李祥兵，王光林，孫志偉，李科，權(quán)曉文，黃銳

（1. 河南省安陽(yáng)市公安局網(wǎng)安支隊(duì)，河南 安陽(yáng)455001；2. 遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司,北京 100084）

信息通信技術(shù)(Information and Communications Technology， ICT)供應(yīng)鏈安全是一個(gè)涉及面廣、影響范圍大的全球性的問(wèn)題，其安全性需要綜合考慮供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全生命周期覆蓋性三個(gè)維度的特性。任何一個(gè)維度的任一環(huán)節(jié)出現(xiàn)問(wèn)題，例如供應(yīng)鏈中的任一供應(yīng)商、產(chǎn)品/服務(wù)中的任一組件、信息系統(tǒng)生命周期的任一階段出現(xiàn)安全隱患，都可能造成ICT產(chǎn)品、系統(tǒng)或服務(wù)不安全，進(jìn)而導(dǎo)致ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)。因此，與傳統(tǒng)領(lǐng)域的實(shí)體供應(yīng)鏈相比，ICT供應(yīng)鏈面臨的安全風(fēng)險(xiǎn)更為復(fù)雜多變，更為多樣化。

本文首先系統(tǒng)梳理了美國(guó)、歐盟、俄羅斯、韓國(guó)等信息發(fā)達(dá)國(guó)家在ICT供應(yīng)鏈安全方面的工作，進(jìn)而分析了ICT供應(yīng)鏈安全可能面臨的風(fēng)險(xiǎn)，并結(jié)合我國(guó)的相關(guān)工作現(xiàn)狀提出了工作建議。

1 ICT供應(yīng)鏈安全戰(zhàn)略與政策研究

1.1 美國(guó)

美國(guó)一直非常關(guān)注供應(yīng)鏈安全，從2000年起就一直在頒布各類政策來(lái)保障安全[1]，見(jiàn)表1。

表1 2000年－2017年的關(guān)注點(diǎn)

年份 關(guān)注點(diǎn)2007年 國(guó)土安全部出臺(tái)了《增強(qiáng)國(guó)際供應(yīng)鏈安全的國(guó)家戰(zhàn)略》2008年發(fā)布了國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI），強(qiáng)調(diào)建立全方位措施以進(jìn)行全球供應(yīng)鏈風(fēng)險(xiǎn)管理，將IT供應(yīng)鏈安全問(wèn)題上升到了國(guó)家威脅和國(guó)家對(duì)抗的層面2009年奧巴馬政府發(fā)布《美國(guó)網(wǎng)絡(luò)安全空間安全政策評(píng)估報(bào)告》，將IT供應(yīng)鏈安全納入國(guó)家安全的范疇2011年美國(guó)政府發(fā)布《聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃》，強(qiáng)化了云計(jì)算服務(wù)商的供應(yīng)鏈安全管理2016年奧巴馬總統(tǒng)直屬的美國(guó)國(guó)家網(wǎng)絡(luò)安全促進(jìn)委員會(huì)發(fā)布《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》報(bào)告，提出了維護(hù)數(shù)字經(jīng)濟(jì)安全與發(fā)展的十大原則，其中第9條強(qiáng)調(diào)了供應(yīng)鏈安全的重要性2017年美國(guó)國(guó)土安全部提出了新供應(yīng)鏈風(fēng)險(xiǎn)管理計(jì)劃—持續(xù)診斷與緩解項(xiàng)目CDM，該項(xiàng)目重視物理安全，且旨在通過(guò)產(chǎn)品、服務(wù)等認(rèn)證認(rèn)可的方式強(qiáng)化供應(yīng)鏈安全

1.2 歐盟

歐盟從其自身利益出發(fā)，高度重視供應(yīng)鏈安全問(wèn)題，他們通過(guò)制定歐盟內(nèi)部通用的供應(yīng)鏈產(chǎn)品和服務(wù)安全要求的方式，加強(qiáng)供應(yīng)鏈安全管理，強(qiáng)化市場(chǎng)手段和企業(yè)力量的利用。

