ICT供應鏈安全評價技術研究綜述

李祥兵，王光林，孫志偉，李科，權曉文，黃銳

（1. 河南省安陽市公安局網安支隊，河南 安陽455001；2. 遠江盛邦（北京）網絡安全科技股份有限公司,北京 100084）

信息通信技術(Information and Communications Technology， ICT)供應鏈安全是一個涉及面廣、影響范圍大的全球性的問題，其安全性需要綜合考慮供應商多樣性、產品服務復雜性、全生命周期覆蓋性三個維度的特性。任何一個維度的任一環(huán)節(jié)出現(xiàn)問題，例如供應鏈中的任一供應商、產品/服務中的任一組件、信息系統(tǒng)生命周期的任一階段出現(xiàn)安全隱患，都可能造成ICT產品、系統(tǒng)或服務不安全，進而導致ICT 供應鏈安全風險。因此，與傳統(tǒng)領域的實體供應鏈相比，ICT供應鏈面臨的安全風險更為復雜多變，更為多樣化。

本文首先系統(tǒng)梳理了美國、歐盟、俄羅斯、韓國等信息發(fā)達國家在ICT供應鏈安全方面的工作，進而分析了ICT供應鏈安全可能面臨的風險，并結合我國的相關工作現(xiàn)狀提出了工作建議。

1 ICT供應鏈安全戰(zhàn)略與政策研究

1.1 美國

美國一直非常關注供應鏈安全，從2000年起就一直在頒布各類政策來保障安全[1]，見表1。

表1 2000年－2017年的關注點

年份 關注點2007年 國土安全部出臺了《增強國際供應鏈安全的國家戰(zhàn)略》2008年發(fā)布了國家網絡安全綜合計劃（CNCI），強調建立全方位措施以進行全球供應鏈風險管理，將IT供應鏈安全問題上升到了國家威脅和國家對抗的層面2009年奧巴馬政府發(fā)布《美國網絡安全空間安全政策評估報告》，將IT供應鏈安全納入國家安全的范疇2011年美國政府發(fā)布《聯(lián)邦風險及授權管理計劃》，強化了云計算服務商的供應鏈安全管理2016年奧巴馬總統(tǒng)直屬的美國國家網絡安全促進委員會發(fā)布《加強國家網絡安全——促進數(shù)字經濟的安全與發(fā)展》報告，提出了維護數(shù)字經濟安全與發(fā)展的十大原則，其中第9條強調了供應鏈安全的重要性2017年美國國土安全部提出了新供應鏈風險管理計劃—持續(xù)診斷與緩解項目CDM，該項目重視物理安全，且旨在通過產品、服務等認證認可的方式強化供應鏈安全

1.2 歐盟

歐盟從其自身利益出發(fā)，高度重視供應鏈安全問題，他們通過制定歐盟內部通用的供應鏈產品和服務安全要求的方式，加強供應鏈安全管理，強化市場手段和企業(yè)力量的利用。

2012年4月，歐盟出臺了《云計算合同安全服務水平監(jiān)測指南》，針對云計算服務這一新技術新應用，通過檢測、核查等技術手段加強云計算合同的安全管理。2016年7月，歐洲議會通過了《網絡與信息安全指令》，該指令從歐盟層面提出了供應鏈安全管理方面統(tǒng)一的安全保障要求，利用該指令可以促進歐盟成員國間安全戰(zhàn)略協(xié)作和信息共享，基于風險管理的理念提升歐盟整體的網絡安全保障水平。

1.3 俄羅斯

俄羅斯在ICT供應鏈安全方面一直強調國產化應用和替代。

2013年11月，俄羅斯發(fā)布《俄羅斯聯(lián)邦2014-2020年信息技術產業(yè)發(fā)展戰(zhàn)略和2025年前景展望》，提出了他們保障國家信息安全的政策戰(zhàn)略和手段，其中重點強調了研發(fā)自主可控高水平的信息安全產品，用來替代進口產品的戰(zhàn)略。綜上所述，美、歐、俄等信息技術發(fā)達國家均十分重視ICT供應鏈安全，從國家層面發(fā)布了一系列政策戰(zhàn)略，用以提高認識、保障國家網絡安全。

