ICT供应链安全风险管理政策标准化综述及分析

来源：核心期刊咨询网时间：12

摘要：摘要：信息通信技术(ICT)的提供方和运营者，其ICT供应链具有的风险和脆弱性事关国家的网络安全。文章对国内外ICT供应链安全风险管理监管政策进行了分析，同时跟踪探讨了当前主流技术标准的发展情况，针对目前在金融行业的实践，尝试提出了一些建议，为今后深

　　摘要：信息通信技术(ICT)的提供方和运营者，其ICT供应链具有的风险和脆弱性事关国家的网络安全。文章对国内外ICT供应链安全风险管理监管政策进行了分析，同时跟踪探讨了当前主流技术标准的发展情况，针对目前在金融行业的实践，尝试提出了一些建议，为今后深入研究金融行业ICT供应链风险管理和风险评估技术提供了依据。

　　关键词：ICT供应链;风险管理;综述

　　《无线互联科技》是由国家新闻出版总署批准，江苏省科学技术厅主管，江苏省科技情报所主办的大型科技月刊，是中国核心期刊(遴选)期刊、江苏省优秀期刊。

　　1 引言

　　在ICT采购全球化的趋势下，信息通信技术(Information and Communications Technology，ICT)供应链安全是一个影响范围极大的全球性问题。ICT供应链安全与国家安全间的关系愈发密切，在全球范围内，美国、欧盟、中国等国家先后将ICT供应链安全置于国家安全战略层面来研究[1]。

　　然而，ICT供应链的安全性需要综合考虑供应商多样性、产品服务复杂性、全生命周期覆盖性三个维度的特性。任何一个维度的任一环节出现问题，都可能造成ICT产品、系统或服务不安全，进而导致ICT供应链安全风险。因此，与传统领域的实体供应链相比，ICT供应链面临的安全风险更为复杂多变，更为多样化[2]。

　　欧美发达国家在ICT供应链领域起步早。例如，美国政府问责局(Government Accountability Office，GAO)2012年发布报告对ICT供应链安全风险及其脆弱性进行了定义。报告认为，通过ICT供应链实施网络产品和服务采购具有自身的脆弱性，包括经由独立的分销商、经纪人或灰色市场进行信息技术产品或组件的采购，ICT供应链缺乏充分的软件更新和补丁测试，供应商信息不完整，使用不安全的供应和存储机制等[3]。

　　我国近年来高度重视网络安全，陆续发布了针对关键基础设施安全，以及ICT供应链安全的相关政策法规和技术标准。各国技术专家充分重视到ICT供应链安全对关键基础设施的影响，积极开发技术管理规范和标准。本文跟踪了各国在该领域的标准化发展形势，并针对目前ICT供应链安全风险管理标准化的现状进行了分析和综述。从技术角度分析，目前ICT供应链标准的发展，有助于识别组织ICT供应链条上的厂商及消费者对产品和服务的安全性技术差距，推动建立安全可信的ICT供应链体系有着非常重要的意义。

　　2 国内外ICT供应链安全风险管理政策分析

　　2.1 美国

　　从2000年起，为保障供应链的安全，美国国家安全系统委员会发布《国家信息安全保障采购政策》;布什政府于2002年起草国家信息安全战略，开始重视供应链与信息安全风险的关系;2006年，美国国家科技委员会发布了《联邦网络安全和信息保障研究计划》;2008年，美国发布国家网络安全综合计划(CNCI)，强调建立全方位措施以进行全球供应链风险管理，将ICT供应链安全问题上升到国家威胁和国家对抗的层面;2009年，奥巴马政府时期发布《美国网络安全空间安全政策评估报告》，将ICT供应链安全纳入国家安全范畴;2016年，奥巴马总统直属的美国国家网络安全促进委员会发布了《加强国家网络安全——促进数字经济的安全与发展》报告，第9条强调了供应链安全的重要性;2017年，美国国土安全部提出了新供应链风险管理计划持续诊断与缓解项目CDM，该项目重视物理安全，且旨在通过产品、服务等认证认可的方式强化供应链安全[2]。

