電信運營商ICT供應鏈安全風險評估方法研究

關鍵詞：電信運營商；ICT供應鏈；風險評估

doi：10.3969/J.ISSN.1672-7274.2025.05.065

中圖分類號：TP393.0 文獻標志碼：A 文章編碼：1672-7274（2025）05-0194-03

Abstract： As the swift expansion of digital and global 5G services by telecommunications operators accelerates， the integration of new technologies and services through mobile terminals has become ubiquitous in daily life. This widespread adoption brings with itaheightened array of security risks for the telecommunications industry， particularly within the realm of its Information and Communication Technology （ICT） supply chain. Against this backdrop，this paper introducesa suiteofrational and eficacious securityrisk assessment methodologies，specifically tailored to enhance the network and data securityof telecommunications operators' ICT supply chains.The paper meticulously outlines the principal security risks confronting these supply chains，from scoping assessments and risk identification to thorough analysis and the development of strategic responses.It further assesss the vulnerabilities that could give rise to security incidents and provides targeted recommendations to bolster the security posture of telecommunications operators' ICT supply chains.

Keywords： telecomoperators; ICT supplychain security; risk assessment

0 引言

電信運營商信息和通信技術（InformationandCommunicationsTechnology，ICT）供應鏈是由多個上下游組織相互連接形成的網鏈結構，電信運營商處于產業鏈的中下游核心位置，其上游主要為通信設備商、ICT硬件、軟件供應商等，最上游的核心供應商主要為半導體芯片廠商[]。與傳統供應鏈不同，電信運營商ICT供應鏈產業整合度高、社會資源聚集，屬于技術、人才密集度極高的產業，容易產生產業上游的壟斷[2]。此外，重要網絡和關鍵信息基礎設施ICT供應鏈安全攻擊逐年增加[3]，傳統安全防護措施難以防御，供應鏈安全事件造成的影響遠大于普通的黑客攻擊事件。亟須進一步深刻分析當前電信運營商ICT供應鏈安全形勢，強化風險預防研判，全面提升風險評估能力，支撐電信運營企業高質量發展。

1 電信運營商ICT供應鏈面臨的主要安全風險

電信運營商ICT供應鏈具有全生命周期性、生產全球分布性、產品服務復雜性、供應商多樣性等特點[4。供應鏈的各個環節都有可能成為攻擊者的攻擊入口。本文從技術、管理、法規等多角度分析威脅利用脆弱性的影響[5，提出如表1所示的電信運營商ICT供應鏈主要安全風險及其影響。

2 電信運營商ICT供應鏈安全風險評估方法

電信運營商ICT供應鏈安全風險評估主要差異在于評估的焦點和范圍，ICT供應鏈風險評估更側重于識別和評估供應鏈中特有的風險，如供應商依賴、供應鏈攻擊、數據泄漏、合規遵從等。根據以上特性，安全風險評估方法主要包括如下6個過程。

2.1確定評估范圍

電信運營商ICT供應鏈風險評估根據評估的目標和關鍵供應鏈重要程度確認評估范圍，確定評估范圍目標如表2所示。

2.2信息收集

獲取電信運營商ICT供應鏈資產、供應鏈關系流程、供應商和現有安全措施的相關信息，信息收集目標如表3所示。

2.3識別風險

通過分析確定電信運營商ICT供應鏈潛在威脅、脆弱性和可能的影響。識別風險目標如表4所示。

2.4分析風險

評估風險的可能性和影響程度，確定ICT供應鏈風險等級。分析風險目標如表5所示。

2.5制定應對策略

為識別的風險制定風險規避、減輕、轉移或接受的策略。制定應對策略目標如表6所示。

2.6實施與監控

執行風險應對措施，并定期監控其有效性。風險管理實施與監控目標如表7所示。

3 電信運營商ICT供應鏈安全建議

加強對電信運營商ICT供應鏈安全風險管理，可參考表8的建議。

4 結束語

電信作為關系國計民生、公共利益的關鍵信息基礎運營行業，其供應鏈的安全具有重要的意義，本文構建了一套安全風險評估方法指標體系，以促進安全檢測評估工作的開展，可以作為評價電信運營商ICT供應鏈安全風險的依據，并提出了針對電信運營商ICT供應鏈的安全建議。

參考文獻

[1]王佳碩，程建寧，朱敏，周天成，胡永俊.通信運營企業ICT供應鏈安全風險預防及應對策略研究[A].供應鏈管理，2023（7）：25-36.

[2]周天成，程建寧，柳曉瑩，王佳碩，潘孝成.通信運營企業ICT供應鏈安全形勢及風險影響研究[A].供應鏈管理，2023（6）：72-85.

[3]王博，吳舟婷，吳倩，羅森林.關鍵信息基礎設施ICT供應鏈安全風險評估指標體系研究[J].信息安全與通信保密，2020（12）：103-111.

[4]GB/T36637-2018，信息安全技術電信運營商ICT供應鏈安全風險管理指南[S].2018.

[5]GB/T20984-2022，信息安全技術信息安全風險評估方法[S].2022.

[6]徐海，鐘書棋，胡寧，陳冰泉，陳捷宇.ICT供應鏈安全風險研究及建議[A].電子產品可靠性與環境試驗綜述與展望，2024，42（4）：124-128.