國外ICT供應(yīng)鏈安全管理研究及建議

倪光南，陳曉樺，尚燕敏，王海龍，徐克付

（1. 中國科學(xué)院計算技術(shù)研究所，北京 100190；2. 中國網(wǎng)絡(luò)空間研究院，北京 100010；3. 中國科學(xué)院信息工程研究所，北京 100093）

國外ICT供應(yīng)鏈安全管理研究及建議

倪光南1，陳曉樺2，尚燕敏3，王海龍1，徐克付3

（1. 中國科學(xué)院計算技術(shù)研究所，北京 100190；2. 中國網(wǎng)絡(luò)空間研究院，北京 100010；3. 中國科學(xué)院信息工程研究所，北京 100093）

鑒于國家關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵資源（CIKR）對信息通信技術(shù)（ICT）的依賴，識別和控制ICT供應(yīng)鏈風(fēng)險已成為保障國家安全的重要手段。美國作為ICT供應(yīng)鏈管理的先行者，在提升戰(zhàn)略地位、開展風(fēng)險管理、確保軟硬件安全、監(jiān)管政府采購等方面為各國提供了豐富經(jīng)驗；歐盟、俄羅斯也加強了ICT供應(yīng)鏈的安全管理。在分析上述國外情況的基礎(chǔ)上，給出了完善我國ICT供應(yīng)鏈安全管理的相關(guān)建議。

供應(yīng)鏈風(fēng)險管理；硬件供應(yīng)鏈；軟件供應(yīng)鏈；采購安全

DOI 10.15302/J-SSCAE-2016.06.021

一、前言

信息通信技術(shù)（ICT）供應(yīng)鏈包括硬件供應(yīng)鏈和軟件供應(yīng)鏈，通常涵蓋采購、開發(fā)、外包、集成等環(huán)節(jié)。其最終的安全很大程度上取決于這些中間環(huán)節(jié)，涉及到采購方、系統(tǒng)集成方、網(wǎng)絡(luò)提供方以及軟硬件供應(yīng)商等[1]。ICT供應(yīng)鏈?zhǔn)撬衅渌?yīng)鏈的基礎(chǔ)，是“供應(yīng)鏈的供應(yīng)鏈”[2]。在ICT采購全球化的態(tài)勢下，ICT供應(yīng)鏈安全與國家安全間的關(guān)系愈發(fā)密切。ICT產(chǎn)品在原料采購、生產(chǎn)、運輸直至交付給最終客戶的過程中，任何一個環(huán)節(jié)都有可能存在影響ICT產(chǎn)品安全性的因素。如果考慮到信息安全的對抗性質(zhì)，來自國外的ICT產(chǎn)品供應(yīng)商完全有可能、有條件在產(chǎn)品中設(shè)置惡意功能，如在軟硬件中嵌入惡意程序、突然中斷關(guān)鍵ICT產(chǎn)品或后續(xù)服務(wù)等。

鑒于國家關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵資源（CIKR）對ICT技術(shù)的依賴，識別和控制ICT供應(yīng)鏈風(fēng)險，加強ICT供應(yīng)鏈安全管理已經(jīng)成為保障國家安全的重要手段。在國家戰(zhàn)略以及標(biāo)準(zhǔn)制定層面，美國、歐盟、俄羅斯等都提升了ICT供應(yīng)鏈安全管理的地位，本文將從上述兩方面深入研究國外的相關(guān)政策制度。在管理活動層面，本文將對國際現(xiàn)行的ICT硬件安全管理和軟件安全管理進行探討；并進一步以美國為例，對軟硬件安全中涉及的采購環(huán)節(jié)的安全管理進行分析。本文旨在參考各國經(jīng)驗，為加強我國ICT供應(yīng)鏈安全管理、建立我國ICT供應(yīng)鏈安全評估制度提供建議。