1.4 韓國

在亞洲經濟發(fā)展屬于前列的韓國也非常注重供應鏈安全，韓國一直支持發(fā)展開源技術，堅持以公共需求帶動國產化應用，降低國際依賴。

2011年5月，韓國發(fā)布“云計算推廣及競爭力強化戰(zhàn)略”,旨在通過打造安全的使用環(huán)境，在五年內使韓國國內云計算的使用率達到15%。2012年6月，韓國政府表示未來五年，在國防軟件國產化項目上投入430億韓元，實現(xiàn)韓國武器體系核心軟件的國產化。2014年6月，韓國政府聲明為了降低對微軟軟件的依賴性，將與開源軟件界進行談判，在2020年之前全部換用開源軟件。

1.5 中國

我國政府高度重視信息技術產品安全可控，2016年11月通過的《網絡安全法》明確要求“支持網絡安全技術的研究開發(fā)和應用，推廣安全可信的網絡產品和服務”。2016年12月發(fā)布的《國家網絡空間安全戰(zhàn)略》明確提出“加強供應鏈安全管理”、“提高產品和服務的安全性和可控性，防止產品服務提供者和其他組織利用信息技術優(yōu)勢實施不正當競爭或損害用戶利益”。

華為作為中國IT行業(yè)的領軍企業(yè)，它將供應鏈安全管理納入其端到端全球網絡安全保障體系，建立了一個符合ISO28000的全面供應鏈安全管理體系，從來料到客戶交付的端到端流程中識別安全風險，并使其最小化。華為根據供應商的體系、流程和產品來選擇和認證供應商，并持續(xù)監(jiān)控、定期評估供應商的交付績效，選擇那些對華為所采購的產品和服務的質量和安全做出貢獻的供應商。華為建立了一個全流程可視的可追溯系統(tǒng)，對于第三方部件，會在來料、生產和交付流程中檢查其完整性，記錄其表現(xiàn)。

2 ICT供應鏈安全標準規(guī)范研究

該部分針對多個國內外標準化組織在ICT供應鏈安全方面的工作進行了梳理，從而為我國相關工作的開展提供參考和借鑒。

2.1 ISO工作研究

國家化標準組織（International Organization for Standardization，ISO）將供應鏈風險管理分為了兩類：傳統(tǒng)供應鏈安全管理和傳統(tǒng)供應鏈信息安全管理。其中，后者更為重視網絡安全。

表2 2005年-2015年的標準規(guī)范和關注點

年份 標準規(guī)范 關注點2006年I S O／P A S 28001《供應鏈安全管理體系供應鏈安全的最佳實踐規(guī)范評估和計劃》與上面標準配套使用，提供了實用的指導，為獨立第三方的審核活動提供選項2009年《IT供應鏈安全風險管理標準草案》美國向ISO下屬的JTC1提出了IT供應鏈安全風險管理標準草案，SC27對此作了專門研究，英國、日本等國提出了補充建議2010年I S O／ I E C 27036《信息技術 安全技術供應商關系信息安全》ISO決定重新調整ISO／IEC 27036《信息技術安全技術供應商關系的信息安全》的結構，增加對供應鏈安全管理的要求2013年I S O／ I E C 27036 -3《信息技術安全技術供應商關系信息安全 第3部分ICT供應鏈安全管理指南》ISO于2013年10月完成相關修訂工作，發(fā)布27036-3，添加了對供應鏈安全管理的內容,2015年ISO/TS《社會安全 業(yè)務連續(xù)性管理體系供應鏈連續(xù)性指南》該標準為企業(yè)建立合適的供應鏈連續(xù)性管理提供了指南，通過建立業(yè)務連續(xù)性管理體系，保持相關業(yè)務的連續(xù)性

2.2 NIST相關工作研究

美國國家標準技術研究院NIST于2008年啟動了非國家安全信息系統(tǒng)供應鏈風險管理實踐開發(fā)計劃，即ICT SCRM。

該計劃推薦使用已有的標準SP 800-37《風險管理框架應用到聯(lián)邦信息系統(tǒng)中指南：一種安全生命周期方法》和SP 800-39《管理信息安全風險：組織、任務和信息系統(tǒng)視角》來加強ICT供應鏈安全風險的管理程序，包括識別和評估可能的風險、確定可能的應對措施，選定應對措施并實施、措施效果監(jiān)督評估等。

同時，NIST積極制定新的標準規(guī)范，以強化ICT供應鏈安全管理。2012年，發(fā)布了NIST IR7622《聯(lián)邦信息系統(tǒng)供應鏈風險管理實踐》，該標準提供了一種可以在聯(lián)邦信息系統(tǒng)供應鏈中使用的具體實踐，旨在消除購買、開發(fā)和運營過程等供應鏈全生命周期中可能影響聯(lián)邦信息系統(tǒng)的高風險。2015年，發(fā)布了SP 800-161《聯(lián)邦信息系統(tǒng)和組織供應鏈風險管理實踐》，該指南為聯(lián)邦機構指定ICT供應鏈相關政策和程序、管理供應鏈安全風險提供了其實有效的指導。該指南還提供了一整套的評估和管理供應鏈風險的程序模板，列出了可能的威脅事件和可供參考的風險框架，指導性作用極強。

