何昊坤 李璐

摘要：隨著信息通信技術(shù)（ICT）產(chǎn)品和服務(wù)逐漸被廣泛應(yīng)用于各重點行業(yè)，其全球化特點所帶來的安全事件頻發(fā)，ICT供應(yīng)鏈安全管理成為各行業(yè)乃至國家關(guān)注的焦點。文章分析了當(dāng)前ICT供應(yīng)鏈國內(nèi)外研究和管理現(xiàn)狀，研究了識別ICT供應(yīng)鏈全生命周期中存在的安全風(fēng)險類型，旨在重點保障ICT供應(yīng)鏈全生命周期的保密性、完整性、可用性、可控性，并結(jié)合我國目前ICT供應(yīng)鏈安全管理實際提出了具體的建議，為不斷加強ICT供應(yīng)鏈安全管理工作，提供了一定的參考和借鑒。

關(guān)鍵詞：ICT供應(yīng)鏈;安全管理;風(fēng)險識別

中圖分類號：TP393.08????????? 文獻標(biāo)識碼：A

1 引言

信息通信技術(shù)供應(yīng)鏈（Information and Communication Technology Supply Chain）這一新興概念由傳統(tǒng)供應(yīng)鏈發(fā)展演變而來。ICT供應(yīng)鏈在傳統(tǒng)供應(yīng)鏈基礎(chǔ)之上，包含了信息通信技術(shù)和相應(yīng)的配套服務(wù)，它在整個生命周期內(nèi)通過一系列資源和過程，將需求方、供應(yīng)方等多個主體有機聯(lián)系，并形成復(fù)雜多樣化、全球化的網(wǎng)鏈系統(tǒng)結(jié)構(gòu)，涵蓋了信息流、資金流、物流所涉及的全部活動，較傳統(tǒng)供應(yīng)鏈相比，層次更深化、范圍更廣泛[1]。

因其復(fù)雜化、全球化特點，ICT供應(yīng)鏈所衍生出的風(fēng)險也逐漸凸顯，安全事件時有發(fā)生，在全生命周期的各階段保密性、完整性、可用性、可控性等基礎(chǔ)要求，亟需有效的安全保障，安全管理工作形勢嚴(yán)峻。因此，針對突出問題加強ICT供應(yīng)鏈安全管理，彌補安全漏洞，提升管理能力及水平，保護國家相關(guān)利益迫在眉睫。

2國內(nèi)外ICT供應(yīng)鏈安全管理現(xiàn)狀

2.1國外ICT供應(yīng)鏈安全管理現(xiàn)狀

國外在ICT供應(yīng)鏈安全管理研究上起步較早，特別是以美國為代表的西方國家，在ICT供應(yīng)鏈安全管理工作上都有了顯著的成績。目前，建立起了以法律法規(guī)、標(biāo)準(zhǔn)體系、業(yè)務(wù)部門為主的整體管理框架，其相當(dāng)一部分成果都是目前ICT安全管理工作的先進經(jīng)驗，可為他國ICT安全管理體系建設(shè)提供參考[2]。

（1）美國ICT供應(yīng)鏈安全管理現(xiàn)狀

就美國而言，其經(jīng)歷了傳統(tǒng)供應(yīng)鏈、IT供應(yīng)鏈、ICT供應(yīng)鏈的演變，由最初只關(guān)注貨物產(chǎn)品本身安全的焦點轉(zhuǎn)變到信息技術(shù)安全再到現(xiàn)如今信息通信技術(shù)和服務(wù)的安全，關(guān)注焦點逐漸寬泛，層次不斷深入，內(nèi)涵更加復(fù)雜。美國對于ICT供應(yīng)鏈安全管理出臺的法律法規(guī)、標(biāo)準(zhǔn)體系，以及專門成立的相關(guān)業(yè)務(wù)部門，其管理實踐成果在國際上都處于領(lǐng)先水平。

在2002年，美國政府就供應(yīng)鏈和信息技術(shù)安全之間的關(guān)系展開了相應(yīng)的研究，而且將其納入到了國家信息安全戰(zhàn)略中，可謂重視程度之高。在近幾年中，美國又陸續(xù)出臺了若干政策文件，如表1所示。同時，美國制定了ICT供應(yīng)鏈信息系統(tǒng)安全標(biāo)準(zhǔn)鞏固發(fā)展相關(guān)研究，如圖1所示。到2009年奧巴馬政府時期，ICT供應(yīng)鏈安全問題從此被納入國家安全范疇，重視程度達到了有史以來的最高點[3]。

