(中国信息通信研究院安全研究所,北京 100191)
0 引言
在新冠肺炎疫情对全球经济造成严重冲击的情况下,各国不断加强信息通信技术(Information Communication Technology,ICT)产业创新体系构建,全球ICT供应链逐渐呈区域化、本地化、多元化发展特点,ICT供应链安全逐渐成为各国关注重点。在此背景下,我国ICT供应链安全上升至国家战略高度,不断强化对ICT供应链安全管理,亟待解决ICT供应链安全制度体系不健全等问题。为此,本文研究立足于ICT网络安全视角,分析供应链安全制度架构,明确法律法规、规划指南、标准规范、手段举措等,研判ICT供应链相关网络安全制度布局和政策走向,并提出我国政策应对及完善建议,有助于推动我国企业合规出海、自主产业升级。
1 ICT供应链安全制度体系
为明确ICT供应链安全与网络安全的关系,更清晰地分析ICT供应链安全制度情况,本文对ICT供应链概念定义、ICT供应链安全制度架构进行分析,具体如下。
在ICT供应链和ICT供应链安全概念上,国家标准GB/T 36637-2018定义:ICT供应链即网络产品和服务的供应链,是指为满足供应关系通过资源和过程将需方、供方相互连接的网链结构。ICT供应链安全包括:网络产品和服务不被攻击、篡改的完整性;数据的保密性;正常供应和快速恢复的可用性;数据透明度和问题追溯的可控性。结合信息安全技术GB/T 22239-2019网络安全等级保护基本要求中对网络安全的定义:通过采取必要措施防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行状态,以及保障网络数据的完整性、保密性、可用性的能力。可以看出,网络安全是ICT供应链安全的重要支撑。采取必要措施防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故等,对于保障供应链的完整性、保密性、可控性而言至关重要[1]。
ICT供应链安全制度方面,主要包括安全战略、综合计划、法律法规、标准规范以及手段措施5个组成要素,各要素特点如表1所示。
在相关领域建设特点方面,根据ICT供应链主要面临的网络安全、数据安全、安全产品服务断供风险,亟需从相关领域入手配合管理。在产业安全发展上,各国以政府扶持为主、不断强化安全审查,实施国家数量众多,政策更新频率不断结合发展情况实时更新调整。数据流动安全上,各国管理形式多样、严控管理标准,实施国家数量上发达国家实施较多,政策更新频率上政策出台后使用周期较长,加强管理手段力度以探索数据治理最佳实践。产品与服务安全上,各国强化标准化方式检测、强化安全认证,定期出台并更新政策,加强对新兴领域安全认证监管,制度体系较为完善。
2 国外典型国家及地区ICT供应链安全制度发展现状分析
依据上述ICT供应链安全制度体系分析,分析美洲、欧洲、亚洲等战略、计划、法律法规、标准规范中供应链安全制度监管重点及趋势,梳理各国制度实施效果、活跃度、成熟度,并与我国进行对比,总结我国ICT供应链安全制度差距。
2.1 美国:ICT供应链安全制度向弹性和完整性不断收紧
美国前期以维持自身供应链优势为主要目标强化供应链安全政策,新阶段致力于加强ICT供应链弹性、安全性和完整性,政策措施与相关举措具有实施效果较明显,活跃度高、成熟度高的特点。战略层面上,拜登2021签署了关于美国供应链的14017号行政命令,以加强美国供应链的弹性,保障网络安全。综合计划上,启动长期计划提高企业风险应对能力,2020《“网络安全成熟度模型认证”1.0版》要求6年内实现企业合规,帮助厂商识别、评估和缓解ICT供应链风险信息。标准规范上,美国出台十余部标准保障供应链风险管理完整性,规范数据安全风险评估和持续监测。法律法规上,以强化安全审查为主,出台2020《安全可信电信网络法案》限制产品进出口以保障产品设备安全。