　　2.2 欧盟

　　欧盟委员会(European Commission)在2005年提出了在信息通信和服务工作中，要特别重视供应链中各利益相关方对可信、可靠的保密的要求。欧盟内部通过制定通用的供应链产品和服务安全要求的方式，加强供应链安全管理，强化市场手段和企业力量的利用。2012年，欧盟出台了《云计算合同安全服务水平监测指南》，针对云计算服务这一新技术新应用，通过检测、核查等技术手段加强云计算合同的安全管理。欧洲ENISA在2015年发布了关于ICT供应链完整性的报告《综述ICT供应链的风险、挑战及未来展望》[4]，ICT 供应链完整性是国家经济发展的关键因素，提高供应链完整度对公共和私营部门意义重大。

　　欧洲议会2016 年通过了《网络与信息安全指令》[5]，提出了供应链安全管理方面统一的安全保障要求，指令旨在监督成员国在欧盟范围内建立有效的信息共享和统一的网络安全协作机制，增强抵御网络攻击的能力，维护网络空间的稳定性，保障和提升消费者对网络服务的信心及信任。

　　2.3 中国

　　与发达国家相比，我国面临的互联网技术的高速发展，ICT供应链安全形势十分严峻。一方面，来自国外的互联网攻击与日俱增;另一方面，我们国家的关键基础设施比较落后，自主可控的安全保障能力不足。2016年12月27日，国家互联网信息办公室发布《国家网络空间安全战略》，其中提到“保护关键基础設施建立实施网络安全审查制度，加强供应链安全管理”，为实施我国ICT供应链安全管理奠定了政策基础。2017年6月1日，《中华人民共和国网络安全法》正式实施，明确了包括网络产品和服务在内的ICT产业应朝着安全可信的方向发展。同时，为保障国家安全，关键信息基础设施运营者应当在采购等环节落实国家网络安全审查政策，将供应链的安全性和可控性作为采购环节的重要参考点，满足网络产品和服务安全可信的需求，提高信息通信产业安全可控水平。

　　另外，值得一提的是，国内知名安全厂商，如华为，每年发布网络安全白皮书，2016年提出“在全球ICT供应链中强化信任”[6]。通过推动建设全球供应链网络安全技术标准，传递信任，构建从端到端、可信赖的全球网络安全保障体系。

　　3 国内外ICT供应链标准化的研究分析

　　3.1 NIST美国标准技术研究院

　　(1)NISTIR 7622[7]

　　NISTIR 7622为美国国家标准与技术研究院(NIST)的网络供应链风险管理实践指南。NIST的Jon Boyens等人分别于2010年和2012年出版了两个版本的NISTIR 7622，旨在为联邦政府和机构提供一套可重复的、商业上合理的供应链保证方法和实践，提供一种在当时整个信息通信技术供应链中获得更高层次的理解、可见性、可追溯性和控制的方法;旨在提高在整个ICT系统、产品和服务的生命周期中战略性地管理相关信息和通信技术(ICT)供应链风险的能力。

　　NISTIR 7622属于拟定的机构间的报告(IR)，具有一定的实践意义，但它并不提供具体的合同语言、威胁评估、完整的供应链安全保障方法或技术来降低供应链风险，而是可执行的实例。建议将这些实践用于(FIPS)199[8]高影响级别的信息系统，ICT供应链风险管理应该明确嵌入到采购进程中来分析潜在的供应链风险、实施额外的安全控制和供应链管理实践。其基本思想是，重要信息系统及其组件将面临攻击者带来的越来越大的供应链攻击风险。这是因为技术更加复杂，而信息系统基础设施、供应商和攻击者的快速全球化，加大了这种风险。该标准支持了NIST SP 800-53修订版4中扩大的ICT SCRM实践集。

　　(2)NIST SP800-161[9]

