ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)NIST SP800-161探析

董坤祥 謝宗曉

（南開大學(xué)商學(xué)院）

ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)NIST SP800-161探析

專欄

信息安全管理系列之十

隨著ICT產(chǎn)品和服務(wù)的普及和ICT供應(yīng)鏈的全球化，ICT供應(yīng)鏈系統(tǒng)的機(jī)密性、完整性和可用性面臨著偽造、攻擊等蓄意破壞和信息安全的威脅。NIST SP800-161標(biāo)準(zhǔn)雖然尚未正式發(fā)布，但是作為NIST SP800標(biāo)準(zhǔn)族的系列標(biāo)準(zhǔn)，我們認(rèn)為該標(biāo)準(zhǔn)草案的發(fā)布能夠有效解決目前ICT供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐中所面臨的瓶頸。因此，本文對ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)NIST SP800-161的內(nèi)容進(jìn)行初步介紹，期望對我國ICT供應(yīng)鏈風(fēng)險(xiǎn)的管理提供指導(dǎo)。

謝宗曉（特約編輯）

董坤祥 謝宗曉

（南開大學(xué)商學(xué)院）

本文分析了美國聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐指導(dǎo)草案，并從ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的目標(biāo)、應(yīng)用范圍、制定背景、實(shí)踐和標(biāo)準(zhǔn)形成五個(gè)方面探討了NIST SP 800-161的主要內(nèi)容。最后提出了ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)在新背景下需完善的幾個(gè)方面。

信息安全 ICT供應(yīng)鏈 風(fēng)險(xiǎn)管理 NIST SP800-161

1 ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)介紹

ICT（Information Communications Technology）包括可存儲、檢索、修改、傳輸和接受任何形式電子信息的產(chǎn)品和服務(wù)，例如，個(gè)人電腦、手機(jī)、電子郵件等。ICT供應(yīng)鏈拙劣的制造和開發(fā)流程容易導(dǎo)致ICT產(chǎn)品和服務(wù)受到偽造、攻擊等蓄意破壞。這些風(fēng)險(xiǎn)降低了ICT技術(shù)應(yīng)用、整合和部署的可見、認(rèn)知和控制，降低了供應(yīng)鏈系統(tǒng)完整、安全、可靠，以及產(chǎn)品和服務(wù)的質(zhì)量。因此，明確ICT供應(yīng)鏈的風(fēng)險(xiǎn)有助于明確保證產(chǎn)品或服務(wù)整合、安全、可靠、質(zhì)量的實(shí)施進(jìn)程、流程與實(shí)踐。為了使組織在組織內(nèi)部所有層面上能夠?qū)CT供應(yīng)鏈風(fēng)險(xiǎn)安全進(jìn)行識別、評估和緩解，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）于2013年發(fā)布了美國聯(lián)邦機(jī)構(gòu)的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理（SCRM）標(biāo)準(zhǔn)草案——NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐指導(dǎo)草案》。通過層級式、ICT供應(yīng)鏈風(fēng)險(xiǎn)具體路徑、供應(yīng)鏈風(fēng)險(xiǎn)管理指導(dǎo)標(biāo)準(zhǔn)以及其他緩解活動(dòng)，將ICT供應(yīng)鏈風(fēng)險(xiǎn)管理整合到美國聯(lián)邦風(fēng)險(xiǎn)管理體系中，并形成ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)NIST SP800-161。該標(biāo)準(zhǔn)對制定我國相關(guān)ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)有重要的借鑒意義。

根據(jù)NIST SP800-161標(biāo)準(zhǔn)解釋，ICT供應(yīng)鏈風(fēng)險(xiǎn)管理是指在ICT產(chǎn)品和服務(wù)供應(yīng)鏈全球化分布下識別、評估和減少ICT供應(yīng)鏈風(fēng)險(xiǎn)。ICT供應(yīng)鏈風(fēng)險(xiǎn)包括：喪失信息系統(tǒng)的機(jī)密性、完整性和可用性，以及對組織運(yùn)營、組織財(cái)產(chǎn)、個(gè)人、其他組織和國家等帶來的負(fù)面影響。1）該定義結(jié)合了美國聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS 200）對風(fēng)險(xiǎn)管理的定義。

