ICT供應鏈安全防護機制研究*

廖 飛，賈永興

（中國電子科技集團公司第30研究所，四川 成都 610041）

0 引 言

隨著貿易全球化的發展，產品的跨國流通越來越頻繁。ICT（Information and Communications Technology，信息通信技術）產品在從原料采購、生產、運輸直至交付的任何一個環節都有可能存在影響產品安全性的因素。從信息安全對抗的角度來看，外部供應商完全有可能、有條件引入安全威脅，這就是IT供應鏈的安全問題。我國ICT供應鏈進口依賴性較強，缺乏系統性安全防護體系，這無異于向國外敵對勢力洞開了國家安全大門。震網病毒、火焰病毒、棱鏡門等一系列事件[1]表明，ICT供應鏈安全不可控，國家安全將會面臨重大風險。加強ICT供應鏈安全防范勢在必行。ICT供應鏈安全防范是一個系統工程，目前的研究工作主要集中在宏觀管理制度、政策法規、標準規范方面，成體系的安全防護機制、防護技術方面的成果較少[1-7]。本文著重在ICT供應鏈安全防護技術層面，開展相關安全防護框架、技術和機制研究和探討，試以進一步推動ICT供應鏈安全防護的落地工作。

1 ICT供應鏈安全現狀

1.1 供應鏈概念

我國國家標準GB/T 25103給出了供應鏈定義[8]：是圍繞核心企業，從采購原材料開始，到制成中間產品、最終產品、直至由銷售網絡把產品和服務送到消費者手中的流程，是包括供應商、制造商、分銷商、零售商、直到最終客戶的一個網鏈結構。簡單來說，供應鏈就是產品從原材料到產成品全部交易所經歷的整個鏈條，涉及物流、資金流、信息流等企業網絡信息系統。供應鏈具體結構如圖1所示[8]。

圖1 供應鏈結構模型

供應鏈是一個跨企業結構模式，由不同企業主體構成，具有復雜的網鏈狀結構。供應鏈是一個動態變化的網絡系統，鏈上節點企業隨市場需求變化而動態變化，導致供應鏈資金流、物流和信息流隨之動態變化。供應鏈復雜的結構模式和動態機制為安全防護提出了嚴峻挑戰。常見的企業供應鏈系統通常以外部數據托管中心為依托[9]，分為企業內部信息管理系統和外部企業節點兩部分，通過公共網絡連接，如圖2所示。

圖2 供應鏈管理信息系統框架

系統運作過程中，各個節點企業及時將反映ICT產品的最新信息更新到外部托管數據中心，實現信息共享與分工協作。

1.2 安全發展現狀

（1）各國政府高度重視ICT供應鏈安全問題

美國是世界上最為重視信息產業供應鏈安全的國家，將ICT供應鏈安全作為加強自身信息安全防護的重要內容。2006年發布的《聯邦網絡安全和信息保障研發計劃》明確將信息產品軟硬件的供應鏈攻擊列為一種攻擊趨勢。2008年發布的54號國家安全總統令提出國家網絡安全綜合計劃，將IT供應鏈安全問題上升到了國家威脅和國家對抗的層面，并著手全方位實施全球供應鏈風險管理。2011年發布《網絡空間國際戰略》提出將“與工業部門加強高科技供應鏈的安全性”作為保護網絡空間安全的優先政策，將ICT供應鏈安全提升至保障網絡空間安全的高度；歐盟從其自身利益出發，在歐盟內部制定通用的供應鏈安全要求，強化市場手段和企業力量的利用，加強供應鏈安全管理；俄羅斯一直強調通過國產化應用和替代來提高供應鏈安全水平；我國由于ICT產業鏈具有較高進口依賴度，風險水平較高，因此我國政府更加重視ICT供應鏈的安全問題。2016年發布《網絡安全法》強調推廣安全可信的網絡產品和服務。2016年發布《國家網絡空間安全戰略》明確提出加強供應鏈安全管理、提高產品和服務的安全性和可控性。