二、國外ICT供應(yīng)鏈安全管理政策

（一）ICT供應(yīng)鏈安全戰(zhàn)略定位

長期以來，美國非常注重ICT供應(yīng)鏈安全。2008年布什政府提出國家網(wǎng)絡(luò)安全綜合計劃（CNCI），提出建立全方位的措施來實施全球供應(yīng)鏈風(fēng)險管理[3]。在此基礎(chǔ)上，2009年奧巴馬政府指出不應(yīng)局限于僅譴責(zé)國外產(chǎn)品和服務(wù)供應(yīng)商，同時提出了新的供應(yīng)鏈風(fēng)險管理方法已經(jīng)勢在必行。2011年美國在發(fā)布的《網(wǎng)絡(luò)空間國際戰(zhàn)略》中將“與工業(yè)部門磋商，加強高科技供應(yīng)鏈的安全性”作為保護網(wǎng)絡(luò)空間安全的優(yōu)先政策，該項政策將ICT供應(yīng)鏈安全提升至保障網(wǎng)絡(luò)空間安全的高度[4]。

歐盟、俄羅斯和中國同樣將ICT供應(yīng)鏈安全上升到國家安全的戰(zhàn)略高度。歐盟《供應(yīng)鏈完整性》報告指出，ICT供應(yīng)鏈完整性是國家經(jīng)濟發(fā)展的關(guān)鍵因素，提高供應(yīng)鏈完整度對公共和私營部門意義重大[5]。中俄共同提交聯(lián)合國的《信息安全國際行為準(zhǔn)則》強調(diào)，應(yīng)當(dāng)努力確保信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈的安全，防止他國利用自身資源、關(guān)鍵設(shè)施、核心技術(shù)及其他優(yōu)勢，削弱落后國家對信息技術(shù)的自主控制權(quán)，或威脅落后國家的政治、經(jīng)濟和社會安全[6]。

（二）ICT供應(yīng)鏈風(fēng)險管理

1. 美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）

NIST為保護非國家安全的聯(lián)邦信息和通信基礎(chǔ)設(shè)施，負(fù)責(zé)開發(fā)標(biāo)準(zhǔn)、指南、測試和度量指標(biāo)。NIST已經(jīng)與公共和私營部門的利益相關(guān)者合作，研究和開發(fā)ICT供應(yīng)鏈風(fēng)險管理（SCRM）的工具與指標(biāo)，以及有關(guān)ICT供應(yīng)鏈風(fēng)險的緩解措施和實施方法的指南。

2. ICT SCRM項目及相關(guān)資源

（1）CNCI#11

2008年，為響應(yīng)CNCI#11“建立全方位的方法來實施全球供應(yīng)鏈風(fēng)險管理”，布什政府啟動了非國家安全信息系統(tǒng)供應(yīng)鏈風(fēng)險管理實踐開發(fā)計劃，即ICT SCRM。

CNCI#11為美國聯(lián)邦機構(gòu)信息系統(tǒng)的供應(yīng)鏈風(fēng)險管理提供了全面的方法。CNCI#11 第二工作組（WG2）通過提供與采購決策相關(guān)的威脅、漏洞和后果的高度評估，同時識別并減輕整個產(chǎn)品和服務(wù)生命周期中資源的風(fēng)險，來促進SCRM的提升。

（2）NIST SP800-161

NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險管理實踐》為聯(lián)邦機構(gòu)制定相應(yīng)的政策、程序，為有效管理ICT供應(yīng)鏈風(fēng)險提供指導(dǎo)[7]。針對ICT產(chǎn)品的整個系統(tǒng)開發(fā)生命周期，NIST SP 800-161可為其提供開發(fā)ICT SCRM計劃的模板。該模板詳細(xì)介紹了一套評估和管理供應(yīng)鏈風(fēng)險的程序，并列出了適用的威脅事件和可供參考的風(fēng)險框架，用于評估威脅和確定緩解對策（即評價事件的相關(guān)性和潛在影響的方法）。這些程序被集成到NIST SP800-39的風(fēng)險管理過程（架構(gòu)、評估、響應(yīng)和監(jiān)控）中，作為聯(lián)邦機構(gòu)整體風(fēng)險管理活動的一部分來實施[8]。