2012年4月，歐盟出臺(tái)了《云計(jì)算合同安全服務(wù)水平監(jiān)測(cè)指南》，針對(duì)云計(jì)算服務(wù)這一新技術(shù)新應(yīng)用，通過(guò)檢測(cè)、核查等技術(shù)手段加強(qiáng)云計(jì)算合同的安全管理。2016年7月，歐洲議會(huì)通過(guò)了《網(wǎng)絡(luò)與信息安全指令》，該指令從歐盟層面提出了供應(yīng)鏈安全管理方面統(tǒng)一的安全保障要求，利用該指令可以促進(jìn)歐盟成員國(guó)間安全戰(zhàn)略協(xié)作和信息共享，基于風(fēng)險(xiǎn)管理的理念提升歐盟整體的網(wǎng)絡(luò)安全保障水平。

1.3 俄羅斯

俄羅斯在ICT供應(yīng)鏈安全方面一直強(qiáng)調(diào)國(guó)產(chǎn)化應(yīng)用和替代。

2013年11月，俄羅斯發(fā)布《俄羅斯聯(lián)邦2014-2020年信息技術(shù)產(chǎn)業(yè)發(fā)展戰(zhàn)略和2025年前景展望》，提出了他們保障國(guó)家信息安全的政策戰(zhàn)略和手段，其中重點(diǎn)強(qiáng)調(diào)了研發(fā)自主可控高水平的信息安全產(chǎn)品，用來(lái)替代進(jìn)口產(chǎn)品的戰(zhàn)略。綜上所述，美、歐、俄等信息技術(shù)發(fā)達(dá)國(guó)家均十分重視ICT供應(yīng)鏈安全，從國(guó)家層面發(fā)布了一系列政策戰(zhàn)略，用以提高認(rèn)識(shí)、保障國(guó)家網(wǎng)絡(luò)安全。

1.4 韓國(guó)

在亞洲經(jīng)濟(jì)發(fā)展屬于前列的韓國(guó)也非常注重供應(yīng)鏈安全，韓國(guó)一直支持發(fā)展開(kāi)源技術(shù)，堅(jiān)持以公共需求帶動(dòng)國(guó)產(chǎn)化應(yīng)用，降低國(guó)際依賴。

2011年5月，韓國(guó)發(fā)布“云計(jì)算推廣及競(jìng)爭(zhēng)力強(qiáng)化戰(zhàn)略”,旨在通過(guò)打造安全的使用環(huán)境，在五年內(nèi)使韓國(guó)國(guó)內(nèi)云計(jì)算的使用率達(dá)到15%。2012年6月，韓國(guó)政府表示未來(lái)五年，在國(guó)防軟件國(guó)產(chǎn)化項(xiàng)目上投入430億韓元，實(shí)現(xiàn)韓國(guó)武器體系核心軟件的國(guó)產(chǎn)化。2014年6月，韓國(guó)政府聲明為了降低對(duì)微軟軟件的依賴性，將與開(kāi)源軟件界進(jìn)行談判，在2020年之前全部換用開(kāi)源軟件。

1.5 中國(guó)

我國(guó)政府高度重視信息技術(shù)產(chǎn)品安全可控，2016年11月通過(guò)的《網(wǎng)絡(luò)安全法》明確要求“支持網(wǎng)絡(luò)安全技術(shù)的研究開(kāi)發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。2016年12月發(fā)布的《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》明確提出“加強(qiáng)供應(yīng)鏈安全管理”、“提高產(chǎn)品和服務(wù)的安全性和可控性，防止產(chǎn)品服務(wù)提供者和其他組織利用信息技術(shù)優(yōu)勢(shì)實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益”。

華為作為中國(guó)IT行業(yè)的領(lǐng)軍企業(yè)，它將供應(yīng)鏈安全管理納入其端到端全球網(wǎng)絡(luò)安全保障體系，建立了一個(gè)符合ISO28000的全面供應(yīng)鏈安全管理體系，從來(lái)料到客戶交付的端到端流程中識(shí)別安全風(fēng)險(xiǎn)，并使其最小化。華為根據(jù)供應(yīng)商的體系、流程和產(chǎn)品來(lái)選擇和認(rèn)證供應(yīng)商，并持續(xù)監(jiān)控、定期評(píng)估供應(yīng)商的交付績(jī)效，選擇那些對(duì)華為所采購(gòu)的產(chǎn)品和服務(wù)的質(zhì)量和安全做出貢獻(xiàn)的供應(yīng)商。華為建立了一個(gè)全流程可視的可追溯系統(tǒng)，對(duì)于第三方部件，會(huì)在來(lái)料、生產(chǎn)和交付流程中檢查其完整性，記錄其表現(xiàn)。

