)網(wǎng)絡(luò)攻擊、傳播病毒、設(shè)置軟件后門(mén)等違法犯罪的打擊力度。

  三是加大對(duì)信創(chuàng)產(chǎn)業(yè)的扶持 , 建立完善關(guān)鍵信息基礎(chǔ)設(shè)施軟件供應(yīng)鏈安全生態(tài)體系。在國(guó)家相關(guān)政策的扶持和帶動(dòng)下,國(guó)產(chǎn)的軟硬件已經(jīng)得到了較快發(fā)展,信創(chuàng)產(chǎn)業(yè)規(guī)?;?yīng)不斷擴(kuò)大形成,帶來(lái)的軟件供應(yīng)鏈安全問(wèn)題日顯突出,國(guó)家相關(guān)部門(mén)應(yīng)加大對(duì)信創(chuàng)產(chǎn)品、行業(yè)應(yīng)用軟件和大型工業(yè)軟件安全防護(hù)建設(shè)的政策支持,鼓勵(lì)國(guó)內(nèi)信創(chuàng)廠商和金融、電信、能源等重點(diǎn)行業(yè)加大研發(fā)投入,加快突破核心關(guān)鍵技術(shù)突破,盡快形成一大批核心通用基礎(chǔ)和行業(yè)軟件儲(chǔ)備,不斷完善重點(diǎn)行業(yè)軟件供應(yīng)鏈安全生態(tài)體系,積極有效應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。

  四是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全關(guān)鍵崗位人才隊(duì)伍建設(shè)。近年來(lái),國(guó)家加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè),在高校增設(shè)網(wǎng)絡(luò)空間安全一級(jí)學(xué)科,并建立了國(guó)家網(wǎng)絡(luò)安全人才與創(chuàng)新基地,已經(jīng)開(kāi)始培養(yǎng)了一大批網(wǎng)絡(luò)安全專業(yè)人才。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)設(shè)立網(wǎng)絡(luò)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等關(guān)鍵崗位,推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力建設(shè) , 開(kāi)展網(wǎng)絡(luò)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估。通過(guò)參加國(guó)家不同層級(jí)網(wǎng)絡(luò)攻防演練、專業(yè)教育培訓(xùn)等方式,不斷強(qiáng)化關(guān)鍵崗位專業(yè)人員業(yè)務(wù)水平。

  國(guó)際網(wǎng)絡(luò)空間安全形勢(shì)日益復(fù)雜,針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊威脅與日俱增,有關(guān)部門(mén)和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者要堅(jiān)決貫徹落實(shí)好《條例》,不斷強(qiáng)化責(zé)任主體意識(shí),采取有效措施防范供應(yīng)鏈安全風(fēng)險(xiǎn),確保關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。