朱麗璇

（中國鐵路西安局集團有限公司 科技和信息化部，西安 710054）

鐵路信息化歷經(jīng)數(shù)十年持續(xù)建設(shè)，鐵路信息系統(tǒng)已基本實現(xiàn)各專業(yè)關(guān)鍵業(yè)務(wù)場景全覆蓋，在運輸組織、調(diào)度指揮、客貨營銷、辦公綜合等方面發(fā)揮著重要作用，大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新興信息技術(shù)在鐵路的推廣應(yīng)用正在成為鐵路智能化和高質(zhì)量發(fā)展的重要引擎。在鐵路企業(yè)數(shù)字化轉(zhuǎn)型升級的過程中，由信息和通信技術(shù)供應(yīng)商、第三方供應(yīng)商、系統(tǒng)集成服務(wù)提供商及運維服務(wù)提供商共同組成的鐵路信息系統(tǒng)供應(yīng)鏈，將服務(wù)器、網(wǎng)絡(luò)設(shè)備、PC 機、系統(tǒng)軟件、工具軟件、源代碼、組件、運行環(huán)境、知識產(chǎn)權(quán)等轉(zhuǎn)化為滿足鐵路企業(yè)應(yīng)用需求的特定信息系統(tǒng)產(chǎn)品和服務(wù)，并通過線上或線下交付渠道，完成特定系統(tǒng)、軟件產(chǎn)品和服務(wù)的交付，共同承擔著鐵路信息系統(tǒng)提供及運維服務(wù)任務(wù)。

近年來，隨著鐵路信息系統(tǒng)迭代升級逐步加快，系統(tǒng)開發(fā)中大量使用外部代碼，如委托開發(fā)的代碼、開源代碼、二進制庫等，使得鐵路信息系統(tǒng)供應(yīng)鏈中由供應(yīng)方、中間人和第三方服務(wù)提供商形成多級網(wǎng)鏈狀供需結(jié)構(gòu)日趨復(fù)雜。攻擊者可以通過在鐵路信息系統(tǒng)供應(yīng)鏈的上游注入惡意程序，在交付及使用過程中違反開源協(xié)議等，蓄意制造鐵路信息系統(tǒng)中的安全漏洞，并伺機利用這些漏洞對鐵路信息系統(tǒng)發(fā)起攻擊。另一方面，全球供應(yīng)鏈分工使各國形成不同產(chǎn)業(yè)優(yōu)勢，我國信息通信技術(shù)（ICT，Information Communications Technology）供應(yīng)鏈安全實力不夠強，尚未形成完整供應(yīng)鏈。

為此，加強鐵路信息系統(tǒng)供應(yīng)鏈風險管理對保障鐵路信息系統(tǒng)長期安全、可靠、穩(wěn)定具有重要意義。通過建立鐵路信息系統(tǒng)資產(chǎn)及供應(yīng)鏈圖譜，在全面掌握各級供應(yīng)商資質(zhì)、產(chǎn)品及服務(wù)整體狀況的基礎(chǔ)上，對這些供應(yīng)商提供的產(chǎn)品及服務(wù)進行審查和風險評估，識別其中可能對鐵路業(yè)務(wù)造成威脅的任何潛在弱點，據(jù)此建立鐵路信息系統(tǒng)供應(yīng)鏈風險清單。依據(jù)該風險清單，鐵路網(wǎng)絡(luò)安全主管部門可以主動開展針對性網(wǎng)絡(luò)安全管理工作，建立自研版本構(gòu)成分析和管理的長效機制，主動推進關(guān)鍵產(chǎn)品與服務(wù)的國產(chǎn)化替代進程，對供應(yīng)商進行風險監(jiān)控，使?jié)撛谕{得到有效管控，減少由軟件安全漏洞帶來潛在風險，避免網(wǎng)絡(luò)安全攻擊、數(shù)據(jù)泄露等給鐵路企業(yè)造成損失。鐵路信息化主管部門基于鐵路信息系統(tǒng)供應(yīng)鏈風險清單，加強對鐵路信息系統(tǒng)合規(guī)項目的治理、評估和跟蹤監(jiān)控，能夠在出現(xiàn)網(wǎng)絡(luò)安全事件時快速開展應(yīng)急處置，提高處理安全風險的效率，確保各級供應(yīng)商能夠合規(guī)創(chuàng)造價值，所交付的產(chǎn)品及服務(wù)符合鐵路企業(yè)網(wǎng)絡(luò)安全管理要求，使鐵路信息系統(tǒng)供應(yīng)鏈能夠長期為鐵路企業(yè)數(shù)字化轉(zhuǎn)型升級提供有效支撐。