2 ICT供應(yīng)鏈安全標(biāo)準(zhǔn)規(guī)范研究

該部分針對(duì)多個(gè)國(guó)內(nèi)外標(biāo)準(zhǔn)化組織在ICT供應(yīng)鏈安全方面的工作進(jìn)行了梳理，從而為我國(guó)相關(guān)工作的開(kāi)展提供參考和借鑒。

2.1 ISO工作研究

國(guó)家化標(biāo)準(zhǔn)組織（International Organization for Standardization，ISO）將供應(yīng)鏈風(fēng)險(xiǎn)管理分為了兩類：傳統(tǒng)供應(yīng)鏈安全管理和傳統(tǒng)供應(yīng)鏈信息安全管理。其中，后者更為重視網(wǎng)絡(luò)安全。

表2 2005年-2015年的標(biāo)準(zhǔn)規(guī)范和關(guān)注點(diǎn)

年份 標(biāo)準(zhǔn)規(guī)范 關(guān)注點(diǎn)2006年I S O／P A S 28001《供應(yīng)鏈安全管理體系供應(yīng)鏈安全的最佳實(shí)踐規(guī)范評(píng)估和計(jì)劃》與上面標(biāo)準(zhǔn)配套使用，提供了實(shí)用的指導(dǎo)，為獨(dú)立第三方的審核活動(dòng)提供選項(xiàng)2009年《IT供應(yīng)鏈安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)草案》美國(guó)向ISO下屬的JTC1提出了IT供應(yīng)鏈安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)草案，SC27對(duì)此作了專門(mén)研究，英國(guó)、日本等國(guó)提出了補(bǔ)充建議2010年I S O／ I E C 27036《信息技術(shù) 安全技術(shù)供應(yīng)商關(guān)系信息安全》ISO決定重新調(diào)整ISO／IEC 27036《信息技術(shù)安全技術(shù)供應(yīng)商關(guān)系的信息安全》的結(jié)構(gòu)，增加對(duì)供應(yīng)鏈安全管理的要求2013年I S O／ I E C 27036 -3《信息技術(shù)安全技術(shù)供應(yīng)商關(guān)系信息安全 第3部分ICT供應(yīng)鏈安全管理指南》ISO于2013年10月完成相關(guān)修訂工作，發(fā)布27036-3，添加了對(duì)供應(yīng)鏈安全管理的內(nèi)容,2015年ISO/TS《社會(huì)安全 業(yè)務(wù)連續(xù)性管理體系供應(yīng)鏈連續(xù)性指南》該標(biāo)準(zhǔn)為企業(yè)建立合適的供應(yīng)鏈連續(xù)性管理提供了指南，通過(guò)建立業(yè)務(wù)連續(xù)性管理體系，保持相關(guān)業(yè)務(wù)的連續(xù)性

2.2 NIST相關(guān)工作研究

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院NIST于2008年啟動(dòng)了非國(guó)家安全信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐開(kāi)發(fā)計(jì)劃，即ICT SCRM。

該計(jì)劃推薦使用已有的標(biāo)準(zhǔn)SP 800-37《風(fēng)險(xiǎn)管理框架應(yīng)用到聯(lián)邦信息系統(tǒng)中指南：一種安全生命周期方法》和SP 800-39《管理信息安全風(fēng)險(xiǎn)：組織、任務(wù)和信息系統(tǒng)視角》來(lái)加強(qiáng)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)的管理程序，包括識(shí)別和評(píng)估可能的風(fēng)險(xiǎn)、確定可能的應(yīng)對(duì)措施，選定應(yīng)對(duì)措施并實(shí)施、措施效果監(jiān)督評(píng)估等。

