(中國信息通信研究院安全研究所,北京 100191)
0 引言
在新冠肺炎疫情對全球經(jīng)濟(jì)造成嚴(yán)重沖擊的情況下,各國不斷加強(qiáng)信息通信技術(shù)(Information Communication Technology,ICT)產(chǎn)業(yè)創(chuàng)新體系構(gòu)建,全球ICT供應(yīng)鏈逐漸呈區(qū)域化、本地化、多元化發(fā)展特點,ICT供應(yīng)鏈安全逐漸成為各國關(guān)注重點。在此背景下,我國ICT供應(yīng)鏈安全上升至國家戰(zhàn)略高度,不斷強(qiáng)化對ICT供應(yīng)鏈安全管理,亟待解決ICT供應(yīng)鏈安全制度體系不健全等問題。為此,本文研究立足于ICT網(wǎng)絡(luò)安全視角,分析供應(yīng)鏈安全制度架構(gòu),明確法律法規(guī)、規(guī)劃指南、標(biāo)準(zhǔn)規(guī)范、手段舉措等,研判ICT供應(yīng)鏈相關(guān)網(wǎng)絡(luò)安全制度布局和政策走向,并提出我國政策應(yīng)對及完善建議,有助于推動我國企業(yè)合規(guī)出海、自主產(chǎn)業(yè)升級。
1 ICT供應(yīng)鏈安全制度體系
為明確ICT供應(yīng)鏈安全與網(wǎng)絡(luò)安全的關(guān)系,更清晰地分析ICT供應(yīng)鏈安全制度情況,本文對ICT供應(yīng)鏈概念定義、ICT供應(yīng)鏈安全制度架構(gòu)進(jìn)行分析,具體如下。
在ICT供應(yīng)鏈和ICT供應(yīng)鏈安全概念上,國家標(biāo)準(zhǔn)GB/T 36637-2018定義:ICT供應(yīng)鏈即網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈,是指為滿足供應(yīng)關(guān)系通過資源和過程將需方、供方相互連接的網(wǎng)鏈結(jié)構(gòu)。ICT供應(yīng)鏈安全包括:網(wǎng)絡(luò)產(chǎn)品和服務(wù)不被攻擊、篡改的完整性;數(shù)據(jù)的保密性;正常供應(yīng)和快速恢復(fù)的可用性;數(shù)據(jù)透明度和問題追溯的可控性。結(jié)合信息安全技術(shù)GB/T 22239-2019網(wǎng)絡(luò)安全等級保護(hù)基本要求中對網(wǎng)絡(luò)安全的定義:通過采取必要措施防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運行狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。可以看出,網(wǎng)絡(luò)安全是ICT供應(yīng)鏈安全的重要支撐。采取必要措施防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故等,對于保障供應(yīng)鏈的完整性、保密性、可控性而言至關(guān)重要[1]。
ICT供應(yīng)鏈安全制度方面,主要包括安全戰(zhàn)略、綜合計劃、法律法規(guī)、標(biāo)準(zhǔn)規(guī)范以及手段措施5個組成要素,各要素特點如表1所示。
在相關(guān)領(lǐng)域建設(shè)特點方面,根據(jù)ICT供應(yīng)鏈主要面臨的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、安全產(chǎn)品服務(wù)斷供風(fēng)險,亟需從相關(guān)領(lǐng)域入手配合管理。在產(chǎn)業(yè)安全發(fā)展上,各國以政府扶持為主、不斷強(qiáng)化安全審查,實施國家數(shù)量眾多,政策更新頻率不斷結(jié)合發(fā)展情況實時更新調(diào)整。數(shù)據(jù)流動安全上,各國管理形式多樣、嚴(yán)控管理標(biāo)準(zhǔn),實施國家數(shù)量上發(fā)達(dá)國家實施較多,政策更新頻率上政策出臺后使用周期較長,加強(qiáng)管理手段力度以探索數(shù)據(jù)治理最佳實踐。產(chǎn)品與服務(wù)安全上,各國強(qiáng)化標(biāo)準(zhǔn)化方式檢測、強(qiáng)化安全認(rèn)證,定期出臺并更新政策,加強(qiáng)對新興領(lǐng)域安全認(rèn)證監(jiān)管,制度體系較為完善。
