下载掌阅APP,畅读海量书库
立即打开
基础设施信息系统的供应链安全问题是近年来备受关注的一个话题,不仅因为它关系到国家的经济发展和企业的生产运营,更因为频频发生黑客利用安全漏洞进行攻击的事件,这给整个社会带来了严重的安全隐患。
在现代经济中,基础设施信息系统扮演着十分重要的角色。基础设施信息系统能够有效地协调和管理各种基础设施(如道路、桥梁、水利工程、能源、通信等),使得社会各个方面得以更加高效地运转。与此同时,基础设施信息系统的供应链环节也是保障其生产和服务正常运行的关键节点,一旦出现安全问题很可能导致生产线停滞、企业损失惨重,甚至引发供应链中其他企业的连锁反应,形成恶性循环,从而严重影响整个行业甚至整个国家的经济运行。
关键信息基础设施(Critical Information Infrastructure,CII),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。如今,在各国竞争日益加剧的时代大背景下,我国关键信息基础设施信息系统安全事关国家安全与行业发展,其供应链安全也面临着日益严峻的挑战。主要表现在以下几个方面。首先,在基础工业层面,我国在零部件、材料、工艺等核心技术领域仍存在一些不足,低端产品出口过剩,高端产品依赖进口,与发达国家在部分高端领域的差距明显,关键核心技术被国外企业垄断。由于这些技术复杂且需要长期研发投入,国外企业在该领域已构筑了较高的技术壁垒。其次,在核心元器件方面,微控制单元(Microcontroller Unit,MU)、数字信号处理(Digital Signal Processor,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)等核心元器件以及数据采集与监控系统(Supervisory Control and Data Acquisition,SCADA)、可编程逻辑控制器(Programmable Logic Controller,PLC)、集散控制系统(Distributed Control System,DCS)等系统市场大部分被国外产品占据;超高精度机床、高端工业机器人等关键技术及产品也多由国外厂商掌控。接着,在专业软件开发过程中,我国面临顶层系统架构设计难度大、开发工具使用门槛高、硬件环境搭建成本高等问题,且知识产权受制于人,多数国产软件基于国外技术进行二次开发或集成,核心技术产权依然归属国外企业,导致我国基础工业技术自主创新能力较弱,知识产权控制力不足。此外,供应链网络攻击风险不容忽视,这种风险往往源于企业外部合作伙伴的安全漏洞,可能对企业的数据和系统造成破坏。供应链攻击活动贯穿产品开发、交付、使用的各个环节,利用多种手段实施恶意攻击,使原材料采购、生产加工、运输配送乃至售后等多个环节都存在网络安全隐患。一旦关键信息基础设施信息系统供应链遭受攻击,由于攻击隐蔽性强、破坏范围广,即使发现后,通过召回或升级产品来阻止攻击的成本高昂且耗时较长,应对难度较大。最后,针对关键信息基础设施供应链安全的技术防护产品尚处于研发攻关阶段。我国现有的安全厂商主要聚焦于网络安全业务,对于工业信息安全、工业互联网安全等领域的防护产品和技术积累相对有限。现有安全能力主要侧重于提升单个工业设备、控制系统或企业的安全防御水平,难以全面保障工业互联网供应链各环节的整体安全。
2021年4月,《关键信息基础设施安全保护条例》在国务院第133次常务会议上通过,旨在保障关键信息基础设施安全及维护网络安全。该条例第十九条明确:运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
“治理”这一概念包含了运用法治框架、公共机制、管理策略和技术手段来实施有效管控的理念。它是指在特定领域中,决策者设定目标、构建规则并解决相关问题的过程。著名治理理论的奠基人之一詹姆斯·罗西瑙指出,治理体现在那些填补正式规制空白、调解不同规则间矛盾冲突以及协调相互竞争利益关系的原则、规范、规则和决策程序之中。对于“关键信息基础设施信息系统供应链安全治理”的理解,则是在此背景下,特指政府、企业等各方主体为了确保关键信息基础设施信息系统供应链的安全,通过制定法律法规并结合跨组织技术协作等非正式合作形式,共同参与和持续互动以达成安全管理目标的整个动态过程。这意味着各方主体需通力合作,不仅在政策层面建立和完善相关法规与标准,而且要在实践中整合资源、技术和风险管理措施,以期全方位地保障关键信息基础设施信息系统供应链的安全稳定运行。
目前我国在关键信息基础设施信息系统供应链安全治理方面的研究还处于起步阶段。在国家层面,缺少这方面的体系化的制度和相关政策予以支持。在社会层面,对关键信息基础设施信息系统供应链安全问题缺乏重视,尚未建立完善的相关工作机制。在行业层面,对关键信息基础设施信息系统供应链安全技术研发的投入也不够充分。
因此,本书通过总结关键信息基础设施信息系统供应链安全发展情况,梳理关键信息基础设施信息系统供应链安全问题,针对我国关键信息基础设施信息系统供应链面临的现实挑战,提出关键信息基础设施信息系统供应链安全创新发展路径,对未来关键信息基础设施信息系统安全发展具有建设性的参考价值。