同時(shí)，NIST積極制定新的標(biāo)準(zhǔn)規(guī)范，以強(qiáng)化ICT供應(yīng)鏈安全管理。2012年，發(fā)布了NIST IR7622《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》，該標(biāo)準(zhǔn)提供了一種可以在聯(lián)邦信息系統(tǒng)供應(yīng)鏈中使用的具體實(shí)踐，旨在消除購(gòu)買(mǎi)、開(kāi)發(fā)和運(yùn)營(yíng)過(guò)程等供應(yīng)鏈全生命周期中可能影響聯(lián)邦信息系統(tǒng)的高風(fēng)險(xiǎn)。2015年，發(fā)布了SP 800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》，該指南為聯(lián)邦機(jī)構(gòu)指定ICT供應(yīng)鏈相關(guān)政策和程序、管理供應(yīng)鏈安全風(fēng)險(xiǎn)提供了其實(shí)有效的指導(dǎo)。該指南還提供了一整套的評(píng)估和管理供應(yīng)鏈風(fēng)險(xiǎn)的程序模板，列出了可能的威脅事件和可供參考的風(fēng)險(xiǎn)框架，指導(dǎo)性作用極強(qiáng)。

歐盟委員會(huì)方面于2017年10月4日公布了關(guān)于“修改ENISA授權(quán)立法和建立信息通信技術(shù)產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度”的立法草案。該法案自稱“網(wǎng)絡(luò)安全法”（Cybersecurity Act，以下稱“歐盟網(wǎng)絡(luò)安全法”）。歐盟網(wǎng)絡(luò)安全法的實(shí)質(zhì)是歐盟網(wǎng)絡(luò)和信息安全局（ENISA）的授權(quán)法，為2004年成立的ENISA賦予新職能，將其改建為歐盟的“網(wǎng)絡(luò)安全局”，負(fù)責(zé)在歐盟層面制定和執(zhí)行網(wǎng)絡(luò)安全政策、提升網(wǎng)絡(luò)安全能力、搜集網(wǎng)絡(luò)安全信息、構(gòu)建統(tǒng)一網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)市場(chǎng)，以及研發(fā)和創(chuàng)新等工作。根據(jù)該法授權(quán)，ENISA的一項(xiàng)重要任務(wù)就是建立歐盟層面的信息通信技術(shù)產(chǎn)品和服務(wù)（ICT產(chǎn)品和服務(wù)）網(wǎng)絡(luò)安全認(rèn)證制度。目前，歐盟沒(méi)有歐盟層面統(tǒng)一的ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度，主要依靠各成員國(guó)自行組織認(rèn)證。有的成員國(guó)有相關(guān)認(rèn)證制度，有的成員國(guó)沒(méi)有，并且認(rèn)證所依據(jù)的技術(shù)標(biāo)準(zhǔn)也不完全統(tǒng)一，企業(yè)同一件產(chǎn)品或服務(wù)在不同國(guó)家需要重復(fù)認(rèn)證。此次歐盟建立ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度，一方面是為了提高歐盟域內(nèi)的網(wǎng)絡(luò)安全水平，另一方面也是為了建立統(tǒng)一市場(chǎng)，實(shí)現(xiàn)“一次認(rèn)證，全域通行”，取代各成員國(guó)現(xiàn)有認(rèn)證體系。

歐盟網(wǎng)絡(luò)安全法草案并未規(guī)定ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度的具體細(xì)節(jié)，而是建立了一個(gè)框架性制度，規(guī)定了認(rèn)證制度要實(shí)現(xiàn)的目標(biāo)和應(yīng)包含的要素，并授權(quán)ENISA具體負(fù)責(zé)建立認(rèn)證制度。

2.3 我國(guó)標(biāo)準(zhǔn)化委員會(huì)相關(guān)工作研究

我國(guó)的標(biāo)準(zhǔn)化委員會(huì)針對(duì)ICT供應(yīng)鏈安全方面開(kāi)展了一系列工作，包括發(fā)布了GB/T 31722《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理》（采標(biāo)于ISO相關(guān)標(biāo)準(zhǔn)，強(qiáng)調(diào)安全風(fēng)險(xiǎn)管理）和GB/T 24420《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》（通過(guò)明確供應(yīng)鏈環(huán)境信息，充分識(shí)別供應(yīng)鏈風(fēng)險(xiǎn)，屬于大安全領(lǐng)域）。

