加強ICT供應鏈安全管理 保障信息通信業健康發展

　　作者：中國電子技術標準化研究院 王秉政

　　隨著經濟全球化發展，市場競爭已從單一企業間競爭向産業供應鏈競爭方向延伸，供應鏈安全管理是保障産業健康有序發展的重要舉措。信息通信技術（ICT）的廣泛應用促進了其産業發展的全球化進程，ICT系統的運行依賴於分佈在全球相互聯繫的供應鏈生態系統。然而，供應鏈中存在的産品脆弱性、服務非可控、惡意對抗等不安全因素，都會使整個系統面臨嚴重的安全風險，甚至威脅國家安全。

　　2017年6月1日，《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）正式實施，我國進入了全面規範網絡空間安全管理的新時代。《網絡安全法》明確了包括網絡産品和服務在內的ICT産業應朝著安全可信的方向發展。同時，為保障國家安全，關鍵信息基礎設施運營者應當在採購等環節落實國家網絡安全審查政策，將供應鏈的安全性和可控性作為採購環節的重要參考點，滿足網絡産品和服務安全可信的需求，提高信息通信産業安全可控水準。

　　ICT供應鏈面臨的安全風險來源眾多。一是供應鏈自身脆弱性導致其成為網絡攻擊的重要渠道和對象，由於ICT供應鏈包含從規劃設計到開發、測試、生産、採購、外包、集成、銷售、物流、安裝、使用、維護等眾多環節，使其面臨著信息洩露、惡意篡改、供應中斷與産品品質參差不齊等安全威脅。任一環節或組件出現問題，都可能影響整個供應鏈的安全。二是ICT供應鏈的全球化發展，使系統用戶在複雜的國際環境下對供應鏈安全風險的察覺和管控能力下降，面臨著來自全球金融資本市場考驗和各國間差異性合規的挑戰。三是當前企業對ICT供應鏈安全管理制度缺失與不完善，企業通常只針對系統及産品開發生命週期過程部署安全防護措施，而對外部供應鏈安全風險管理意識較為薄弱。

　　美國作為ICT供應鏈安全管理的先行者，早在2012年就發佈了“美國全球供應鏈國家安全戰略”，將全球供應鏈提升為國家安全戰略。對涉及國家安全的信息系統採購，美國遵循統一負責、分散實施原則，通過分類分級對系統及産品進行安全評估認證。美國國防部通過有關規劃預算、集成開發、採購運行的各類系統對採購過程進行風險分析和管理，各系統間相互支撐與制約，確保ICT採購的安全可控性。目前，美國已從國家政策制定、産品測評認證、供應鏈安全評估到外商投資安全審查等層面，逐步形成了針對ICT供應鏈的深層次安全管理體系。

　　為確保ICT供應鏈安全可控，除充分借鑒國外ICT供應鏈安全管理經驗外，應考慮我國ICT産業基本國情，從國家政策法規、行業安全可信體系、安全管理實施等層面，建立分層次的ICT供應鏈安全管理體系。

　　一是加強ICT供應鏈安全管理政策研究。貫徹落實網絡強國戰略，加強ICT供應鏈安全管理頂層設計研究。制定相關國家政策法規與行業指導性文件，與現有《網絡産品和服務安全審查辦法（試行）》等規章制度有效銜接，推動具有針對性和可操作性國家標準的研製，為實施涉及國家安全的網絡産品和服務測評認證、ICT供應鏈安全評估奠定基礎。

　　二是推動ICT供應鏈安全可信體系建設。以組件供應商（硬體、軟體和服務）、系統集成商（系統集成和解決方案提供商）、系統用戶（系統運營商、所有者和第三方管理機構）等為主體，將可信要素貫穿于系統全生命週期，明確信任描述、驗證、控制和監督關係，實現對各環節各要素的良好監控，推動形成安全可信的ICT供應鏈生態系統。

　　三是配套實施ICT網絡産品與服務安全評估。加大針對網絡安全關鍵技術與産品的研究投入，提高安全檢測能力。對信息系統供應商、集成商、服務商等開展有關行業資質、市場信譽、物理安全、保密資質、安全管理與技術等內容的安全評估工作，推動實施可信度跟蹤與持續性評估制度，完善市場準入與監督機制，降低供應鏈系統自身脆弱性。