何昊坤 李璐

摘要：随着信息通信技术（ICT）产品和服务逐渐被广泛应用于各重点行业，其全球化特点所带来的安全事件频发，ICT供应链安全管理成为各行业乃至国家关注的焦点。文章分析了当前ICT供应链国内外研究和管理现状，研究了识别ICT供应链全生命周期中存在的安全风险类型，旨在重点保障ICT供应链全生命周期的保密性、完整性、可用性、可控性，并结合我国目前ICT供应链安全管理实际提出了具体的建议，为不断加强ICT供应链安全管理工作，提供了一定的参考和借鉴。

关键词：ICT供应链;安全管理;风险识别

中图分类号：TP393.08          文献标识码：A

1 引言

信息通信技术供应链（Information and Communication Technology Supply Chain）这一新兴概念由传统供应链发展演变而来。ICT供应链在传统供应链基础之上，包含了信息通信技术和相应的配套服务，它在整个生命周期内通过一系列资源和过程，将需求方、供应方等多个主体有机联系，并形成复杂多样化、全球化的网链系统结构，涵盖了信息流、资金流、物流所涉及的全部活动，较传统供应链相比，层次更深化、范围更广泛[1]。

因其复杂化、全球化特点，ICT供应链所衍生出的风险也逐渐凸显，安全事件时有发生，在全生命周期的各阶段保密性、完整性、可用性、可控性等基础要求，亟需有效的安全保障，安全管理工作形势严峻。因此，针对突出问题加强ICT供应链安全管理，弥补安全漏洞，提升管理能力及水平，保护国家相关利益迫在眉睫。

2国内外ICT供应链安全管理现状

2.1国外ICT供应链安全管理现状

国外在ICT供应链安全管理研究上起步较早，特别是以美国为代表的西方国家，在ICT供应链安全管理工作上都有了显著的成绩。目前，建立起了以法律法规、标准体系、业务部门为主的整体管理框架，其相当一部分成果都是目前ICT安全管理工作的先进经验，可为他国ICT安全管理体系建设提供参考[2]。

（1）美国ICT供应链安全管理现状

就美国而言，其经历了传统供应链、IT供应链、ICT供应链的演变，由最初只关注货物产品本身安全的焦点转变到信息技术安全再到现如今信息通信技术和服务的安全，关注焦点逐渐宽泛，层次不断深入，内涵更加复杂。美国对于ICT供应链安全管理出台的法律法规、标准体系，以及专门成立的相关业务部门，其管理实践成果在国际上都处于领先水平。

在2002年，美国政府就供应链和信息技术安全之间的关系展开了相应的研究，而且将其纳入到了国家信息安全战略中，可谓重视程度之高。在近几年中，美国又陆续出台了若干政策文件，如表1所示。同时，美国制定了ICT供应链信息系统安全标准巩固发展相关研究，如图1所示。到2009年奥巴马政府时期，ICT供应链安全问题从此被纳入国家安全范畴，重视程度达到了有史以来的最高点[3]。

2013年由美国NIST制定出台的SP800-161《联邦信息系統供应链风险管理实践标准》，将政府机构采购ICT产品和相应服务与ICT供应链安全风险问题相整合，形成了以风险识别、风险指标分析及风险应对为一体的整体安全风险管理体系，为美国政府ICT供应链安全风险管理提供专业化指导。该标准是对ISO/IEC 27036-3标准的完善和深化，但这一标准是专门针对美国政府的需求和现状所制定的，因此带有一定的局限性，不适宜他国直接引用，可作为一定的参考[4]。

在出台相应政策文件的同时，美国政府于2008年成立了专门针对ICT供应链安全管理的4个专职机构，分别是高级指导机构、采购政策管理机构、安全风险标准机构和安全威胁信息共享机构[5]。这些机构的主要工作内容为风险信息分析与共享、标准体系文件的制定、法律法规的出台以及相关工作的协调处置。负责上述专职机构工作的国家部门涉及美联邦政府、国土安全部、国防部、国家审计局、总务局、标准技术研究院、国家情报总监办公室等。

（2）ICT供应链安全管理国际标准

ICT供应链安全管理国际标准的发展历程主体，可概括为由传统供应链逐渐向ICT供应链转变的“两阶段”发展。目前，有ISO/IEC 27000信息安全管理体系中，专门针对供应链安全管理而制定的ISO/IEC 27036《信息技术 安全 技术 供应商关系的信息安全》，ISO/IEC 27036由ISO/IEC 27036-1概述和相关概念、ISO/IEC 27036-2相关要求、ISO/IEC 27036-3 ICT供应链信息安全指南、ISO/IEC 27036-4云服务安全指南四个部分构成，如图2所示[6]。其中，ISO/IEC 27036-3为针对ICT供应链安全管理所制定的国际标准。以上四份标准化文件，为层层互联、相互联系关系，ISO/IEC 27036-1与ISO/IEC 27036-2搭建起整个标准体系的主体框架，对ICT供应链的定义、范围、实施、评估等基本性要素进行了规定;ISO/IEC 27036-3专门针对ICT供应链中的信息安全操作规范和标准实施流程进行了规定，同时对风险评估及应对进行了相关阐述，该标准为强制性标准;ISO/IEC 27036-4则是根据当前云计算技术发展背景制定的ICT供应链风险识别分析及应对措施。