本文在分析鐵路信息系統(tǒng)供應(yīng)鏈安全風險管理現(xiàn)狀的基礎(chǔ)上，對鐵路信息系統(tǒng)供應(yīng)鏈面臨的安全威脅來源進行分類，分析其中存在的脆弱性，識別供應(yīng)鏈安全風險，并給出管理建議。

1 信息通信技術(shù)供應(yīng)鏈安全風險管理現(xiàn)狀

1.1 國內(nèi)外現(xiàn)狀

2008 年，美國明確要求實施全球供應(yīng)鏈風險管理，發(fā)布并實施供應(yīng)鏈風險管理計劃。2011 年，美國為進一步加強高科技供應(yīng)鏈的安全性，強調(diào)信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈安全的重要性；2012 年發(fā)布了《供應(yīng)鏈安全戰(zhàn)略》；2015 年，歐洲發(fā)布《供應(yīng)鏈完整性：ICT 供應(yīng)鏈風險和挑戰(zhàn)概述和未來愿景》，在愿景中重點指出ICT 供應(yīng)鏈完整性是國家經(jīng)濟發(fā)展的關(guān)鍵因素[1]；2007 年，ISO/IEC 發(fā)布了 28000 供應(yīng)鏈安全管理體系系列標準，定義了供應(yīng)鏈安全管理體系框架，可為操作或依賴供應(yīng)鏈中某一環(huán)節(jié)提供參考，用以識別出各行業(yè)安全風險并指導實施控制和降低風險，以增強識別供應(yīng)鏈潛在的安全威脅和影響的能力。

自2009 年起，我國先后發(fā)布一系列ICT 供應(yīng)鏈安全管理相關(guān)國家標準，包括供應(yīng)鏈風險管理指南、ICT 供應(yīng)鏈安全風險管理指南和代碼安全審計規(guī)范等，明確供應(yīng)鏈風險管理過程、風險評分評價方法、ICT供應(yīng)鏈全生命周期風險識別流程及內(nèi)容[2]，規(guī)定了安全功能缺陷、代碼實現(xiàn)安全缺陷、資源使用安全缺陷、環(huán)境安全缺陷等方面代碼安全審計要求；2016 年，我國發(fā)布《國家空間安全戰(zhàn)略》，其中明確提出建立網(wǎng)絡(luò)安全審查制度，加強供應(yīng)鏈安全管理，以提高產(chǎn)品和服務(wù)的安全可控[3]；2021 年，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式發(fā)布實施，該條例要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時，為保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，應(yīng)及早發(fā)現(xiàn)并避免可能產(chǎn)生的風險和危害；2022 年，《網(wǎng)絡(luò)安全審查辦法》頒布，同樣要求對運營者采購活動和部分重要產(chǎn)品進行審查，以確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。

1.2.鐵路信息系統(tǒng)供應(yīng)鏈特點

鐵路信息系統(tǒng)供應(yīng)鏈涵蓋環(huán)節(jié)更多，涉及范圍廣，具有以下3 個主要特點：

（1）產(chǎn)品與服務(wù)構(gòu)成復(fù)雜：鐵路信息系統(tǒng)多、網(wǎng)絡(luò)覆蓋地域廣、設(shè)備種類繁雜且分散、老舊設(shè)備參差不齊，部分網(wǎng)絡(luò)資源、設(shè)備設(shè)施、資產(chǎn)臺賬邊界不清、歸屬不明，未知資產(chǎn)仍然存在，加重了供應(yīng)鏈資產(chǎn)盤點難度。