2 國外典型國家及地區(qū)ICT供應(yīng)鏈安全制度發(fā)展現(xiàn)狀分析
依據(jù)上述ICT供應(yīng)鏈安全制度體系分析,分析美洲、歐洲、亞洲等戰(zhàn)略、計劃、法律法規(guī)、標(biāo)準(zhǔn)規(guī)范中供應(yīng)鏈安全制度監(jiān)管重點及趨勢,梳理各國制度實施效果、活躍度、成熟度,并與我國進(jìn)行對比,總結(jié)我國ICT供應(yīng)鏈安全制度差距。
2.1 美國:ICT供應(yīng)鏈安全制度向彈性和完整性不斷收緊
美國前期以維持自身供應(yīng)鏈優(yōu)勢為主要目標(biāo)強(qiáng)化供應(yīng)鏈安全政策,新階段致力于加強(qiáng)ICT供應(yīng)鏈彈性、安全性和完整性,政策措施與相關(guān)舉措具有實施效果較明顯,活躍度高、成熟度高的特點。戰(zhàn)略層面上,拜登2021簽署了關(guān)于美國供應(yīng)鏈的14017號行政命令,以加強(qiáng)美國供應(yīng)鏈的彈性,保障網(wǎng)絡(luò)安全。綜合計劃上,啟動長期計劃提高企業(yè)風(fēng)險應(yīng)對能力,2020《“網(wǎng)絡(luò)安全成熟度模型認(rèn)證”1.0版》要求6年內(nèi)實現(xiàn)企業(yè)合規(guī),幫助廠商識別、評估和緩解ICT供應(yīng)鏈風(fēng)險信息。標(biāo)準(zhǔn)規(guī)范上,美國出臺十余部標(biāo)準(zhǔn)保障供應(yīng)鏈風(fēng)險管理完整性,規(guī)范數(shù)據(jù)安全風(fēng)險評估和持續(xù)監(jiān)測。法律法規(guī)上,以強(qiáng)化安全審查為主,出臺2020《安全可信電信網(wǎng)絡(luò)法案》限制產(chǎn)品進(jìn)出口以保障產(chǎn)品設(shè)備安全。
2.2 歐洲:ICT供應(yīng)鏈安全管理按需發(fā)力呈多樣化監(jiān)管
隨著國際形勢變化,歐洲管理方式更結(jié)合區(qū)域整體需求,制定通用的安全要求推動政企民一體化方式加強(qiáng)管理,政策效果較明顯,活躍度較高,成熟度較高。戰(zhàn)略層面上,歐盟發(fā)布《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》,整合公私部門,實施安全產(chǎn)業(yè)政企民一體化管理提高ICT供應(yīng)鏈安全性。綜合計劃上,歐盟開展“多元供應(yīng)鏈審查計劃”“數(shù)字十年計劃”以構(gòu)建多元化ICT供應(yīng)鏈為主要目標(biāo),重構(gòu)產(chǎn)業(yè)鏈安全產(chǎn)業(yè),實現(xiàn)供應(yīng)和需求多元發(fā)展。標(biāo)準(zhǔn)規(guī)范上,歐盟發(fā)布《網(wǎng)絡(luò)安全認(rèn)證:候選EUCC方案V1.1.1》,基于通用標(biāo)準(zhǔn)構(gòu)建認(rèn)證方案保障ICT供應(yīng)鏈安全。法律法規(guī)上,歐盟發(fā)布《歐盟外資審查框架法案》,將認(rèn)證、審查作為ICT供應(yīng)鏈監(jiān)管主要手段。手段措施上,通過反壟斷調(diào)查維護(hù)供應(yīng)鏈市場健康[3],細(xì)化產(chǎn)品與服務(wù)安全認(rèn)證監(jiān)管流程等。