此外，信息安全標(biāo)準(zhǔn)化委員會(huì)正在制定《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》，該標(biāo)準(zhǔn)梳理了ICT供應(yīng)鏈與傳統(tǒng)供應(yīng)鏈安全管理的不同特點(diǎn)，進(jìn)而系統(tǒng)呈現(xiàn)了ICT供應(yīng)鏈的安全威脅、脆弱性和可能存在的風(fēng)險(xiǎn)，目前該標(biāo)準(zhǔn)已經(jīng)推進(jìn)到征求意見(jiàn)稿階段。

綜上所述，標(biāo)準(zhǔn)規(guī)范作為一項(xiàng)強(qiáng)化ICT供應(yīng)鏈安全評(píng)價(jià)的重要抓手，受到了各方的密切關(guān)注和重視，均結(jié)合各自的實(shí)際情況，開(kāi)展了一系列標(biāo)準(zhǔn)規(guī)范制定工作。

3 ICT供應(yīng)鏈安全風(fēng)險(xiǎn)分析

信息技術(shù)產(chǎn)品由于其多樣的產(chǎn)品和服務(wù)形態(tài)，復(fù)雜的產(chǎn)品實(shí)現(xiàn)功能、異構(gòu)的應(yīng)用場(chǎng)景，導(dǎo)致ICT供應(yīng)鏈面臨著各種安全威脅，輕則導(dǎo)致產(chǎn)品和服務(wù)出現(xiàn)異常，重則導(dǎo)致重要信息泄露、重要服務(wù)中止等安全風(fēng)險(xiǎn)。ICT供應(yīng)鏈面臨的主要安全威脅可以分為惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露或違規(guī)操作、其他威脅等五類，均可能?chē)?yán)重破壞ICT供應(yīng)鏈的完整性、可用性和保密性。

惡意篡改可能是外在原因（如惡意程序、高級(jí)木馬、外部組件、非授權(quán)部件等）、也可能是內(nèi)在原因（如非授權(quán)配置、供應(yīng)鏈信息篡改等）導(dǎo)致的。惡意篡改可能存在于在ICT供應(yīng)鏈的設(shè)計(jì)、開(kāi)發(fā)、采購(gòu)、生產(chǎn)、倉(cāng)儲(chǔ)、物流、銷售、維護(hù)、返回等任何一個(gè)環(huán)節(jié)，也可能是多發(fā)性的存在于上述多個(gè)環(huán)節(jié)，從而導(dǎo)致信息技術(shù)產(chǎn)品和服務(wù)機(jī)密性、完整性和可用性的破壞。

假冒偽劣屬于信息技術(shù)產(chǎn)品和服務(wù)本身可能存在的問(wèn)題，也可能是由于供應(yīng)過(guò)程中缺乏嚴(yán)格管理導(dǎo)致的外在產(chǎn)品和服務(wù)混雜其中引發(fā)的安全威脅問(wèn)題。按照產(chǎn)品和服務(wù)本身特性來(lái)分，又可以分為假冒產(chǎn)品和服務(wù)、不合格產(chǎn)品和服務(wù)、未經(jīng)授權(quán)生產(chǎn)的產(chǎn)品和服務(wù)。

供應(yīng)中斷則是更為嚴(yán)重的問(wèn)題，它是由于人為或者不可抗力的原因，導(dǎo)致ICT供應(yīng)鏈的中斷或終止。按照引發(fā)供應(yīng)中斷的因素來(lái)劃分，可以分為人為引發(fā)的中斷、基礎(chǔ)設(shè)施故障引發(fā)的中斷、國(guó)際國(guó)內(nèi)環(huán)境引發(fā)的中斷、不正當(dāng)競(jìng)爭(zhēng)導(dǎo)致的中斷等類別。

信息泄露是指ICT供應(yīng)鏈上產(chǎn)生和傳遞的信息被未授權(quán)泄露，這些信息可能是個(gè)人隱私信息、商業(yè)機(jī)密信息、國(guó)家重要信息。在歐盟通用數(shù)據(jù)保護(hù)條例正式頒布實(shí)施以及我國(guó)網(wǎng)絡(luò)安全法及其配套標(biāo)準(zhǔn)規(guī)范不斷強(qiáng)化數(shù)據(jù)保護(hù)的今天，由于供應(yīng)鏈安全引發(fā)的數(shù)據(jù)泄露威脅亟需受到重視。