2.2 欧洲:ICT供应链安全管理按需发力呈多样化监管
随着国际形势变化,欧洲管理方式更结合区域整体需求,制定通用的安全要求推动政企民一体化方式加强管理,政策效果较明显,活跃度较高,成熟度较高。战略层面上,欧盟发布《欧盟网络安全战略》,整合公私部门,实施安全产业政企民一体化管理提高ICT供应链安全性。综合计划上,欧盟开展“多元供应链审查计划”“数字十年计划”以构建多元化ICT供应链为主要目标,重构产业链安全产业,实现供应和需求多元发展。标准规范上,欧盟发布《网络安全认证:候选EUCC方案V1.1.1》,基于通用标准构建认证方案保障ICT供应链安全。法律法规上,欧盟发布《欧盟外资审查框架法案》,将认证、审查作为ICT供应链监管主要手段。手段措施上,通过反垄断调查维护供应链市场健康[3],细化产品与服务安全认证监管流程等。
2.3 亚洲:ICT供应链安全发展整体跨度较大
亚洲国家将构建全球供应链作为重要经济发展战略,但部分国家ICT产业发展速度较为缓慢,内部整体发展水平跨度较大,对供应链安全需求迫切,主要表现在以下几个方面:战略层面上,韩国发布《国家网络安全战略》,东盟出台《区域全面经济伙伴关系协定》,重视ICT供应链安全构建与合作;综合计划上,日本出台《新信息通信技术战略》,应对ICT供应链风险及安全建设;标准规范上,日本出台《关键信息基础设施保护基本政策》,构建网络安全管理框架积极开展互认;法律法规上,韩国通过《保护及防止产业技术泄露法》,持续优化审查和监管机制;手段措施上,亚洲各国通过构建多元化供应链,倡导ICT供应链安全弹性管理。总体来看,亚洲国家ICT供应链安全制度体系相对完善,手段措施较为固定,但各国ICT供应链安全制度差距较大,主要在国家战略和法律方面体现,从全球局势和区域特点对本土供应链安全提出要求,逐步通过政策、手段措施等实施落地。
表1 ICT供应链安全制度要素特点
2.4 中国:不断加强ICT供应链安全监管力度
近年来,我国对ICT供应链安全管理重视程度不断上升,但当前配套政策完善程度仍有待提高,主要通过安全审查、设备安全等方面进行管理。国家战略上,发布《国家网络安全空间战略》,以审查为手段维护开放环境下ICT供应链安全。法律法规上,《中华人民共和国网络安全法》从安全审查、产品认证、风险评估等方面提出安全要求,提高供应链安全水平;《网络安全审查办法》细化审查要求,多维度加强对ICT供应链安全管理。标准规范上,发布《信息安全技术 ICT供应链安全风险管理指南》细化供应链的安全风险应对过程和措施。2021年,参与国际电信联盟电信标准化局第20研究组向全球各国共享我国数字化供应链实践成果。手段措施上,我国宣布建立清单制度应对不正当竞争行为,为保障国家重大核心优势技术安全树立屏障。
综上所述,顶层设计上,各国ICT供应链安全制度通常都包括国家战略、法律法规及标准规范,制度较完善国家采取综合计划对一段时间内的供应链保护工作进行规划,其他国家则有待完善;政策范围上,各国均涉及安全产业、数据安全、产品与设备安全领域。
美国ICT供应链安全政策较为完善,且实施手段多样。欧洲在ICT供应链安全管理呈现监管手段严苛、安全基线明确等管理特点,政策更新较为活跃,对我国ICT供应链安全管理有较强借鉴意义。亚洲ICT供应链安全制度整体情况与我国相似,但我国在政策更新、活跃度等方面较为突出。总体看来,我国以审查为手段降低ICT供应链安全风险,呈现立法完善、政策主导等管理特点,但监管手段、落实力度与欧美等发达国家相比还有提升的空间。
3 我国ICT供应链安全制度当前存在的问题及未来发展建议
