目前，我國已開展了網(wǎng)絡(luò)產(chǎn)品與服務(wù)安全性審查、數(shù)據(jù)安全性試點(diǎn)審查、數(shù)據(jù)出境安全性審查、黨政機(jī)關(guān)云服務(wù)安全性評估等工作，除此之外也開展了網(wǎng)絡(luò)安全性產(chǎn)品、管理體系、服務(wù)資質(zhì)與人員能力四小類的網(wǎng)絡(luò)安全性認(rèn)證工作，下一步也把開展面向關(guān)鍵性信息基礎(chǔ)設(shè)施的云服務(wù)安全性評估、APP安全性認(rèn)證、數(shù)據(jù)安全性管理認(rèn)證等關(guān)鍵工作。審查認(rèn)證工作于我國國家網(wǎng)絡(luò)安全性保障體系之中將要發(fā)揮越來越小的作用。

　　9月19日，于湖北省武漢市召開的“2019‘黃鶴杯’網(wǎng)絡(luò)安全性人才和創(chuàng)新峰會(huì)”之上，中國網(wǎng)絡(luò)安全性審查技術(shù)和認(rèn)證中心（下列簡稱網(wǎng)安中心）主任魏昊發(fā)表了題為《關(guān)鍵性信息基礎(chǔ)設(shè)施供應(yīng)鏈安全性和審查認(rèn)證制度》的演講，系統(tǒng)論述了審查認(rèn)證工作是保障關(guān)鍵性信息基礎(chǔ)設(shè)施安全性的關(guān)鍵手段，我國開展審查認(rèn)證工作的背景與依據(jù)等觀點(diǎn)。

　　供應(yīng)鏈安全性是關(guān)鍵性信息基礎(chǔ)設(shè)施保護(hù)的關(guān)鍵內(nèi)容

　　中國網(wǎng)絡(luò)安全性審查技術(shù)和認(rèn)證中心承擔(dān)著我國網(wǎng)絡(luò)安全性審查相關(guān)技術(shù)支撐與確切組織實(shí)施工作，除此之外負(fù)責(zé)網(wǎng)絡(luò)安全性認(rèn)證工作。

　　魏昊介紹說，《關(guān)鍵性信息基礎(chǔ)設(shè)施安全性保護(hù)條例（送審稿）》（下列簡稱《保護(hù)條例》）之中對于關(guān)鍵信息基礎(chǔ)設(shè)施的定義是，只要遭到破壞、喪失功能或是數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全性、國計(jì)民生、公共利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。關(guān)鍵性信息基礎(chǔ)設(shè)施自其構(gòu)成之上不僅有傳統(tǒng)IT系統(tǒng)，亦有工業(yè)控制系統(tǒng)，結(jié)構(gòu)復(fù)雜、差異性小。于我國，關(guān)鍵信息裝置的生產(chǎn)、設(shè)計(jì)、運(yùn)行維護(hù)依然輕微依賴全球供應(yīng)鏈，不但面臨遭植入后門、遭監(jiān)控竊聽風(fēng)險(xiǎn)，也面臨輕微的斷供威脅。所以，ICT供應(yīng)鏈安全性是關(guān)鍵性信息基礎(chǔ)設(shè)施保護(hù)工作的關(guān)鍵組成部分，確保我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全性，是目前最為緊張的任務(wù)。

　　ICT供應(yīng)鏈即網(wǎng)絡(luò)產(chǎn)品與服務(wù)的供應(yīng)鏈，是指作為滿足供應(yīng)關(guān)系，透過資源與過程把需方、供方相互連接的網(wǎng)鏈結(jié)構(gòu)，可用于把ICT產(chǎn)品與服務(wù)提供給需方（《信息安全性技術(shù)ICT供應(yīng)鏈安全性風(fēng)險(xiǎn)管理指南》（GB/ T36637-2018））。ICT供應(yīng)鏈的風(fēng)險(xiǎn)來自供應(yīng)鏈安全性威脅與供應(yīng)鏈本身的脆弱性，具有隱蔽性弱，較容易發(fā)現(xiàn)；攻擊、破壞成本高，效果反而較明顯；防御成本低，產(chǎn)品應(yīng)用之后無法替換；能夠成為政治、經(jīng)濟(jì)、貿(mào)易的關(guān)鍵打壓手段的特點(diǎn)。目前，ICT供應(yīng)鏈安全性已成為