（2）將標準規范作為促進ICT供應鏈安全的重要抓手

國內外標準化組織積極將標準規范制定作為推進供應鏈安全防范的重要抓手。ISO組織發布了ISO/IEC27036和ISO 28000系列標準。ISO 28000系列標準主要針對供應鏈運輸和物流行業的傳統供應鏈安全管理需求。ISO/IEC27036系列標準中前兩部關注對象為各級供應商關系管理相關的通用信息安全要求。第三部ISO/IEC27036-3才是真正意義上的ICT供應鏈安全國際標準，意義重大。該標準將信息安全過程整合到系統生命周期全過程，提供了IT軟件、硬件和服務的供應鏈安全指南，專門考慮了信息攻擊方面的安全風險（如植入惡意代碼或仿冒IT產品等）。美國NIST SP800-53針對聯邦信息系統在其生命周期范圍內的脆弱性提出了“供應鏈保護”安全控制增強措施。NIST SP 800-161為聯邦機構指定ICT 供應鏈相關政策和程序、管理供應鏈安全風險方面提供了有效的指導。在我國標準制定方面，2009年我國發布GB/T 24420-2009《供應鏈風險管理指南》提出了供應鏈風險管理過程框架和通用指南。2019年5月1日我國正式發布了GB/T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》，針對ICT供應鏈的安全特點，細化了ICT供應鏈安全風險管理的過程和控制措施，為ICT產品服務的需方或供方提供安全風險管理實施指南。

（3）積極開展項目試點探索供應鏈安全防護技術措施

在宏觀政策和標準規范的指導下，美國等發達國家通過一些重點項目探索供應鏈安全防護措施，積極推動供應鏈安全落地工作。在供應鏈活動防護方面，美國通過微電子器件鏈供應的“可信代工”項目、RFID（Radio Frequency Identification，射頻識別）物資安全管控項目等加強供應鏈生命活動周期的安全管控；在信息產品威脅檢測方面，美國實施了“國防可信硬件電子供應鏈”、“可信性集成電路”和“集成電路的完整性和可靠性”等項目，研究高端檢測設備和技術，檢測芯片電路的安全性和完整性，防止偽劣芯片、偽造芯片、芯片木馬等威脅；在安全風險監測方面，美國計算機應急準備隊協調中心運營著一個跟蹤軟件漏洞、以及關聯用戶及供應商列表的數據庫，通過“信息保障漏洞警報”（Information Assurance Vulnerability Alert，IAVA）流程來應對供應鏈軟件漏洞警告；在風險追蹤溯源方面，美國海關和邊境保護局基于區塊鏈開發了一種供應鏈管理系統（目前處于概念原型階段）簡化全球發貨的追蹤工作。美國食品藥物管理局目前正推出一個試點項目，采用區塊鏈技術提高新試點藥品供應鏈的安全性和責任可追溯性，確保非法產品不進入供應鏈，并計劃在2023年為該行業推出跟蹤和追蹤系統。

2 ICT供應鏈安全威脅

2.1 安全脆弱性分析

安全脆弱性是指供應鏈自身存在的、容易被威脅攻擊利用的特性。脆弱性本身不具有安全危害性，容易被威脅利用，在被威脅利用時才會產生危害。ICT供應鏈信息安全的脆弱性主要體現在3個方面。

（1）共享基礎設施

供應鏈企業基于Internet構建信息網絡基礎設施。對外來說，采用公網進行權限認證與信息傳輸容易遭受非法攻擊。如果一個企業網絡缺乏有效防護措施受到威脅，整個供應鏈同時處于威脅之中。對內來說，通過分權共享系統接口容易遭受內部攻擊。如果內部安全防護機制不足，少數不良企業出于自身利益動機，可能做出危害供應鏈安全的行為。

（2）共享產品信息

ICT信息產品在供應鏈多個節點企業之間流轉，由于分工協作需要，可能會經多人之手。系統承包商與分包商之間共享軟件代碼，可能導致代碼泄露，導致代碼漏洞分析、惡意程序植入等安全風險；客戶與供應商之間共享產品信息，可能導致產品敏感信息和參數非法外泄，從而增加了產品潛在攻擊的機會。

（3）共享操作憑證

供應鏈節點企業多，相關企業或組織的眾多操作主體共享操作憑證存在安全隱患。供應鏈可能涉及多級關聯企業或組織，交叉的共享憑證可能導致非法權限與信任關系傳遞，從而導致非預期的訪問授權，為潛在的攻擊打開了大門。

