ICT供應鏈安全管理風險識別研究

何昊坤 李璐

摘要：隨著信息通信技術（ICT）產品和服務逐漸被廣泛應用于各重點行業，其全球化特點所帶來的安全事件頻發，ICT供應鏈安全管理成為各行業乃至國家關注的焦點。文章分析了當前ICT供應鏈國內外研究和管理現狀，研究了識別ICT供應鏈全生命周期中存在的安全風險類型，旨在重點保障ICT供應鏈全生命周期的保密性、完整性、可用性、可控性，并結合我國目前ICT供應鏈安全管理實際提出了具體的建議，為不斷加強ICT供應鏈安全管理工作，提供了一定的參考和借鑒。

關鍵詞：ICT供應鏈;安全管理;風險識別

中圖分類號：TP393.08????????? 文獻標識碼：A

1 引言

信息通信技術供應鏈（Information and Communication Technology Supply Chain）這一新興概念由傳統供應鏈發展演變而來。ICT供應鏈在傳統供應鏈基礎之上，包含了信息通信技術和相應的配套服務，它在整個生命周期內通過一系列資源和過程，將需求方、供應方等多個主體有機聯系，并形成復雜多樣化、全球化的網鏈系統結構，涵蓋了信息流、資金流、物流所涉及的全部活動，較傳統供應鏈相比，層次更深化、范圍更廣泛[1]。

因其復雜化、全球化特點，ICT供應鏈所衍生出的風險也逐漸凸顯，安全事件時有發生，在全生命周期的各階段保密性、完整性、可用性、可控性等基礎要求，亟需有效的安全保障，安全管理工作形勢嚴峻。因此，針對突出問題加強ICT供應鏈安全管理，彌補安全漏洞，提升管理能力及水平，保護國家相關利益迫在眉睫。

2國內外ICT供應鏈安全管理現狀

2.1國外ICT供應鏈安全管理現狀

國外在ICT供應鏈安全管理研究上起步較早，特別是以美國為代表的西方國家，在ICT供應鏈安全管理工作上都有了顯著的成績。目前，建立起了以法律法規、標準體系、業務部門為主的整體管理框架，其相當一部分成果都是目前ICT安全管理工作的先進經驗，可為他國ICT安全管理體系建設提供參考[2]。

（1）美國ICT供應鏈安全管理現狀

就美國而言，其經歷了傳統供應鏈、IT供應鏈、ICT供應鏈的演變，由最初只關注貨物產品本身安全的焦點轉變到信息技術安全再到現如今信息通信技術和服務的安全，關注焦點逐漸寬泛，層次不斷深入，內涵更加復雜。美國對于ICT供應鏈安全管理出臺的法律法規、標準體系，以及專門成立的相關業務部門，其管理實踐成果在國際上都處于領先水平。

在2002年，美國政府就供應鏈和信息技術安全之間的關系展開了相應的研究，而且將其納入到了國家信息安全戰略中，可謂重視程度之高。在近幾年中，美國又陸續出臺了若干政策文件，如表1所示。同時，美國制定了ICT供應鏈信息系統安全標準鞏固發展相關研究，如圖1所示。到2009年奧巴馬政府時期，ICT供應鏈安全問題從此被納入國家安全范疇，重視程度達到了有史以來的最高點[3]。

2013年由美國NIST制定出臺的SP800-161《聯邦信息系統供應鏈風險管理實踐標準》，將政府機構采購ICT產品和相應服務與ICT供應鏈安全風險問題相整合，形成了以風險識別、風險指標分析及風險應對為一體的整體安全風險管理體系，為美國政府ICT供應鏈安全風險管理提供專業化指導。該標準是對ISO/IEC 27036-3標準的完善和深化，但這一標準是專門針對美國政府的需求和現狀所制定的，因此帶有一定的局限性，不適宜他國直接引用，可作為一定的參考[4]。

