鐵路信息系統供應鏈安全風險管理芻議

朱麗璇

（中國鐵路西安局集團有限公司 科技和信息化部，西安 710054）

鐵路信息化歷經數十年持續建設，鐵路信息系統已基本實現各專業關鍵業務場景全覆蓋，在運輸組織、調度指揮、客貨營銷、辦公綜合等方面發揮著重要作用，大數據、人工智能、物聯網等新興信息技術在鐵路的推廣應用正在成為鐵路智能化和高質量發展的重要引擎。在鐵路企業數字化轉型升級的過程中，由信息和通信技術供應商、第三方供應商、系統集成服務提供商及運維服務提供商共同組成的鐵路信息系統供應鏈，將服務器、網絡設備、PC 機、系統軟件、工具軟件、源代碼、組件、運行環境、知識產權等轉化為滿足鐵路企業應用需求的特定信息系統產品和服務，并通過線上或線下交付渠道，完成特定系統、軟件產品和服務的交付，共同承擔著鐵路信息系統提供及運維服務任務。

近年來，隨著鐵路信息系統迭代升級逐步加快，系統開發中大量使用外部代碼，如委托開發的代碼、開源代碼、二進制庫等，使得鐵路信息系統供應鏈中由供應方、中間人和第三方服務提供商形成多級網鏈狀供需結構日趨復雜。攻擊者可以通過在鐵路信息系統供應鏈的上游注入惡意程序，在交付及使用過程中違反開源協議等，蓄意制造鐵路信息系統中的安全漏洞，并伺機利用這些漏洞對鐵路信息系統發起攻擊。另一方面，全球供應鏈分工使各國形成不同產業優勢，我國信息通信技術（ICT，Information Communications Technology）供應鏈安全實力不夠強，尚未形成完整供應鏈。

為此，加強鐵路信息系統供應鏈風險管理對保障鐵路信息系統長期安全、可靠、穩定具有重要意義。通過建立鐵路信息系統資產及供應鏈圖譜，在全面掌握各級供應商資質、產品及服務整體狀況的基礎上，對這些供應商提供的產品及服務進行審查和風險評估，識別其中可能對鐵路業務造成威脅的任何潛在弱點，據此建立鐵路信息系統供應鏈風險清單。依據該風險清單，鐵路網絡安全主管部門可以主動開展針對性網絡安全管理工作，建立自研版本構成分析和管理的長效機制，主動推進關鍵產品與服務的國產化替代進程，對供應商進行風險監控，使潛在威脅得到有效管控，減少由軟件安全漏洞帶來潛在風險，避免網絡安全攻擊、數據泄露等給鐵路企業造成損失。鐵路信息化主管部門基于鐵路信息系統供應鏈風險清單，加強對鐵路信息系統合規項目的治理、評估和跟蹤監控，能夠在出現網絡安全事件時快速開展應急處置，提高處理安全風險的效率，確保各級供應商能夠合規創造價值，所交付的產品及服務符合鐵路企業網絡安全管理要求，使鐵路信息系統供應鏈能夠長期為鐵路企業數字化轉型升級提供有效支撐。

本文在分析鐵路信息系統供應鏈安全風險管理現狀的基礎上，對鐵路信息系統供應鏈面臨的安全威脅來源進行分類，分析其中存在的脆弱性，識別供應鏈安全風險，并給出管理建議。

1 信息通信技術供應鏈安全風險管理現狀

1.1 國內外現狀

2008 年，美國明確要求實施全球供應鏈風險管理，發布并實施供應鏈風險管理計劃。2011 年，美國為進一步加強高科技供應鏈的安全性，強調信息技術產品和服務供應鏈安全的重要性；2012 年發布了《供應鏈安全戰略》；2015 年，歐洲發布《供應鏈完整性：ICT 供應鏈風險和挑戰概述和未來愿景》，在愿景中重點指出ICT 供應鏈完整性是國家經濟發展的關鍵因素[1]；2007 年，ISO/IEC 發布了 28000 供應鏈安全管理體系系列標準，定義了供應鏈安全管理體系框架，可為操作或依賴供應鏈中某一環節提供參考，用以識別出各行業安全風險并指導實施控制和降低風險，以增強識別供應鏈潛在的安全威脅和影響的能力。