2.3 亞洲:ICT供應(yīng)鏈安全發(fā)展整體跨度較大
亞洲國家將構(gòu)建全球供應(yīng)鏈作為重要經(jīng)濟(jì)發(fā)展戰(zhàn)略,但部分國家ICT產(chǎn)業(yè)發(fā)展速度較為緩慢,內(nèi)部整體發(fā)展水平跨度較大,對供應(yīng)鏈安全需求迫切,主要表現(xiàn)在以下幾個方面:戰(zhàn)略層面上,韓國發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略》,東盟出臺《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》,重視ICT供應(yīng)鏈安全構(gòu)建與合作;綜合計劃上,日本出臺《新信息通信技術(shù)戰(zhàn)略》,應(yīng)對ICT供應(yīng)鏈風(fēng)險及安全建設(shè);標(biāo)準(zhǔn)規(guī)范上,日本出臺《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)基本政策》,構(gòu)建網(wǎng)絡(luò)安全管理框架積極開展互認(rèn);法律法規(guī)上,韓國通過《保護(hù)及防止產(chǎn)業(yè)技術(shù)泄露法》,持續(xù)優(yōu)化審查和監(jiān)管機(jī)制;手段措施上,亞洲各國通過構(gòu)建多元化供應(yīng)鏈,倡導(dǎo)ICT供應(yīng)鏈安全彈性管理。總體來看,亞洲國家ICT供應(yīng)鏈安全制度體系相對完善,手段措施較為固定,但各國ICT供應(yīng)鏈安全制度差距較大,主要在國家戰(zhàn)略和法律方面體現(xiàn),從全球局勢和區(qū)域特點對本土供應(yīng)鏈安全提出要求,逐步通過政策、手段措施等實施落地。
表1 ICT供應(yīng)鏈安全制度要素特點
2.4 中國:不斷加強(qiáng)ICT供應(yīng)鏈安全監(jiān)管力度
近年來,我國對ICT供應(yīng)鏈安全管理重視程度不斷上升,但當(dāng)前配套政策完善程度仍有待提高,主要通過安全審查、設(shè)備安全等方面進(jìn)行管理。國家戰(zhàn)略上,發(fā)布《國家網(wǎng)絡(luò)安全空間戰(zhàn)略》,以審查為手段維護(hù)開放環(huán)境下ICT供應(yīng)鏈安全。法律法規(guī)上,《中華人民共和國網(wǎng)絡(luò)安全法》從安全審查、產(chǎn)品認(rèn)證、風(fēng)險評估等方面提出安全要求,提高供應(yīng)鏈安全水平;《網(wǎng)絡(luò)安全審查辦法》細(xì)化審查要求,多維度加強(qiáng)對ICT供應(yīng)鏈安全管理。標(biāo)準(zhǔn)規(guī)范上,發(fā)布《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南》細(xì)化供應(yīng)鏈的安全風(fēng)險應(yīng)對過程和措施。2021年,參與國際電信聯(lián)盟電信標(biāo)準(zhǔn)化局第20研究組向全球各國共享我國數(shù)字化供應(yīng)鏈實踐成果。手段措施上,我國宣布建立清單制度應(yīng)對不正當(dāng)競爭行為,為保障國家重大核心優(yōu)勢技術(shù)安全樹立屏障。
綜上所述,頂層設(shè)計上,各國ICT供應(yīng)鏈安全制度通常都包括國家戰(zhàn)略、法律法規(guī)及標(biāo)準(zhǔn)規(guī)范,制度較完善國家采取綜合計劃對一段時間內(nèi)的供應(yīng)鏈保護(hù)工作進(jìn)行規(guī)劃,其他國家則有待完善;政策范圍上,各國均涉及安全產(chǎn)業(yè)、數(shù)據(jù)安全、產(chǎn)品與設(shè)備安全領(lǐng)域。