2.2 国内ICT供应链安全管理现状

我国供应链安全管理的研究最早可追溯到20世纪90年代，当时是与“现代物流”这一概念一同引进的。在党的十九大报告中也首次提出了“现代供应链”的新理念，将传统供应链的内涵赋予新的时代意义，同时也代表了将供应链发展提升到国家发展战略层面。对于ICT供应链安全管理而言，我国相对于欧美等国家起步较晚，虽然目前有一定的研究成果，但是还处于发展起步阶段，相关制度体系还待进一步建设。

我国专门针对ICT供应链安全管理制定的国家标准，即GB/T 36637-2018《信息安全技术ICT供应链安全风险管理指南》主要从ICT供应链安全风险管理过程、ICT供应链安全风险控制措施两个方面进行具体阐述。ICT供应链安全风险管理过程主要包含背景分析、风险评估处置、风险监督检查、风险沟通记录四个板块，ICT供应链安全风险控制措施则从技术安全措施和管理安全措施两个维度进行具体阐述，标准后附ICT供应链概述、安全威胁、安全脆弱性三个资料性附录，重点目标是为了保障当前ICT供应链完整性、保密性、可用性、可控性[7]。

当前，国内对于ICT供应链安全管理研究的文献资料，都阐述了ICT供应链的基础概念及定义、风险识别以及国外发展研究现状，但对于全生命周期中的采购、生产、研发、服务等环节的安全风险评估方法及防范应对措施，未开展详细的剖析。

3 ICT供应链安全风险识别分析

ICT供应链全生命周期可分为设计研发、生产供应、运维服务三个阶段。设计研发阶段包括设计、研发，生产供应阶段包括采购、生产、验收、仓储、物流，运维服务阶段包括运维、返货，与各阶段相配套的信息系统及数据覆盖整个生命周期，如图3所示。

由于其全球化分布、产品服务复杂、供需方多样性、全生命周期的特点，使ICT供应链面临着各种安全威胁，威胁主体引起的威胁利用软硬件、服务自身的脆弱性，导致ICT产品和服务产生安全风险，以致ICT供应链在保密性、完整性、可用性、可控性上受到破坏。

安全威胁按其性质可分为非人为威胁和人为威胁。非人为威胁是因其周边环境因素的异常改变而导致的，通常具有不可抗力性，如台风、地震等自然灾害和潮湿、灰尘、磁场等周边环境危害;供应链中的设施设备、信息系统本身故障等;政策因素、产品断供等突发事件;同时，包括因供应链中各参与者因其本身过失或其他原因而造成的结果，主要包括专业技能不足、疏忽大意、系统误差、信息泄露等。人为威胁指的是供应链内外部人员因其主观恶意试图破坏供应链而采取的攻击行为，主要包括恶意篡改、信息泄露、假冒伪劣、违规操作等[8]。ICT供应链常见威胁为产品断供、恶意篡改、假冒伪劣、违规操作、信息泄露。

产品断供发生于生产供应阶段，它发生在最终用户的上游阶段，由于ICT供应链的需方与供方存在供应关系，并且在供应链体系中某一供应商为下游供应商的供方，同时也为上游供应商的需方，如图4所示。因此，任一层级的供应商发生断供且无替代产品可选择的情况下，ICT供应链由此中断。

恶意篡改常发生于生产供应、运维服务阶段，是指不法分子和敌对势力通过信息安全技术手段对元器件、设备或系统进行故意改变原有功能、不法植入的行为。篡改植入可发生在ICT供应链的全生命周期的各个阶段，潜在的篡改植入者的目的，就是为了干扰产品正常功能的实现 、对产品功能造成损害或窃取有关数据，主要方式包括人为攻击、植入木马或程序、修改信息数据等。

假冒伪劣一般发生在生产供应阶段的制造生产环节，既可以是假冒、劣质的产品，也可以是假冒、劣质的服务，同样也包括生产计划外未经批准授权的产品和服务。其产生原因一般是因为生产流程不规范、质量要求不严格所导致，当然也可能是生产厂家工人存有报复心理、或被策反故意在生产中参假、降低要求进行制造。

违规操作可发生在ICT供应链的全生命周期的各个阶段，其威胁主体是各级供应商的内部人员，它同时具备过失和故意两种意识形态。过失情形主要指因技能不熟而错误操作、疏忽大意导致流程上的缺失，故意情形带有主观恶意，包括对信息系统的配置和程序进行违法改变、违规访问收集产品的信息数据、违规降低测试验收标准、违规改变运维数据等。