2 ICT SCRM標(biāo)準(zhǔn)的目標(biāo)

隨著ICT產(chǎn)品和服務(wù)的普及，以及ICT供應(yīng)鏈的全球化，組織機(jī)構(gòu)面臨系統(tǒng)的機(jī)密性、完整性和可用性或信息系統(tǒng)內(nèi)部信息安全處理、存儲和傳遞的威脅。因此，美國聯(lián)邦組織機(jī)構(gòu)需要相關(guān)指導(dǎo)標(biāo)準(zhǔn)來幫助其管理ICT供應(yīng)鏈風(fēng)險(xiǎn)。NIST SP800-161標(biāo)準(zhǔn)制定的目的就是優(yōu)化美國聯(lián)邦組織機(jī)構(gòu)識別、評估、選擇、實(shí)施風(fēng)險(xiǎn)管理流程，并減少組織控制，幫助組織機(jī)構(gòu)管理ICT供應(yīng)鏈風(fēng)險(xiǎn)。通過實(shí)施NIST SP800-161標(biāo)準(zhǔn)，組織能夠建立適當(dāng)?shù)恼吆土鞒炭刂撇⒐芾鞩CT供應(yīng)鏈風(fēng)險(xiǎn)。

3 ICT SCRM標(biāo)準(zhǔn)的應(yīng)用范圍

ICT供應(yīng)鏈風(fēng)險(xiǎn)管理是組織層面的活動(dòng)，應(yīng)直接在整個(gè)組織架構(gòu)下進(jìn)行治理，所以該標(biāo)準(zhǔn)的應(yīng)用范圍是整個(gè)組織，包括組織的形式、結(jié)構(gòu)，組織的人、財(cái)、物和信息等。ICT供應(yīng)鏈風(fēng)險(xiǎn)管理應(yīng)由風(fēng)險(xiǎn)管理部門牽頭，整個(gè)組織內(nèi)不同角色的個(gè)體共同實(shí)施。NIST SP800-161標(biāo)準(zhǔn)要求個(gè)人參與ICT組件和系統(tǒng)的設(shè)計(jì)、開發(fā)、調(diào)試、部署、探測、維護(hù)和更換。因此，個(gè)人應(yīng)關(guān)注ICT供應(yīng)鏈的信息技術(shù)、信息安全、風(fēng)險(xiǎn)管理、流程控制、合法性、最終用戶以及其他事項(xiàng)。雖然，NIST SP800-161標(biāo)準(zhǔn)制定的目的是為美國聯(lián)邦組織機(jī)構(gòu)提供管理ICT供應(yīng)鏈風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。但是，該標(biāo)準(zhǔn)也為其他組織和企業(yè)實(shí)施ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理提供了很好的實(shí)踐標(biāo)桿。

4 ICT SCRM標(biāo)準(zhǔn)制定的背景

ICT供應(yīng)鏈風(fēng)險(xiǎn)管理產(chǎn)生的背景是：（1）組織生命周期過程中每個(gè)環(huán)節(jié)都存在信息安全及風(fēng)險(xiǎn)；（2）供應(yīng)鏈成員之間關(guān)系的交互所產(chǎn)生的信息安全與風(fēng)險(xiǎn)。ICT SCRM的生命周期包括ICT產(chǎn)品和服務(wù)的研發(fā)、設(shè)計(jì)、制造、采購、交付、整合、運(yùn)行和處理，且ICT SCRM的實(shí)施涉及ICT產(chǎn)品的安全、整合、彈性和質(zhì)量，如圖1所示。

圖1 ICT SCRM的4個(gè)方面

由美國聯(lián)邦組織機(jī)構(gòu)、供應(yīng)商、服務(wù)提供商、系統(tǒng)集成商以及其他相關(guān)利益者構(gòu)成的供應(yīng)鏈成員關(guān)系，在其交互過程中容易產(chǎn)生信息安全與風(fēng)險(xiǎn)。美國聯(lián)邦機(jī)構(gòu)從ICT供應(yīng)商處獲得ICT產(chǎn)品和服務(wù)用于布置組織的信息系統(tǒng)。同時(shí)，美國聯(lián)邦機(jī)構(gòu)也需要通過外包的形式將部分功能分包給系統(tǒng)集成商和服務(wù)提供商，以減少運(yùn)行成本或者獲得更好的服務(wù)水平。此外，構(gòu)建信息系統(tǒng)的軟件和硬件也均是由第三方供應(yīng)商提供。但是，外包往往造成信息安全問題的產(chǎn)生，諸如盜竊、惡意接入等。因此，ICT供應(yīng)鏈風(fēng)險(xiǎn)管理過程不僅要把控各個(gè)相關(guān)利益者，還應(yīng)對ICT供應(yīng)鏈中的硬件、軟件和流程整合，即組織邊界及組織環(huán)境內(nèi)系統(tǒng)的研發(fā)、制造、測試、部署、維護(hù)、更新和關(guān)系的維持與控制。圖2描述了美國聯(lián)邦機(jī)構(gòu)ICT供應(yīng)鏈的多層級結(jié)構(gòu)的整合。