2.2 面臨的安全威脅

ICT供應鏈安全威脅主要源于環境因素、供應鏈攻擊和人為錯誤。主要包括以下幾類威脅[6]。

（1）信息泄露

指ICT供應鏈上產生和傳遞的信息被未授權泄露，這些信息可能是個人隱私信息、商業機密信息、國家重要信息。在數據信息安全日益重要，信息防護意識不斷增強的今天，由于供應鏈安全引發的數據泄露威脅亟需受到重視。

（2）違規操作

ICT供應方內部可能產生的違規操作行為。比如，違規收集和使用個人隱私數據、違規訪問內部數據和/或組件、大數據濫用、產品和服務違規配置等。從某種意義上講，違規操作導致的后果可能比外部的安全威脅更為嚴重。

（3）惡意篡改

惡意篡改可能是外在原因（如惡意程序、高級木馬、外部組件、非授權部件等）、也可能是內在原因（如非授權配置、供應鏈信息篡改等）導致的。惡意篡改可能存在于在ICT供應鏈的設計、開發、采購、生產、倉儲、物流、銷售、維護、返回等任何一個環節，也可能是多發性的存在于上述多個環節，從而導致信息技術產品和服務機密性、完整性和可用性的破壞。

（4）假冒偽劣

假冒偽劣屬于信息技術產品和服務本身可能存在的問題，也可能是由于供應過程中缺乏嚴格管理導致的外在產品和服務混雜其中引發的安全威脅問題，包括假冒產品和服務、不合格產品和服務、未經授權生產的產品和服務。采用偽劣仿冒產品、或采用內嵌惡意程序的產品替換正常產品，將干擾系統正常使用，或使系統遭受惡意程序攻擊。

（5）預留后門

在信息裝備的軟硬件當中預留操控后面，植入木馬或邏輯炸彈，甚至以高級持續性威脅（Advanced Persistent Threat,APT）的方式進行持續性攻擊。由于政府和軍隊可能面臨持續的、特有的、國家對抗層面的信息安全威脅，自主信息裝備供應鏈因此也必然面臨復雜的日新月異的技術攻擊手段，這對抵御各種攻擊的信息安全技術提出了極大的挑戰。

3 ICT供應鏈安全防護機制

3.1 安全防護框架

ICT供應鏈安全防護是一項復雜的系統工程，需要供應鏈各環節、各要素相關安全措施和安全資源協同配合、統一調配，才能形成整體安全效益。安全防護總體框架旨在從技術層面為供應鏈及其節點企業提供一個全面的安全防護框架模型，通過有效協同基礎設施、信息管理、物資管理等不同層面的安全防護機制，通過統一的安全保密管控策略，最終形成覆蓋ICT供應鏈全環節、各要素、全方位、多層次的整體安全防護體系，形成“識別、防范、監測、評估”安全防護綜合能力。ICT供應鏈安全防護框架如圖3所示。

ICT供應鏈安全防護框架是一個分層協同防護模型，包括基礎設施安全防護、信息管理安全防護、物資管理安全防護和安全保密綜合管控四個部分組成。基礎安全防護關注供應鏈網絡和信息系統等基礎設施的安全防護，確保系統安全；信息管理安全防護關注供應鏈全生命周期活動中的信息的安全防護；物資管理安全防護重點關注供應鏈全生命周期活動中的物資流轉及產品自身信息的安全防護；安全保密綜合管控強調全周期、全訪問安全管控，確保安全威脅及時發現、安全問題追蹤溯源、安全態勢實施感知等系統安全管控工作。供應鏈安全防護框架對物流、信息流實施分層同步安全防護，通過物聯網安全管控技術，實現信息流和物流安全防護的有效協同。

3.2 基礎設施安全防護機制

在供應鏈基礎設施安全方面，我們重點關注信息網絡和系統層面的安全防護，主要涉及各節點企業供應鏈管理所依賴的網絡基礎設施和管理信息系統的安全防護。

（1）供應鏈網絡傳輸安全機制

采用IPSec VPN技術構建供應鏈節點企業端到端信息傳輸安全機制，解決不可信任公網環境供應鏈信息傳遞的安全問題。IPSec VPN采用密碼算法對IP數據包實施基于IPSec規則的安全封裝，確保IP傳輸分組的機密性和完整性保護，能夠抵御網絡嗅探、網絡篡改、網絡劫持等攻擊，確保端到端網絡傳輸安全。IPSec VPN工作原理就是在供應鏈各節點企業網絡出口位置部署VPN加密網關設備，VPN加密網關負責IPSec封裝和解封裝處理，通過安全策略統一配置，實現供應鏈企業伙伴之間的安全傳輸通信。供應鏈網絡安全架構有網狀和星形兩種結構。在供應鏈信息分散管理模式下，各節點企業之間程網狀通信結構。在云計算模式下，核心企業通過將供應鏈數據管理托管到云數據中心，各節點企業之間直接與云數據中心的外部數據托管中心通信交互，形成星形通信結構，如圖4和圖5所示。