（3）NIST IR7622

NIST IR7622《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險管理實踐理論》是NIST發(fā)布的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理指南，旨在消除購買、開發(fā)和運營過程中高影響聯(lián)合信息系統(tǒng)面臨的生命周期供應(yīng)鏈風(fēng)險[9]；該標(biāo)準(zhǔn)同時介紹了ICT SCRM的方法和做法。

NIST IR7622（NIST 7622-2）第二版闡述了供應(yīng)鏈風(fēng)險管理在ICT領(lǐng)域中的應(yīng)用，提供了一套實例可直接應(yīng)用于那些級別達(dá)到聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）的采購或合同中。其涉及到信息系統(tǒng)采購方、采購團隊、信息系統(tǒng)安全負(fù)責(zé)人和負(fù)責(zé)信息系統(tǒng)交付的相關(guān)工程師，涵蓋為政府和商業(yè)機構(gòu)提供產(chǎn)品和信息安全服務(wù)的所有環(huán)節(jié)。

NIST IR7622-2還給出了供應(yīng)鏈風(fēng)險管理的實施流程（見圖1）。對于FIPS199這樣高影響的系統(tǒng)，ICT供應(yīng)鏈風(fēng)險管理被明確嵌入到采購進程中來分析潛在的供應(yīng)鏈風(fēng)險，實施額外的安全控制以及供應(yīng)鏈風(fēng)險管理的實踐；對中度影響的系統(tǒng)，授權(quán)機構(gòu)應(yīng)該做出是否實施ICT供應(yīng)鏈風(fēng)險管理的決策；低影響系統(tǒng)不需要實施大量的ICT供應(yīng)鏈風(fēng)險管理。

三、國外ICT供應(yīng)鏈安全管理活動

（一）軟/硬件供應(yīng)鏈安全管理

1. 硬件供應(yīng)鏈安全管理

ICT硬件供應(yīng)鏈?zhǔn)侵窱CT硬件采購、設(shè)計、制造、組裝、維護到處理的一系列過程。

近年來ICT硬件供應(yīng)鏈的長度、復(fù)雜性和脆弱性逐漸增加。全球范圍內(nèi)的政府部門都開始考慮ICT硬件供應(yīng)鏈對ICT系統(tǒng)產(chǎn)生的威脅。在ICT硬件供應(yīng)鏈系統(tǒng)與外部環(huán)境發(fā)生資源交換，以及在與供應(yīng)鏈成員進行協(xié)調(diào)與合作的過程中，存在著各種內(nèi)部或外部的不確定性風(fēng)險因素。外部風(fēng)險包括：自然災(zāi)害、恐怖事件、突發(fā)事件等；內(nèi)部風(fēng)險包括：供應(yīng)中斷，如攻擊者中斷制造和交付、錯誤的運輸路線或延誤交貨、錯誤的訂單（如數(shù)量或項目錯誤）、制造質(zhì)量問題（如以硬件為基礎(chǔ)引發(fā)的威脅）。

目前硬件供應(yīng)鏈的風(fēng)險管理主要針對三大硬件風(fēng)險：硬件木馬、惡意固件和硬件偽造。

圖1 ICT SCRM實施進程

2. 軟件供應(yīng)鏈安全管理

在關(guān)注硬件供應(yīng)鏈安全的同時，切不可忽視軟件供應(yīng)鏈安全，因為任何一條供應(yīng)鏈都不會脫離軟件的使用。軟件供應(yīng)鏈可影響已交付系統(tǒng)的所有方面，只要供應(yīng)鏈參與者能接觸最終的軟件代碼或系統(tǒng)，那么危及軟件供應(yīng)鏈安全的風(fēng)險就存在。參與者包括編寫、加強和改變產(chǎn)品或系統(tǒng)內(nèi)容的供應(yīng)商、分銷商、運輸者和儲存設(shè)施[10]。

