(中國信息通信研究院安全研究所，北京 100191)

0 引言

在新冠肺炎疫情對全球經(jīng)濟造成嚴重沖擊的情況下，各國不斷加強信息通信技術(Information Communication Technology，ICT)產(chǎn)業(yè)創(chuàng)新體系構建，全球ICT供應鏈逐漸呈區(qū)域化、本地化、多元化發(fā)展特點，ICT供應鏈安全逐漸成為各國關注重點。在此背景下，我國ICT供應鏈安全上升至國家戰(zhàn)略高度，不斷強化對ICT供應鏈安全管理，亟待解決ICT供應鏈安全制度體系不健全等問題。為此，本文研究立足于ICT網(wǎng)絡安全視角，分析供應鏈安全制度架構，明確法律法規(guī)、規(guī)劃指南、標準規(guī)范、手段舉措等,研判ICT供應鏈相關網(wǎng)絡安全制度布局和政策走向，并提出我國政策應對及完善建議，有助于推動我國企業(yè)合規(guī)出海、自主產(chǎn)業(yè)升級。

1 ICT供應鏈安全制度體系

為明確ICT供應鏈安全與網(wǎng)絡安全的關系，更清晰地分析ICT供應鏈安全制度情況，本文對ICT供應鏈概念定義、ICT供應鏈安全制度架構進行分析，具體如下。

在ICT供應鏈和ICT供應鏈安全概念上，國家標準GB/T 36637-2018定義：ICT供應鏈即網(wǎng)絡產(chǎn)品和服務的供應鏈，是指為滿足供應關系通過資源和過程將需方、供方相互連接的網(wǎng)鏈結構。ICT供應鏈安全包括：網(wǎng)絡產(chǎn)品和服務不被攻擊、篡改的完整性；數(shù)據(jù)的保密性；正常供應和快速恢復的可用性；數(shù)據(jù)透明度和問題追溯的可控性。結合信息安全技術GB/T 22239-2019網(wǎng)絡安全等級保護基本要求中對網(wǎng)絡安全的定義：通過采取必要措施防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力?？梢钥闯?，網(wǎng)絡安全是ICT供應鏈安全的重要支撐。采取必要措施防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故等，對于保障供應鏈的完整性、保密性、可控性而言至關重要[1]。

ICT供應鏈安全制度方面，主要包括安全戰(zhàn)略、綜合計劃、法律法規(guī)、標準規(guī)范以及手段措施5個組成要素，各要素特點如表1所示。

在相關領域建設特點方面，根據(jù)ICT供應鏈主要面臨的網(wǎng)絡安全、數(shù)據(jù)安全、安全產(chǎn)品服務斷供風險，亟需從相關領域入手配合管理。在產(chǎn)業(yè)安全發(fā)展上，各國以政府扶持為主、不斷強化安全審查，實施國家數(shù)量眾多，政策更新頻率不斷結合發(fā)展情況實時更新調整。數(shù)據(jù)流動安全上，各國管理形式多樣、嚴控管理標準，實施國家數(shù)量上發(fā)達國家實施較多，政策更新頻率上政策出臺后使用周期較長，加強管理手段力度以探索數(shù)據(jù)治理最佳實踐。產(chǎn)品與服務安全上，各國強化標準化方式檢測、強化安全認證，定期出臺并更新政策，加強對新興領域安全認證監(jiān)管，制度體系較為完善。

2 國外典型國家及地區(qū)ICT供應鏈安全制度發(fā)展現(xiàn)狀分析

依據(jù)上述ICT供應鏈安全制度體系分析，分析美洲、歐洲、亞洲等戰(zhàn)略、計劃、法律法規(guī)、標準規(guī)范中供應鏈安全制度監(jiān)管重點及趨勢，梳理各國制度實施效果、活躍度、成熟度，并與我國進行對比，總結我國ICT供應鏈安全制度差距。