2013年由美國NIST制定出臺的SP800-161《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險管理實踐標(biāo)準(zhǔn)》，將政府機構(gòu)采購ICT產(chǎn)品和相應(yīng)服務(wù)與ICT供應(yīng)鏈安全風(fēng)險問題相整合，形成了以風(fēng)險識別、風(fēng)險指標(biāo)分析及風(fēng)險應(yīng)對為一體的整體安全風(fēng)險管理體系，為美國政府ICT供應(yīng)鏈安全風(fēng)險管理提供專業(yè)化指導(dǎo)。該標(biāo)準(zhǔn)是對ISO/IEC 27036-3標(biāo)準(zhǔn)的完善和深化，但這一標(biāo)準(zhǔn)是專門針對美國政府的需求和現(xiàn)狀所制定的，因此帶有一定的局限性，不適宜他國直接引用，可作為一定的參考[4]。

在出臺相應(yīng)政策文件的同時，美國政府于2008年成立了專門針對ICT供應(yīng)鏈安全管理的4個專職機構(gòu)，分別是高級指導(dǎo)機構(gòu)、采購政策管理機構(gòu)、安全風(fēng)險標(biāo)準(zhǔn)機構(gòu)和安全威脅信息共享機構(gòu)[5]。這些機構(gòu)的主要工作內(nèi)容為風(fēng)險信息分析與共享、標(biāo)準(zhǔn)體系文件的制定、法律法規(guī)的出臺以及相關(guān)工作的協(xié)調(diào)處置。負責(zé)上述專職機構(gòu)工作的國家部門涉及美聯(lián)邦政府、國土安全部、國防部、國家審計局、總務(wù)局、標(biāo)準(zhǔn)技術(shù)研究院、國家情報總監(jiān)辦公室等。

（2）ICT供應(yīng)鏈安全管理國際標(biāo)準(zhǔn)

ICT供應(yīng)鏈安全管理國際標(biāo)準(zhǔn)的發(fā)展歷程主體，可概括為由傳統(tǒng)供應(yīng)鏈逐漸向ICT供應(yīng)鏈轉(zhuǎn)變的“兩階段”發(fā)展。目前，有ISO/IEC 27000信息安全管理體系中，專門針對供應(yīng)鏈安全管理而制定的ISO/IEC 27036《信息技術(shù) 安全 技術(shù) 供應(yīng)商關(guān)系的信息安全》，ISO/IEC 27036由ISO/IEC 27036-1概述和相關(guān)概念、ISO/IEC 27036-2相關(guān)要求、ISO/IEC 27036-3 ICT供應(yīng)鏈信息安全指南、ISO/IEC 27036-4云服務(wù)安全指南四個部分構(gòu)成，如圖2所示[6]。其中，ISO/IEC 27036-3為針對ICT供應(yīng)鏈安全管理所制定的國際標(biāo)準(zhǔn)。以上四份標(biāo)準(zhǔn)化文件，為層層互聯(lián)、相互聯(lián)系關(guān)系，ISO/IEC 27036-1與ISO/IEC 27036-2搭建起整個標(biāo)準(zhǔn)體系的主體框架，對ICT供應(yīng)鏈的定義、范圍、實施、評估等基本性要素進行了規(guī)定;ISO/IEC 27036-3專門針對ICT供應(yīng)鏈中的信息安全操作規(guī)范和標(biāo)準(zhǔn)實施流程進行了規(guī)定，同時對風(fēng)險評估及應(yīng)對進行了相關(guān)闡述，該標(biāo)準(zhǔn)為強制性標(biāo)準(zhǔn);ISO/IEC 27036-4則是根據(jù)當(dāng)前云計算技術(shù)發(fā)展背景制定的ICT供應(yīng)鏈風(fēng)險識別分析及應(yīng)對措施。

2.2 國內(nèi)ICT供應(yīng)鏈安全管理現(xiàn)狀

我國供應(yīng)鏈安全管理的研究最早可追溯到20世紀(jì)90年代，當(dāng)時是與“現(xiàn)代物流”這一概念一同引進的。在黨的十九大報告中也首次提出了“現(xiàn)代供應(yīng)鏈”的新理念，將傳統(tǒng)供應(yīng)鏈的內(nèi)涵賦予新的時代意義，同時也代表了將供應(yīng)鏈發(fā)展提升到國家發(fā)展戰(zhàn)略層面。對于ICT供應(yīng)鏈安全管理而言，我國相對于歐美等國家起步較晚，雖然目前有一定的研究成果，但是還處于發(fā)展起步階段，相關(guān)制度體系還待進一步建設(shè)。

