加强ICT供应链安全管理 保障信息通信产业健康发展
随着经济全球化发展,市场竞争已从单一企业间竞争向产业供应链竞争方向延伸,供应链安全管理是保障产业健康有序发展的重要举措。信息通信技术(ICT)的广泛应用促进了其产业发展的全球化进程,ICT系统的运行依赖于分布在全球相互联系的供应链生态系统。然而,供应链中存在的产品脆弱性、服务非可控、恶意对抗等不安全因素,都会使整个系统面临严重的安全风险,甚至威胁国家安全。
2017年6月1日,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)正式实施,我国进入了全面规范网络空间安全管理的新时代。《网络安全法》明确了包括网络产品和服务在内的ICT产业应朝着安全可信的方向发展。同时,为保障国家安全,关键信息基础设施运营者应当在采购等环节落实国家网络安全审查政策,将供应链的安全性和可控性作为采购环节的重要参考点,满足网络产品和服务安全可信的需求,提高信息通信产业安全可控水平。
ICT供应链面临的安全风险来源众多。一是供应链自身脆弱性导致其成为网络攻击的重要渠道和对象,由于ICT供应链包含从规划设计到开发、测试、生产、采购、外包、集成、销售、物流、安装、使用、维护等众多环节,使其面临着信息泄露、恶意篡改、供应中断与产品质量参差不齐等安全威胁。任一环节或组件出现问题,都可能影响整个供应链的安全。二是ICT供应链的全球化发展,使系统用户在复杂的国际环境下对供应链安全风险的察觉和管控能力下降,面临着来自全球金融资本市场考验和各国间差异性合规的挑战。三是当前企业对ICT供应链安全管理制度缺失与不完善,企业通常只针对系统及产品开发生命周期过程部署安全防护措施,而对外部供应链安全风险管理意识较为薄弱。
美国作为ICT供应链安全管理的先行者,早在2012年就发布了“美国全球供应链国家安全战略”,将全球供应链提升为国家安全战略。对涉及国家安全的信息系统采购,美国遵循统一负责、分散实施原则,通过分类分级对系统及产品进行安全评估认证。美国国防部通过有关规划预算、集成开发、采购运行的各类系统对采购过程进行风险分析和管理,各系统间相互支撑与制约,确保ICT采购的安全可控性。目前,美国已从国家政策制定、产品测评认证、供应链安全评估到外商投资安全审查等层面,逐步形成了针对ICT供应链的深层次安全管理体系。
为确保ICT供应链安全可控,除充分借鉴国外ICT供应链安全管理经验外,应考虑我国ICT产业基本国情,从国家政策法规、行业安全可信体系、安全管理实施等层面,建立分层次的ICT供应链安全管理体系。
一是加强ICT供应链安全管理政策研究。 贯彻落实网络强国战略,加强ICT供应链安全管理顶层设计研究。制定相关国家政策法规与行业指导性文件,与现有《网络产品和服务安全审查办法(试行)》等规章制度有效衔接,推动具有针对性和可操作性国家标准的研制,为实施涉及国家安全的网络产品和服务测评认证、ICT供应链安全评估奠定基础。
二是推动ICT供应链安全可信体系建设。 以组件供应商(硬件、软件和服务)、系统集成商(系统集成和解决方案提供商)、系统用户(系统运营商、所有者和第三方管理机构)等为主体,将可信要素贯穿于系统全生命周期,明确信任描述、验证、控制和监督关系,实现对各环节各要素的良好监控,推动形成安全可信的ICT供应链生态系统。
三是配套实施ICT网络产品与服务安全评估。 加大针对网络安全关键技术与产品的研究投入,提高安全检测能力。对信息系统供应商、集成商、服务商等开展有关行业资质、市场信誉、物理安全、保密资质、安全管理与技术等内容的安全评估工作,推动实施可信度跟踪与持续性评估制度,完善市场准入与监督机制,降低供应链系统自身脆弱性。