（2）供應(yīng)商多樣性：鐵路信息系統(tǒng)供應(yīng)商包括設(shè)備、系統(tǒng)軟件和應(yīng)用系統(tǒng)的設(shè)計、開發(fā)、采購、制造、集成、交付等，還涉及運維業(yè)務(wù)外包服務(wù)，每一個供應(yīng)商對供應(yīng)鏈的安全性和完整性都會產(chǎn)生影響。

（3）應(yīng)用軟件產(chǎn)品眾多、運維服務(wù)量大：鐵路信息系統(tǒng)目前已基本實現(xiàn)各專業(yè)關(guān)鍵業(yè)務(wù)場景全覆蓋，鑒于我國鐵路運輸管理業(yè)務(wù)的獨特性，研發(fā)和應(yīng)用了數(shù)量眾多的專用應(yīng)用系統(tǒng)軟件，這些應(yīng)用軟件需要持續(xù)滿足實際業(yè)務(wù)需求不斷地更新升級，管控源代碼安全成為保證鐵路信息系統(tǒng)供應(yīng)鏈安全的重點工作。

1.3 鐵路信息系統(tǒng)供應(yīng)鏈安全現(xiàn)狀

2022 年，鐵路發(fā)布《“十四五”鐵路網(wǎng)絡(luò)安全和信息化規(guī)劃》[4]，將供應(yīng)鏈安全納入鐵路網(wǎng)絡(luò)安全體系架構(gòu)，明確提出強化供應(yīng)鏈安全管理，確保系統(tǒng)產(chǎn)品和服務(wù)供應(yīng)鏈安全。同年發(fā)布的工作實施方案要求完善供應(yīng)鏈管理制度，組織梳理形成鐵路信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈圖譜，通過合同等方式提出對供應(yīng)鏈、人員、產(chǎn)品、服務(wù)等環(huán)節(jié)的安全要求，開展監(jiān)測，管控供應(yīng)鏈安全風險，逐步建立供應(yīng)鏈管控機制[5]。

近年來，中國國家鐵路集團有限公司（簡稱：國鐵集團）組織各單位針對鐵路重要信息系統(tǒng)開展供應(yīng)鏈安全風險排查工作，梳理供應(yīng)鏈企業(yè)形成供應(yīng)鏈企業(yè)清單，盤點供應(yīng)鏈產(chǎn)品形成產(chǎn)品清單，自查安全風險形成風險問題清單，最終形成重要信息系統(tǒng)產(chǎn)品與服務(wù)供應(yīng)鏈圖譜，其構(gòu)成如圖1 所示。

圖1 鐵路重要信息系統(tǒng)供應(yīng)鏈圖譜清單構(gòu)成示意

（1）供應(yīng)鏈企業(yè)清單是供應(yīng)鏈管理的基礎(chǔ)；清單涉及供應(yīng)鏈全生命周期各個階段的相關(guān)參與方，包括信息系統(tǒng)的開發(fā)方、承建方、設(shè)計方、運維方、服務(wù)和產(chǎn)品的供應(yīng)商、安全測評方、合作方等各個參與方；供應(yīng)鏈企業(yè)清單的建立要從信息系統(tǒng)的建設(shè)、運維、服務(wù)等階段多方面收集信息，并持續(xù)進行及時更新。

（2）供應(yīng)鏈管理風險自查旨在幫助管理單位全面掌握信息系統(tǒng)供應(yīng)鏈中潛在的風險隱患，主要從供應(yīng)鏈管理的組織架構(gòu)、管理流程、人員管理、安全管理、供應(yīng)商管理、產(chǎn)品安全審查、源代碼審計、產(chǎn)品開發(fā)、漏洞排查處置等方面開展自查，以據(jù)此加強對供應(yīng)鏈各環(huán)節(jié)安全風險的控制。

（3）鐵路信息系統(tǒng)供應(yīng)鏈產(chǎn)品主要涉及安全防護軟件、虛擬化軟件、業(yè)務(wù)應(yīng)用軟件、服務(wù)器、中間件、數(shù)據(jù)庫、生產(chǎn)系統(tǒng)、日志審計系統(tǒng)、辦公系統(tǒng)等，通過盤點和梳理既有信息系統(tǒng)資產(chǎn)形成供應(yīng)鏈產(chǎn)品清單。