我國專門針對ICT供應(yīng)鏈安全管理制定的國家標(biāo)準(zhǔn)，即GB/T 36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險管理指南》主要從ICT供應(yīng)鏈安全風(fēng)險管理過程、ICT供應(yīng)鏈安全風(fēng)險控制措施兩個方面進行具體闡述。ICT供應(yīng)鏈安全風(fēng)險管理過程主要包含背景分析、風(fēng)險評估處置、風(fēng)險監(jiān)督檢查、風(fēng)險溝通記錄四個板塊，ICT供應(yīng)鏈安全風(fēng)險控制措施則從技術(shù)安全措施和管理安全措施兩個維度進行具體闡述，標(biāo)準(zhǔn)后附ICT供應(yīng)鏈概述、安全威脅、安全脆弱性三個資料性附錄，重點目標(biāo)是為了保障當(dāng)前ICT供應(yīng)鏈完整性、保密性、可用性、可控性[7]。

當(dāng)前，國內(nèi)對于ICT供應(yīng)鏈安全管理研究的文獻資料，都闡述了ICT供應(yīng)鏈的基礎(chǔ)概念及定義、風(fēng)險識別以及國外發(fā)展研究現(xiàn)狀，但對于全生命周期中的采購、生產(chǎn)、研發(fā)、服務(wù)等環(huán)節(jié)的安全風(fēng)險評估方法及防范應(yīng)對措施，未開展詳細的剖析。

3 ICT供應(yīng)鏈安全風(fēng)險識別分析

ICT供應(yīng)鏈全生命周期可分為設(shè)計研發(fā)、生產(chǎn)供應(yīng)、運維服務(wù)三個階段。設(shè)計研發(fā)階段包括設(shè)計、研發(fā)，生產(chǎn)供應(yīng)階段包括采購、生產(chǎn)、驗收、倉儲、物流，運維服務(wù)階段包括運維、返貨，與各階段相配套的信息系統(tǒng)及數(shù)據(jù)覆蓋整個生命周期，如圖3所示。

由于其全球化分布、產(chǎn)品服務(wù)復(fù)雜、供需方多樣性、全生命周期的特點，使ICT供應(yīng)鏈面臨著各種安全威脅，威脅主體引起的威脅利用軟硬件、服務(wù)自身的脆弱性，導(dǎo)致ICT產(chǎn)品和服務(wù)產(chǎn)生安全風(fēng)險，以致ICT供應(yīng)鏈在保密性、完整性、可用性、可控性上受到破壞。

安全威脅按其性質(zhì)可分為非人為威脅和人為威脅。非人為威脅是因其周邊環(huán)境因素的異常改變而導(dǎo)致的，通常具有不可抗力性，如臺風(fēng)、地震等自然災(zāi)害和潮濕、灰塵、磁場等周邊環(huán)境危害;供應(yīng)鏈中的設(shè)施設(shè)備、信息系統(tǒng)本身故障等;政策因素、產(chǎn)品斷供等突發(fā)事件;同時，包括因供應(yīng)鏈中各參與者因其本身過失或其他原因而造成的結(jié)果，主要包括專業(yè)技能不足、疏忽大意、系統(tǒng)誤差、信息泄露等。人為威脅指的是供應(yīng)鏈內(nèi)外部人員因其主觀惡意試圖破壞供應(yīng)鏈而采取的攻擊行為，主要包括惡意篡改、信息泄露、假冒偽劣、違規(guī)操作等[8]。ICT供應(yīng)鏈常見威脅為產(chǎn)品斷供、惡意篡改、假冒偽劣、違規(guī)操作、信息泄露。

產(chǎn)品斷供發(fā)生于生產(chǎn)供應(yīng)階段，它發(fā)生在最終用戶的上游階段，由于ICT供應(yīng)鏈的需方與供方存在供應(yīng)關(guān)系，并且在供應(yīng)鏈體系中某一供應(yīng)商為下游供應(yīng)商的供方，同時也為上游供應(yīng)商的需方，如圖4所示。因此，任一層級的供應(yīng)商發(fā)生斷供且無替代產(chǎn)品可選擇的情況下，ICT供應(yīng)鏈由此中斷。