美國ICT供應(yīng)鏈安全政策較為完善,且實施手段多樣。歐洲在ICT供應(yīng)鏈安全管理呈現(xiàn)監(jiān)管手段嚴(yán)苛、安全基線明確等管理特點,政策更新較為活躍,對我國ICT供應(yīng)鏈安全管理有較強(qiáng)借鑒意義。亞洲ICT供應(yīng)鏈安全制度整體情況與我國相似,但我國在政策更新、活躍度等方面較為突出。總體看來,我國以審查為手段降低ICT供應(yīng)鏈安全風(fēng)險,呈現(xiàn)立法完善、政策主導(dǎo)等管理特點,但監(jiān)管手段、落實力度與歐美等發(fā)達(dá)國家相比還有提升的空間。
3 我國ICT供應(yīng)鏈安全制度當(dāng)前存在的問題及未來發(fā)展建議
通過上述與歐美等典型國家及地區(qū)間ICT供應(yīng)鏈安全制度情況的橫向?qū)Ρ龋偨Y(jié)我國ICT供應(yīng)鏈安全制度現(xiàn)存的不足,從頂層設(shè)計、安全產(chǎn)業(yè)、數(shù)據(jù)安全、產(chǎn)品服務(wù)安全幾方面提出針對性建議,為我國ICT供應(yīng)鏈安全發(fā)展指明方向。
3.1 我國ICT供應(yīng)鏈安全制度當(dāng)前存在問題
ICT供應(yīng)鏈安全頂層設(shè)計有待完善,安全管理細(xì)則需進(jìn)一步細(xì)化落實。在頂層設(shè)計方面,尚且缺乏針對性的ICT供應(yīng)鏈安全戰(zhàn)略規(guī)劃和指導(dǎo),從當(dāng)前國內(nèi)市場發(fā)展角度來看,缺乏針對ICT供應(yīng)鏈外包等第三方企業(yè)的供應(yīng)鏈安全管理對策。在安全管理制度方面,ICT供應(yīng)鏈安全管理要求有待明確。我國ICT供應(yīng)鏈安全管理僅在相關(guān)戰(zhàn)略、政策中提及加強(qiáng)供應(yīng)鏈安全管理,缺乏具體的管理要求細(xì)則,企業(yè)缺乏ICT供應(yīng)鏈安全保障工作的相關(guān)指導(dǎo),需進(jìn)一步細(xì)化ICT供應(yīng)鏈安全管理要求。
3.2 我國政策完善建議
為解決當(dāng)前ICT供應(yīng)鏈存在的問題和不足,實現(xiàn)與美歐國家及地區(qū)的供應(yīng)鏈政策發(fā)展接軌及超越,建立健全我國供應(yīng)鏈安全制度體系,提出以下建議。
(1)建立完善的ICT供應(yīng)鏈安全頂層設(shè)計,增強(qiáng)供應(yīng)鏈韌性和安全性
我國亟需建立完善的ICT供應(yīng)鏈安全保障體系。一方面,從國情和市場發(fā)展角度出發(fā)夯實頂層設(shè)計。強(qiáng)化ICT供應(yīng)鏈各參與方管理。建立貫穿于ICT供應(yīng)鏈全生命周期可信機(jī)制,明確信任驗證、控制監(jiān)督關(guān)系,實現(xiàn)對各環(huán)節(jié)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的良好監(jiān)控。另一方面,加強(qiáng)國際合作,推動我國供應(yīng)鏈多元化發(fā)展,促進(jìn)產(chǎn)業(yè)升級,減少供應(yīng)斷供風(fēng)險。
(2)創(chuàng)建可持續(xù)安全產(chǎn)業(yè),提升安全產(chǎn)業(yè)整體綜合實力營造可信生態(tài)