圖2 美國聯(lián)邦機(jī)構(gòu)與系統(tǒng)集成商、供應(yīng)商和外部服務(wù)商之間的關(guān)系

圖2還顯示，ICT供應(yīng)鏈中風(fēng)險(xiǎn)不僅與組織在不同層級的可觀察性、認(rèn)知和控制有關(guān)，還與供應(yīng)商、系統(tǒng)集成商和外部服務(wù)提供商之間存在復(fù)雜的關(guān)系。外部服務(wù)提供商以合約的形式代替美國聯(lián)邦機(jī)構(gòu)運(yùn)營其信息系統(tǒng)。在這種合約關(guān)系中，美國聯(lián)邦機(jī)構(gòu)因?qū)⒉糠止δ芡獍档土顺杀?，同時(shí)，因部分功能承包給第三方服務(wù)商使得系統(tǒng)的安全性降低。因此，美國聯(lián)邦機(jī)構(gòu)應(yīng)權(quán)衡信息安全和成本，并嚴(yán)格控制整個(gè)實(shí)施的流程，確保信息安全。ICT產(chǎn)品通常也是以契約的形式直接采購于ICT供應(yīng)商，然而，ICT供應(yīng)商生產(chǎn)的產(chǎn)品具有國際適用性，而不是針對顧客的獨(dú)特需求。這就意味著，美國聯(lián)邦機(jī)構(gòu)應(yīng)與ICT供應(yīng)商建立特殊關(guān)系以保證產(chǎn)品的特殊性，保證ICT SCRM的實(shí)施過程和控制。

雖然，ICT供應(yīng)鏈管理風(fēng)險(xiǎn)可通過管理實(shí)踐獲得，但是這種獲取形式具有滯后性，而ICT供應(yīng)鏈實(shí)施流程分析方法則可以對每個(gè)環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)識別，從而可以全面了解ICT供應(yīng)鏈面臨的風(fēng)險(xiǎn)。圖3描述了在ICT供應(yīng)鏈實(shí)施過程中如何識別潛在的漏洞及其影響。

圖3 ICT供應(yīng)鏈風(fēng)險(xiǎn)

首先，識別分析ICT產(chǎn)品和ICT供應(yīng)鏈潛在的威脅和脆弱性，包括敵對威脅和非敵對威脅、外部脆弱性和內(nèi)部脆弱性；其次，通過歷史案例分析法和統(tǒng)計(jì)方法，分析可能出現(xiàn)威脅和脆弱性的目的、意圖和影響；最后，評估不同風(fēng)險(xiǎn)對商業(yè)流程或功能的危害程度，從而識別真正的風(fēng)險(xiǎn)。

5 ICT SCRM標(biāo)準(zhǔn)的實(shí)踐

ICT SCRM標(biāo)準(zhǔn)基于已有的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和成功實(shí)踐，這些管理實(shí)踐均包含在NIST的標(biāo)準(zhǔn)體系以及其他國際標(biāo)準(zhǔn)體系中，包括：組織實(shí)施ICT SCRM的成本及約束流程，將信息安全標(biāo)準(zhǔn)整合入采購流程，使用已有安全標(biāo)準(zhǔn)作為安全要求，確保軟件質(zhì)量及其控制流程的魯棒性，構(gòu)建多元關(guān)鍵系統(tǒng)的配送路徑等。具體的ICT SCRM標(biāo)準(zhǔn)的實(shí)踐有：

（1）根據(jù)NIST SP800-39標(biāo)準(zhǔn)和NIST SP800-30標(biāo)準(zhǔn)構(gòu)建風(fēng)險(xiǎn)管理的層次、流程，以及橫跨組織層面的風(fēng)險(xiǎn)評估流程。

