供应链攻击愈发普遍，如何保障关键信息基础设施安全？

随着互联网产业经济的日趋成熟，关键信息基础设施已成为经济社会运行的神经中枢。关键信息基础设施作为国家重要的战略资源，涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务等重要行业和领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、人民利益。因此，关键信息基础设施安全保护是落实国家网络安全战略、贯彻《中华人民共和国网络安全法》的重中之重。

当今，全球网络安全形势极其复杂，网络威胁日趋严重，关键网络基础设施已成为网络攻击的主要目标，并可能引发极为严重的灾难性后果，尤其是产品和服务的供应链风险已成为关键信息基础设施面临的重要安全风险。

一、供应链安全面临诸多风险

与传统供应链相比，关键信息基础设施供应链涉及环节众多、地域跨度大、参与主体多样化，不仅包括了传统供应链环节，还扩展到产品开发、交付、验收、使用、维护整个生命周期内的安全。其中任一环节出现安全缺口，都可能放大整个供应链网络的脆弱性。

1

关基系统构成复杂，供应链受攻击面大、类

型复杂。

关键信息基础设施系统构成复杂，导致供应链攻击面相对比较广，包括采购、物流、信息化等多个方面，其中任一组件、任一环节出现问题，均可能带来软硬件产品和服务的安全问题，进而影响关键信息基础设施所属行业的安全、经济社会发展安全，乃至国家安全。

2

供应链信息共享导致数据泄露风险。

关键信息基础设施采购的网络产品和服务投入使用后，会采集和处理个人信息或重要数据，而且在当前云管端的服务模式下，前端产品与后台系统甚至第三方之间产生数据流转。因此，网络产品和服务可能面临多种数据安全威胁。

3

参与供应商众多，供应商管理难度大。

关键信息基础设施建设规模大，参与供应商众多，层层转包现象频出，运营者难以理清供应关系，供应链安全风险管理难度大。还有供应链服务商为便于后续产品维护，常利用产品远程控制功能，加载、绕过或禁用部分安全策略，甚至隐藏行迹未告知用户远程控制的目的，极大增加用户方的安全隐患风险。

二、多维度应对供应链安全风险

针对关键信息基础设施供应链安全，国家出台了《网络安全审查办法》，要求关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查。此举从顶层设计的维度推动了供应链安全向前迈进一大步。为了保障关键信息基础设施供应链安全，提高关键信息基础设施供应链的安全防护能力，道普信息风险管控专家建议从合规维度、产业维度、测评维度三个方向入手加以应对。

1

符合关键信息基础设施供应链安全标准、制度和规范

我国相继出台了《网络安全法》《网络安全审查办法》《关键信息基础设施安全保护条例》《信息安全技术关键信息基础设施安全保护要求》等政策法规或标准，对关键信息基础设施供应链安全提出了更高要求，关键信息基础设施运营者需要符合供应链安全标准、制度和规范，明确在供应链安全中的责任与义务。

关键信息基础设施政策法规以及相关标准

2

加强产业自身供应链安全管理

产业企业自身可建立供应商审核制度，从技术能力、产品质量、认证报告、网络安全防护能力等多个角度，对供应商进行安全评估，及时淘汰不符合要求的供应商，从企业自身强化对供应商的安全管控措施。企业可考虑采用安全多方计算等新技术的应用，从技术手段解决自身协同信息共享导致的泄露问题。

3

加强关键信息基础设施供应链安全的风险评估

开展关键信息基础设施供应链检查检测和风险评估是做好关键信息基础设施供应链安全保护工作的重要一环。围绕关键信息基础设施供应链安全的重大需求，充分发挥风险评估在供应链网络安全保障中的作用，切实落实对关键信息基础设施供应链安全保障防护能力，系统地分析关键信息基础设施供应链管理与技术建设方面的风险，进而提出具有针对性的预防及解决的方法，和构建动态的安全防护体系。

三、供应链风险评估提高整体安全管理水平

面对日益严峻的关键信息基础设施供应链安全风险隐患，道普信息围绕供应链安全的重大需求，充分发挥技术创新在供应链网络安全保障中的作用，加大攻防渗透技术、源代码安全审计、漏洞挖掘技术、大数据分析技术等研发及投入，推出关键信息基础设施供应链风险评估服务产品，按照相关的法律法规和政策要求，依据有关国家、行业管理规范和技术标准，围绕关键信息基础设施供应链统筹管理、采购管理、安全管控、安全处置等四方面内容进行风险评估，出具供应链风险评估报告及整改建议，协助关键信息基础设施运营者提高整体供应链安全管理水平。

综上所述，随着经济全球化和信息技术的快速发展，关键信息基础设施已发展为遍布全球的复杂系统，任一产品组件、任一供应链环节出现问题，都可能影响关键信息基础设施的安全，所以要从合规维度、产业维度、测评维度构建多位一体的防护手段。

关键信息基础设施运营者积极落实相关政策和标准，加强自身供应链安全管理，稳步推动技术创新，通过测评手段提高整体安全管理水平，最终完善关键信息基础设施供应链安全生命周期的网络安全防护，保证国家产业安全、经济安全和社会长治久安。