(中國信息通信研究院安全研究所����,北京 100191)
0 引言
在新冠肺炎疫情對全球經濟造成嚴重沖擊的情況下��,各國不斷加強信息通信技術(Information Communication Technology,ICT)產業創新體系構建,全球ICT供應鏈逐漸呈區域化、本地化�、多元化發展特點,ICT供應鏈安全逐漸成為各國關注重點���。在此背景下����,我國ICT供應鏈安全上升至國家戰略高度,不斷強化對ICT供應鏈安全管理���,亟待解決ICT供應鏈安全制度體系不健全等問題。為此��,本文研究立足于ICT網絡安全視角��,分析供應鏈安全制度架構��,明確法律法規、規劃指南��、標準規范�、手段舉措等,研判ICT供應鏈相關網絡安全制度布局和政策走向�����,并提出我國政策應對及完善建議����,有助于推動我國企業合規出海����、自主產業升級。
1 ICT供應鏈安全制度體系
為明確ICT供應鏈安全與網絡安全的關系,更清晰地分析ICT供應鏈安全制度情況,本文對ICT供應鏈概念定義、ICT供應鏈安全制度架構進行分析��,具體如下����。
在ICT供應鏈和ICT供應鏈安全概念上,國家標準GB/T 36637-2018定義:ICT供應鏈即網絡產品和服務的供應鏈,是指為滿足供應關系通過資源和過程將需方、供方相互連接的網鏈結構��。ICT供應鏈安全包括:網絡產品和服務不被攻擊���、篡改的完整性��;數據的保密性��;正常供應和快速恢復的可用性;數據透明度和問題追溯的可控性。結合信息安全技術GB/T 22239-2019網絡安全等級保護基本要求中對網絡安全的定義:通過采取必要措施防范對網絡的攻擊��、侵入�����、干擾���、破壞和非法使用以及意外事故�����,使網絡處于穩定可靠運行狀態�,以及保障網絡數據的完整性、保密性����、可用性的能力�����?梢钥闯����,網絡安全是ICT供應鏈安全的重要支撐�����。采取必要措施防范對網絡的攻擊����、侵入���、干擾、破壞和非法使用以及意外事故等��,對于保障供應鏈的完整性�、保密性、可控性而言至關重要[1]����。
ICT供應鏈安全制度方面���,主要包括安全戰略���、綜合計劃、法律法規���、標準規范以及手段措施5個組成要素,各要素特點如表1所示��。
在相關領域建設特點方面�,根據ICT供應鏈主要面臨的網絡安全、數據安全�、安全產品服務斷供風險�����,亟需從相關領域入手配合管理。在產業安全發展上����,各國以政府扶持為主�����、不斷強化安全審查,實施國家數量眾多�,政策更新頻率不斷結合發展情況實時更新調整��。數據流動安全上,各國管理形式多樣�����、嚴控管理標準�,實施國家數量上發達國家實施較多,政策更新頻率上政策出臺后使用周期較長�,加強管理手段力度以探索數據治理最佳實踐���。產品與服務安全上�,各國強化標準化方式檢測�、強化安全認證,定期出臺并更新政策�,加強對新興領域安全認證監管,制度體系較為完善����。
2 國外典型國家及地區ICT供應鏈安全制度發展現狀分析
依據上述ICT供應鏈安全制度體系分析�����,分析美洲、歐洲、亞洲等戰略��、計劃���、法律法規�����、標準規范中供應鏈安全制度監管重點及趨勢���,梳理各國制度實施效果����、活躍度�、成熟度,并與我國進行對比,總結我國ICT供應鏈安全制度差距�。
2.1 美國:ICT供應鏈安全制度向彈性和完整性不斷收緊
美國前期以維持自身供應鏈優勢為主要目標強化供應鏈安全政策�,新階段致力于加強ICT供應鏈彈性��、安全性和完整性��,政策措施與相關舉措具有實施效果較明顯,活躍度高、成熟度高的特點���。戰略層面上���,拜登2021簽署了關于美國供應鏈的14017號行政命令,以加強美國供應鏈的彈性,保障網絡安全���。綜合計劃上,啟動長期計劃提高企業風險應對能力,2020《“網絡安全成熟度模型認證”1.0版》要求6年內實現企業合規�����,幫助廠商識別��、評估和緩解ICT供應鏈風險信息��。標準規范上,美國出臺十余部標準保障供應鏈風險管理完整性,規范數據安全風險評估和持續監測。法律法規上��,以強化安全審查為主����,出臺2020《安全可信電信網絡法案》限制產品進出口以保障產品設備安全。