自2009 年起，我國先后發布一系列ICT 供應鏈安全管理相關國家標準，包括供應鏈風險管理指南、ICT 供應鏈安全風險管理指南和代碼安全審計規范等，明確供應鏈風險管理過程、風險評分評價方法、ICT供應鏈全生命周期風險識別流程及內容[2]，規定了安全功能缺陷、代碼實現安全缺陷、資源使用安全缺陷、環境安全缺陷等方面代碼安全審計要求；2016 年，我國發布《國家空間安全戰略》，其中明確提出建立網絡安全審查制度，加強供應鏈安全管理，以提高產品和服務的安全可控[3]；2021 年，《關鍵信息基礎設施安全保護條例》正式發布實施，該條例要求關鍵信息基礎設施運營者在采購網絡產品和服務時，為保障關鍵信息基礎設施供應鏈安全，應及早發現并避免可能產生的風險和危害；2022 年，《網絡安全審查辦法》頒布，同樣要求對運營者采購活動和部分重要產品進行審查，以確保關鍵信息基礎設施供應鏈安全。

1.2.鐵路信息系統供應鏈特點

鐵路信息系統供應鏈涵蓋環節更多，涉及范圍廣，具有以下3 個主要特點：

（1）產品與服務構成復雜：鐵路信息系統多、網絡覆蓋地域廣、設備種類繁雜且分散、老舊設備參差不齊，部分網絡資源、設備設施、資產臺賬邊界不清、歸屬不明，未知資產仍然存在，加重了供應鏈資產盤點難度。

（2）供應商多樣性：鐵路信息系統供應商包括設備、系統軟件和應用系統的設計、開發、采購、制造、集成、交付等，還涉及運維業務外包服務，每一個供應商對供應鏈的安全性和完整性都會產生影響。

（3）應用軟件產品眾多、運維服務量大：鐵路信息系統目前已基本實現各專業關鍵業務場景全覆蓋，鑒于我國鐵路運輸管理業務的獨特性，研發和應用了數量眾多的專用應用系統軟件，這些應用軟件需要持續滿足實際業務需求不斷地更新升級，管控源代碼安全成為保證鐵路信息系統供應鏈安全的重點工作。

1.3 鐵路信息系統供應鏈安全現狀

2022 年，鐵路發布《“十四五”鐵路網絡安全和信息化規劃》[4]，將供應鏈安全納入鐵路網絡安全體系架構，明確提出強化供應鏈安全管理，確保系統產品和服務供應鏈安全。同年發布的工作實施方案要求完善供應鏈管理制度，組織梳理形成鐵路信息技術產品和服務供應鏈圖譜，通過合同等方式提出對供應鏈、人員、產品、服務等環節的安全要求，開展監測，管控供應鏈安全風險，逐步建立供應鏈管控機制[5]。

近年來，中國國家鐵路集團有限公司（簡稱：國鐵集團）組織各單位針對鐵路重要信息系統開展供應鏈安全風險排查工作，梳理供應鏈企業形成供應鏈企業清單，盤點供應鏈產品形成產品清單，自查安全風險形成風險問題清單，最終形成重要信息系統產品與服務供應鏈圖譜，其構成如圖1 所示。

圖1 鐵路重要信息系統供應鏈圖譜清單構成示意

（1）供應鏈企業清單是供應鏈管理的基礎；清單涉及供應鏈全生命周期各個階段的相關參與方，包括信息系統的開發方、承建方、設計方、運維方、服務和產品的供應商、安全測評方、合作方等各個參與方；供應鏈企業清單的建立要從信息系統的建設、運維、服務等階段多方面收集信息，并持續進行及時更新。

（2）供應鏈管理風險自查旨在幫助管理單位全面掌握信息系統供應鏈中潛在的風險隱患，主要從供應鏈管理的組織架構、管理流程、人員管理、安全管理、供應商管理、產品安全審查、源代碼審計、產品開發、漏洞排查處置等方面開展自查，以據此加強對供應鏈各環節安全風險的控制。

（3）鐵路信息系統供應鏈產品主要涉及安全防護軟件、虛擬化軟件、業務應用軟件、服務器、中間件、數據庫、生產系統、日志審計系統、辦公系統等，通過盤點和梳理既有信息系統資產形成供應鏈產品清單。

通過建立鐵路信息系統供應鏈圖譜，將分散的供應鏈信息進行一體化整合，從各單位內部與外部因素進行排查，對供應鏈企業及其對應提供的產品及服務加強管控，對各單位自身組織、人員等方面存在的問題進行整改，及早發現已存在的供應鏈風險和危害，保證重要信息系統相關產品和服務的安全性和完整性。

