董坤祥 謝宗曉

（南開大學(xué)商學(xué)院）

ICT供應(yīng)鏈風險管理標準NIST SP800-161探析

專欄

信息安全管理系列之十

隨著ICT產(chǎn)品和服務(wù)的普及和ICT供應(yīng)鏈的全球化，ICT供應(yīng)鏈系統(tǒng)的機密性、完整性和可用性面臨著偽造、攻擊等蓄意破壞和信息安全的威脅。NIST SP800-161標準雖然尚未正式發(fā)布，但是作為NIST SP800標準族的系列標準，我們認為該標準草案的發(fā)布能夠有效解決目前ICT供應(yīng)鏈風險管理實踐中所面臨的瓶頸。因此，本文對ICT供應(yīng)鏈風險管理標準NIST SP800-161的內(nèi)容進行初步介紹，期望對我國ICT供應(yīng)鏈風險的管理提供指導(dǎo)。

謝宗曉（特約編輯）

董坤祥 謝宗曉

（南開大學(xué)商學(xué)院）

本文分析了美國聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風險管理實踐指導(dǎo)草案，并從ICT供應(yīng)鏈風險管理的目標、應(yīng)用范圍、制定背景、實踐和標準形成五個方面探討了NIST SP 800-161的主要內(nèi)容。最后提出了ICT供應(yīng)鏈風險管理標準在新背景下需完善的幾個方面。

信息安全 ICT供應(yīng)鏈 風險管理 NIST SP800-161

1 ICT供應(yīng)鏈風險管理標準介紹

ICT（Information Communications Technology）包括可存儲、檢索、修改、傳輸和接受任何形式電子信息的產(chǎn)品和服務(wù)，例如，個人電腦、手機、電子郵件等。ICT供應(yīng)鏈拙劣的制造和開發(fā)流程容易導(dǎo)致ICT產(chǎn)品和服務(wù)受到偽造、攻擊等蓄意破壞。這些風險降低了ICT技術(shù)應(yīng)用、整合和部署的可見、認知和控制，降低了供應(yīng)鏈系統(tǒng)完整、安全、可靠，以及產(chǎn)品和服務(wù)的質(zhì)量。因此，明確ICT供應(yīng)鏈的風險有助于明確保證產(chǎn)品或服務(wù)整合、安全、可靠、質(zhì)量的實施進程、流程與實踐。為了使組織在組織內(nèi)部所有層面上能夠?qū)CT供應(yīng)鏈風險安全進行識別、評估和緩解，美國國家標準與技術(shù)研究院（NIST）于2013年發(fā)布了美國聯(lián)邦機構(gòu)的ICT供應(yīng)鏈風險管理（SCRM）標準草案——NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風險管理實踐指導(dǎo)草案》。通過層級式、ICT供應(yīng)鏈風險具體路徑、供應(yīng)鏈風險管理指導(dǎo)標準以及其他緩解活動，將ICT供應(yīng)鏈風險管理整合到美國聯(lián)邦風險管理體系中，并形成ICT供應(yīng)鏈風險管理標準NIST SP800-161。該標準對制定我國相關(guān)ICT供應(yīng)鏈風險管理標準有重要的借鑒意義。

根據(jù)NIST SP800-161標準解釋，ICT供應(yīng)鏈風險管理是指在ICT產(chǎn)品和服務(wù)供應(yīng)鏈全球化分布下識別、評估和減少ICT供應(yīng)鏈風險。ICT供應(yīng)鏈風險包括：喪失信息系統(tǒng)的機密性、完整性和可用性，以及對組織運營、組織財產(chǎn)、個人、其他組織和國家等帶來的負面影響。1）該定義結(jié)合了美國聯(lián)邦信息處理標準（FIPS 200）對風險管理的定義。

2 ICT SCRM標準的目標

隨著ICT產(chǎn)品和服務(wù)的普及，以及ICT供應(yīng)鏈的全球化，組織機構(gòu)面臨系統(tǒng)的機密性、完整性和可用性或信息系統(tǒng)內(nèi)部信息安全處理、存儲和傳遞的威脅。因此，美國聯(lián)邦組織機構(gòu)需要相關(guān)指導(dǎo)標準來幫助其管理ICT供應(yīng)鏈風險。NIST SP800-161標準制定的目的就是優(yōu)化美國聯(lián)邦組織機構(gòu)識別、評估、選擇、實施風險管理流程，并減少組織控制，幫助組織機構(gòu)管理ICT供應(yīng)鏈風險。通過實施NIST SP800-161標準，組織能夠建立適當?shù)恼吆土鞒炭刂撇⒐芾鞩CT供應(yīng)鏈風險。

