2021年8月17日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱《條例》）公布，標(biāo)志著國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的制度設(shè)計(jì)已經(jīng)完成，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作進(jìn)入新階段。當(dāng)今社會(huì)的正常穩(wěn)定運(yùn)行，越來(lái)越離不開關(guān)鍵信息基礎(chǔ)設(shè)施的支撐。鐵路、民航、公路等交通運(yùn)輸系統(tǒng)，奔騰不息，給人民群眾出行帶來(lái)便利，也為經(jīng)濟(jì)社會(huì)運(yùn)行輸運(yùn)物資；電力、石油等能源系統(tǒng)，日夜工作，為經(jīng)濟(jì)社會(huì)運(yùn)行輸送“血液”；通信、互聯(lián)網(wǎng)平臺(tái)等公共通信和信息服務(wù)系統(tǒng)，時(shí)時(shí)互聯(lián)，方便大家溝通的同時(shí)，承載了大量的國(guó)家重要數(shù)據(jù)和個(gè)人信息。

　　保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的一個(gè)很重要方面是確保關(guān)鍵信息基礎(chǔ)設(shè)施使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈安全。網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈安全風(fēng)險(xiǎn)在當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下日顯突出，一旦出現(xiàn)問(wèn)題會(huì)給關(guān)鍵信息基礎(chǔ)設(shè)施帶來(lái)嚴(yán)重危害。2020年12月13日，F(xiàn)ireEye發(fā)布了關(guān)于“太陽(yáng)風(fēng)”供應(yīng)鏈攻擊的通告，某基礎(chǔ)網(wǎng)絡(luò)管理軟件的軟件更新包中被黑客植入后門。該事件波及范圍極大，約有超過(guò)250家美國(guó)聯(lián)邦機(jī)構(gòu)和企業(yè)受到影響。總體而言，供應(yīng)鏈安全存在以下四個(gè)方面的主要風(fēng)險(xiǎn)：

　　（一）網(wǎng)絡(luò)產(chǎn)品和服務(wù)自身安全風(fēng)險(xiǎn)，以及被非法控制、干擾和中斷運(yùn)行的風(fēng)險(xiǎn)；

　　（二）網(wǎng)絡(luò)產(chǎn)品及關(guān)鍵部件生產(chǎn)、測(cè)試、交付、技術(shù)支持過(guò)程中的供應(yīng)鏈安全風(fēng)險(xiǎn)；

　　（三）網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲(chǔ)、處理、使用用戶相關(guān)信息的風(fēng)險(xiǎn)；

　　（四）網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用用戶對(duì)產(chǎn)品和服務(wù)的依賴，損害網(wǎng)絡(luò)安全和用戶利益的風(fēng)險(xiǎn)。

　　黨中央和國(guó)務(wù)院高度重視關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全，習(xí)近平總書記曾經(jīng)指出“供應(yīng)鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經(jīng)不起風(fēng)雨，甚至?xí)豢耙粨簟薄！稐l例》第十九條明確“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查。”為控制關(guān)鍵信息基礎(chǔ)供應(yīng)鏈安全風(fēng)險(xiǎn)，國(guó)家陸續(xù)出臺(tái)了相關(guān)制度，建立并不斷完善供應(yīng)鏈安全保障體系。

　　一是網(wǎng)絡(luò)安全審查制度。2020年4月13日，國(guó)家網(wǎng)信辦等12部委聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》（以下簡(jiǎn)稱《審查辦法》），第一條即明確，該辦法的制定是為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。要求“運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的，應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)。影響或者可能影響國(guó)家安全的，應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查”；明確審查范圍是“核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)，以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”；指出運(yùn)營(yíng)者應(yīng)當(dāng)申報(bào)網(wǎng)絡(luò)安全審查，而沒有申報(bào)或者使用網(wǎng)絡(luò)安全審查未通過(guò)的產(chǎn)品和服務(wù)，根據(jù)《網(wǎng)絡(luò)安全法》第六十五條規(guī)定，由有關(guān)主管部門責(zé)令停止使用，處采購(gòu)金額一倍以上十倍以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款（與《條例》第四十一條一致）。