2 鐵路信息系統供應鏈安全風險分析

2.1 威脅來源

鐵路信息系統供應鏈具有分布廣泛、軟件產品服務復雜、供需方多樣化的特點，導致信息系統產品面臨多種安全威脅，攻擊者通過利用系統自身的脆弱性，破壞系統供應鏈的保密性、完整性、可用性和可控性[6]。

鐵路信息系統供應鏈主要面臨環境因素、供應鏈攻擊、人為錯誤3 個方面的安全威脅來源，如表1所示。

表1 鐵路信息系統軟件供應鏈安全威脅來源

2.2 脆弱性分析

鐵路信息系統所依托的設備軟硬件環境及其開發過程中存在的自身脆弱性同樣存在于鐵路信息系統全生命周期中[7]。威脅主體利用系統自身存在的脆弱性，將導致安全風險，威脅、脆弱性與風險的關系如圖2 所示。

圖2 威脅、脆弱性與風險的關系

為有效減少或消除鐵路信息系統全生命周期中的安全威脅，必須對鐵路信息系統設計與研發、生產供應和運維服務這3 個階段潛在的脆弱性進行系統分析[8]，各階段中潛在的脆弱性分析內容如表2所示。

表2 鐵路信息系統生命周期各階段中潛在的脆弱性分析內容

2.3 風險識別

2.3.1 產品斷供

在鐵路信息系統供應鏈中，供應商之間是相互聯系的，互為供方和需方。系統是由供方向需方提供的，產品斷供的發生通常存在于供應鏈產品的上游生產供應階段。當供應鏈中某一層級供應商出現產品斷供事件，且該產品無其它產品可替代時，供應鏈將隨即中斷，如圖3 所示。

圖3 信息系統產品斷供示意

鐵路信息系統的軟硬件產品、網絡產品、服務供應鏈通常分布在各地、多個層級的供應方組成，隨著異地供應方、供應方層級的增多，產品與服務供應鏈的透明性和安全風險控制能力都在下降，供應鏈面臨中斷或終止的安全威脅。鐵路信息系統在設計研發、生產供應直至運維服務階段所涉及的設計單位、研發承建單位、運維單位等各類供應商，他們所提供的產品和服務涵蓋系統設備、芯片、終端、應用軟件、操作系統、數據庫等，其技術和產品的產業支撐能力需要持續創新和升級，協同產業鏈各環節同步要更新完善，提供更為安全可靠的技術產品，在較短時間內難以通過采購、生產、備貨、國產化替代等措施解決，將增加供應鏈安全風險。如遇到相關供應商倒閉等不可控因素時，設計單位在生產供應和運維服務階段提供相關服務支撐或安全設計方案變更時，存在服務斷供風險，導致后續階段任務不能按時執行交付，信息系統不能正常上線運行將嚴重影響鐵路正常運營。

2.3.2 惡意篡改

惡意篡改是指不法分子通過網絡安全技術手段故意改變系統的原有功能或植入安全漏洞的不法行為，這種篡改行為經常發生在系統供應和運維服務階段。在信息系統供應鏈的全生命周期中，篡改植入會采用多種方式，包括人為攻擊、植入木馬或程序、修改信息數據等，其目的是干擾系統產品的正常功能實現，對系統產品的功能造成損害或竊取相關數據[9]。

2.3.3 違規操作

違規操作威脅主要來自各級供應商的內部人員，在系統供應鏈的全生命周期的各個階段都可能發生。違規操作可分為過失和故意2 種情況[10]；其中，過失是指由于技能不熟練、錯誤操作或疏忽大意導致流程上的缺失；而故意操作則是指帶有主觀惡意的行為，包括違規違法地對信息系統進行配置和程序變更、訪問和收集產品數據、降低測試驗收標準、改動運維數據等操作。

2.3.4 信息泄露

信息泄露主要發生在系統產品的開發和生產供應階段，信息主要涉及到業務數據、用戶信息、設計參數、日志信息、采購生產信息、運維數據等重要信息，由于網絡安全管理范圍受限和能力不足，致使有意或無意的信息泄露，均會給鐵路企業帶來嚴重的安全風險隱患。