（2）將ICT SCRM要求與組織政策整合，根據(jù)FIPS199標(biāo)準(zhǔn)（美國聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)）定義組織治理結(jié)構(gòu)，并構(gòu)建可持續(xù)、易記錄、可重復(fù)檢驗(yàn)的風(fēng)險(xiǎn)評估流程。

（3）實(shí)施全面質(zhì)量管理和可靠性流程，即組織和相關(guān)者全部參與到ICT產(chǎn)品和服務(wù)的質(zhì)量管理中，確保服務(wù)水平和信息安全。

（4）采納NIST SP800-53標(biāo)準(zhǔn)體系中合適且具有彈性的信息安全控制標(biāo)準(zhǔn)集合，構(gòu)建內(nèi)部檢查、外部審查的均衡質(zhì)量和信息安全管理體系。

（5）通過知識學(xué)習(xí)、共享等方法，識別、應(yīng)對并減少安全威脅。

6 ICT SCRM標(biāo)準(zhǔn)的形成

NIST SP800-161標(biāo)準(zhǔn)基于現(xiàn)有的USIF2）USIF（Unified Information Security Framework）是美國國防部、美國情報(bào)局和美國安全局共同完成的信息安全框架，包括NIST SP800-39、NIST SP800-30、NIST SP800-53、NIST SP800-53A、NIST SP800-37。標(biāo)準(zhǔn)體系和NIST標(biāo)準(zhǔn)的概念，這些標(biāo)準(zhǔn)相互補(bǔ)充，構(gòu)建了合理的信息安全流程，保護(hù)組織運(yùn)營和財(cái)產(chǎn)安全，抵抗外部威脅。NIST SP800-161標(biāo)準(zhǔn)是通過以下標(biāo)準(zhǔn)整合而來：

（1）將NIST SP800-39的風(fēng)險(xiǎn)管理層級和風(fēng)險(xiǎn)管理流程整合入ICT SCRM。首先，明確風(fēng)險(xiǎn)管理的層級和方式；然后，對ICT SCRM的所有活動(dòng)進(jìn)行描述；最后，將風(fēng)險(xiǎn)管理的流程和控制嵌入到風(fēng)險(xiǎn)管理的組織的層級結(jié)構(gòu)中，并與組織系統(tǒng)的發(fā)展生命周期和組織環(huán)境進(jìn)行整合。

（2）將NIST SP800-30的風(fēng)險(xiǎn)管理流程整合入ICT SCRM。

（3）使用NIST FIPS199的關(guān)鍵分析來審查ICT SCRM活動(dòng)，以分析有較大影響的對象和系統(tǒng)。

（4）將NIST SP800-53提供的信息安全控制標(biāo)準(zhǔn)以及其他協(xié)議簇融入ICT SCRM的背景。如圖4所示，標(biāo)準(zhǔn)形成過程中還形成了加強(qiáng)的協(xié)議簇。這些增加的控制僅與ICT SCRM相關(guān)，并解釋了如何應(yīng)用于ICT SCRM。

圖4 NIST SP800-161標(biāo)準(zhǔn)ICT SCRM的安全控制

（5）將NIST SP800-53A的評價(jià)技術(shù)應(yīng)用于ICT SCRM的控制。

此外，NIST SP800-161標(biāo)準(zhǔn)還借鑒了其他出版物的內(nèi)容，例如美國國防大學(xué)出版的《軟件采納中的保險(xiǎn)：減少企業(yè)風(fēng)險(xiǎn)》（Software Assurance in Acquisition： Mitigating Risks to the Enterprise）， 美 國國防工業(yè)協(xié)會出版的《系統(tǒng)安防工程》（Engineering for System Assurance），ISO/IEC 15288《系統(tǒng)生命循環(huán)過程》，ISO/IEC 27036《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系的信息安全》，O-TTPS標(biāo)準(zhǔn)（Open Trusted Technology Provider Standard），即“開放可信技術(shù)供應(yīng)商標(biāo)準(zhǔn)”和SAFECode的軟件整合框架、軟件整合最佳實(shí)踐。