通过上述与欧美等典型国家及地区间ICT供应链安全制度情况的横向对比,总结我国ICT供应链安全制度现存的不足,从顶层设计、安全产业、数据安全、产品服务安全几方面提出针对性建议,为我国ICT供应链安全发展指明方向。
3.1 我国ICT供应链安全制度当前存在问题
ICT供应链安全顶层设计有待完善,安全管理细则需进一步细化落实。在顶层设计方面,尚且缺乏针对性的ICT供应链安全战略规划和指导,从当前国内市场发展角度来看,缺乏针对ICT供应链外包等第三方企业的供应链安全管理对策。在安全管理制度方面,ICT供应链安全管理要求有待明确。我国ICT供应链安全管理仅在相关战略、政策中提及加强供应链安全管理,缺乏具体的管理要求细则,企业缺乏ICT供应链安全保障工作的相关指导,需进一步细化ICT供应链安全管理要求。
3.2 我国政策完善建议
为解决当前ICT供应链存在的问题和不足,实现与美欧国家及地区的供应链政策发展接轨及超越,建立健全我国供应链安全制度体系,提出以下建议。
(1)建立完善的ICT供应链安全顶层设计,增强供应链韧性和安全性
我国亟需建立完善的ICT供应链安全保障体系。一方面,从国情和市场发展角度出发夯实顶层设计。强化ICT供应链各参与方管理。建立贯穿于ICT供应链全生命周期可信机制,明确信任验证、控制监督关系,实现对各环节网络安全、数据安全的良好监控。另一方面,加强国际合作,推动我国供应链多元化发展,促进产业升级,减少供应断供风险。
(2)创建可持续安全产业,提升安全产业整体综合实力营造可信生态
当前,我国网络安全产业发展步入创新期,需要综合考虑国际安全产业发展优缺点,促进网络安全产业高效、有序、良性发展。一是对内提升安全产业整体实力。构建多方协同的产业发展生态,加大产业链协同能力,加快网络安全成果转化。同时,规范网络安全认证和评估。统一网络安全专用产品的检测标准和规范,支持合法设立的认证机构依法开展网络安全认证。二是构建对外安全合作良好环境。鼓励企业发挥自身优势融入国际市场,国家通过采取资金支持、放宽知识产权等措施,吸引跨国公司入驻。
(3)强化数据安全监管力度,加强网络产品和服务供应链中的数据安全管理和合规审查
随着数据安全在供应链中的重要程度不断增加,我国应从内外两方面加强数据安全管理,有效应对供应链中的数据安全威胁。一是对内健全供应链中数据安全管理体系。强化供应链中数据全生命周期安全管理,明确数据供应链上、下游的责任和义务以及相关审核原则,压实企业责任。二是对外积极合作探索供应链中数据管理实践。促进供应链中数据国际治理经验借鉴与交流,完善网络产品和服务中的数据安全合规性审核和分析。建立适合国际互信的供应链数据安全标准体系,加强与ISO、3GPP、ITU等国际标准化组织的交流合作。构建安全、稳定发展的供应链数据安全生态。
(4)不断提升关键核心技术,加强域外进口产品服务的审查、评估力度
我国ICT核心产品、服务安全可控程度仍需进一步提升。一是国内方面,攻关核心技术。以企业主体市场为导向构建创新体系。二是强化供应链产品服务安全评估、审查。一方面,强化供应链安全产品服务安全审查力度。对于域外进口ICT产品和服务,综合考量,审查供应链断供风险[4]。另一方面,加强核心供应链产品服务安全评估。对供应链安全产品服务强化安全风险评估,确保整体产品服务的安全性[5]。
4 结束语
ICT供应链安全管理对国家安全有着重要意义,是我国科技、产业安全发展的重要保障。当前,我国ICT供应链安全管理制度与西方发达国家在政策实施效果、成熟度、活跃度上还有一定差距,政策完善程度、监管手段丰富性有待提升。为此,我国应从对内提升ICT供应链安全竞争能力,对外增强ICT供应链安全风险能力入手,不断提升ICT供应链安全水平,保证我国ICT供应链持续、健康发展。