確保軟件供應(yīng)鏈安全的重要方法是軟件供應(yīng)鏈風(fēng)險評估。風(fēng)險評估是風(fēng)險管理的一個基本方面，軟件供應(yīng)鏈風(fēng)險評估是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)分析軟件供應(yīng)鏈所面臨的威脅及其存在的脆弱性，評估風(fēng)險事件發(fā)生可能給整條供應(yīng)鏈帶來的影響或人們可能受到的損失程度，提出有針對性地抵御威脅的防護對策和更改措施。目前針對軟件供應(yīng)鏈的風(fēng)險評估并不多，其中常用的是基于卡內(nèi)基梅隆大學(xué)軟件工程研究所（SEI）的風(fēng)險評估方法。圖2是SEI采用基于風(fēng)險驅(qū)動的方法來評價系統(tǒng)化的軟件供應(yīng)鏈風(fēng)險的原型。

（二）ICT采購安全管理

1. 政府規(guī)章

20世紀(jì)90年代末，美國已經(jīng)意識到政府信息采購的安全性問題。1998年5月22日，克林頓發(fā)布的第63號總統(tǒng)令中指出要確定大型采購任務(wù)中與其相關(guān)的信息安全。在布什執(zhí)政期間，政府采購安全性被進一步明確，2002年起草的國家安全戰(zhàn)略中詳細(xì)闡述了采購的步驟和過程，以及相關(guān)的標(biāo)準(zhǔn)。2008年12月，在奧巴馬上臺之前，美國智庫戰(zhàn)略與國際研究中心（CSIS）發(fā)布了《在第44任總統(tǒng)任期內(nèi)保護網(wǎng)絡(luò)空間安全》的咨詢報告，向新總統(tǒng)提出了若干重要建議，其中包括“通過采購規(guī)則提高安全性”，該條建議希望政府能與工業(yè)界合作，共同制定和執(zhí)行ICT產(chǎn)品（軟件居首要位置）采購安全指南[11]。

除美國外，歐盟對ICT供應(yīng)鏈采購安全也有明確規(guī)定。2016年上半年，歐洲標(biāo)準(zhǔn)化機構(gòu)——歐洲標(biāo)準(zhǔn)化委員會（CEN）、歐洲電工委員會（CENELEC）與歐洲電信標(biāo)準(zhǔn)協(xié)會（ETSI）對歐洲ICT產(chǎn)品和服務(wù)的政府采購所適用的可接入性提出了新的標(biāo)準(zhǔn)。新標(biāo)準(zhǔn)是歐洲首次用法規(guī)和形式強調(diào)ICT產(chǎn)品和服務(wù)的政府采購所適用的可接入性，政府部門與其他公共機構(gòu)在采購ICT產(chǎn)品和服務(wù)時，要確保服務(wù)、軟件、電子設(shè)備與其他產(chǎn)品具有更好的可接入性。

2. 國防采購安全流程實例

對ICT產(chǎn)品和服務(wù)的采購主要分為國防采購和企業(yè)采購兩類，其中國防采購的要求更高。下面以美國為例，簡要介紹其在ICT產(chǎn)品和服務(wù)的安全采購方面的管理體系和采購系統(tǒng)，為我國ICT國防采購提供經(jīng)驗借鑒。

（1）ICT采購管理

美國國防部的ICT采購實行國防部統(tǒng)一領(lǐng)導(dǎo)與軍種分散實時結(jié)合的管理模式。所謂統(tǒng)一領(lǐng)導(dǎo)，是指在國防部設(shè)置專門負(fù)責(zé)采辦、技術(shù)與后勤的副部長一職，統(tǒng)管全軍ICT研發(fā)及采購事項；而分散實施，是按ICT項目的重要性及費用多少實行分類和分級管理。對于不同類別的ICT采購項目，負(fù)責(zé)采辦、技術(shù)和后勤的副部長指派相應(yīng)級別的里程碑決策當(dāng)局進行監(jiān)管（見圖3）。

圖3 不同類別的ICT采辦項目

（2）ICT采購系統(tǒng)

美國國防部共有三個分系統(tǒng)來組織國防ICT采購，這三個系統(tǒng)互相配合，來完成軍工產(chǎn)品的ICT采購。它們分別是規(guī)劃、計劃預(yù)算與執(zhí)行系統(tǒng)（PPBE），聯(lián)合能力集成與開發(fā)系統(tǒng)（JCIDS），采購運行系統(tǒng)（DAS）[12]。這三個系統(tǒng)在美國軍工產(chǎn)品的ICT采購過程中相互支持，相互制約，確保ICT采購的安全。