歐盟委員會方面于2017年10月4日公布了關于“修改ENISA授權立法和建立信息通信技術產品和服務網絡安全認證制度”的立法草案。該法案自稱“網絡安全法”（Cybersecurity Act，以下稱“歐盟網絡安全法”）。歐盟網絡安全法的實質是歐盟網絡和信息安全局（ENISA）的授權法，為2004年成立的ENISA賦予新職能，將其改建為歐盟的“網絡安全局”，負責在歐盟層面制定和執(zhí)行網絡安全政策、提升網絡安全能力、搜集網絡安全信息、構建統(tǒng)一網絡安全產品和服務市場，以及研發(fā)和創(chuàng)新等工作。根據該法授權，ENISA的一項重要任務就是建立歐盟層面的信息通信技術產品和服務（ICT產品和服務）網絡安全認證制度。目前，歐盟沒有歐盟層面統(tǒng)一的ICT產品和服務網絡安全認證制度，主要依靠各成員國自行組織認證。有的成員國有相關認證制度，有的成員國沒有，并且認證所依據的技術標準也不完全統(tǒng)一，企業(yè)同一件產品或服務在不同國家需要重復認證。此次歐盟建立ICT產品和服務網絡安全認證制度，一方面是為了提高歐盟域內的網絡安全水平，另一方面也是為了建立統(tǒng)一市場，實現(xiàn)“一次認證，全域通行”，取代各成員國現(xiàn)有認證體系。

歐盟網絡安全法草案并未規(guī)定ICT產品和服務網絡安全認證制度的具體細節(jié)，而是建立了一個框架性制度，規(guī)定了認證制度要實現(xiàn)的目標和應包含的要素，并授權ENISA具體負責建立認證制度。

2.3 我國標準化委員會相關工作研究

我國的標準化委員會針對ICT供應鏈安全方面開展了一系列工作，包括發(fā)布了GB/T 31722《信息技術 安全技術 信息安全風險管理》（采標于ISO相關標準，強調安全風險管理）和GB/T 24420《供應鏈風險管理指南》（通過明確供應鏈環(huán)境信息，充分識別供應鏈風險，屬于大安全領域）。

此外，信息安全標準化委員會正在制定《信息安全技術 ICT供應鏈安全風險管理指南》，該標準梳理了ICT供應鏈與傳統(tǒng)供應鏈安全管理的不同特點，進而系統(tǒng)呈現(xiàn)了ICT供應鏈的安全威脅、脆弱性和可能存在的風險，目前該標準已經推進到征求意見稿階段。

綜上所述，標準規(guī)范作為一項強化ICT供應鏈安全評價的重要抓手，受到了各方的密切關注和重視，均結合各自的實際情況，開展了一系列標準規(guī)范制定工作。

3 ICT供應鏈安全風險分析

信息技術產品由于其多樣的產品和服務形態(tài)，復雜的產品實現(xiàn)功能、異構的應用場景，導致ICT供應鏈面臨著各種安全威脅，輕則導致產品和服務出現(xiàn)異常，重則導致重要信息泄露、重要服務中止等安全風險。ICT供應鏈面臨的主要安全威脅可以分為惡意篡改、假冒偽劣、供應中斷、信息泄露或違規(guī)操作、其他威脅等五類，均可能嚴重破壞ICT供應鏈的完整性、可用性和保密性。

惡意篡改可能是外在原因（如惡意程序、高級木馬、外部組件、非授權部件等）、也可能是內在原因（如非授權配置、供應鏈信息篡改等）導致的。惡意篡改可能存在于在ICT供應鏈的設計、開發(fā)、采購、生產、倉儲、物流、銷售、維護、返回等任何一個環(huán)節(jié)，也可能是多發(fā)性的存在于上述多個環(huán)節(jié)，從而導致信息技術產品和服務機密性、完整性和可用性的破壞。

假冒偽劣屬于信息技術產品和服務本身可能存在的問題，也可能是由于供應過程中缺乏嚴格管理導致的外在產品和服務混雜其中引發(fā)的安全威脅問題。按照產品和服務本身特性來分，又可以分為假冒產品和服務、不合格產品和服務、未經授權生產的產品和服務。