信息泄露常存在于设计研发阶段和生产供应阶段，设计参数、性能指标、测试数据、采购生产信息、运维数据等重要信息，若因信息安全管理能力不足无意或有意泄露，所造成的风险将相当严重[9]。

ICT供应链软硬件、服务自身的脆弱性同样存在于全生命周期中的各阶段。设计研发阶段主要包括在进行产品服务的设计开发时是否考虑未来安全风险的处置应对需求，是否按照法律法规、行业标准进行安全体系设置，是否按要求进行流程开发。生产供应阶段主要包括供应商管理、采购的元件质量检测、供货来源安全验证、外包安全管理措施是否有效，生产环境的物理环境、安全监管要求是否达标，是否按要求开展产品验收安全测试，仓储环境的物理防护、安防设施设备是否达标，产品运输商背景审查、运输途中的安全保障能力是否达标等。运维服务阶段主要包括产品的返厂维护维修的运输条件的安全性、维护人员的安全可靠性。同时，覆盖全生命周期的信息系统及数据主要包括系统安全漏洞、数据留存与备份安全、访问控制权限设置等脆弱性[10]。

风险是威胁发生的充分不必要条件。若当供应链中的脆弱性与威胁主体引起的威胁相对应，则会导致风险，如图5所示。因此，从威胁的角度，研究分析威胁主体所想达成的目标，从目标寻找应对措施才是正当之策。

4 对我国ICT供应链安全风险管理的建议

4.1不断深化ICT供应链战略研究成果

ICT供应链产品和服务广泛遍布于各个行业领域，因其复杂多样化、全球化的特点则更易产生安全风险问题，因此不断深化ICT供应链战略研究是当前的必要工作之一。聚集专家智慧库、各单位实情摸底、组织专题研讨分析，在全面和系统的战略研究分析基础上得到科学、合理的成果，为明确战略定位以及后期制度体系的建设工作筑下基础堡垒。

4.2 逐步完善ICT供应链制度体系框架

当前，我国整个ICT供应链大部分还处于制度体系空缺阶段，相关部门应通过利用战略研究、实地调研、专家座谈等多渠道获取的成果，从全局进行顶層设计，统筹推进制度体系框架的搭建工作，建立ICT供应链安全管理长效机制。同时，积极学习借鉴国外ICT供应链安全管理先进经验，在符合我国实际的情况下，构建以法律法规、管理规范、标准体系、系统平台等多维度为一体的整体框架，并着力加大制度宣贯力度，使各项制度真正落地生根。

4.3 大力推进ICT供应链自主可控建设

2018年美国政府宣布7年内禁止美国企业向我国电信设备制造商中兴通讯销售元器件产品，因此，我国需不断推进ICT供应链自主可控建设：一是要加强政策引导、资金投入，提高重视程度;二是要保障知识产权、长期坚持，稳健发展步伐;三是要加强人才培养、技术创新，助力国产化替代进程。

5 结束语

我国ICT 供应链安全管理任重道远，在其全生命周期中的风险与威胁对安全管理的能力和水平会随着时间推移要求会愈来愈高。因此要不断深化ICT供应链战略研究成果，逐步完善ICT供应链制度体系框架，大力推进ICT供应链自主可控建设。从顶层制度、规范体系、共享平台三个维度入手，促使战略研究成果快速转化为可用成果，在制度的约束下进行管理实践，共同着力搭建行业共享平台，促进我国ICT供应链安全管理向科学化、规范化、样板化发展。

参考文献

[1] 李璐，汪坤.ICT供應链安全管理综述[J].中国信息安全，2019（3）：100-103.

[2] 倪光南，陈晓桦，尚燕敏，王海龙，徐克付.国外ICT供应链安全管理研究及建议[J].中国工程科学，2016，18（6）：104-109.

[3] 张伟丽，杨宏宁.美国ICT供应链管理概况及启示[J].保密科学技术，2017（2）：24-28.

[4] 范科峰.ICT供应链风险管理标准研究[J].信息技术与标准化，2014（6）：20-22.

[5] 左晓栋.美国政府IT供应链安全政策和措施分析[J].中国信息安全，2011（3）：30-32.

[6] 谢宗晓，董坤祥.ICT供应链信息安全标准ISO/IEC 27036-3及体系分析[J].中国标准导报，2016（3）：16-21.

[7] GB/T 36637-2018.信息安全技术ICT供应链安全风险管理指南[S].

[8] 郑兴艳.IT供应链安全风险管理标准研究[J].信息技术与标准化，2012（6）：17-19.

[9] 李璐.浅析重要网络产品供应链安全风险监管[J].网络空间安全，2018，9（3）：85-89.

[10] Shon Harris.CISSP认证考试指南（第5版）[M].北京：清华大学出版社，2011：39-58.