當(dāng)前,我國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展步入創(chuàng)新期,需要綜合考慮國際安全產(chǎn)業(yè)發(fā)展優(yōu)缺點,促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)高效、有序、良性發(fā)展。一是對內(nèi)提升安全產(chǎn)業(yè)整體實力。構(gòu)建多方協(xié)同的產(chǎn)業(yè)發(fā)展生態(tài),加大產(chǎn)業(yè)鏈協(xié)同能力,加快網(wǎng)絡(luò)安全成果轉(zhuǎn)化。同時,規(guī)范網(wǎng)絡(luò)安全認(rèn)證和評估。統(tǒng)一網(wǎng)絡(luò)安全專用產(chǎn)品的檢測標(biāo)準(zhǔn)和規(guī)范,支持合法設(shè)立的認(rèn)證機(jī)構(gòu)依法開展網(wǎng)絡(luò)安全認(rèn)證。二是構(gòu)建對外安全合作良好環(huán)境。鼓勵企業(yè)發(fā)揮自身優(yōu)勢融入國際市場,國家通過采取資金支持、放寬知識產(chǎn)權(quán)等措施,吸引跨國公司入駐。
(3)強(qiáng)化數(shù)據(jù)安全監(jiān)管力度,加強(qiáng)網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈中的數(shù)據(jù)安全管理和合規(guī)審查
隨著數(shù)據(jù)安全在供應(yīng)鏈中的重要程度不斷增加,我國應(yīng)從內(nèi)外兩方面加強(qiáng)數(shù)據(jù)安全管理,有效應(yīng)對供應(yīng)鏈中的數(shù)據(jù)安全威脅。一是對內(nèi)健全供應(yīng)鏈中數(shù)據(jù)安全管理體系。強(qiáng)化供應(yīng)鏈中數(shù)據(jù)全生命周期安全管理,明確數(shù)據(jù)供應(yīng)鏈上、下游的責(zé)任和義務(wù)以及相關(guān)審核原則,壓實企業(yè)責(zé)任。二是對外積極合作探索供應(yīng)鏈中數(shù)據(jù)管理實踐。促進(jìn)供應(yīng)鏈中數(shù)據(jù)國際治理經(jīng)驗借鑒與交流,完善網(wǎng)絡(luò)產(chǎn)品和服務(wù)中的數(shù)據(jù)安全合規(guī)性審核和分析。建立適合國際互信的供應(yīng)鏈數(shù)據(jù)安全標(biāo)準(zhǔn)體系,加強(qiáng)與ISO、3GPP、ITU等國際標(biāo)準(zhǔn)化組織的交流合作。構(gòu)建安全、穩(wěn)定發(fā)展的供應(yīng)鏈數(shù)據(jù)安全生態(tài)。
(4)不斷提升關(guān)鍵核心技術(shù),加強(qiáng)域外進(jìn)口產(chǎn)品服務(wù)的審查、評估力度
我國ICT核心產(chǎn)品、服務(wù)安全可控程度仍需進(jìn)一步提升。一是國內(nèi)方面,攻關(guān)核心技術(shù)。以企業(yè)主體市場為導(dǎo)向構(gòu)建創(chuàng)新體系。二是強(qiáng)化供應(yīng)鏈產(chǎn)品服務(wù)安全評估、審查。一方面,強(qiáng)化供應(yīng)鏈安全產(chǎn)品服務(wù)安全審查力度。對于域外進(jìn)口ICT產(chǎn)品和服務(wù),綜合考量,審查供應(yīng)鏈斷供風(fēng)險[4]。另一方面,加強(qiáng)核心供應(yīng)鏈產(chǎn)品服務(wù)安全評估。對供應(yīng)鏈安全產(chǎn)品服務(wù)強(qiáng)化安全風(fēng)險評估,確保整體產(chǎn)品服務(wù)的安全性[5]。
4 結(jié)束語
ICT供應(yīng)鏈安全管理對國家安全有著重要意義,是我國科技、產(chǎn)業(yè)安全發(fā)展的重要保障。當(dāng)前,我國ICT供應(yīng)鏈安全管理制度與西方發(fā)達(dá)國家在政策實施效果、成熟度、活躍度上還有一定差距,政策完善程度、監(jiān)管手段豐富性有待提升。為此,我國應(yīng)從對內(nèi)提升ICT供應(yīng)鏈安全競爭能力,對外增強(qiáng)ICT供應(yīng)鏈安全風(fēng)險能力入手,不斷提升ICT供應(yīng)鏈安全水平,保證我國ICT供應(yīng)鏈持續(xù)、健康發(fā)展。