供應中斷則是更為嚴重的問題，它是由于人為或者不可抗力的原因，導致ICT供應鏈的中斷或終止。按照引發(fā)供應中斷的因素來劃分，可以分為人為引發(fā)的中斷、基礎設施故障引發(fā)的中斷、國際國內環(huán)境引發(fā)的中斷、不正當競爭導致的中斷等類別。

信息泄露是指ICT供應鏈上產生和傳遞的信息被未授權泄露，這些信息可能是個人隱私信息、商業(yè)機密信息、國家重要信息。在歐盟通用數(shù)據保護條例正式頒布實施以及我國網絡安全法及其配套標準規(guī)范不斷強化數(shù)據保護的今天，由于供應鏈安全引發(fā)的數(shù)據泄露威脅亟需受到重視。

違規(guī)操作是ICT供應方內部可能產生的違規(guī)操作行為。比如，違規(guī)收集和使用個人隱私數(shù)據、違規(guī)訪問內部數(shù)據和/或組件、大數(shù)據濫用、產品和服務違規(guī)配置等。從某種意義上講，違規(guī)操作導致的后果可能比外部的安全威脅更為嚴重。

除上述安全威脅外，ICT 供應鏈還存在許多其他威脅或挑戰(zhàn)，如合規(guī)差異性挑戰(zhàn)，即當前全球各區(qū)域的網絡安全法規(guī)標準可能存在差異，導致在各個國家和地區(qū)提供的產品和服務由于不滿足生產、銷售、使用區(qū)域的法律法規(guī)、標準規(guī)范，從而無法在當?shù)厣a、銷售、使用。

正是由于上述紛繁復雜的ICT供應鏈安全威脅，才導致ICT供應鏈可能存在著諸多的安全風險。信息技術產品生命周期十分復雜，涉及到產品供應方、產品應用方、產品供應鏈各環(huán)節(jié)供應方，如知識產權供應方、設計生產工具供應方、核心部件供應方等，因而其安全風險可能存在于各個環(huán)節(jié)，具體如圖1所示。

圖1 ICT產品和服務生命周期示意圖

“中興事件”后，我國亟需重視自主可控，從源頭上提高ICT產品和服務的供給能力，打造完整、可控、優(yōu)質的ICT產品和服務供應鏈。然而，從自主可控的角度出發(fā)，ICT產品和服務可能面臨的風險如下圖所示的安全風險。

通過圖2可以看出，ICT供應鏈安全風險可能存在于ICT產品和服務的全生命周期中，比如研發(fā)生產評價、供應鏈評價、運維服務評價等[3]。同時ICT供應鏈安全風險可能是由于上述各種安全威脅引發(fā)的，同時還可能是由于上述多種威脅復合引發(fā)，從而產生更為嚴重的后果。

圖2 ICT產品和服務可能面臨的風險

首先，由于ICT產品和服務的不可控，可能會被非法控制、干擾和中斷運行。如產品或服務完全依賴美國的因特爾芯片和微軟的操作系統(tǒng)，就可能面臨著不可控的安全漏洞問題，這些安全漏洞一旦爆發(fā)就會引發(fā)極為嚴重的后果。同時，烏克蘭核設施面臨的“震網病毒”定向攻擊，本質上也是由于它們的工控設施不可控導致的。

其次ICT產品和服務可能存在研發(fā)、交付、技術支持等環(huán)節(jié)面臨著周期加長、服務質量下降甚至中斷的風險。因為產品的關鍵部件嚴重依賴于外部提供商，又不存在替代方案，必然導致話語權的喪失。

其次，外部不可控的產品和服務可能存在數(shù)據過度收集、非法采集的風險，從而引發(fā)侵犯個人信息隱私和泄露重要數(shù)據等問題。

最后，由于長期和不可替代的依賴于外部提供的產品和服務，自己不具備自主可控性，就會面臨著產品和服務提供商利用其壟斷或優(yōu)勢地位實施的不正當競爭或損害用戶利益的風險。