惡意篡改常發(fā)生于生產(chǎn)供應(yīng)、運維服務(wù)階段，是指不法分子和敵對勢力通過信息安全技術(shù)手段對元器件、設(shè)備或系統(tǒng)進行故意改變原有功能、不法植入的行為。篡改植入可發(fā)生在ICT供應(yīng)鏈的全生命周期的各個階段，潛在的篡改植入者的目的，就是為了干擾產(chǎn)品正常功能的實現(xiàn) 、對產(chǎn)品功能造成損害或竊取有關(guān)數(shù)據(jù)，主要方式包括人為攻擊、植入木馬或程序、修改信息數(shù)據(jù)等。

假冒偽劣一般發(fā)生在生產(chǎn)供應(yīng)階段的制造生產(chǎn)環(huán)節(jié)，既可以是假冒、劣質(zhì)的產(chǎn)品，也可以是假冒、劣質(zhì)的服務(wù)，同樣也包括生產(chǎn)計劃外未經(jīng)批準(zhǔn)授權(quán)的產(chǎn)品和服務(wù)。其產(chǎn)生原因一般是因為生產(chǎn)流程不規(guī)范、質(zhì)量要求不嚴(yán)格所導(dǎo)致，當(dāng)然也可能是生產(chǎn)廠家工人存有報復(fù)心理、或被策反故意在生產(chǎn)中參假、降低要求進行制造。

違規(guī)操作可發(fā)生在ICT供應(yīng)鏈的全生命周期的各個階段，其威脅主體是各級供應(yīng)商的內(nèi)部人員，它同時具備過失和故意兩種意識形態(tài)。過失情形主要指因技能不熟而錯誤操作、疏忽大意導(dǎo)致流程上的缺失，故意情形帶有主觀惡意，包括對信息系統(tǒng)的配置和程序進行違法改變、違規(guī)訪問收集產(chǎn)品的信息數(shù)據(jù)、違規(guī)降低測試驗收標(biāo)準(zhǔn)、違規(guī)改變運維數(shù)據(jù)等。

信息泄露常存在于設(shè)計研發(fā)階段和生產(chǎn)供應(yīng)階段，設(shè)計參數(shù)、性能指標(biāo)、測試數(shù)據(jù)、采購生產(chǎn)信息、運維數(shù)據(jù)等重要信息，若因信息安全管理能力不足無意或有意泄露，所造成的風(fēng)險將相當(dāng)嚴(yán)重[9]。

ICT供應(yīng)鏈軟硬件、服務(wù)自身的脆弱性同樣存在于全生命周期中的各階段。設(shè)計研發(fā)階段主要包括在進行產(chǎn)品服務(wù)的設(shè)計開發(fā)時是否考慮未來安全風(fēng)險的處置應(yīng)對需求，是否按照法律法規(guī)、行業(yè)標(biāo)準(zhǔn)進行安全體系設(shè)置，是否按要求進行流程開發(fā)。生產(chǎn)供應(yīng)階段主要包括供應(yīng)商管理、采購的元件質(zhì)量檢測、供貨來源安全驗證、外包安全管理措施是否有效，生產(chǎn)環(huán)境的物理環(huán)境、安全監(jiān)管要求是否達標(biāo)，是否按要求開展產(chǎn)品驗收安全測試，倉儲環(huán)境的物理防護、安防設(shè)施設(shè)備是否達標(biāo)，產(chǎn)品運輸商背景審查、運輸途中的安全保障能力是否達標(biāo)等。運維服務(wù)階段主要包括產(chǎn)品的返廠維護維修的運輸條件的安全性、維護人員的安全可靠性。同時，覆蓋全生命周期的信息系統(tǒng)及數(shù)據(jù)主要包括系統(tǒng)安全漏洞、數(shù)據(jù)留存與備份安全、訪問控制權(quán)限設(shè)置等脆弱性[10]。

風(fēng)險是威脅發(fā)生的充分不必要條件。若當(dāng)供應(yīng)鏈中的脆弱性與威脅主體引起的威脅相對應(yīng)，則會導(dǎo)致風(fēng)險，如圖5所示。因此，從威脅的角度，研究分析威脅主體所想達成的目標(biāo)，從目標(biāo)尋找應(yīng)對措施才是正當(dāng)之策。

