作者：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院 王秉政

隨著經(jīng)濟(jì)全球化發(fā)展，市場(chǎng)競(jìng)爭(zhēng)已從單一企業(yè)間競(jìng)爭(zhēng)向產(chǎn)業(yè)供應(yīng)鏈競(jìng)爭(zhēng)方向延伸，供應(yīng)鏈安全管理是保障產(chǎn)業(yè)健康有序發(fā)展的重要舉措。信息通信技術(shù)（ICT）的廣泛應(yīng)用促進(jìn)了其產(chǎn)業(yè)發(fā)展的全球化進(jìn)程，ICT系統(tǒng)的運(yùn)行依賴于分布在全球相互聯(lián)系的供應(yīng)鏈生態(tài)系統(tǒng)。然而，供應(yīng)鏈中存在的產(chǎn)品脆弱性、服務(wù)非可控、惡意對(duì)抗等不安全因素，都會(huì)使整個(gè)系統(tǒng)面臨嚴(yán)重的安全風(fēng)險(xiǎn)，甚至威脅國(guó)家安全。

2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“《網(wǎng)絡(luò)安全法》”）正式實(shí)施，我國(guó)進(jìn)入了全面規(guī)范網(wǎng)絡(luò)空間安全管理的新時(shí)代?！毒W(wǎng)絡(luò)安全法》明確了包括網(wǎng)絡(luò)產(chǎn)品和服務(wù)在內(nèi)的ICT產(chǎn)業(yè)應(yīng)朝著安全可信的方向發(fā)展。同時(shí)，為保障國(guó)家安全，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)在采購(gòu)等環(huán)節(jié)落實(shí)國(guó)家網(wǎng)絡(luò)安全審查政策，將供應(yīng)鏈的安全性和可控性作為采購(gòu)環(huán)節(jié)的重要參考點(diǎn)，滿足網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可信的需求，提高信息通信產(chǎn)業(yè)安全可控水平。

ICT供應(yīng)鏈面臨的安全風(fēng)險(xiǎn)來(lái)源眾多。一是供應(yīng)鏈自身脆弱性導(dǎo)致其成為網(wǎng)絡(luò)攻擊的重要渠道和對(duì)象，由于ICT供應(yīng)鏈包含從規(guī)劃設(shè)計(jì)到開(kāi)發(fā)、測(cè)試、生產(chǎn)、采購(gòu)、外包、集成、銷售、物流、安裝、使用、維護(hù)等眾多環(huán)節(jié)，使其面臨著信息泄露、惡意篡改、供應(yīng)中斷與產(chǎn)品質(zhì)量參差不齊等安全威脅。任一環(huán)節(jié)或組件出現(xiàn)問(wèn)題，都可能影響整個(gè)供應(yīng)鏈的安全。二是ICT供應(yīng)鏈的全球化發(fā)展，使系統(tǒng)用戶在復(fù)雜的國(guó)際環(huán)境下對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)的察覺(jué)和管控能力下降，面臨著來(lái)自全球金融資本市場(chǎng)考驗(yàn)和各國(guó)間差異性合規(guī)的挑戰(zhàn)。三是當(dāng)前企業(yè)對(duì)ICT供應(yīng)鏈安全管理制度缺失與不完善，企業(yè)通常只針對(duì)系統(tǒng)及產(chǎn)品開(kāi)發(fā)生命周期過(guò)程部署安全防護(hù)措施，而對(duì)外部供應(yīng)鏈安全風(fēng)險(xiǎn)管理意識(shí)較為薄弱。