違規(guī)操作是ICT供應(yīng)方內(nèi)部可能產(chǎn)生的違規(guī)操作行為。比如，違規(guī)收集和使用個(gè)人隱私數(shù)據(jù)、違規(guī)訪問(wèn)內(nèi)部數(shù)據(jù)和/或組件、大數(shù)據(jù)濫用、產(chǎn)品和服務(wù)違規(guī)配置等。從某種意義上講，違規(guī)操作導(dǎo)致的后果可能比外部的安全威脅更為嚴(yán)重。

除上述安全威脅外，ICT 供應(yīng)鏈還存在許多其他威脅或挑戰(zhàn)，如合規(guī)差異性挑戰(zhàn)，即當(dāng)前全球各區(qū)域的網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)可能存在差異，導(dǎo)致在各個(gè)國(guó)家和地區(qū)提供的產(chǎn)品和服務(wù)由于不滿足生產(chǎn)、銷售、使用區(qū)域的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，從而無(wú)法在當(dāng)?shù)厣a(chǎn)、銷售、使用。

正是由于上述紛繁復(fù)雜的ICT供應(yīng)鏈安全威脅，才導(dǎo)致ICT供應(yīng)鏈可能存在著諸多的安全風(fēng)險(xiǎn)。信息技術(shù)產(chǎn)品生命周期十分復(fù)雜，涉及到產(chǎn)品供應(yīng)方、產(chǎn)品應(yīng)用方、產(chǎn)品供應(yīng)鏈各環(huán)節(jié)供應(yīng)方，如知識(shí)產(chǎn)權(quán)供應(yīng)方、設(shè)計(jì)生產(chǎn)工具供應(yīng)方、核心部件供應(yīng)方等，因而其安全風(fēng)險(xiǎn)可能存在于各個(gè)環(huán)節(jié)，具體如圖1所示。

圖1 ICT產(chǎn)品和服務(wù)生命周期示意圖

“中興事件”后，我國(guó)亟需重視自主可控，從源頭上提高ICT產(chǎn)品和服務(wù)的供給能力，打造完整、可控、優(yōu)質(zhì)的ICT產(chǎn)品和服務(wù)供應(yīng)鏈。然而，從自主可控的角度出發(fā)，ICT產(chǎn)品和服務(wù)可能面臨的風(fēng)險(xiǎn)如下圖所示的安全風(fēng)險(xiǎn)。

通過(guò)圖2可以看出，ICT供應(yīng)鏈安全風(fēng)險(xiǎn)可能存在于ICT產(chǎn)品和服務(wù)的全生命周期中，比如研發(fā)生產(chǎn)評(píng)價(jià)、供應(yīng)鏈評(píng)價(jià)、運(yùn)維服務(wù)評(píng)價(jià)等[3]。同時(shí)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)可能是由于上述各種安全威脅引發(fā)的，同時(shí)還可能是由于上述多種威脅復(fù)合引發(fā)，從而產(chǎn)生更為嚴(yán)重的后果。

圖2 ICT產(chǎn)品和服務(wù)可能面臨的風(fēng)險(xiǎn)

首先，由于ICT產(chǎn)品和服務(wù)的不可控，可能會(huì)被非法控制、干擾和中斷運(yùn)行。如產(chǎn)品或服務(wù)完全依賴美國(guó)的因特爾芯片和微軟的操作系統(tǒng)，就可能面臨著不可控的安全漏洞問(wèn)題，這些安全漏洞一旦爆發(fā)就會(huì)引發(fā)極為嚴(yán)重的后果。同時(shí)，烏克蘭核設(shè)施面臨的“震網(wǎng)病毒”定向攻擊，本質(zhì)上也是由于它們的工控設(shè)施不可控導(dǎo)致的。

其次ICT產(chǎn)品和服務(wù)可能存在研發(fā)、交付、技術(shù)支持等環(huán)節(jié)面臨著周期加長(zhǎng)、服務(wù)質(zhì)量下降甚至中斷的風(fēng)險(xiǎn)。因?yàn)楫a(chǎn)品的關(guān)鍵部件嚴(yán)重依賴于外部提供商，又不存在替代方案，必然導(dǎo)致話語(yǔ)權(quán)的喪失。