4 對我國ICT供應(yīng)鏈安全風(fēng)險管理的建議

4.1不斷深化ICT供應(yīng)鏈戰(zhàn)略研究成果

ICT供應(yīng)鏈產(chǎn)品和服務(wù)廣泛遍布于各個行業(yè)領(lǐng)域，因其復(fù)雜多樣化、全球化的特點則更易產(chǎn)生安全風(fēng)險問題，因此不斷深化ICT供應(yīng)鏈戰(zhàn)略研究是當(dāng)前的必要工作之一。聚集專家智慧庫、各單位實情摸底、組織專題研討分析，在全面和系統(tǒng)的戰(zhàn)略研究分析基礎(chǔ)上得到科學(xué)、合理的成果，為明確戰(zhàn)略定位以及后期制度體系的建設(shè)工作筑下基礎(chǔ)堡壘。

4.2 逐步完善ICT供應(yīng)鏈制度體系框架

當(dāng)前，我國整個ICT供應(yīng)鏈大部分還處于制度體系空缺階段，相關(guān)部門應(yīng)通過利用戰(zhàn)略研究、實地調(diào)研、專家座談等多渠道獲取的成果，從全局進行頂層設(shè)計，統(tǒng)籌推進制度體系框架的搭建工作，建立ICT供應(yīng)鏈安全管理長效機制。同時，積極學(xué)習(xí)借鑒國外ICT供應(yīng)鏈安全管理先進經(jīng)驗，在符合我國實際的情況下，構(gòu)建以法律法規(guī)、管理規(guī)范、標(biāo)準(zhǔn)體系、系統(tǒng)平臺等多維度為一體的整體框架，并著力加大制度宣貫力度，使各項制度真正落地生根。

4.3 大力推進ICT供應(yīng)鏈自主可控建設(shè)

2018年美國政府宣布7年內(nèi)禁止美國企業(yè)向我國電信設(shè)備制造商中興通訊銷售元器件產(chǎn)品，因此，我國需不斷推進ICT供應(yīng)鏈自主可控建設(shè)：一是要加強政策引導(dǎo)、資金投入，提高重視程度;二是要保障知識產(chǎn)權(quán)、長期堅持，穩(wěn)健發(fā)展步伐;三是要加強人才培養(yǎng)、技術(shù)創(chuàng)新，助力國產(chǎn)化替代進程。

5 結(jié)束語

我國ICT 供應(yīng)鏈安全管理任重道遠，在其全生命周期中的風(fēng)險與威脅對安全管理的能力和水平會隨著時間推移要求會愈來愈高。因此要不斷深化ICT供應(yīng)鏈戰(zhàn)略研究成果，逐步完善ICT供應(yīng)鏈制度體系框架，大力推進ICT供應(yīng)鏈自主可控建設(shè)。從頂層制度、規(guī)范體系、共享平臺三個維度入手，促使戰(zhàn)略研究成果快速轉(zhuǎn)化為可用成果，在制度的約束下進行管理實踐，共同著力搭建行業(yè)共享平臺，促進我國ICT供應(yīng)鏈安全管理向科學(xué)化、規(guī)范化、樣板化發(fā)展。

參考文獻

[1]?李璐，汪坤.ICT供應(yīng)鏈安全管理綜述[J].中國信息安全，2019（3）：100-103.

[2]?倪光南，陳曉樺，尚燕敏，王海龍，徐克付.國外ICT供應(yīng)鏈安全管理研究及建議[J].中國工程科學(xué)，2016，18（6）：104-109.

[3]?張偉麗，楊宏寧.美國ICT供應(yīng)鏈管理概況及啟示[J].保密科學(xué)技術(shù)，2017（2）：24-28.

[4]?范科峰.ICT供應(yīng)鏈風(fēng)險管理標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2014（6）：20-22.

[5]?左曉棟.美國政府IT供應(yīng)鏈安全政策和措施分析[J].中國信息安全，2011（3）：30-32.

[6]?謝宗曉，董坤祥.ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析[J].中國標(biāo)準(zhǔn)導(dǎo)報，2016（3）：16-21.

[7]?GB/T 36637-2018.信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險管理指南[S].

[8]?鄭興艷.IT供應(yīng)鏈安全風(fēng)險管理標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012（6）：17-19.

[9]?李璐.淺析重要網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全風(fēng)險監(jiān)管[J].網(wǎng)絡(luò)空間安全，2018，9（3）：85-89.

[10] Shon Harris.CISSP認證考試指南（第5版）[M].北京：清華大學(xué)出版社，2011：39-58.