　　在NISTIR 7622工作的基础上， NIST于2013年发布《联邦信息系统和组织的供应链风险管理实践指导草案》，美国标准技术研究院于2015年正式发布了NIST SP800-161《联邦信息系统供应链风险管理实践标准》，为联邦机构提供关于识别、评估、选择和实施风险管理流程的指导，并在其整個组织中减轻控制，以帮助管理ICT供应链风险。

　　NIST SP800-161标准也就是常说的ICT SCRM标准，ICT SCRM包括系统开发生命周期中的研究和开发活动，包括组织的ICT产品(软硬件)和服务的设计、制造、采购、交付、集成、运营和处置，关注ICT SCRM的四大支柱—安全性、完整性、弹性和质量的相关重叠部分来实施风险管理。基于已有的风险管理标准和成功经验，既包括国际标准，还包括质量管理、可靠性计划以及供应商管理等全面的控制流程，主要实践如表1所示。

　　3.2 ISO国际标准化组织

　　(1)ISO 28000系列标准

　　2007年，ISO28000供应链安全管理体系系列标准由公开提供的规格升级为完善的国际标准，有助于减低供应链内人员及货物的风险。这些标准解决了供应过程中所有阶段的潜在安全问题，从而针对恐怖主义、欺诈和海盗等威胁。ISO 28000是一个通用的管理规范，用于配合维护国际贸易安全畅通的各种国际倡议，包括安全风险评估和计划、有效实施和运行、检查和纠正措施及管理评审。同ISO 9001和ISO14001类似，即要求组织机构在识别环境风险后，制定相应的目标、指标和计划，把其运作带来的环境影响最小化[10]。除了ISO28000标准外，还有配套实施系列标准，如表2所示。

　　(2)ISO/IEC 27005标准

　　ISO/IEC27005 是ISO/IEC 27000 标准族中非常重要的信息安全风险管理方法论的标准。在ISO/IEC 27000 标准族中，ISO/IEC 27001 和ISO/IEC 27002 也对其进行了引用。例如，ISO/IEC 27002：2013 的 0.2 中指出，ISO/IEC 27005 提供了信息安全风险管理指南。此外，ISO/IEC 27034-1、ISO/IEC27034-3、ISO/IEC 27033-1 和ISO/IEC 27040 等标准中都引用了ISO/IEC 27005 来规范信息安全风险管理的过程[11]。

　　(3)ISO/IEC 27036标准体系

　　ISO/IEC27036是ISO/IE27000标准族中专门关注供应关系信息安全的标准，本质是应用系统和软件工程架构的关于供应商关系管理的信息安全要求和指南[12]。

　　ISO/IEC 27036 标准体系由多个标准集合而成，用于评价和处理供应商在提供服务或产品过程中可能面临的信息安全风险，如表3所示。

　　(4)ISO/IEC 20243

　　ISO/IEC 20243-2015信息技术 开放可信技术供应商标准(O-TTPS) 减轻恶意污染和假冒产品标准(以下简称ISO/IEC 20243)，是2015年国际标准化组织(ISO)和国际电工委(IEC)联合发布的。这个标准的重要性在于提出保障商用现货(COTS)信息通信技术(ICT)产品在生命周期内完整性、安全性的最佳实践和技术要求，是针对ICT软硬件产品供应商在技术研发及供应链过程安全的第一项国际标准。2018年进行了修订，最大的变化是由原来的一个标准派生出了两个标准，具体如表4所示。

　　3.3 国内标准化委员会相关工作研究

　　2012年的国家标准编制项目，名为“信息安全技术ICT供应链安全风险管理指南”正式立项，依据GB/T 31722《信息技术 安全技术 信息安全风险管理》的指导，调研了国内外技术标准的成果，针对ICT供应链的特点，细化ICT供应链安全风险管理的过程和控制措施。2018年10月GB/T 36637-2018 《信息安全技术 ICT供应链安全风险管理指南》正式发布，适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理，也适用于指导ICT产品和服务的供方和需方加强供应链安全管理，同时还供第三方测评机构对ICT供应链进行安全风险评估时参考。

转载请注明来自：http://www.qikan2017.com/lunwen/dzi/14968.html