綜上，ICT產品和服務的安全威脅復雜多樣，從而導致安全風險多發(fā)頻發(fā)，亟需引起ICT供應鏈各方的重視，不斷加強風險防控，提高安全防護和應對能力。

4 針對我國相關工作的建議

通過梳理上述各國針對ICT供應鏈安全評價的戰(zhàn)略政策、標準規(guī)范，結合ICT產品和服務可能面臨的安全風險，本部分嘗試對我國工作提出相關建議。

4.1 建立多部門參與的ICT供應鏈安全監(jiān)管制度

我國ICT供應鏈國家安全監(jiān)管制度應當確立“合作包容”的理念[4-5]。審查過程必須聯(lián)合有關業(yè)務和安全主管部門，打組合拳，共同進行科學的戰(zhàn)略規(guī)劃與統(tǒng)籌布局，把ICT供應鏈安全監(jiān)管作為國家網絡安全戰(zhàn)略的重要組成部分，從頂層設計和戰(zhàn)略性高度著力應對。

同時，借鑒信息技術發(fā)達國家的有益經驗，建立健全我國的ICT供應鏈安全監(jiān)管體系。一是加強宏觀的國家層面安全監(jiān)管體系建設，強化立法協(xié)調、政策制定和戰(zhàn)略規(guī)劃；二是加強安全監(jiān)管行業(yè)建設，統(tǒng)籌各方力量，制定相應的規(guī)章制度，加強行業(yè)的建設與管理；三是加強安全監(jiān)督執(zhí)行單位的內部管理，加強安全評估單位內部的規(guī)范化建設。

4.2 加護制定發(fā)布ICT供應鏈安全管理標準

NIST SP80-161的制定借鑒了SP 800-39和SP800-53中有關ICT供應鏈風險管理的方法學，參考了SP 800-39中提出的多層次的風險管理結構及方法，對SP800-53中已有的控制措施進行了補充說明和個性化調整[6]。

建議充分借鑒和參考ISO、NIST等相關工作，結合我國ICT供應鏈安全評價的實際工作，制定適合我國國情的ICT供應鏈安全評價標準，

重點涵蓋針對大數(shù)據、移動互聯(lián)網、工業(yè)互聯(lián)網、物聯(lián)網等新技術新應用的供應鏈風險管理。

同時，標準制定過程中需要注重兩方面工作：一方面加強與國家社會的溝通協(xié)調，盡量與國家通用標準保持一致；二是保持與我國現(xiàn)有法律法規(guī)、標準體系的一致性，比如關鍵信息基礎設施安全保護制度、信息安全產品認證認可制度等。

4.3 綜合考慮ICT供應鏈產品和服務的特點

根據分析對象的不同，ICT供應鏈安全可以劃分為ICT產品供應鏈安全與ICT服務供應鏈安全，兩者在技術風險控制點、供應鏈安全管理和法律規(guī)制等方面存在著若干的不同特點。

然而在ICT供應鏈安全風險評價理論、方法、流程、工具等方面又是基本類同的。因此在實際的供應鏈安全評價工作中，應當統(tǒng)籌分析兩者的使用場景、評價對象、評價目的等，兼顧兩者的特點，全面客觀有效的分析供應鏈全生命周期中可能存在的風險，進而提出相關的應對措施，并對應對措施的實施效果進行監(jiān)督評價。

4.4 建強ICT供應鏈安全評價人才隊伍建設

ICT供應鏈安全風險評價的每個環(huán)節(jié)，都需要依靠專業(yè)人員完成，因此，必須培養(yǎng)和打造一支懂技術、懂管理的ICT供應鏈安全評價專業(yè)力量，推進全國范圍內ICT供應鏈安全評價整體力量建設。

可以參考借鑒美國根據《國家網絡安全計劃》（NICE）、《網絡安全國家行動計劃》（CNAP）制定的《聯(lián)邦網絡安全人才戰(zhàn)略》的相關內容，制定我國的ICT供應鏈安全評價與監(jiān)管人才戰(zhàn)略與實施計劃，具體從以下3個方面展開工作：一是確定ICT供應鏈安全評價與監(jiān)管的專業(yè)人才需求；二是通過教育與培訓擴充評價與監(jiān)管專業(yè)人才隊伍；三是開發(fā)、保留與使用好該領域高技能專業(yè)人才。

5 結語

ICT供應鏈安全風險評價是一項十分重要的工作，事關網絡安全與國家安全。本文從戰(zhàn)略政策角度系統(tǒng)梳理了美國、歐盟、俄羅斯等信息技術發(fā)達國家的研究現(xiàn)狀；從標準規(guī)范角度梳理了ISO、NIST以及我國標準化委員會的相關工作，并分析了ICT產品和服務供應鏈可能存在的安全風險點。

結合我國工作實際，從制度建立、標準制定、工作開展和人才培養(yǎng)等維度提出了對我國ICT供應鏈安全風險評價工作的建議。