美國(guó)作為ICT供應(yīng)鏈安全管理的先行者，早在2012年就發(fā)布了“美國(guó)全球供應(yīng)鏈國(guó)家安全戰(zhàn)略”，將全球供應(yīng)鏈提升為國(guó)家安全戰(zhàn)略。對(duì)涉及國(guó)家安全的信息系統(tǒng)采購(gòu)，美國(guó)遵循統(tǒng)一負(fù)責(zé)、分散實(shí)施原則，通過(guò)分類分級(jí)對(duì)系統(tǒng)及產(chǎn)品進(jìn)行安全評(píng)估認(rèn)證。美國(guó)國(guó)防部通過(guò)有關(guān)規(guī)劃預(yù)算、集成開(kāi)發(fā)、采購(gòu)運(yùn)行的各類系統(tǒng)對(duì)采購(gòu)過(guò)程進(jìn)行風(fēng)險(xiǎn)分析和管理，各系統(tǒng)間相互支撐與制約，確保ICT采購(gòu)的安全可控性。目前，美國(guó)已從國(guó)家政策制定、產(chǎn)品測(cè)評(píng)認(rèn)證、供應(yīng)鏈安全評(píng)估到外商投資安全審查等層面，逐步形成了針對(duì)ICT供應(yīng)鏈的深層次安全管理體系。

為確保ICT供應(yīng)鏈安全可控，除充分借鑒國(guó)外ICT供應(yīng)鏈安全管理經(jīng)驗(yàn)外，應(yīng)考慮我國(guó)ICT產(chǎn)業(yè)基本國(guó)情，從國(guó)家政策法規(guī)、行業(yè)安全可信體系、安全管理實(shí)施等層面，建立分層次的ICT供應(yīng)鏈安全管理體系。

一是加強(qiáng)ICT供應(yīng)鏈安全管理政策研究。 貫徹落實(shí)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，加強(qiáng)ICT供應(yīng)鏈安全管理頂層設(shè)計(jì)研究。制定相關(guān)國(guó)家政策法規(guī)與行業(yè)指導(dǎo)性文件，與現(xiàn)有《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》等規(guī)章制度有效銜接，推動(dòng)具有針對(duì)性和可操作性國(guó)家標(biāo)準(zhǔn)的研制，為實(shí)施涉及國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)測(cè)評(píng)認(rèn)證、ICT供應(yīng)鏈安全評(píng)估奠定基礎(chǔ)。

二是推動(dòng)ICT供應(yīng)鏈安全可信體系建設(shè)。 以組件供應(yīng)商（硬件、軟件和服務(wù)）、系統(tǒng)集成商（系統(tǒng)集成和解決方案提供商）、系統(tǒng)用戶（系統(tǒng)運(yùn)營(yíng)商、所有者和第三方管理機(jī)構(gòu)）等為主體，將可信要素貫穿于系統(tǒng)全生命周期，明確信任描述、驗(yàn)證、控制和監(jiān)督關(guān)系，實(shí)現(xiàn)對(duì)各環(huán)節(jié)各要素的良好監(jiān)控，推動(dòng)形成安全可信的ICT供應(yīng)鏈生態(tài)系統(tǒng)。

三是配套實(shí)施ICT網(wǎng)絡(luò)產(chǎn)品與服務(wù)安全評(píng)估。 加大針對(duì)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)與產(chǎn)品的研究投入，提高安全檢測(cè)能力。對(duì)信息系統(tǒng)供應(yīng)商、集成商、服務(wù)商等開(kāi)展有關(guān)行業(yè)資質(zhì)、市場(chǎng)信譽(yù)、物理安全、保密資質(zhì)、安全管理與技術(shù)等內(nèi)容的安全評(píng)估工作，推動(dòng)實(shí)施可信度跟蹤與持續(xù)性評(píng)估制度，完善市場(chǎng)準(zhǔn)入與監(jiān)督機(jī)制，降低供應(yīng)鏈系統(tǒng)自身脆弱性。

版權(quán)聲明：凡注明“來(lái)源：中國(guó)西藏網(wǎng)”或“中國(guó)西藏網(wǎng)文”的所有作品，版權(quán)歸高原（北京）文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用，須注明來(lái)源中國(guó)西藏網(wǎng)和署著作者名，否則將追究相關(guān)法律責(zé)任。