在出臺相應政策文件的同時，美國政府于2008年成立了專門針對ICT供應鏈安全管理的4個專職機構，分別是高級指導機構、采購政策管理機構、安全風險標準機構和安全威脅信息共享機構[5]。這些機構的主要工作內容為風險信息分析與共享、標準體系文件的制定、法律法規的出臺以及相關工作的協調處置。負責上述專職機構工作的國家部門涉及美聯邦政府、國土安全部、國防部、國家審計局、總務局、標準技術研究院、國家情報總監辦公室等。

（2）ICT供應鏈安全管理國際標準

ICT供應鏈安全管理國際標準的發展歷程主體，可概括為由傳統供應鏈逐漸向ICT供應鏈轉變的“兩階段”發展。目前，有ISO/IEC 27000信息安全管理體系中，專門針對供應鏈安全管理而制定的ISO/IEC 27036《信息技術 安全 技術 供應商關系的信息安全》，ISO/IEC 27036由ISO/IEC 27036-1概述和相關概念、ISO/IEC 27036-2相關要求、ISO/IEC 27036-3 ICT供應鏈信息安全指南、ISO/IEC 27036-4云服務安全指南四個部分構成，如圖2所示[6]。其中，ISO/IEC 27036-3為針對ICT供應鏈安全管理所制定的國際標準。以上四份標準化文件，為層層互聯、相互聯系關系，ISO/IEC 27036-1與ISO/IEC 27036-2搭建起整個標準體系的主體框架，對ICT供應鏈的定義、范圍、實施、評估等基本性要素進行了規定;ISO/IEC 27036-3專門針對ICT供應鏈中的信息安全操作規范和標準實施流程進行了規定，同時對風險評估及應對進行了相關闡述，該標準為強制性標準;ISO/IEC 27036-4則是根據當前云計算技術發展背景制定的ICT供應鏈風險識別分析及應對措施。

2.2 國內ICT供應鏈安全管理現狀

我國供應鏈安全管理的研究最早可追溯到20世紀90年代，當時是與“現代物流”這一概念一同引進的。在黨的十九大報告中也首次提出了“現代供應鏈”的新理念，將傳統供應鏈的內涵賦予新的時代意義，同時也代表了將供應鏈發展提升到國家發展戰略層面。對于ICT供應鏈安全管理而言，我國相對于歐美等國家起步較晚，雖然目前有一定的研究成果，但是還處于發展起步階段，相關制度體系還待進一步建設。

我國專門針對ICT供應鏈安全管理制定的國家標準，即GB/T 36637-2018《信息安全技術ICT供應鏈安全風險管理指南》主要從ICT供應鏈安全風險管理過程、ICT供應鏈安全風險控制措施兩個方面進行具體闡述。ICT供應鏈安全風險管理過程主要包含背景分析、風險評估處置、風險監督檢查、風險溝通記錄四個板塊，ICT供應鏈安全風險控制措施則從技術安全措施和管理安全措施兩個維度進行具體闡述，標準后附ICT供應鏈概述、安全威脅、安全脆弱性三個資料性附錄，重點目標是為了保障當前ICT供應鏈完整性、保密性、可用性、可控性[7]。

當前，國內對于ICT供應鏈安全管理研究的文獻資料，都闡述了ICT供應鏈的基礎概念及定義、風險識別以及國外發展研究現狀，但對于全生命周期中的采購、生產、研發、服務等環節的安全風險評估方法及防范應對措施，未開展詳細的剖析。

3 ICT供應鏈安全風險識別分析

ICT供應鏈全生命周期可分為設計研發、生產供應、運維服務三個階段。設計研發階段包括設計、研發，生產供應階段包括采購、生產、驗收、倉儲、物流，運維服務階段包括運維、返貨，與各階段相配套的信息系統及數據覆蓋整個生命周期，如圖3所示。