通過建立鐵路信息系統(tǒng)供應(yīng)鏈圖譜，將分散的供應(yīng)鏈信息進行一體化整合，從各單位內(nèi)部與外部因素進行排查，對供應(yīng)鏈企業(yè)及其對應(yīng)提供的產(chǎn)品及服務(wù)加強管控，對各單位自身組織、人員等方面存在的問題進行整改，及早發(fā)現(xiàn)已存在的供應(yīng)鏈風險和危害，保證重要信息系統(tǒng)相關(guān)產(chǎn)品和服務(wù)的安全性和完整性。

2 鐵路信息系統(tǒng)供應(yīng)鏈安全風險分析

2.1 威脅來源

鐵路信息系統(tǒng)供應(yīng)鏈具有分布廣泛、軟件產(chǎn)品服務(wù)復(fù)雜、供需方多樣化的特點，導致信息系統(tǒng)產(chǎn)品面臨多種安全威脅，攻擊者通過利用系統(tǒng)自身的脆弱性，破壞系統(tǒng)供應(yīng)鏈的保密性、完整性、可用性和可控性[6]。

鐵路信息系統(tǒng)供應(yīng)鏈主要面臨環(huán)境因素、供應(yīng)鏈攻擊、人為錯誤3 個方面的安全威脅來源，如表1所示。

表1 鐵路信息系統(tǒng)軟件供應(yīng)鏈安全威脅來源

2.2 脆弱性分析

鐵路信息系統(tǒng)所依托的設(shè)備軟硬件環(huán)境及其開發(fā)過程中存在的自身脆弱性同樣存在于鐵路信息系統(tǒng)全生命周期中[7]。威脅主體利用系統(tǒng)自身存在的脆弱性，將導致安全風險，威脅、脆弱性與風險的關(guān)系如圖2 所示。

圖2 威脅、脆弱性與風險的關(guān)系

為有效減少或消除鐵路信息系統(tǒng)全生命周期中的安全威脅，必須對鐵路信息系統(tǒng)設(shè)計與研發(fā)、生產(chǎn)供應(yīng)和運維服務(wù)這3 個階段潛在的脆弱性進行系統(tǒng)分析[8]，各階段中潛在的脆弱性分析內(nèi)容如表2所示。

表2 鐵路信息系統(tǒng)生命周期各階段中潛在的脆弱性分析內(nèi)容

2.3 風險識別

2.3.1 產(chǎn)品斷供

在鐵路信息系統(tǒng)供應(yīng)鏈中，供應(yīng)商之間是相互聯(lián)系的，互為供方和需方。系統(tǒng)是由供方向需方提供的，產(chǎn)品斷供的發(fā)生通常存在于供應(yīng)鏈產(chǎn)品的上游生產(chǎn)供應(yīng)階段。當供應(yīng)鏈中某一層級供應(yīng)商出現(xiàn)產(chǎn)品斷供事件，且該產(chǎn)品無其它產(chǎn)品可替代時，供應(yīng)鏈將隨即中斷，如圖3 所示。