其次，外部不可控的產(chǎn)品和服務(wù)可能存在數(shù)據(jù)過(guò)度收集、非法采集的風(fēng)險(xiǎn)，從而引發(fā)侵犯?jìng)€(gè)人信息隱私和泄露重要數(shù)據(jù)等問(wèn)題。

最后，由于長(zhǎng)期和不可替代的依賴于外部提供的產(chǎn)品和服務(wù)，自己不具備自主可控性，就會(huì)面臨著產(chǎn)品和服務(wù)提供商利用其壟斷或優(yōu)勢(shì)地位實(shí)施的不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益的風(fēng)險(xiǎn)。

綜上，ICT產(chǎn)品和服務(wù)的安全威脅復(fù)雜多樣，從而導(dǎo)致安全風(fēng)險(xiǎn)多發(fā)頻發(fā)，亟需引起ICT供應(yīng)鏈各方的重視，不斷加強(qiáng)風(fēng)險(xiǎn)防控，提高安全防護(hù)和應(yīng)對(duì)能力。

4 針對(duì)我國(guó)相關(guān)工作的建議

通過(guò)梳理上述各國(guó)針對(duì)ICT供應(yīng)鏈安全評(píng)價(jià)的戰(zhàn)略政策、標(biāo)準(zhǔn)規(guī)范，結(jié)合ICT產(chǎn)品和服務(wù)可能面臨的安全風(fēng)險(xiǎn)，本部分嘗試對(duì)我國(guó)工作提出相關(guān)建議。

4.1 建立多部門(mén)參與的ICT供應(yīng)鏈安全監(jiān)管制度

我國(guó)ICT供應(yīng)鏈國(guó)家安全監(jiān)管制度應(yīng)當(dāng)確立“合作包容”的理念[4-5]。審查過(guò)程必須聯(lián)合有關(guān)業(yè)務(wù)和安全主管部門(mén)，打組合拳，共同進(jìn)行科學(xué)的戰(zhàn)略規(guī)劃與統(tǒng)籌布局，把ICT供應(yīng)鏈安全監(jiān)管作為國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分，從頂層設(shè)計(jì)和戰(zhàn)略性高度著力應(yīng)對(duì)。

同時(shí)，借鑒信息技術(shù)發(fā)達(dá)國(guó)家的有益經(jīng)驗(yàn)，建立健全我國(guó)的ICT供應(yīng)鏈安全監(jiān)管體系。一是加強(qiáng)宏觀的國(guó)家層面安全監(jiān)管體系建設(shè)，強(qiáng)化立法協(xié)調(diào)、政策制定和戰(zhàn)略規(guī)劃；二是加強(qiáng)安全監(jiān)管行業(yè)建設(shè)，統(tǒng)籌各方力量，制定相應(yīng)的規(guī)章制度，加強(qiáng)行業(yè)的建設(shè)與管理；三是加強(qiáng)安全監(jiān)督執(zhí)行單位的內(nèi)部管理，加強(qiáng)安全評(píng)估單位內(nèi)部的規(guī)范化建設(shè)。

4.2 加護(hù)制定發(fā)布ICT供應(yīng)鏈安全管理標(biāo)準(zhǔn)

NIST SP80-161的制定借鑒了SP 800-39和SP800-53中有關(guān)ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的方法學(xué)，參考了SP 800-39中提出的多層次的風(fēng)險(xiǎn)管理結(jié)構(gòu)及方法，對(duì)SP800-53中已有的控制措施進(jìn)行了補(bǔ)充說(shuō)明和個(gè)性化調(diào)整[6]。

建議充分借鑒和參考ISO、NIST等相關(guān)工作，結(jié)合我國(guó)ICT供應(yīng)鏈安全評(píng)價(jià)的實(shí)際工作，制定適合我國(guó)國(guó)情的ICT供應(yīng)鏈安全評(píng)價(jià)標(biāo)準(zhǔn)，

重點(diǎn)涵蓋針對(duì)大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)新應(yīng)用的供應(yīng)鏈風(fēng)險(xiǎn)管理。