3 鐵路信息系統供應鏈安全風險管理對策

對鐵路信息系統供應鏈中存在的問題和風險隱患若不加以有效管控，將會導致鐵路相關業務中斷、網絡癱瘓、數據丟失，嚴重影響鐵路正常生產和經營活動，甚至給鐵路運輸安全帶來重大威脅。為增強鐵路信息系統供應鏈的韌性，應制定全面并持續完善的風險管理機制。為了減少風險對供應鏈構成的威脅與損失，應建立合理的供應商管理機制、風險防范預警機制，對信息系統供應鏈運營中可能出現的風險進行分析和識別，并采取防范和應急處置措施，最大限度的減少風險造成的損失，建立涵蓋信息系統設計、開發、交付、運維的全流程供應鏈安全管理體系，持續提升鐵路企業風險防范能力，為鐵路信息系統供應鏈自主可控和穩定安全打下堅實基礎。

3.1 建立鐵路企業信息系統供應鏈安全管理機制

（1）制定安全管理規范

鐵路企業依據《關鍵信息基礎設施安全保護條例》等法律法規要求，明確制定鐵路信息系統供應鏈安全風險管理相關規范，落實鐵路信息系統供應鏈安全管理要求[11]，實施規范化鐵路信息系統全生命周期供應鏈安全風險管理，對系統開發、交付、使用、運維各階段的風險進行嚴格的合規性管控，系統供應鏈管理全流程如圖4 所示。

圖4 鐵路信息系統供應鏈管理全流程示意

信息系統供應鏈安全管理涉及信息系統供應鏈全生命周期各個階段相關參與方及其所提供的產品與服務諸構成要素。信息系統供應鏈安全風險管理應涵蓋系統協議過程、生產過程、交付過程、獲取過程、維護過程、使用過程和廢止過程全流程風險管理。

（2）明確安全管理責任

建立鐵路信息系統供應鏈安全風險管理組織架構，明確各層級的管理責任和具體職責要求，做到權責分明，清晰落實責任。各信息系統主要負責人負責本系統供應鏈安全風險管理，系統安全責任人為主要執行責任人，對管理工作負主要責任，涉及系統采購、開發和其它技術人員負直接責任[12]，具體如圖5 所示。

圖5 管理責任組織架構示意

（3）健全風險管理機制

定期開展鐵路信息系統供應鏈安全風險識別[13]，收集和梳理供應鏈管理機構、流程環節、供應商等多維度信息，系統分析風險源、風險原因、風險事件，識別可能對目標產生重大影響的狀況，構建鐵路信息系統供應鏈安全風險庫。結合項目管理全流程，構建從規劃設計、采購供應、交付運維、外包服務等供應鏈管理全生命周期的風險數據庫，定期更新。開展風險評估，建立風險處置應急響應機制。依據信息系統供應鏈風險發生概率和影響后果，定量評估供應鏈安全風險；對風險進行分類分級管理，按照不同風險級別采取針對性風險防范措施；制定風險處置應急預案，強化應急響應機制，持續開展鐵路信息系統供應鏈風險監管。

（4）強化培訓和檢查

提高各級信息安全管理人員針對信息系統供應鏈的安全管理意識，強化信息系統供應鏈安全管理業務知識和技能的教育培訓；對涉及到第三方供應商的安全管理責任人、關鍵崗位人員和相關從業人員開展安全培訓、日常培訓及崗前培訓；定期開展信息系統供應鏈情況檢查，對發現問題及時整改，接受有關部門的監督、檢查、指導。

3.2 持續完善供應商管理

（1）完善供應商管理要求

通過建立產品和服務供應鏈圖譜，掌握供應鏈產品或服務名稱、主要負責人及供應商聯系人、核心技術或組件等情況，制定供應商管理要求，具體如圖6 所示。

圖6 供應商安全管理要求

明確供應商管理要求，其中包括供應商安全管理規范及標準建立、供應商安全準入機制管理、網絡安全監督檢查、簽署安全保密協議、提供開源產品清單、遠程接入訪問管理和具備軟件安全審計能力等；定期組織監督檢查，對關鍵產品和服務商實行篩選，確保供應商的選擇符合國家和國鐵集團有關規定。

（2）制定供應商安全保護策略

涉及鐵路核心業務、核心能力建設、核心系統及關鍵技術，以及風險管控存在明顯隱患的服務不宜外包；向供應商提供鐵路內部資料時，應制定安全保護策略，嚴格管控鐵路內部文檔的拷貝、傳輸、保存；在選擇供應鏈產品、服務和供應商時，應使用多個供應來源，考慮提高供應鏈各構成要素可用性，避免受到供應鏈斷供影響；定期開展對供應鏈來源審核和驗證，開展安全風險自審或引入第三方審計。