圖3 信息系統(tǒng)產(chǎn)品斷供示意

鐵路信息系統(tǒng)的軟硬件產(chǎn)品、網(wǎng)絡(luò)產(chǎn)品、服務(wù)供應(yīng)鏈通常分布在各地、多個層級的供應(yīng)方組成，隨著異地供應(yīng)方、供應(yīng)方層級的增多，產(chǎn)品與服務(wù)供應(yīng)鏈的透明性和安全風險控制能力都在下降，供應(yīng)鏈面臨中斷或終止的安全威脅。鐵路信息系統(tǒng)在設(shè)計研發(fā)、生產(chǎn)供應(yīng)直至運維服務(wù)階段所涉及的設(shè)計單位、研發(fā)承建單位、運維單位等各類供應(yīng)商，他們所提供的產(chǎn)品和服務(wù)涵蓋系統(tǒng)設(shè)備、芯片、終端、應(yīng)用軟件、操作系統(tǒng)、數(shù)據(jù)庫等，其技術(shù)和產(chǎn)品的產(chǎn)業(yè)支撐能力需要持續(xù)創(chuàng)新和升級，協(xié)同產(chǎn)業(yè)鏈各環(huán)節(jié)同步要更新完善，提供更為安全可靠的技術(shù)產(chǎn)品，在較短時間內(nèi)難以通過采購、生產(chǎn)、備貨、國產(chǎn)化替代等措施解決，將增加供應(yīng)鏈安全風險。如遇到相關(guān)供應(yīng)商倒閉等不可控因素時，設(shè)計單位在生產(chǎn)供應(yīng)和運維服務(wù)階段提供相關(guān)服務(wù)支撐或安全設(shè)計方案變更時，存在服務(wù)斷供風險，導致后續(xù)階段任務(wù)不能按時執(zhí)行交付，信息系統(tǒng)不能正常上線運行將嚴重影響鐵路正常運營。

2.3.2 惡意篡改

惡意篡改是指不法分子通過網(wǎng)絡(luò)安全技術(shù)手段故意改變系統(tǒng)的原有功能或植入安全漏洞的不法行為，這種篡改行為經(jīng)常發(fā)生在系統(tǒng)供應(yīng)和運維服務(wù)階段。在信息系統(tǒng)供應(yīng)鏈的全生命周期中，篡改植入會采用多種方式，包括人為攻擊、植入木馬或程序、修改信息數(shù)據(jù)等，其目的是干擾系統(tǒng)產(chǎn)品的正常功能實現(xiàn)，對系統(tǒng)產(chǎn)品的功能造成損害或竊取相關(guān)數(shù)據(jù)[9]。

2.3.3 違規(guī)操作

違規(guī)操作威脅主要來自各級供應(yīng)商的內(nèi)部人員，在系統(tǒng)供應(yīng)鏈的全生命周期的各個階段都可能發(fā)生。違規(guī)操作可分為過失和故意2 種情況[10]；其中，過失是指由于技能不熟練、錯誤操作或疏忽大意導致流程上的缺失；而故意操作則是指帶有主觀惡意的行為，包括違規(guī)違法地對信息系統(tǒng)進行配置和程序變更、訪問和收集產(chǎn)品數(shù)據(jù)、降低測試驗收標準、改動運維數(shù)據(jù)等操作。

2.3.4 信息泄露

信息泄露主要發(fā)生在系統(tǒng)產(chǎn)品的開發(fā)和生產(chǎn)供應(yīng)階段，信息主要涉及到業(yè)務(wù)數(shù)據(jù)、用戶信息、設(shè)計參數(shù)、日志信息、采購生產(chǎn)信息、運維數(shù)據(jù)等重要信息，由于網(wǎng)絡(luò)安全管理范圍受限和能力不足，致使有意或無意的信息泄露，均會給鐵路企業(yè)帶來嚴重的安全風險隱患。

3 鐵路信息系統(tǒng)供應(yīng)鏈安全風險管理對策

對鐵路信息系統(tǒng)供應(yīng)鏈中存在的問題和風險隱患若不加以有效管控，將會導致鐵路相關(guān)業(yè)務(wù)中斷、網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失，嚴重影響鐵路正常生產(chǎn)和經(jīng)營活動，甚至給鐵路運輸安全帶來重大威脅。為增強鐵路信息系統(tǒng)供應(yīng)鏈的韌性，應(yīng)制定全面并持續(xù)完善的風險管理機制。為了減少風險對供應(yīng)鏈構(gòu)成的威脅與損失，應(yīng)建立合理的供應(yīng)商管理機制、風險防范預(yù)警機制，對信息系統(tǒng)供應(yīng)鏈運營中可能出現(xiàn)的風險進行分析和識別，并采取防范和應(yīng)急處置措施，最大限度的減少風險造成的損失，建立涵蓋信息系統(tǒng)設(shè)計、開發(fā)、交付、運維的全流程供應(yīng)鏈安全管理體系，持續(xù)提升鐵路企業(yè)風險防范能力，為鐵路信息系統(tǒng)供應(yīng)鏈自主可控和穩(wěn)定安全打下堅實基礎(chǔ)。