圖3 供應鏈安全防護框架

圖4 供應鏈分散管理網絡傳輸安全

圖5 供應鏈數據托管方式的網絡傳輸安全

（2）供應鏈信息系統安全機制

供應鏈信息系統安全防護屬于比較常見、通用的業務應用系統安全防護范疇。供應鏈信息系統具體防護措施根據云和非云化部署方式有所不同外，其主要防護機制相同，包括用戶身份認證、權限管控、病毒木馬防御、數據加密等安全防護機制，主要防護目標是確保系統的可用性，防止非法入侵。

3.3 信息管理安全防護機制

ICT供應鏈業務流轉復雜、企業組織松散、信息訪問交織、信任關系薄弱導致信息安全管控是供應鏈安全防范工作的一個重點和難點。安全防護的核心思路是基于區塊鏈安全機制實現信息管控的主體信任與安全追溯，基于細粒度的數據加密實現數據流轉的機密性和完整性。

（1）基于區塊鏈的信息安全共享與訪問機制

區塊鏈是一種按照時間先后順序將數據區塊連接組合在一起形成的鏈式數據結構，其實質是由多方參與共同維護的一個持續增長的分布式共享賬本[10]。區塊鏈通過中心化的分布式賬本、加密算法、共識機制和智能合約等四項創新機制能夠實現多方交易的信任性和安全性，使其特別適用于ICT供應鏈信息管理。區塊鏈對于ICT供應鏈最重要的價值就是提供良好的多方信任和安全機制，從而建立一個包含各級供應鏈節點企業的供應鏈信息安全共享與管理平臺框架，如圖6所示。

圖6 基于區塊鏈的供應鏈信息管理模型

節點企業之間的供應鏈信息流可以通過以上供應鏈信息管理模型實施有效安全管控。區塊鏈通過供應鏈節點企業之間的共識算法來產生新的區塊，通過區塊交易信息記錄當期節點企業的供應鏈信息，供應鏈每個節點都會進行新區塊的合法性驗證工作，只有通過合法性驗證的區塊才會被區塊鏈網絡節點認可和保存。

上述框架模型具有較好的安全性。首先，交易記賬由不同節點共同完成，每一個節點保持完整的賬目，可以形成共同監督機制，防止虛假賬目；其次，公開的交易信息通過哈希運算確保信息完整性，賬戶身份信息通過數據加密確保信息的機密性；然后，新增和修改的區塊鏈數據的合法有效性通過共識機制獲得多數節點確認，具有數據防偽造、防篡改功能；最后，交易通過智能合約由計算機代碼自動評估和執行，可在沒有第三方的情況下進行可信交易，確保交易行為可追蹤且不可逆轉。

（2）基于安全屬性的數據安全防護機制

供應鏈信息可能包含敏感信息，在多方共享信息訪問模式中，為確保不同供應鏈節點企業對不同信息具有不同的訪問權限，確保數據的機密性和完整性，基于安全屬性將信息分級分類，采用細粒度加密措施對不同類別、不同密級信息分類加密保護和控制，通過密鑰定向分發，確保數據訪問權限精準管控，防止非授權訪問。數據安全訪問控制機制如圖7所示。

圖7 基于安全屬性的數據安全訪問控制機制

上述安全防護機制能夠確保不同供應鏈節點企業對于分布式共享賬本信息具有不同訪問權限。如數據信息1只有用戶1具有訪問權限，采用數據密鑰1加密保護；數據信息2只有用戶2具有訪問權限，采用數據密鑰2加密保護，數據信息3為公開信息，明文存在。權限控制中心分別采用用戶1、用戶2的公鑰對數據密鑰1和數據密鑰2進行加密封封裝，定向分發給用戶1和用戶2，用戶1和用戶2獲得數據信息1和數據信息2的細粒度數據訪問控制權限?；诎踩珜傩缘募毩６葦祿用茉L問控制機制能夠較好地適應供應鏈多主體、松散結構應用場景，能夠有效防止傳統訪問控制機制被繞開的安全風險，同時能夠確保供應鏈傳遞處理過程中數據的機密性和抗抵賴性。

