引言：當前，在國家高度重視和業界共同努力下，我國網絡安全和信息化產業實現了較快發展，產品體系逐漸健全，產品種類不斷豐富，產品功能逐步向多樣化、集成化、系統化方向發展。

國內網絡安全和信息化產業也越來越開放，國有企業、民營企業、外資企業、技術引進等不同類型企業、產品在市場中充分競爭，都取得了大量的成功案例。

但是，網絡安全和信息化產品還普遍面臨著產品生命周期、供應鏈風險、服務質量、安全漏洞、數據泄露等問題，特別是我國基礎軟件、芯片、操作系統、數據庫等產品領域，至今還是主要掌握在國外企業手中，由于政治、市場、文化、技術等方面的多種因素，國外企業產品的安全問題總令人隱隱地擔憂。

2000年，美國率先在國家安全系統中對采購的產品進行安全審查，隨后陸續針對聯邦政府云計算服務、國防供應鏈等出臺了安全審查政策，實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務，還會針對產品和服務提供商。隨后，美國等西方國家為保障國家安全、防范供應鏈安全風險，逐步建立了多種形式的網絡安全審查制度。將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。

我國也在積極推進網絡安全審查制度，關系國家安全和公共利益的系統使用的重要信息技術產品和服務，應通過網絡安全審查。但審查內容和形式不能僅停留在技術層面上，要進行全方位審查，才能保證國家重要部門和行業的信息技術產品和服務的信息安全自主可控。

“供應鏈透明機制”是一種有效的達成安全可控性的手段。如果每一個供應商都能夠向網絡安全審查備案機構(或者用戶)提供供應鏈上下游環節的情況，進而整個供應鏈就能夠做到一環一環的透明化清晰化，通過透明達到兼顧細節和整體的掌握與可控。

我國的信息安全保障體系建設大多是在等級保護、分級保護等制度基礎上，以滿足合規為驅動。究其根本原因還在于我國對信息安全的重視沒有提高到“以效果為導向”的程度，或者說還沒有找到更有效的方式來落實效果導向。

D1Net評論：

伴隨著信息安全領域中“三分技術七分管理” “信息安全沒有100%安全”這種特點和說法，以及政府采購目錄以硬件產品為主、《采購法》以最低價為準繩的制度，交織反復，最終形成我國信息安全保障體系建設目前以合規為目標，最低價產品主導市場，整體行業低水平競爭，國家重要信息系統安全保障能力的產業支撐力不足，國家網絡空間對抗能力不足等系列惡性循環的現狀。

（原文作者：嚴望佳）