3.1 建立鐵路企業(yè)信息系統(tǒng)供應(yīng)鏈安全管理機制

（1）制定安全管理規(guī)范

鐵路企業(yè)依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)要求，明確制定鐵路信息系統(tǒng)供應(yīng)鏈安全風險管理相關(guān)規(guī)范，落實鐵路信息系統(tǒng)供應(yīng)鏈安全管理要求[11]，實施規(guī)范化鐵路信息系統(tǒng)全生命周期供應(yīng)鏈安全風險管理，對系統(tǒng)開發(fā)、交付、使用、運維各階段的風險進行嚴格的合規(guī)性管控，系統(tǒng)供應(yīng)鏈管理全流程如圖4 所示。

圖4 鐵路信息系統(tǒng)供應(yīng)鏈管理全流程示意

信息系統(tǒng)供應(yīng)鏈安全管理涉及信息系統(tǒng)供應(yīng)鏈全生命周期各個階段相關(guān)參與方及其所提供的產(chǎn)品與服務(wù)諸構(gòu)成要素。信息系統(tǒng)供應(yīng)鏈安全風險管理應(yīng)涵蓋系統(tǒng)協(xié)議過程、生產(chǎn)過程、交付過程、獲取過程、維護過程、使用過程和廢止過程全流程風險管理。

（2）明確安全管理責任

建立鐵路信息系統(tǒng)供應(yīng)鏈安全風險管理組織架構(gòu)，明確各層級的管理責任和具體職責要求，做到權(quán)責分明，清晰落實責任。各信息系統(tǒng)主要負責人負責本系統(tǒng)供應(yīng)鏈安全風險管理，系統(tǒng)安全責任人為主要執(zhí)行責任人，對管理工作負主要責任，涉及系統(tǒng)采購、開發(fā)和其它技術(shù)人員負直接責任[12]，具體如圖5 所示。

圖5 管理責任組織架構(gòu)示意

（3）健全風險管理機制

定期開展鐵路信息系統(tǒng)供應(yīng)鏈安全風險識別[13]，收集和梳理供應(yīng)鏈管理機構(gòu)、流程環(huán)節(jié)、供應(yīng)商等多維度信息，系統(tǒng)分析風險源、風險原因、風險事件，識別可能對目標產(chǎn)生重大影響的狀況，構(gòu)建鐵路信息系統(tǒng)供應(yīng)鏈安全風險庫。結(jié)合項目管理全流程，構(gòu)建從規(guī)劃設(shè)計、采購供應(yīng)、交付運維、外包服務(wù)等供應(yīng)鏈管理全生命周期的風險數(shù)據(jù)庫，定期更新。開展風險評估，建立風險處置應(yīng)急響應(yīng)機制。依據(jù)信息系統(tǒng)供應(yīng)鏈風險發(fā)生概率和影響后果，定量評估供應(yīng)鏈安全風險；對風險進行分類分級管理，按照不同風險級別采取針對性風險防范措施；制定風險處置應(yīng)急預(yù)案，強化應(yīng)急響應(yīng)機制，持續(xù)開展鐵路信息系統(tǒng)供應(yīng)鏈風險監(jiān)管。

（4）強化培訓和檢查

提高各級信息安全管理人員針對信息系統(tǒng)供應(yīng)鏈的安全管理意識，強化信息系統(tǒng)供應(yīng)鏈安全管理業(yè)務(wù)知識和技能的教育培訓；對涉及到第三方供應(yīng)商的安全管理責任人、關(guān)鍵崗位人員和相關(guān)從業(yè)人員開展安全培訓、日常培訓及崗前培訓；定期開展信息系統(tǒng)供應(yīng)鏈情況檢查，對發(fā)現(xiàn)問題及時整改，接受有關(guān)部門的監(jiān)督、檢查、指導。

3.2 持續(xù)完善供應(yīng)商管理

（1）完善供應(yīng)商管理要求

通過建立產(chǎn)品和服務(wù)供應(yīng)鏈圖譜，掌握供應(yīng)鏈產(chǎn)品或服務(wù)名稱、主要負責人及供應(yīng)商聯(lián)系人、核心技術(shù)或組件等情況，制定供應(yīng)商管理要求，具體如圖6 所示。