2.1 美國：ICT供應鏈安全制度向彈性和完整性不斷收緊

美國前期以維持自身供應鏈優(yōu)勢為主要目標強化供應鏈安全政策，新階段致力于加強ICT供應鏈彈性、安全性和完整性，政策措施與相關舉措具有實施效果較明顯，活躍度高、成熟度高的特點。戰(zhàn)略層面上，拜登2021簽署了關于美國供應鏈的14017號行政命令，以加強美國供應鏈的彈性，保障網(wǎng)絡安全。綜合計劃上，啟動長期計劃提高企業(yè)風險應對能力，2020《“網(wǎng)絡安全成熟度模型認證”1.0版》要求6年內實現(xiàn)企業(yè)合規(guī)，幫助廠商識別、評估和緩解ICT供應鏈風險信息。標準規(guī)范上，美國出臺十余部標準保障供應鏈風險管理完整性，規(guī)范數(shù)據(jù)安全風險評估和持續(xù)監(jiān)測。法律法規(guī)上，以強化安全審查為主，出臺2020《安全可信電信網(wǎng)絡法案》限制產(chǎn)品進出口以保障產(chǎn)品設備安全。

2.2 歐洲：ICT供應鏈安全管理按需發(fā)力呈多樣化監(jiān)管

隨著國際形勢變化，歐洲管理方式更結合區(qū)域整體需求，制定通用的安全要求推動政企民一體化方式加強管理，政策效果較明顯，活躍度較高，成熟度較高。戰(zhàn)略層面上，歐盟發(fā)布《歐盟網(wǎng)絡安全戰(zhàn)略》，整合公私部門，實施安全產(chǎn)業(yè)政企民一體化管理提高ICT供應鏈安全性。綜合計劃上，歐盟開展“多元供應鏈審查計劃”“數(shù)字十年計劃”以構建多元化ICT供應鏈為主要目標，重構產(chǎn)業(yè)鏈安全產(chǎn)業(yè)，實現(xiàn)供應和需求多元發(fā)展。標準規(guī)范上，歐盟發(fā)布《網(wǎng)絡安全認證：候選EUCC方案V1.1.1》，基于通用標準構建認證方案保障ICT供應鏈安全。法律法規(guī)上，歐盟發(fā)布《歐盟外資審查框架法案》，將認證、審查作為ICT供應鏈監(jiān)管主要手段。手段措施上，通過反壟斷調查維護供應鏈市場健康[3]，細化產(chǎn)品與服務安全認證監(jiān)管流程等。

2.3 亞洲：ICT供應鏈安全發(fā)展整體跨度較大

亞洲國家將構建全球供應鏈作為重要經(jīng)濟發(fā)展戰(zhàn)略，但部分國家ICT產(chǎn)業(yè)發(fā)展速度較為緩慢，內部整體發(fā)展水平跨度較大，對供應鏈安全需求迫切，主要表現(xiàn)在以下幾個方面：戰(zhàn)略層面上，韓國發(fā)布《國家網(wǎng)絡安全戰(zhàn)略》，東盟出臺《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》，重視ICT供應鏈安全構建與合作；綜合計劃上，日本出臺《新信息通信技術戰(zhàn)略》，應對ICT供應鏈風險及安全建設；標準規(guī)范上，日本出臺《關鍵信息基礎設施保護基本政策》，構建網(wǎng)絡安全管理框架積極開展互認；法律法規(guī)上，韓國通過《保護及防止產(chǎn)業(yè)技術泄露法》，持續(xù)優(yōu)化審查和監(jiān)管機制；手段措施上，亞洲各國通過構建多元化供應鏈，倡導ICT供應鏈安全彈性管理。總體來看，亞洲國家ICT供應鏈安全制度體系相對完善，手段措施較為固定，但各國ICT供應鏈安全制度差距較大，主要在國家戰(zhàn)略和法律方面體現(xiàn)，從全球局勢和區(qū)域特點對本土供應鏈安全提出要求，逐步通過政策、手段措施等實施落地。