四、對我國ICT供應(yīng)鏈安全評估的建議

在我國ICT供應(yīng)鏈處于劣勢的背景下，根據(jù)《中華人民共和國國家安全法》要求，在國家網(wǎng)絡(luò)安全審查工作中，加強ICT供應(yīng)鏈安全評估管理、建立供應(yīng)鏈安全評估制度是當(dāng)務(wù)之急。在分析國外相關(guān)情況的基礎(chǔ)上，給出我國ICT供應(yīng)鏈安全管理和評估的幾點建議。

（一）戰(zhàn)略層面加強ICT供應(yīng)鏈安全管理

從國家戰(zhàn)略層面重視供應(yīng)鏈安全管理，促進相應(yīng)制度和標(biāo)準(zhǔn)的研究制定，加大探索研究與ICT供應(yīng)鏈安全管理相關(guān)的核心技術(shù)。實施國家ICT供應(yīng)鏈安全管理，使之作為國家網(wǎng)絡(luò)安全保障的正當(dāng)需求被國際社會所接受。建立供應(yīng)鏈安全管理制度已成為國際通行做法，應(yīng)在此基礎(chǔ)上，進一步建立我國國家ICT供應(yīng)鏈安全評估制度。

（二）將ICT供應(yīng)鏈評估納入網(wǎng)絡(luò)安全審查

從加強國家供應(yīng)鏈安全管理的角度出發(fā)，強化針對供應(yīng)鏈的網(wǎng)絡(luò)安全審查，對ICT產(chǎn)品和服務(wù)的設(shè)計、研發(fā)、制造、生產(chǎn)、分發(fā)、安裝、運營、維護、采購等環(huán)節(jié)實施有效監(jiān)督。將ICT供應(yīng)鏈評估納入網(wǎng)絡(luò)安全審查，有利于澄清網(wǎng)絡(luò)安全審查制度不是針對特定的國家或地區(qū)，可緩解外方對我國將該項制度當(dāng)作貿(mào)易壁壘的擔(dān)心和質(zhì)疑。

（三）制定ICT供應(yīng)鏈安全評估的法律法規(guī)

制定與完善國家政策、法律和標(biāo)準(zhǔn)，明確各方在ICT供應(yīng)鏈安全評估中應(yīng)當(dāng)承擔(dān)的責(zé)任和義務(wù)。ICT供應(yīng)鏈安全評估涉及多項法律的適用和協(xié)調(diào)，其中技術(shù)進出口管制、商用密碼專控和認(rèn)證許可都是與評估活動最為密切的法律制度，為了與網(wǎng)絡(luò)安全審查的目的更加契合，需要進行適度調(diào)整。

（四）ICT供應(yīng)鏈安全評估的組織方式

改變分散的ICT供應(yīng)鏈安全評估方式，設(shè)立統(tǒng)一的評估機構(gòu)。評估機構(gòu)可以是現(xiàn)有的與ICT供應(yīng)鏈安全相關(guān)的管理部門，也可以建立專門的評估機構(gòu)。評估機構(gòu)負(fù)責(zé)統(tǒng)一部署和協(xié)調(diào)ICT供應(yīng)鏈的安全管理與審查工作。

（五）建立ICT供應(yīng)鏈安全評估程序

借鑒國際現(xiàn)有的信息安全評估制度，評估機構(gòu)可運用供應(yīng)鏈安全評估標(biāo)準(zhǔn)對ICT產(chǎn)品和服務(wù)的安全性能進行評估，其程序包括評估準(zhǔn)備、一次評估、二次評估、定期評估、再認(rèn)證評估等階段。

五、結(jié)語

縱觀國際現(xiàn)行ICT供應(yīng)鏈安全管理的特點，我國應(yīng)在以下幾個方面做好準(zhǔn)備工作：加強ICT供應(yīng)鏈安全管理的戰(zhàn)略研究；制定通用的ICT供應(yīng)鏈安全評估標(biāo)準(zhǔn)；加強ICT供應(yīng)鏈安全評估與現(xiàn)有信息安全制度的銜接。

[1]Boyson S, Rossman H. Developing a cyber-supply chain assurance reference model [R]. Maryland: Supply Chain Management Center (SCMC), Robert H. Smith School of Business University of Maryland, 2009.