由于其全球化分布、產品服務復雜、供需方多樣性、全生命周期的特點，使ICT供應鏈面臨著各種安全威脅，威脅主體引起的威脅利用軟硬件、服務自身的脆弱性，導致ICT產品和服務產生安全風險，以致ICT供應鏈在保密性、完整性、可用性、可控性上受到破壞。

安全威脅按其性質可分為非人為威脅和人為威脅。非人為威脅是因其周邊環境因素的異常改變而導致的，通常具有不可抗力性，如臺風、地震等自然災害和潮濕、灰塵、磁場等周邊環境危害;供應鏈中的設施設備、信息系統本身故障等;政策因素、產品斷供等突發事件;同時，包括因供應鏈中各參與者因其本身過失或其他原因而造成的結果，主要包括專業技能不足、疏忽大意、系統誤差、信息泄露等。人為威脅指的是供應鏈內外部人員因其主觀惡意試圖破壞供應鏈而采取的攻擊行為，主要包括惡意篡改、信息泄露、假冒偽劣、違規操作等[8]。ICT供應鏈常見威脅為產品斷供、惡意篡改、假冒偽劣、違規操作、信息泄露。

產品斷供發生于生產供應階段，它發生在最終用戶的上游階段，由于ICT供應鏈的需方與供方存在供應關系，并且在供應鏈體系中某一供應商為下游供應商的供方，同時也為上游供應商的需方，如圖4所示。因此，任一層級的供應商發生斷供且無替代產品可選擇的情況下，ICT供應鏈由此中斷。

惡意篡改常發生于生產供應、運維服務階段，是指不法分子和敵對勢力通過信息安全技術手段對元器件、設備或系統進行故意改變原有功能、不法植入的行為。篡改植入可發生在ICT供應鏈的全生命周期的各個階段，潛在的篡改植入者的目的，就是為了干擾產品正常功能的實現 、對產品功能造成損害或竊取有關數據，主要方式包括人為攻擊、植入木馬或程序、修改信息數據等。

假冒偽劣一般發生在生產供應階段的制造生產環節，既可以是假冒、劣質的產品，也可以是假冒、劣質的服務，同樣也包括生產計劃外未經批準授權的產品和服務。其產生原因一般是因為生產流程不規范、質量要求不嚴格所導致，當然也可能是生產廠家工人存有報復心理、或被策反故意在生產中參假、降低要求進行制造。

違規操作可發生在ICT供應鏈的全生命周期的各個階段，其威脅主體是各級供應商的內部人員，它同時具備過失和故意兩種意識形態。過失情形主要指因技能不熟而錯誤操作、疏忽大意導致流程上的缺失，故意情形帶有主觀惡意，包括對信息系統的配置和程序進行違法改變、違規訪問收集產品的信息數據、違規降低測試驗收標準、違規改變運維數據等。

信息泄露常存在于設計研發階段和生產供應階段，設計參數、性能指標、測試數據、采購生產信息、運維數據等重要信息，若因信息安全管理能力不足無意或有意泄露，所造成的風險將相當嚴重[9]。

ICT供應鏈軟硬件、服務自身的脆弱性同樣存在于全生命周期中的各階段。設計研發階段主要包括在進行產品服務的設計開發時是否考慮未來安全風險的處置應對需求，是否按照法律法規、行業標準進行安全體系設置，是否按要求進行流程開發。生產供應階段主要包括供應商管理、采購的元件質量檢測、供貨來源安全驗證、外包安全管理措施是否有效，生產環境的物理環境、安全監管要求是否達標，是否按要求開展產品驗收安全測試，倉儲環境的物理防護、安防設施設備是否達標，產品運輸商背景審查、運輸途中的安全保障能力是否達標等。運維服務階段主要包括產品的返廠維護維修的運輸條件的安全性、維護人員的安全可靠性。同時，覆蓋全生命周期的信息系統及數據主要包括系統安全漏洞、數據留存與備份安全、訪問控制權限設置等脆弱性[10]。