圖6 供應(yīng)商安全管理要求

明確供應(yīng)商管理要求，其中包括供應(yīng)商安全管理規(guī)范及標準建立、供應(yīng)商安全準入機制管理、網(wǎng)絡(luò)安全監(jiān)督檢查、簽署安全保密協(xié)議、提供開源產(chǎn)品清單、遠程接入訪問管理和具備軟件安全審計能力等；定期組織監(jiān)督檢查，對關(guān)鍵產(chǎn)品和服務(wù)商實行篩選，確保供應(yīng)商的選擇符合國家和國鐵集團有關(guān)規(guī)定。

（2）制定供應(yīng)商安全保護策略

涉及鐵路核心業(yè)務(wù)、核心能力建設(shè)、核心系統(tǒng)及關(guān)鍵技術(shù)，以及風險管控存在明顯隱患的服務(wù)不宜外包；向供應(yīng)商提供鐵路內(nèi)部資料時，應(yīng)制定安全保護策略，嚴格管控鐵路內(nèi)部文檔的拷貝、傳輸、保存；在選擇供應(yīng)鏈產(chǎn)品、服務(wù)和供應(yīng)商時，應(yīng)使用多個供應(yīng)來源，考慮提高供應(yīng)鏈各構(gòu)成要素可用性，避免受到供應(yīng)鏈斷供影響；定期開展對供應(yīng)鏈來源審核和驗證，開展安全風險自審或引入第三方審計。

（3）嚴格產(chǎn)品與服務(wù)采購審查

合格供應(yīng)鏈產(chǎn)品采購時，應(yīng)嚴格履行網(wǎng)絡(luò)安全審查申報工作制度，判定所采購的相關(guān)產(chǎn)品是否影響到國家安全；對于影響國家安全的產(chǎn)品采購，須按照網(wǎng)絡(luò)安全審查管理規(guī)定，提交國家有關(guān)部門進行網(wǎng)絡(luò)安全審查，對提交的審查材料進行嚴格把關(guān)；采購國家名錄中符合要求的產(chǎn)品，經(jīng)過審查通過后方可開展采購工作，保證鐵路企業(yè)所采購的產(chǎn)品與服務(wù)安全可信。

（4）強化供應(yīng)商相關(guān)人員管理

對供應(yīng)商相關(guān)人員（包括建設(shè)、開發(fā)、運維等人員）采取必要的監(jiān)管措施；加強對供應(yīng)商相關(guān)人員進行背景審查，杜絕用人風險；在供應(yīng)商相關(guān)人員開始服務(wù)前，應(yīng)與其簽訂保密承諾書，并在服務(wù)過程中或服務(wù)結(jié)束前對其進行保密檢查；對開發(fā)人員、設(shè)計師、測試人員、產(chǎn)品集成人員、運維服務(wù)人員等，結(jié)合其工作任務(wù)特點，開展安全意識、安全責任、安全策略與管理制度方面的培訓和宣貫，防止相關(guān)人員因工作疏忽導致安全隱患。

3.3 強化軟件產(chǎn)品及服務(wù)安全管理

（1）建立軟件安全開發(fā)生命周期管理流程

為最大程度地減少軟件漏洞導致的安全隱患，建立軟件產(chǎn)品安全開發(fā)生命周期（SDL，Security Development Lifecycle）管理流程，在軟件需求分析、設(shè)計、編碼、測試和維護階段開展相應(yīng)的安全管理活動，梳理形成軟件產(chǎn)品及服務(wù)清單、軟件產(chǎn)品及服務(wù)供應(yīng)商清單、風險清單；明確系統(tǒng)補丁、漏洞修復(fù)管理措施，實行鐵路信息系統(tǒng)升級的集中監(jiān)測；增強自主研發(fā)能力，逐步實現(xiàn)鐵路信息系統(tǒng)自主可控，避免斷供風險。