（3）嚴格產品與服務采購審查

合格供應鏈產品采購時，應嚴格履行網絡安全審查申報工作制度，判定所采購的相關產品是否影響到國家安全；對于影響國家安全的產品采購，須按照網絡安全審查管理規定，提交國家有關部門進行網絡安全審查，對提交的審查材料進行嚴格把關；采購國家名錄中符合要求的產品，經過審查通過后方可開展采購工作，保證鐵路企業所采購的產品與服務安全可信。

（4）強化供應商相關人員管理

對供應商相關人員（包括建設、開發、運維等人員）采取必要的監管措施；加強對供應商相關人員進行背景審查，杜絕用人風險；在供應商相關人員開始服務前，應與其簽訂保密承諾書，并在服務過程中或服務結束前對其進行保密檢查；對開發人員、設計師、測試人員、產品集成人員、運維服務人員等，結合其工作任務特點，開展安全意識、安全責任、安全策略與管理制度方面的培訓和宣貫，防止相關人員因工作疏忽導致安全隱患。

3.3 強化軟件產品及服務安全管理

（1）建立軟件安全開發生命周期管理流程

為最大程度地減少軟件漏洞導致的安全隱患，建立軟件產品安全開發生命周期（SDL，Security Development Lifecycle）管理流程，在軟件需求分析、設計、編碼、測試和維護階段開展相應的安全管理活動，梳理形成軟件產品及服務清單、軟件產品及服務供應商清單、風險清單；明確系統補丁、漏洞修復管理措施，實行鐵路信息系統升級的集中監測；增強自主研發能力，逐步實現鐵路信息系統自主可控，避免斷供風險。

（2）實行關鍵業務應用系統的源代碼安全審計

依據國家源代碼安全審計相關標準及鐵路相關文件要求，加強對鐵路信息系統特別是委托第三方開發的系統軟件源代碼管理及審計工作，審計內容要深入，從軟件安全功能缺陷、數據加密與保護、訪問控制、日志安全、源代碼實現安全、資源使用安全等方面，具體到弱口令、跨站、注入、函數調用、重定向、明文存儲傳輸、身份繞過、目錄遍歷、編譯環境安全、資源釋放、后門、木馬程序等具體的安全問題，均需通過自測或委托第三方開展深入的代碼審計，可采用人工加工具方式開展。

3.4 建立鐵路信息系統供應鏈風險預警系統

（1）研究開發供應鏈安全風險預警系統

研究開發鐵路信息系統供應鏈關鍵信息自動采集、建模和安全風險分析等技術，建立鐵路信息系統供應鏈安全風險預警系統[14]；通過供應鏈網絡建模與畫像，繪制產品和服務供應鏈圖譜，監測供應鏈網絡涉及的行業市場現狀及供方相關風險事件，如產能波動、價格上漲、供應鏈涉訴涉罰、木馬漏洞、產品缺陷、供應鏈斷供等，形成識別、防范、監測、評估供應鏈安全風險的綜合能力。

（2）建立常態化供應鏈安全監管機制

依托供鐵路信息系統應鏈安全風險預警系統，建立常態化的鐵路信息系統供應鏈安全監管機制，利用該系統提供的信息，針對鐵路關鍵信息基礎設施和重要產品、服務等開展風險預警通報，形成覆蓋鐵路信息系統供應鏈全環節、多層次的整體安全防護體系。

4 結束語

從新形勢下鐵路信息系統供應鏈安全風險管理需求出發，結合鐵路信息系統供應鏈特點及供應鏈管理現狀，對供應鏈管理過程面臨的威脅和風險展開分析，從鐵路企業供應鏈安全管理機制、供應商管理、軟件產品及服務安全管理、風險監測預警4個方面，提出應對鐵路信息系統供應鏈安全風險的管理對策，構建系統化、常態化的鐵路信息系統供應鏈安全管理機制，全面提升鐵路系統供應鏈安全風險管控和防御能力，保障鐵路企業信息系統長期安全穩定運行，推動鐵路信息化高質量發展。

近年來，鐵路信息系統供應鏈安全事件時有發生，供應鏈安全管理的重要性日益凸顯。國鐵集團已啟動鐵路信息系統供應鏈安全管理工作，但重要信息系統、關鍵信息基礎設施尚缺少有效的供應鏈安全風險評估手段，下一步將嘗試開展鐵路信息系統供應鏈安全風險評估試點工作，為今后全面實施供應鏈安全風險評估積累經驗。