表1 ICT供應鏈安全制度要素特點

2.4 中國：不斷加強ICT供應鏈安全監(jiān)管力度

近年來，我國對ICT供應鏈安全管理重視程度不斷上升，但當前配套政策完善程度仍有待提高，主要通過安全審查、設備安全等方面進行管理。國家戰(zhàn)略上，發(fā)布《國家網(wǎng)絡安全空間戰(zhàn)略》，以審查為手段維護開放環(huán)境下ICT供應鏈安全。法律法規(guī)上，《中華人民共和國網(wǎng)絡安全法》從安全審查、產(chǎn)品認證、風險評估等方面提出安全要求，提高供應鏈安全水平；《網(wǎng)絡安全審查辦法》細化審查要求，多維度加強對ICT供應鏈安全管理。標準規(guī)范上，發(fā)布《信息安全技術 ICT供應鏈安全風險管理指南》細化供應鏈的安全風險應對過程和措施。2021年，參與國際電信聯(lián)盟電信標準化局第20研究組向全球各國共享我國數(shù)字化供應鏈實踐成果。手段措施上，我國宣布建立清單制度應對不正當競爭行為，為保障國家重大核心優(yōu)勢技術安全樹立屏障。

綜上所述，頂層設計上，各國ICT供應鏈安全制度通常都包括國家戰(zhàn)略、法律法規(guī)及標準規(guī)范，制度較完善國家采取綜合計劃對一段時間內的供應鏈保護工作進行規(guī)劃，其他國家則有待完善；政策范圍上，各國均涉及安全產(chǎn)業(yè)、數(shù)據(jù)安全、產(chǎn)品與設備安全領域。

美國ICT供應鏈安全政策較為完善，且實施手段多樣。歐洲在ICT供應鏈安全管理呈現(xiàn)監(jiān)管手段嚴苛、安全基線明確等管理特點，政策更新較為活躍，對我國ICT供應鏈安全管理有較強借鑒意義。亞洲ICT供應鏈安全制度整體情況與我國相似，但我國在政策更新、活躍度等方面較為突出?？傮w看來，我國以審查為手段降低ICT供應鏈安全風險，呈現(xiàn)立法完善、政策主導等管理特點，但監(jiān)管手段、落實力度與歐美等發(fā)達國家相比還有提升的空間。

3 我國ICT供應鏈安全制度當前存在的問題及未來發(fā)展建議

通過上述與歐美等典型國家及地區(qū)間ICT供應鏈安全制度情況的橫向對比，總結我國ICT供應鏈安全制度現(xiàn)存的不足，從頂層設計、安全產(chǎn)業(yè)、數(shù)據(jù)安全、產(chǎn)品服務安全幾方面提出針對性建議，為我國ICT供應鏈安全發(fā)展指明方向。

3.1 我國ICT供應鏈安全制度當前存在問題

ICT供應鏈安全頂層設計有待完善，安全管理細則需進一步細化落實。在頂層設計方面，尚且缺乏針對性的ICT供應鏈安全戰(zhàn)略規(guī)劃和指導，從當前國內市場發(fā)展角度來看，缺乏針對ICT供應鏈外包等第三方企業(yè)的供應鏈安全管理對策。在安全管理制度方面，ICT供應鏈安全管理要求有待明確。我國ICT供應鏈安全管理僅在相關戰(zhàn)略、政策中提及加強供應鏈安全管理，缺乏具體的管理要求細則，企業(yè)缺乏ICT供應鏈安全保障工作的相關指導，需進一步細化ICT供應鏈安全管理要求。

3.2 我國政策完善建議

為解決當前ICT供應鏈存在的問題和不足，實現(xiàn)與美歐國家及地區(qū)的供應鏈政策發(fā)展接軌及超越，建立健全我國供應鏈安全制度體系，提出以下建議。

(1)建立完善的ICT供應鏈安全頂層設計，增強供應鏈韌性和安全性

我國亟需建立完善的ICT供應鏈安全保障體系。一方面，從國情和市場發(fā)展角度出發(fā)夯實頂層設計。強化ICT供應鏈各參與方管理。建立貫穿于ICT供應鏈全生命周期可信機制，明確信任驗證、控制監(jiān)督關系，實現(xiàn)對各環(huán)節(jié)網(wǎng)絡安全、數(shù)據(jù)安全的良好監(jiān)控。另一方面，加強國際合作，推動我國供應鏈多元化發(fā)展，促進產(chǎn)業(yè)升級，減少供應斷供風險。