2.2 歐洲:ICT供應鏈安全管理按需發力呈多樣化監管
隨著國際形勢變化,歐洲管理方式更結合區域整體需求,制定通用的安全要求推動政企民一體化方式加強管理����,政策效果較明顯���,活躍度較高���,成熟度較高����。戰略層面上����,歐盟發布《歐盟網絡安全戰略》,整合公私部門,實施安全產業政企民一體化管理提高ICT供應鏈安全性����。綜合計劃上,歐盟開展“多元供應鏈審查計劃”“數字十年計劃”以構建多元化ICT供應鏈為主要目標�����,重構產業鏈安全產業����,實現供應和需求多元發展。標準規范上�,歐盟發布《網絡安全認證:候選EUCC方案V1.1.1》�,基于通用標準構建認證方案保障ICT供應鏈安全�����。法律法規上��,歐盟發布《歐盟外資審查框架法案》,將認證����、審查作為ICT供應鏈監管主要手段�����。手段措施上,通過反壟斷調查維護供應鏈市場健康[3]�����,細化產品與服務安全認證監管流程等���。
2.3 亞洲:ICT供應鏈安全發展整體跨度較大
亞洲國家將構建全球供應鏈作為重要經濟發展戰略�����,但部分國家ICT產業發展速度較為緩慢,內部整體發展水平跨度較大,對供應鏈安全需求迫切��,主要表現在以下幾個方面:戰略層面上,韓國發布《國家網絡安全戰略》����,東盟出臺《區域全面經濟伙伴關系協定》�����,重視ICT供應鏈安全構建與合作;綜合計劃上���,日本出臺《新信息通信技術戰略》,應對ICT供應鏈風險及安全建設�����;標準規范上�,日本出臺《關鍵信息基礎設施保護基本政策》,構建網絡安全管理框架積極開展互認�;法律法規上�����,韓國通過《保護及防止產業技術泄露法》,持續優化審查和監管機制�����;手段措施上�����,亞洲各國通過構建多元化供應鏈����,倡導ICT供應鏈安全彈性管理�����?傮w來看��,亞洲國家ICT供應鏈安全制度體系相對完善��,手段措施較為固定,但各國ICT供應鏈安全制度差距較大,主要在國家戰略和法律方面體現,從全球局勢和區域特點對本土供應鏈安全提出要求�,逐步通過政策���、手段措施等實施落地�。
表1 ICT供應鏈安全制度要素特點
2.4 中國:不斷加強ICT供應鏈安全監管力度
近年來����,我國對ICT供應鏈安全管理重視程度不斷上升,但當前配套政策完善程度仍有待提高,主要通過安全審查�����、設備安全等方面進行管理����。國家戰略上,發布《國家網絡安全空間戰略》,以審查為手段維護開放環境下ICT供應鏈安全�。法律法規上�,《中華人民共和國網絡安全法》從安全審查�����、產品認證�、風險評估等方面提出安全要求�����,提高供應鏈安全水平;《網絡安全審查辦法》細化審查要求�,多維度加強對ICT供應鏈安全管理���。標準規范上����,發布《信息安全技術 ICT供應鏈安全風險管理指南》細化供應鏈的安全風險應對過程和措施。2021年����,參與國際電信聯盟電信標準化局第20研究組向全球各國共享我國數字化供應鏈實踐成果����。手段措施上����,我國宣布建立清單制度應對不正當競爭行為,為保障國家重大核心優勢技術安全樹立屏障。
綜上所述,頂層設計上��,各國ICT供應鏈安全制度通常都包括國家戰略��、法律法規及標準規范,制度較完善國家采取綜合計劃對一段時間內的供應鏈保護工作進行規劃,其他國家則有待完善;政策范圍上��,各國均涉及安全產業、數據安全、產品與設備安全領域�����。
美國ICT供應鏈安全政策較為完善�����,且實施手段多樣�����。歐洲在ICT供應鏈安全管理呈現監管手段嚴苛�����、安全基線明確等管理特點��,政策更新較為活躍,對我國ICT供應鏈安全管理有較強借鑒意義��。亞洲ICT供應鏈安全制度整體情況與我國相似����,但我國在政策更新、活躍度等方面較為突出������?傮w看來�����,我國以審查為手段降低ICT供應鏈安全風險�����,呈現立法完善、政策主導等管理特點��,但監管手段�����、落實力度與歐美等發達國家相比還有提升的空間。
3 我國ICT供應鏈安全制度當前存在的問題及未來發展建議