風險是威脅發生的充分不必要條件。若當供應鏈中的脆弱性與威脅主體引起的威脅相對應，則會導致風險，如圖5所示。因此，從威脅的角度，研究分析威脅主體所想達成的目標，從目標尋找應對措施才是正當之策。

4 對我國ICT供應鏈安全風險管理的建議

4.1不斷深化ICT供應鏈戰略研究成果

ICT供應鏈產品和服務廣泛遍布于各個行業領域，因其復雜多樣化、全球化的特點則更易產生安全風險問題，因此不斷深化ICT供應鏈戰略研究是當前的必要工作之一。聚集專家智慧庫、各單位實情摸底、組織專題研討分析，在全面和系統的戰略研究分析基礎上得到科學、合理的成果，為明確戰略定位以及后期制度體系的建設工作筑下基礎堡壘。

4.2 逐步完善ICT供應鏈制度體系框架

當前，我國整個ICT供應鏈大部分還處于制度體系空缺階段，相關部門應通過利用戰略研究、實地調研、專家座談等多渠道獲取的成果，從全局進行頂層設計，統籌推進制度體系框架的搭建工作，建立ICT供應鏈安全管理長效機制。同時，積極學習借鑒國外ICT供應鏈安全管理先進經驗，在符合我國實際的情況下，構建以法律法規、管理規范、標準體系、系統平臺等多維度為一體的整體框架，并著力加大制度宣貫力度，使各項制度真正落地生根。

4.3 大力推進ICT供應鏈自主可控建設

2018年美國政府宣布7年內禁止美國企業向我國電信設備制造商中興通訊銷售元器件產品，因此，我國需不斷推進ICT供應鏈自主可控建設：一是要加強政策引導、資金投入，提高重視程度;二是要保障知識產權、長期堅持，穩健發展步伐;三是要加強人才培養、技術創新，助力國產化替代進程。

5 結束語

我國ICT 供應鏈安全管理任重道遠，在其全生命周期中的風險與威脅對安全管理的能力和水平會隨著時間推移要求會愈來愈高。因此要不斷深化ICT供應鏈戰略研究成果，逐步完善ICT供應鏈制度體系框架，大力推進ICT供應鏈自主可控建設。從頂層制度、規范體系、共享平臺三個維度入手，促使戰略研究成果快速轉化為可用成果，在制度的約束下進行管理實踐，共同著力搭建行業共享平臺，促進我國ICT供應鏈安全管理向科學化、規范化、樣板化發展。

參考文獻

[1]?李璐，汪坤.ICT供應鏈安全管理綜述[J].中國信息安全，2019（3）：100-103.

[2]?倪光南，陳曉樺，尚燕敏，王海龍，徐克付.國外ICT供應鏈安全管理研究及建議[J].中國工程科學，2016，18（6）：104-109.

[3]?張偉麗，楊宏寧.美國ICT供應鏈管理概況及啟示[J].保密科學技術，2017（2）：24-28.

[4]?范科峰.ICT供應鏈風險管理標準研究[J].信息技術與標準化，2014（6）：20-22.

[5]?左曉棟.美國政府IT供應鏈安全政策和措施分析[J].中國信息安全，2011（3）：30-32.

[6]?謝宗曉，董坤祥.ICT供應鏈信息安全標準ISO/IEC 27036-3及體系分析[J].中國標準導報，2016（3）：16-21.

[7]?GB/T 36637-2018.信息安全技術ICT供應鏈安全風險管理指南[S].

[8]?鄭興艷.IT供應鏈安全風險管理標準研究[J].信息技術與標準化，2012（6）：17-19.

[9]?李璐.淺析重要網絡產品供應鏈安全風險監管[J].網絡空間安全，2018，9（3）：85-89.

[10] Shon Harris.CISSP認證考試指南（第5版）[M].北京：清華大學出版社，2011：39-58.