[2]Booz Allen Hamilton. Managing risk in global ICT supply chains: Best practices and standards for acquiring ICT[R]. McLean, Virginia: Booz Allen Hamilton, 2012.

[3]The comprehensive national cyber security initiative [EB/OL]. (2008-01-01) [2016-10-12]. https://www.whitehouse.gov/issues/ foreign-policy/cybersecurity/national-initiative.

[4]Schmidt H A. International strategy for cyberspace [R]. Washington, DC: White House, 2011.

[5]Cadzow S, Giannopoulos G, Merle A, et al. Supply chain integrity: An overview of the ICT supply chain risks and challenges, and vision for the way forward (2015) [R/OL].(2015-09-11) [2016-10-15]. https://www.enisa.europa.eu/publications/sci-2015.

[6]The Embassy of the People’s Republic of China in New Zealand (Cook Islands, Niue). China, Russia and other countries submit the document of international code of conduct for information security to the United Nations International code of conduct for information security [EB/OL].(2011-09-12) [2016-10-15]. http://www. chinaembassy.org.nz/eng/zgyw/t858978.htm

[7]Boyens J, Paulsen C, Moorthy R, et al. NIST special publication 800-161: Supply chain risk management practices for federal information systems and organizations [S]. Gaithersburg: National Institute of Standards and Technology, 2015.

[8]Ross R S. NIST special publication 800-39, managing information security risk: Organization, mission, and information system view [S]Gaithersburg: National Institute of Standards and Technology, 2011.

[9]Boyens J. NIST IR7622: Notional supply chain risk managementpractices for federal information systems [S]. Gaithersburg: National Institute of Standards and Technology, 2012.

[10]Simpson S, Reddy D, Minnis B, et al. The software supply chain integrity framework: Defining risks and responsibilities for securing software in the global supply chain [S]. SAFECode, 2009.

[11]Langevin J R, McCaul M T, Charney S, et al. Securing cyberspace for the 44th presidency: A report of the CSIS commission on cybersecurity for the 44th presidency [R]. Washington, DC: Center for Strategic and International Studies, 2008.

[12]Chadwick S H. Defense acquisition: Overview, issues, and options for congress [R]. Washington, DC: Congressional Research Service, the Library of Congress, 2007.

Research on Foreign ICT Supply Chain Security Management with Suggestions

Ni Guangnan1, Chen Xiaohua2, Shang Yanmin3, Wang Hailong1, Xu Kefu3
(1. Institute of Computer Technology, Chinese Academy of Sciences, Beijing 100190, China; 2. Chinese Academy of Cyberspace Studies, Beijing 100010, China; 3. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

Given the nation’s critical infrastructure and key resources (CIKR) reliance on information and communication technology (ICT), identifying and controlling the ICT supply chain risk has become an important factor when protecting national security. As the forerunner of ICT supply chain management, the US provides rich experience in enhancing the strategic position of the ICT supply chain, establishing the standards of ICT supply chain management, ensuring the security of software and hardware in the ICT supply chain, and supervising the procurement of ICT supply chains. In addition, the EU and Russia also specifically strengthen the security management of the ICT supply chain. Based on the above research, this paper provides some suggestions on the security management of the ICT supply chain in China.

supply chain risk management; hardware supply chain; software supply chain; procurement security

TP393.08

A

2016-10-20；

2016-10-25

倪光南，中國工程院，院士，中國科學(xué)院計算技術(shù)研究所，研究員，研究方向為多媒體技術(shù)；E-mail: ngn@public.bta.net.cn

中國工程院重大咨詢項目“網(wǎng)絡(luò)空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn