2020年4月27日,国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》(以下简称审查办法),要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。审查办法作为落实《网络安全法》第三十五条提出的网络安全审查制度的重要制度文件,将重点关注关键信息基础设施采购网络产品和服务可能带来的国家安全风险,确保关键信息基础设施供应链安全。
一、关键信息基础设施供应链安全面临的主要风险
关键信息基础设施供应链安全涉及了网络产品和服务从无到有再到废弃的整个生命周期,不仅包含传统的生产、仓储、销售、交付等供应链环节,还延伸到产品的设计、开发、集成等生命周期,以及交付后的安装、运维等过程。结合审查办法第九条提出的网络安全审查重点考虑的因素,关键信息基础设施供应链安全风险主要体现在以下几个方面:
(一)采购的网络产品和服务面临供应链完整性威胁,可能导致关键信息基础设施被非法控制风险
近年来,网络产品和服务面临供应链完整性威胁的问题越来越突出,其主要表现在:一是恶意篡改。在供应链的任一环节对产品、服务及其所包含的组件、部件、元器件、数据等进行恶意篡改、植入、替换、伪造,以嵌入包含恶意逻辑的软件或硬件。二是假冒伪劣。网络产品或上游组件存在侵犯知识产权、质量低劣等问题,如盗版、翻新机、低配充高配、未经授权的贴牌或代工等。三是违规远程控制。网络产品和服务存在远程控制功能,但未告知远程控制的目的、范围和关闭方法,甚至采用隐蔽接口、未明示功能模块、加载禁用或绕过安全机制的组件等手段实现远程控制功能。这些安全威胁可能导致审查办法第九条提出的“产品和服务使用后带来关键信息基础设施被非法控制、遭受干扰或破坏风险”,从而影响国家安全。
(二)采购的网络产品和服务面临数据安全威胁,可能导致重要数据被泄露等风险
关键信息基础设施采购的网络产品和服务投入使用后,可能会采集和处理个人信息或重要数据,而且在当前云管端的服务模式下,通常还存在前端产品与后台系统甚至外部第三方之间的数据流转。因此,网络产品和服务可能面临多种数据安全威胁:一是敏感数据泄露。由于数据安全能力不足、内部人员违规操作、违规共享等原因,网络产品和服务收集的个人信息和重要数据可能被未授权泄露。未公开的政府信息、大面积人口、基因健康、地理等重要数据一旦泄露,可能直接影响经济安全、社会稳定、公共健康和安全。二是敏感数据滥用。网络产品和服务提供者可能汇聚了大量供货信息和用户信息,尤其当这些产品和服务应用于关键信息基础设施时,一旦滥用大数据技术对掌握的大量敏感数据进行分析挖掘并任意共享或发布,可能对国家安全和公众利益造成威胁。这些安全威胁可能导致审查办法第九条提出的“产品和服务使用后导致重要数据被窃取、泄露、毁损的风险”,从而影响国家安全。
(三)采购的网络产品和服务面临供应链中断威胁,可能导致关键信息基础设施业务连续性危害
网络产品和服务供应链通常由分布在各地、多个层级的供应商组成,随着异地供应商、供应商层级的增多,关键信息基础设施对网络产品和服务供应链的透明性和安全风险控制能力都在下降,可能面临网络产品服务供应量或质量下降、供应链中断或终止的安全威胁,主要表现在:一是突发事件中断。由于战争等人为的和地震、台风等自然的不可抗力引发的突发事件,造成产品和服务的供应链中断,例如数量、质量或成本与预订管理目标的显著偏离等。二是国际环境影响。随着信息通信产业的全球化发展,许多网络产品均由全球分布的供应商开发、集成和交付。由于国际环境和地域的复杂性,存在因贸易管制、限制销售、知识产权、合规标准差异等因素,导致产品服务中必需的组件、算法或技术等无法获取或难以满足当地合规要求,从而造成产品不能及时交付。三是不正当竞争行为。供应商利用用户对产品和服务的依赖性,实施不正当竞争或损害用户利益的行为,例如通过技术手段,限制或阻碍用户选择其他供应商的产品、组件或技术等。四是支持服务中断。当供应商停止生产和维护某些系统或其中某些组件时,网络产品和服务可能由于不被支持而被迫中断运行。这些安全威胁可能导致审查办法第九条提出的“采购产品和服务可能对关键信息基础设施业务连续性造成危害”,从而影响国家安全。
二、加强供应链安全管理已成为国际社会共识
目前国际社会对加强供应链安全管理已形成共识。2015年7月联合国信息通信领域发展政府专家组发布《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》,提出:“各国应采取合理步骤来保证供应链的完整性,让用户们对产品安全能有信心。各国应力争防止恶意信息通信技术工具和技术手段的泛滥,以及使用暗藏功能于有害用途。”近年来,很多国家纷纷出台国家供应链安全政策,采取测评认证、供应商安全评估、安全审查等多种手段加强供应链安全管理。以美国为例,美国从2012年开始实施全球供应链国家安全战略,近年来陆续出台了一系列政策加强供应链安全管控。2017年,美国开展“评估和强化制造与国防工业基础及供应链弹性”项目,围绕国防工业基础的16个重点领域进行分析,明确了影响美国制造和国防工业基础及供应链弹性的主要风险,包括单一来源供应、脆弱市场、产能受限、外国依赖、原材料短缺、基础设施陈旧落后等问题。2018年,美国发布《国家网络战略》,针对联邦政府、国防系统、关键基础设施、交通运输、下一代信息通信基础设施等领域的供应链安全管理提出了具体要求,主要包括促进供应链风险态势及相关信息共享,加强供应链风险审查评估,推动相关标准的实施应用等。
综上所述,随着经济全球化和信息技术的快速发展,网络产品和服务供应链已发展为遍布全球的复杂系统,任一产品组件、任一供应链环节出现问题,都可能影响网络产品和服务的安全,这让世界很多国家都深刻地认识到,建立安全可靠的关键信息基础设施供应链事关国家产业安全、经济安全和社会长治久安。网络安全审查制度以审查办法为基础,在保障我国关键信息基础设施供应链安全,维护国家安全的道路上迈出了重要的一步。(作者:胡影,中国电子技术标准化研究院信息安全研究中心数据安全部主任)