3 ICT SCRM標準的應(yīng)用范圍

ICT供應(yīng)鏈風險管理是組織層面的活動，應(yīng)直接在整個組織架構(gòu)下進行治理，所以該標準的應(yīng)用范圍是整個組織，包括組織的形式、結(jié)構(gòu)，組織的人、財、物和信息等。ICT供應(yīng)鏈風險管理應(yīng)由風險管理部門牽頭，整個組織內(nèi)不同角色的個體共同實施。NIST SP800-161標準要求個人參與ICT組件和系統(tǒng)的設(shè)計、開發(fā)、調(diào)試、部署、探測、維護和更換。因此，個人應(yīng)關(guān)注ICT供應(yīng)鏈的信息技術(shù)、信息安全、風險管理、流程控制、合法性、最終用戶以及其他事項。雖然，NIST SP800-161標準制定的目的是為美國聯(lián)邦組織機構(gòu)提供管理ICT供應(yīng)鏈風險的標準。但是，該標準也為其他組織和企業(yè)實施ICT 供應(yīng)鏈風險管理提供了很好的實踐標桿。

4 ICT SCRM標準制定的背景

ICT供應(yīng)鏈風險管理產(chǎn)生的背景是：（1）組織生命周期過程中每個環(huán)節(jié)都存在信息安全及風險；（2）供應(yīng)鏈成員之間關(guān)系的交互所產(chǎn)生的信息安全與風險。ICT SCRM的生命周期包括ICT產(chǎn)品和服務(wù)的研發(fā)、設(shè)計、制造、采購、交付、整合、運行和處理，且ICT SCRM的實施涉及ICT產(chǎn)品的安全、整合、彈性和質(zhì)量，如圖1所示。

圖1 ICT SCRM的4個方面

由美國聯(lián)邦組織機構(gòu)、供應(yīng)商、服務(wù)提供商、系統(tǒng)集成商以及其他相關(guān)利益者構(gòu)成的供應(yīng)鏈成員關(guān)系，在其交互過程中容易產(chǎn)生信息安全與風險。美國聯(lián)邦機構(gòu)從ICT供應(yīng)商處獲得ICT產(chǎn)品和服務(wù)用于布置組織的信息系統(tǒng)。同時，美國聯(lián)邦機構(gòu)也需要通過外包的形式將部分功能分包給系統(tǒng)集成商和服務(wù)提供商，以減少運行成本或者獲得更好的服務(wù)水平。此外，構(gòu)建信息系統(tǒng)的軟件和硬件也均是由第三方供應(yīng)商提供。但是，外包往往造成信息安全問題的產(chǎn)生，諸如盜竊、惡意接入等。因此，ICT供應(yīng)鏈風險管理過程不僅要把控各個相關(guān)利益者，還應(yīng)對ICT供應(yīng)鏈中的硬件、軟件和流程整合，即組織邊界及組織環(huán)境內(nèi)系統(tǒng)的研發(fā)、制造、測試、部署、維護、更新和關(guān)系的維持與控制。圖2描述了美國聯(lián)邦機構(gòu)ICT供應(yīng)鏈的多層級結(jié)構(gòu)的整合。

圖2 美國聯(lián)邦機構(gòu)與系統(tǒng)集成商、供應(yīng)商和外部服務(wù)商之間的關(guān)系

圖2還顯示，ICT供應(yīng)鏈中風險不僅與組織在不同層級的可觀察性、認知和控制有關(guān)，還與供應(yīng)商、系統(tǒng)集成商和外部服務(wù)提供商之間存在復(fù)雜的關(guān)系。外部服務(wù)提供商以合約的形式代替美國聯(lián)邦機構(gòu)運營其信息系統(tǒng)。在這種合約關(guān)系中，美國聯(lián)邦機構(gòu)因?qū)⒉糠止δ芡獍档土顺杀?，同時，因部分功能承包給第三方服務(wù)商使得系統(tǒng)的安全性降低。因此，美國聯(lián)邦機構(gòu)應(yīng)權(quán)衡信息安全和成本，并嚴格控制整個實施的流程，確保信息安全。ICT產(chǎn)品通常也是以契約的形式直接采購于ICT供應(yīng)商，然而，ICT供應(yīng)商生產(chǎn)的產(chǎn)品具有國際適用性，而不是針對顧客的獨特需求。這就意味著，美國聯(lián)邦機構(gòu)應(yīng)與ICT供應(yīng)商建立特殊關(guān)系以保證產(chǎn)品的特殊性，保證ICT SCRM的實施過程和控制。