　　各國關(guān)注的焦點(diǎn)安全性問題。

　　審查認(rèn)證制度是保障供應(yīng)鏈安全性的關(guān)鍵手段

　　據(jù)魏昊介紹，審查的作用是對于現(xiàn)實(shí)與潛在風(fēng)險(xiǎn)進(jìn)行徹底評估、判定以及處置，其目的是建立準(zhǔn)入、退出與持續(xù)監(jiān)督機(jī)制。審查自風(fēng)險(xiǎn)入手，覆蓋所有關(guān)鍵產(chǎn)品與服務(wù)，越來越普遍、越來越敏捷、越來越迅速；檢測、認(rèn)證越來越關(guān)注產(chǎn)品與服務(wù)的標(biāo)準(zhǔn)符合性，審查需要于此基礎(chǔ)之上對于產(chǎn)品與服務(wù)的可控、可靠做出判斷；現(xiàn)有認(rèn)證、測評等工作均是審查制度的關(guān)鍵支撐。于國際范圍之內(nèi)，審查認(rèn)證制度遭證明是保障IT供應(yīng)鏈安全性行之有效的關(guān)鍵手段。透過認(rèn)證檢測，精確降低產(chǎn)品服務(wù)存在的技術(shù)風(fēng)險(xiǎn)，提高管理規(guī)范性，拉低安全性底線。透過于取得認(rèn)證的基礎(chǔ)之上進(jìn)行審查，對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施重點(diǎn)保護(hù)。

　　于2016年發(fā)布的《網(wǎng)絡(luò)安全法》之中，關(guān)鍵性信息基礎(chǔ)設(shè)施保護(hù)是核心內(nèi)容之一，作為落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的關(guān)鍵手段，審查、認(rèn)證、檢測、評估等于法律條文之中多次出現(xiàn)。該年發(fā)布實(shí)施的《網(wǎng)絡(luò)空間安全性戰(zhàn)略》之中提出，建立實(shí)施網(wǎng)絡(luò)安全性審查制度，加強(qiáng)供應(yīng)鏈安全性管理，對于黨政機(jī)關(guān)、重點(diǎn)行業(yè)采購使用的關(guān)鍵信息技術(shù)產(chǎn)品與服務(wù)開展安全性審查，提高產(chǎn)品與服務(wù)的安全性與可控性，防止產(chǎn)品服務(wù)提供者與其他組織利用信息技術(shù)優(yōu)勢實(shí)施不正當(dāng)競爭或是損害用戶利益。

　　我國發(fā)布的《認(rèn)證認(rèn)可檢驗(yàn)檢測發(fā)展“十三五”規(guī)劃》之中提出，建立完備徹底覆蓋信息技術(shù)產(chǎn)品、系統(tǒng)、服務(wù)、管理與人員的信息安全性認(rèn)證評價(jià)系等5項(xiàng)網(wǎng)絡(luò)安全性相關(guān)內(nèi)容。今年5月，改由中央網(wǎng)信辦研究起草的《網(wǎng)絡(luò)安全性審查辦法》（下列簡稱《審查辦法》）面向社會(huì)披露征求意見，并且把依據(jù)各方意見修改完善之后，及時(shí)發(fā)布。

　　在認(rèn)證認(rèn)可方面，魏昊表示，今后我國把加大力度運(yùn)用認(rèn)證認(rèn)可手段，作為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作提供支撐，其中包括開展網(wǎng)絡(luò)安全性專用產(chǎn)品與網(wǎng)絡(luò)關(guān)鍵設(shè)備的認(rèn)證工作；改進(jìn)、完善現(xiàn)行認(rèn)證、認(rèn)可體系，和審查工作充份銜接；加強(qiáng)小數(shù)據(jù)、隱私保護(hù)、關(guān)鍵性信息基礎(chǔ)設(shè)施等重點(diǎn)領(lǐng)域的標(biāo)準(zhǔn)、檢測、認(rèn)證技術(shù)研究與制度建設(shè)；落實(shí)質(zhì)量提升要求，加強(qiáng)對于智能家居等消費(fèi)品網(wǎng)絡(luò)安全性的檢測認(rèn)證工作；積極開展國際認(rèn)證認(rèn)可合作，促進(jìn)我國出口產(chǎn)品、服務(wù)走向國際市場；大力開展網(wǎng)絡(luò)安全性質(zhì)量技術(shù)基礎(chǔ)（NQI）研究工作，于提升供給的同時(shí)，提高網(wǎng)絡(luò)安全性認(rèn)證有效性。