（2）實行關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的源代碼安全審計

依據(jù)國家源代碼安全審計相關(guān)標準及鐵路相關(guān)文件要求，加強對鐵路信息系統(tǒng)特別是委托第三方開發(fā)的系統(tǒng)軟件源代碼管理及審計工作，審計內(nèi)容要深入，從軟件安全功能缺陷、數(shù)據(jù)加密與保護、訪問控制、日志安全、源代碼實現(xiàn)安全、資源使用安全等方面，具體到弱口令、跨站、注入、函數(shù)調(diào)用、重定向、明文存儲傳輸、身份繞過、目錄遍歷、編譯環(huán)境安全、資源釋放、后門、木馬程序等具體的安全問題，均需通過自測或委托第三方開展深入的代碼審計，可采用人工加工具方式開展。

3.4 建立鐵路信息系統(tǒng)供應(yīng)鏈風險預(yù)警系統(tǒng)

（1）研究開發(fā)供應(yīng)鏈安全風險預(yù)警系統(tǒng)

研究開發(fā)鐵路信息系統(tǒng)供應(yīng)鏈關(guān)鍵信息自動采集、建模和安全風險分析等技術(shù)，建立鐵路信息系統(tǒng)供應(yīng)鏈安全風險預(yù)警系統(tǒng)[14]；通過供應(yīng)鏈網(wǎng)絡(luò)建模與畫像，繪制產(chǎn)品和服務(wù)供應(yīng)鏈圖譜，監(jiān)測供應(yīng)鏈網(wǎng)絡(luò)涉及的行業(yè)市場現(xiàn)狀及供方相關(guān)風險事件，如產(chǎn)能波動、價格上漲、供應(yīng)鏈涉訴涉罰、木馬漏洞、產(chǎn)品缺陷、供應(yīng)鏈斷供等，形成識別、防范、監(jiān)測、評估供應(yīng)鏈安全風險的綜合能力。

（2）建立常態(tài)化供應(yīng)鏈安全監(jiān)管機制

依托供鐵路信息系統(tǒng)應(yīng)鏈安全風險預(yù)警系統(tǒng)，建立常態(tài)化的鐵路信息系統(tǒng)供應(yīng)鏈安全監(jiān)管機制，利用該系統(tǒng)提供的信息，針對鐵路關(guān)鍵信息基礎(chǔ)設(shè)施和重要產(chǎn)品、服務(wù)等開展風險預(yù)警通報，形成覆蓋鐵路信息系統(tǒng)供應(yīng)鏈全環(huán)節(jié)、多層次的整體安全防護體系。

4 結(jié)束語

從新形勢下鐵路信息系統(tǒng)供應(yīng)鏈安全風險管理需求出發(fā)，結(jié)合鐵路信息系統(tǒng)供應(yīng)鏈特點及供應(yīng)鏈管理現(xiàn)狀，對供應(yīng)鏈管理過程面臨的威脅和風險展開分析，從鐵路企業(yè)供應(yīng)鏈安全管理機制、供應(yīng)商管理、軟件產(chǎn)品及服務(wù)安全管理、風險監(jiān)測預(yù)警4個方面，提出應(yīng)對鐵路信息系統(tǒng)供應(yīng)鏈安全風險的管理對策，構(gòu)建系統(tǒng)化、常態(tài)化的鐵路信息系統(tǒng)供應(yīng)鏈安全管理機制，全面提升鐵路系統(tǒng)供應(yīng)鏈安全風險管控和防御能力，保障鐵路企業(yè)信息系統(tǒng)長期安全穩(wěn)定運行，推動鐵路信息化高質(zhì)量發(fā)展。

近年來，鐵路信息系統(tǒng)供應(yīng)鏈安全事件時有發(fā)生，供應(yīng)鏈安全管理的重要性日益凸顯。國鐵集團已啟動鐵路信息系統(tǒng)供應(yīng)鏈安全管理工作，但重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施尚缺少有效的供應(yīng)鏈安全風險評估手段，下一步將嘗試開展鐵路信息系統(tǒng)供應(yīng)鏈安全風險評估試點工作，為今后全面實施供應(yīng)鏈安全風險評估積累經(jīng)驗。