(2)創(chuàng)建可持續(xù)安全產(chǎn)業(yè)，提升安全產(chǎn)業(yè)整體綜合實力營造可信生態(tài)

當前，我國網(wǎng)絡安全產(chǎn)業(yè)發(fā)展步入創(chuàng)新期，需要綜合考慮國際安全產(chǎn)業(yè)發(fā)展優(yōu)缺點，促進網(wǎng)絡安全產(chǎn)業(yè)高效、有序、良性發(fā)展。一是對內提升安全產(chǎn)業(yè)整體實力。構建多方協(xié)同的產(chǎn)業(yè)發(fā)展生態(tài)，加大產(chǎn)業(yè)鏈協(xié)同能力，加快網(wǎng)絡安全成果轉化。同時，規(guī)范網(wǎng)絡安全認證和評估。統(tǒng)一網(wǎng)絡安全專用產(chǎn)品的檢測標準和規(guī)范,支持合法設立的認證機構依法開展網(wǎng)絡安全認證。二是構建對外安全合作良好環(huán)境。鼓勵企業(yè)發(fā)揮自身優(yōu)勢融入國際市場，國家通過采取資金支持、放寬知識產(chǎn)權等措施，吸引跨國公司入駐。

(3)強化數(shù)據(jù)安全監(jiān)管力度，加強網(wǎng)絡產(chǎn)品和服務供應鏈中的數(shù)據(jù)安全管理和合規(guī)審查

隨著數(shù)據(jù)安全在供應鏈中的重要程度不斷增加，我國應從內外兩方面加強數(shù)據(jù)安全管理，有效應對供應鏈中的數(shù)據(jù)安全威脅。一是對內健全供應鏈中數(shù)據(jù)安全管理體系。強化供應鏈中數(shù)據(jù)全生命周期安全管理，明確數(shù)據(jù)供應鏈上、下游的責任和義務以及相關審核原則，壓實企業(yè)責任。二是對外積極合作探索供應鏈中數(shù)據(jù)管理實踐。促進供應鏈中數(shù)據(jù)國際治理經(jīng)驗借鑒與交流，完善網(wǎng)絡產(chǎn)品和服務中的數(shù)據(jù)安全合規(guī)性審核和分析。建立適合國際互信的供應鏈數(shù)據(jù)安全標準體系，加強與ISO、3GPP、ITU等國際標準化組織的交流合作。構建安全、穩(wěn)定發(fā)展的供應鏈數(shù)據(jù)安全生態(tài)。

(4)不斷提升關鍵核心技術，加強域外進口產(chǎn)品服務的審查、評估力度

我國ICT核心產(chǎn)品、服務安全可控程度仍需進一步提升。一是國內方面，攻關核心技術。以企業(yè)主體市場為導向構建創(chuàng)新體系。二是強化供應鏈產(chǎn)品服務安全評估、審查。一方面，強化供應鏈安全產(chǎn)品服務安全審查力度。對于域外進口ICT產(chǎn)品和服務，綜合考量，審查供應鏈斷供風險[4]。另一方面，加強核心供應鏈產(chǎn)品服務安全評估。對供應鏈安全產(chǎn)品服務強化安全風險評估，確保整體產(chǎn)品服務的安全性[5]。

4 結束語

ICT供應鏈安全管理對國家安全有著重要意義，是我國科技、產(chǎn)業(yè)安全發(fā)展的重要保障。當前，我國ICT供應鏈安全管理制度與西方發(fā)達國家在政策實施效果、成熟度、活躍度上還有一定差距，政策完善程度、監(jiān)管手段豐富性有待提升。為此，我國應從對內提升ICT供應鏈安全競爭能力，對外增強ICT供應鏈安全風險能力入手，不斷提升ICT供應鏈安全水平，保證我國ICT供應鏈持續(xù)、健康發(fā)展。