雖然，ICT供應(yīng)鏈管理風險可通過管理實踐獲得，但是這種獲取形式具有滯后性，而ICT供應(yīng)鏈實施流程分析方法則可以對每個環(huán)節(jié)進行風險識別，從而可以全面了解ICT供應(yīng)鏈面臨的風險。圖3描述了在ICT供應(yīng)鏈實施過程中如何識別潛在的漏洞及其影響。

圖3 ICT供應(yīng)鏈風險

首先，識別分析ICT產(chǎn)品和ICT供應(yīng)鏈潛在的威脅和脆弱性，包括敵對威脅和非敵對威脅、外部脆弱性和內(nèi)部脆弱性；其次，通過歷史案例分析法和統(tǒng)計方法，分析可能出現(xiàn)威脅和脆弱性的目的、意圖和影響；最后，評估不同風險對商業(yè)流程或功能的危害程度，從而識別真正的風險。

5 ICT SCRM標準的實踐

ICT SCRM標準基于已有的風險管理標準和成功實踐，這些管理實踐均包含在NIST的標準體系以及其他國際標準體系中，包括：組織實施ICT SCRM的成本及約束流程，將信息安全標準整合入采購流程，使用已有安全標準作為安全要求，確保軟件質(zhì)量及其控制流程的魯棒性，構(gòu)建多元關(guān)鍵系統(tǒng)的配送路徑等。具體的ICT SCRM標準的實踐有：

（1）根據(jù)NIST SP800-39標準和NIST SP800-30標準構(gòu)建風險管理的層次、流程，以及橫跨組織層面的風險評估流程。

（2）將ICT SCRM要求與組織政策整合，根據(jù)FIPS199標準（美國聯(lián)邦信息和信息系統(tǒng)安全分類標準）定義組織治理結(jié)構(gòu)，并構(gòu)建可持續(xù)、易記錄、可重復(fù)檢驗的風險評估流程。

（3）實施全面質(zhì)量管理和可靠性流程，即組織和相關(guān)者全部參與到ICT產(chǎn)品和服務(wù)的質(zhì)量管理中，確保服務(wù)水平和信息安全。

（4）采納NIST SP800-53標準體系中合適且具有彈性的信息安全控制標準集合，構(gòu)建內(nèi)部檢查、外部審查的均衡質(zhì)量和信息安全管理體系。

（5）通過知識學(xué)習(xí)、共享等方法，識別、應(yīng)對并減少安全威脅。

6 ICT SCRM標準的形成

NIST SP800-161標準基于現(xiàn)有的USIF2）USIF（Unified Information Security Framework）是美國國防部、美國情報局和美國安全局共同完成的信息安全框架，包括NIST SP800-39、NIST SP800-30、NIST SP800-53、NIST SP800-53A、NIST SP800-37。標準體系和NIST標準的概念，這些標準相互補充，構(gòu)建了合理的信息安全流程，保護組織運營和財產(chǎn)安全，抵抗外部威脅。NIST SP800-161標準是通過以下標準整合而來：

（1）將NIST SP800-39的風險管理層級和風險管理流程整合入ICT SCRM。首先，明確風險管理的層級和方式；然后，對ICT SCRM的所有活動進行描述；最后，將風險管理的流程和控制嵌入到風險管理的組織的層級結(jié)構(gòu)中，并與組織系統(tǒng)的發(fā)展生命周期和組織環(huán)境進行整合。

（2）將NIST SP800-30的風險管理流程整合入ICT SCRM。

（3）使用NIST FIPS199的關(guān)鍵分析來審查ICT SCRM活動，以分析有較大影響的對象和系統(tǒng)。

（4）將NIST SP800-53提供的信息安全控制標準以及其他協(xié)議簇融入ICT SCRM的背景。如圖4所示，標準形成過程中還形成了加強的協(xié)議簇。這些增加的控制僅與ICT SCRM相關(guān)，并解釋了如何應(yīng)用于ICT SCRM。

圖4 NIST SP800-161標準ICT SCRM的安全控制

（5）將NIST SP800-53A的評價技術(shù)應(yīng)用于ICT SCRM的控制。

此外，NIST SP800-161標準還借鑒了其他出版物的內(nèi)容，例如美國國防大學(xué)出版的《軟件采納中的保險：減少企業(yè)風險》（Software Assurance in Acquisition： Mitigating Risks to the Enterprise）， 美 國國防工業(yè)協(xié)會出版的《系統(tǒng)安防工程》（Engineering for System Assurance），ISO/IEC 15288《系統(tǒng)生命循環(huán)過程》，ISO/IEC 27036《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系的信息安全》，O-TTPS標準（Open Trusted Technology Provider Standard），即“開放可信技術(shù)供應(yīng)商標準”和SAFECode的軟件整合框架、軟件整合最佳實踐。