同時(shí)，標(biāo)準(zhǔn)制定過(guò)程中需要注重兩方面工作：一方面加強(qiáng)與國(guó)家社會(huì)的溝通協(xié)調(diào)，盡量與國(guó)家通用標(biāo)準(zhǔn)保持一致；二是保持與我國(guó)現(xiàn)有法律法規(guī)、標(biāo)準(zhǔn)體系的一致性，比如關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度、信息安全產(chǎn)品認(rèn)證認(rèn)可制度等。

4.3 綜合考慮ICT供應(yīng)鏈產(chǎn)品和服務(wù)的特點(diǎn)

根據(jù)分析對(duì)象的不同，ICT供應(yīng)鏈安全可以劃分為ICT產(chǎn)品供應(yīng)鏈安全與ICT服務(wù)供應(yīng)鏈安全，兩者在技術(shù)風(fēng)險(xiǎn)控制點(diǎn)、供應(yīng)鏈安全管理和法律規(guī)制等方面存在著若干的不同特點(diǎn)。

然而在ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)價(jià)理論、方法、流程、工具等方面又是基本類同的。因此在實(shí)際的供應(yīng)鏈安全評(píng)價(jià)工作中，應(yīng)當(dāng)統(tǒng)籌分析兩者的使用場(chǎng)景、評(píng)價(jià)對(duì)象、評(píng)價(jià)目的等，兼顧兩者的特點(diǎn)，全面客觀有效的分析供應(yīng)鏈全生命周期中可能存在的風(fēng)險(xiǎn)，進(jìn)而提出相關(guān)的應(yīng)對(duì)措施，并對(duì)應(yīng)對(duì)措施的實(shí)施效果進(jìn)行監(jiān)督評(píng)價(jià)。

4.4 建強(qiáng)ICT供應(yīng)鏈安全評(píng)價(jià)人才隊(duì)伍建設(shè)

ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)價(jià)的每個(gè)環(huán)節(jié)，都需要依靠專業(yè)人員完成，因此，必須培養(yǎng)和打造一支懂技術(shù)、懂管理的ICT供應(yīng)鏈安全評(píng)價(jià)專業(yè)力量，推進(jìn)全國(guó)范圍內(nèi)ICT供應(yīng)鏈安全評(píng)價(jià)整體力量建設(shè)。

可以參考借鑒美國(guó)根據(jù)《國(guó)家網(wǎng)絡(luò)安全計(jì)劃》（NICE）、《網(wǎng)絡(luò)安全國(guó)家行動(dòng)計(jì)劃》（CNAP）制定的《聯(lián)邦網(wǎng)絡(luò)安全人才戰(zhàn)略》的相關(guān)內(nèi)容，制定我國(guó)的ICT供應(yīng)鏈安全評(píng)價(jià)與監(jiān)管人才戰(zhàn)略與實(shí)施計(jì)劃，具體從以下3個(gè)方面展開(kāi)工作：一是確定ICT供應(yīng)鏈安全評(píng)價(jià)與監(jiān)管的專業(yè)人才需求；二是通過(guò)教育與培訓(xùn)擴(kuò)充評(píng)價(jià)與監(jiān)管專業(yè)人才隊(duì)伍；三是開(kāi)發(fā)、保留與使用好該領(lǐng)域高技能專業(yè)人才。

5 結(jié)語(yǔ)

ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)價(jià)是一項(xiàng)十分重要的工作，事關(guān)網(wǎng)絡(luò)安全與國(guó)家安全。本文從戰(zhàn)略政策角度系統(tǒng)梳理了美國(guó)、歐盟、俄羅斯等信息技術(shù)發(fā)達(dá)國(guó)家的研究現(xiàn)狀；從標(biāo)準(zhǔn)規(guī)范角度梳理了ISO、NIST以及我國(guó)標(biāo)準(zhǔn)化委員會(huì)的相關(guān)工作，并分析了ICT產(chǎn)品和服務(wù)供應(yīng)鏈可能存在的安全風(fēng)險(xiǎn)點(diǎn)。

結(jié)合我國(guó)工作實(shí)際，從制度建立、標(biāo)準(zhǔn)制定、工作開(kāi)展和人才培養(yǎng)等維度提出了對(duì)我國(guó)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)價(jià)工作的建議。