通過上述與歐美等典型國家及地區間ICT供應鏈安全制度情況的橫向對比,總結我國ICT供應鏈安全制度現存的不足,從頂層設計����、安全產業�、數據安全��、產品服務安全幾方面提出針對性建議�����,為我國ICT供應鏈安全發展指明方向。
3.1 我國ICT供應鏈安全制度當前存在問題
ICT供應鏈安全頂層設計有待完善����,安全管理細則需進一步細化落實�����。在頂層設計方面���,尚且缺乏針對性的ICT供應鏈安全戰略規劃和指導��,從當前國內市場發展角度來看,缺乏針對ICT供應鏈外包等第三方企業的供應鏈安全管理對策����。在安全管理制度方面���,ICT供應鏈安全管理要求有待明確�����。我國ICT供應鏈安全管理僅在相關戰略、政策中提及加強供應鏈安全管理��,缺乏具體的管理要求細則�����,企業缺乏ICT供應鏈安全保障工作的相關指導,需進一步細化ICT供應鏈安全管理要求。
3.2 我國政策完善建議
為解決當前ICT供應鏈存在的問題和不足���,實現與美歐國家及地區的供應鏈政策發展接軌及超越,建立健全我國供應鏈安全制度體系,提出以下建議�。
(1)建立完善的ICT供應鏈安全頂層設計�,增強供應鏈韌性和安全性
我國亟需建立完善的ICT供應鏈安全保障體系��。一方面��,從國情和市場發展角度出發夯實頂層設計。強化ICT供應鏈各參與方管理。建立貫穿于ICT供應鏈全生命周期可信機制,明確信任驗證����、控制監督關系�����,實現對各環節網絡安全、數據安全的良好監控。另一方面�����,加強國際合作�����,推動我國供應鏈多元化發展�����,促進產業升級,減少供應斷供風險。
(2)創建可持續安全產業,提升安全產業整體綜合實力營造可信生態
當前���,我國網絡安全產業發展步入創新期��,需要綜合考慮國際安全產業發展優缺點����,促進網絡安全產業高效�����、有序�����、良性發展。一是對內提升安全產業整體實力���。構建多方協同的產業發展生態,加大產業鏈協同能力����,加快網絡安全成果轉化�。同時,規范網絡安全認證和評估�����。統一網絡安全專用產品的檢測標準和規范,支持合法設立的認證機構依法開展網絡安全認證���。二是構建對外安全合作良好環境�。鼓勵企業發揮自身優勢融入國際市場,國家通過采取資金支持、放寬知識產權等措施���,吸引跨國公司入駐。
(3)強化數據安全監管力度,加強網絡產品和服務供應鏈中的數據安全管理和合規審查
隨著數據安全在供應鏈中的重要程度不斷增加��,我國應從內外兩方面加強數據安全管理���,有效應對供應鏈中的數據安全威脅����。一是對內健全供應鏈中數據安全管理體系��。強化供應鏈中數據全生命周期安全管理����,明確數據供應鏈上�����、下游的責任和義務以及相關審核原則�,壓實企業責任����。二是對外積極合作探索供應鏈中數據管理實踐。促進供應鏈中數據國際治理經驗借鑒與交流���,完善網絡產品和服務中的數據安全合規性審核和分析。建立適合國際互信的供應鏈數據安全標準體系����,加強與ISO�����、3GPP、ITU等國際標準化組織的交流合作�����。構建安全��、穩定發展的供應鏈數據安全生態。
(4)不斷提升關鍵核心技術,加強域外進口產品服務的審查����、評估力度
我國ICT核心產品�、服務安全可控程度仍需進一步提升����。一是國內方面,攻關核心技術。以企業主體市場為導向構建創新體系。二是強化供應鏈產品服務安全評估����、審查����。一方面����,強化供應鏈安全產品服務安全審查力度。對于域外進口ICT產品和服務�����,綜合考量,審查供應鏈斷供風險[4]����。另一方面����,加強核心供應鏈產品服務安全評估�。對供應鏈安全產品服務強化安全風險評估���,確保整體產品服務的安全性[5]�。
4 結束語
ICT供應鏈安全管理對國家安全有著重要意義,是我國科技、產業安全發展的重要保障�。當前�����,我國ICT供應鏈安全管理制度與西方發達國家在政策實施效果、成熟度、活躍度上還有一定差距����,政策完善程度�����、監管手段豐富性有待提升。為此�,我國應從對內提升ICT供應鏈安全競爭能力��,對外增強ICT供應鏈安全風險能力入手,不斷提升ICT供應鏈安全水平,保證我國ICT供應鏈持續�����、健康發展���。