7 新背景下ICT SCRM標準相關(guān)建議

隨著計算機科技的進步，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等管理實踐不斷出現(xiàn)并迅速發(fā)展。ICT SCRM標準NIST SP800-161是基于現(xiàn)有的相關(guān)NIST信息安全標準，尚未考慮組織或企業(yè)如何在實施云計算、物聯(lián)網(wǎng)和大數(shù)據(jù)等環(huán)境下，確保ICT供應(yīng)鏈的安全和風險問題。

（1）云計算與云安全。隨著云計算應(yīng)用的普及，云安全問題日益突出，成為阻礙企業(yè)部署云計算的主要原因之一。在云計算背景下，企業(yè)實施ICT供應(yīng)鏈過程中，應(yīng)首先考慮供應(yīng)商能提供的安全水平；其次，根據(jù)適當?shù)臄?shù)據(jù)分類，將公共及敏感數(shù)據(jù)遷移到云端，而組織的關(guān)鍵信息保存在組織內(nèi)部。這樣組織既可以減少成本，又能有重點性地確保組織信息安全，控制風險的產(chǎn)生。

（2）物聯(lián)網(wǎng)與移動設(shè)備安全。物聯(lián)網(wǎng)的出現(xiàn)雖然使得ICT供應(yīng)鏈效率提高，但是也相應(yīng)帶來諸如惡意攻擊、設(shè)備中斷等物理安全風險。此外，物聯(lián)網(wǎng)中移動設(shè)備應(yīng)用軟件容易受到惡意軟件的植入或攻擊，且網(wǎng)絡(luò)攻擊逐漸蔓延到移動平臺。因此，物聯(lián)網(wǎng)與移動設(shè)備背景下的ICT SCRM不僅涉及物理安全風險管理，還包括軟件安全風險的管理。

（3）大數(shù)據(jù)與智能化。隨著可獲得數(shù)量的膨脹，數(shù)據(jù)智能驅(qū)動下的安全已成為可能，但將有用信息有效地應(yīng)用于信息技術(shù)安全才剛剛開始。如何將安全手段變得更加智能、利用大數(shù)據(jù)發(fā)現(xiàn)更深層的安全威脅仍然無法更好地得到解決。在ICT SCRM中，企業(yè)可以根據(jù)各個組件產(chǎn)生的大數(shù)據(jù)，預(yù)測ICT供應(yīng)鏈中可能出現(xiàn)風險的時間、部位和危害程度，以減少ICT供應(yīng)鏈的安全隱患。

[1] NIST SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations（Second Draft）[S]. June, 2014.

[2] Boyson S. Cyber supply chain risk management：Revolutionizing the strategic control of critical IT systems[J]. Technovation, 2014, 34(7)： 342-353.

[3] Linton J D, Boyson S, Aje J. The challenge of cyber supply chain security to research and practice—An introduction[J]. Technovation, 2014, 34(7)： 339-341.

[4] 范科峰, 趙鴻雁, 王惠蒞. ICT 供應(yīng)鏈風險管理標準研究[J].信息技術(shù)與標準化，2014（6）：20-23.

[5] 謝宗曉. 信息安全合規(guī)性的實施路線探討[J]. 中國標準導(dǎo)報，2015（2）：24-26.

[6] 韋煥華, 覃健文. 政企 ICT 業(yè)務(wù)的供應(yīng)鏈系統(tǒng)研究及改進舉措[J]. 數(shù)字通信世界，2014 (7)： 45-47.

[7] 林潤輝, 謝宗曉. 信息安全： 從4A到4R[J]. 中國標準導(dǎo)報，2015（5）：26-29.

Study on the ICT Supply Chain Risk Management Standard—NIST SP800-161

Dong Kunxiang, Xie Zongxiao
( Business School, Nankai University )

We analyze the draft of Supply Chain Risk Management Practices for Federal Information Systems and Organizations. Then, we discuss the content of NIST SP800-161 in five aspects： purpose, scope, background,foundational practice and standard formation of ICT SCRM. Finally, we purpose the several aspects need to be improved in ICT SCRM standards.

information security, ICT supply chain, risk management, NIST SP800-161