3.4 物資管理安全防護機制

ICT供應鏈中物資管理安全防護對象包括兩部分：一是物資安全管控，防止信息產品在物流環節丟失、替換和失控；二是產品內部信息安全管控，確保產品內部代碼、數據、參數等敏感信息的機密性、完整性，防止信息竊密、漏洞分析和數據篡改。前者屬于物聯網安全范疇，后者屬于信息安全范疇。

（1）基于RFID的供應鏈物流安全監管機制

在供應鏈物流環節，安全風險在于物資失控，安全需求在于物流監管。RFID（無線射頻識別）是一種非接觸式的自動識別技術，典型的RFID系統一般由電子標簽、閱讀器和后臺應用系統組成。閱讀器通過射頻信號自動識別標注電子標簽的物資對象，讀取綁定對象的物資信息，通過后臺應用系統實施物流信息管控。ICT供應鏈中采用R FID技術能夠加強物流、倉儲環節的物資管控安全，提高裝備管理的實時性、精確化和可視化程度。

RFID供應鏈物流安全監管原理如圖8所示。產品在某節點企業出廠進入供應鏈流轉前，產品標識、名稱、生產批次等產品信息通過特定密碼算法運算生成唯一數字化安全監管編碼。安全監管碼與產品信息對應，一起更新到供應鏈信息管理系統進入信息流下一環節。監管碼同時寫入產品RFID電子標簽，標注到ICT物資進入物流下一環節。RFID物聯網管理技術將ICT物流和信息流進行安全映射，從而建立ICT產品和監管碼的對應和監管關系，實現從生產商、分包商、銷售商直到用戶等多個物流環節的數字化安全監管，有效控制物資失控安全風險。

圖8 RFID供應鏈物資安全監管方案

（2）ICT產品自身安全防護機制

ICT產品自身安全防范工作的重點是兩防。一是要卡住源頭，二是要管住中間環節?？ㄗ≡搭^就是要加強信息產品安全測評認證，防止威脅從源端引入。芯片硬件木馬檢測是一個技術難題，目前一個技術思路是側性道檢測，通過檢測電流、噪聲、電磁等的變化來檢測芯片級、主板及和固件級的安全威脅和攻擊。管住中間環節主要防護機制是采用密碼算法對產品內部敏感參數和軟件代碼等實施機密性和完整性保護、采用可信計算技術實施硬件和部件可信防篡改、防替換等安全防護。具體安全防護方案針對ICT產品類別、形態、體積等不同情況采取不同的具體措施。

3.5 安全保密綜合管控機制

供應鏈安全防護是一個系統工程，不僅要防，還要實施安全綜合管控，通過工程化、系統化防御機制，構建防護體系，提升防護能力。安全保密綜合管控機制包括威脅情報分析、安全態勢感知、問題追蹤溯源、安全策略管控等四個方面。一是建立供應鏈威脅情報數據庫，采用大數據和人工智能分析技術，提升威脅識別能力；在安全態勢感知方面，通過綜合全網威脅事件，進行可視化呈現，提供安全態勢圖譜，為決策者感知和掌控全局提供支撐；在問題追蹤溯源方面，通過責任主體提取、操作行為追蹤、安全日志分析，捕捉問題源頭、明確安全責任，排查安全隱患；在安全策略管控等措施方面，通過動態的安全策略配置，主動應對不斷變化的安全威脅。

4 結 語

隨著全球信息技術一體化發展趨勢，ICT產業鏈全球分工協作勢不可擋。供應鏈由于涉及到科研、生產、采購等多個生命周期環節，涉及到多級眾多供應鏈節點企業參與，安全防護是一項系統性研究課題。本文在分析梳理ICT供應鏈安全現狀的基礎上，針對供應鏈面臨的安全威脅，研究提出了ICT供應鏈安全防護總體框架，并進一步從供應鏈基礎設施、供應鏈信息管理和供應鏈物資管理等角度提出了相應的安全防護機制，為ICT供應鏈安全防護工作的落地提供了參考和借鑒。