　　二是云計(jì)算服務(wù)安全評(píng)估制度。為提高關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)使用云計(jì)算服務(wù)的安全可控水平，2019年7月2日，國(guó)家網(wǎng)信辦、發(fā)展改革委、工信部、財(cái)政部等4部委聯(lián)合制定了《云計(jì)算服務(wù)安全評(píng)估辦法》（以下簡(jiǎn)稱《云評(píng)估辦法》）。通過(guò)《云評(píng)估辦法》的實(shí)施，客觀評(píng)價(jià)、嚴(yán)格監(jiān)督云平臺(tái)的安全性和可控性，特別提出了要重點(diǎn)評(píng)估“云平臺(tái)技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況”。通過(guò)云計(jì)算服務(wù)安全評(píng)估的實(shí)施，提高關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域云計(jì)算服務(wù)準(zhǔn)入門檻，為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者把關(guān)。此外，云計(jì)算服務(wù)安全評(píng)估工作機(jī)制辦公室還通過(guò)抽查等方式，對(duì)通過(guò)評(píng)估的云平臺(tái)進(jìn)行持續(xù)監(jiān)督，確保云平臺(tái)在安全控制措施有效性、應(yīng)急響應(yīng)、風(fēng)險(xiǎn)處置等方面持續(xù)符合要求。

　　三是網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全檢測(cè)認(rèn)證。2017年6月1日，國(guó)家網(wǎng)信辦、工信部、公安部、國(guó)家認(rèn)監(jiān)委聯(lián)合發(fā)布公告，制定了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，明確了應(yīng)進(jìn)行安全認(rèn)證或檢測(cè)的15類網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，要求這些設(shè)備和產(chǎn)品按照國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，安全認(rèn)證合格或安全檢測(cè)符合要求后方可銷售或提供。這項(xiàng)工作對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施使用的重要設(shè)備和產(chǎn)品提出了強(qiáng)制性的合規(guī)要求，為關(guān)鍵信息基礎(chǔ)設(shè)施產(chǎn)品提供基礎(chǔ)保障。

　　四是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全管理和督促檢查。《條例》第十九條明確“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。國(guó)家網(wǎng)信辦牽頭，會(huì)同工信部、國(guó)資委以及有關(guān)保護(hù)工作部門持續(xù)開展中央部門和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者供應(yīng)鏈安全督促檢查工作，了解各單位供應(yīng)鏈安全管理情況，重點(diǎn)檢查運(yùn)營(yíng)者優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)方面的組織保障、制度建設(shè)和執(zhí)行情況，提高運(yùn)營(yíng)者對(duì)供應(yīng)鏈安全管理的重視程度，促進(jìn)運(yùn)營(yíng)者加快開展供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估，嚴(yán)格按照國(guó)家有關(guān)要求開展重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)、部署、使用和維護(hù)，降低供應(yīng)鏈安全風(fēng)險(xiǎn)。

　　除以上關(guān)鍵信息基礎(chǔ)供應(yīng)鏈安全風(fēng)險(xiǎn)保障措施外，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者“履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度”的要求，國(guó)家制定了《個(gè)人信息安全規(guī)范》等國(guó)家標(biāo)準(zhǔn)，并擬開展數(shù)據(jù)安全管理認(rèn)證工作，以更好地指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開展個(gè)人信息和數(shù)據(jù)安全保護(hù)工作。

　　《條例》的發(fā)布，劃定了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，明確了運(yùn)營(yíng)者、保護(hù)工作部門，以及有關(guān)網(wǎng)絡(luò)安全職能部門的職責(zé)，為開展關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全工作提供了制度保障。相信在國(guó)家網(wǎng)信辦的統(tǒng)籌協(xié)調(diào)下，在運(yùn)營(yíng)者的積極參與下，關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全工作一定會(huì)邁上一個(gè)新的臺(tái)階。