7 新背景下ICT SCRM標(biāo)準(zhǔn)相關(guān)建議

隨著計(jì)算機(jī)科技的進(jìn)步，云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等管理實(shí)踐不斷出現(xiàn)并迅速發(fā)展。ICT SCRM標(biāo)準(zhǔn)NIST SP800-161是基于現(xiàn)有的相關(guān)NIST信息安全標(biāo)準(zhǔn)，尚未考慮組織或企業(yè)如何在實(shí)施云計(jì)算、物聯(lián)網(wǎng)和大數(shù)據(jù)等環(huán)境下，確保ICT供應(yīng)鏈的安全和風(fēng)險(xiǎn)問題。

（1）云計(jì)算與云安全。隨著云計(jì)算應(yīng)用的普及，云安全問題日益突出，成為阻礙企業(yè)部署云計(jì)算的主要原因之一。在云計(jì)算背景下，企業(yè)實(shí)施ICT供應(yīng)鏈過程中，應(yīng)首先考慮供應(yīng)商能提供的安全水平；其次，根據(jù)適當(dāng)?shù)臄?shù)據(jù)分類，將公共及敏感數(shù)據(jù)遷移到云端，而組織的關(guān)鍵信息保存在組織內(nèi)部。這樣組織既可以減少成本，又能有重點(diǎn)性地確保組織信息安全，控制風(fēng)險(xiǎn)的產(chǎn)生。

（2）物聯(lián)網(wǎng)與移動(dòng)設(shè)備安全。物聯(lián)網(wǎng)的出現(xiàn)雖然使得ICT供應(yīng)鏈效率提高，但是也相應(yīng)帶來諸如惡意攻擊、設(shè)備中斷等物理安全風(fēng)險(xiǎn)。此外，物聯(lián)網(wǎng)中移動(dòng)設(shè)備應(yīng)用軟件容易受到惡意軟件的植入或攻擊，且網(wǎng)絡(luò)攻擊逐漸蔓延到移動(dòng)平臺。因此，物聯(lián)網(wǎng)與移動(dòng)設(shè)備背景下的ICT SCRM不僅涉及物理安全風(fēng)險(xiǎn)管理，還包括軟件安全風(fēng)險(xiǎn)的管理。

（3）大數(shù)據(jù)與智能化。隨著可獲得數(shù)量的膨脹，數(shù)據(jù)智能驅(qū)動(dòng)下的安全已成為可能，但將有用信息有效地應(yīng)用于信息技術(shù)安全才剛剛開始。如何將安全手段變得更加智能、利用大數(shù)據(jù)發(fā)現(xiàn)更深層的安全威脅仍然無法更好地得到解決。在ICT SCRM中，企業(yè)可以根據(jù)各個(gè)組件產(chǎn)生的大數(shù)據(jù)，預(yù)測ICT供應(yīng)鏈中可能出現(xiàn)風(fēng)險(xiǎn)的時(shí)間、部位和危害程度，以減少ICT供應(yīng)鏈的安全隱患。

[1] NIST SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations（Second Draft）[S]. June, 2014.

[2] Boyson S. Cyber supply chain risk management：Revolutionizing the strategic control of critical IT systems[J]. Technovation, 2014, 34(7)： 342-353.

[3] Linton J D, Boyson S, Aje J. The challenge of cyber supply chain security to research and practice—An introduction[J]. Technovation, 2014, 34(7)： 339-341.

[4] 范科峰, 趙鴻雁, 王惠蒞. ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2014（6）：20-23.

[5] 謝宗曉. 信息安全合規(guī)性的實(shí)施路線探討[J]. 中國標(biāo)準(zhǔn)導(dǎo)報(bào)，2015（2）：24-26.

[6] 韋煥華, 覃健文. 政企 ICT 業(yè)務(wù)的供應(yīng)鏈系統(tǒng)研究及改進(jìn)舉措[J]. 數(shù)字通信世界，2014 (7)： 45-47.

[7] 林潤輝, 謝宗曉. 信息安全： 從4A到4R[J]. 中國標(biāo)準(zhǔn)導(dǎo)報(bào)，2015（5）：26-29.

Study on the ICT Supply Chain Risk Management Standard—NIST SP800-161

Dong Kunxiang, Xie Zongxiao
( Business School, Nankai University )

We analyze the draft of Supply Chain Risk Management Practices for Federal Information Systems and Organizations. Then, we discuss the content of NIST SP800-161 in five aspects： purpose, scope, background,foundational practice and standard formation of ICT SCRM. Finally, we purpose the several aspects need to be improved in ICT SCRM standards.

information security, ICT supply chain, risk management, NIST SP800-161