李祥兵，王光林，孫志偉，李科，權(quán)曉文，黃銳

（1. 河南省安陽市公安局網(wǎng)安支隊，河南 安陽455001；2. 遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司,北京 100084）

信息通信技術(shù)(Information and Communications Technology， ICT)供應(yīng)鏈安全是一個涉及面廣、影響范圍大的全球性的問題，其安全性需要綜合考慮供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全生命周期覆蓋性三個維度的特性。任何一個維度的任一環(huán)節(jié)出現(xiàn)問題，例如供應(yīng)鏈中的任一供應(yīng)商、產(chǎn)品/服務(wù)中的任一組件、信息系統(tǒng)生命周期的任一階段出現(xiàn)安全隱患，都可能造成ICT產(chǎn)品、系統(tǒng)或服務(wù)不安全，進(jìn)而導(dǎo)致ICT 供應(yīng)鏈安全風(fēng)險。因此，與傳統(tǒng)領(lǐng)域的實體供應(yīng)鏈相比，ICT供應(yīng)鏈面臨的安全風(fēng)險更為復(fù)雜多變，更為多樣化。

本文首先系統(tǒng)梳理了美國、歐盟、俄羅斯、韓國等信息發(fā)達(dá)國家在ICT供應(yīng)鏈安全方面的工作，進(jìn)而分析了ICT供應(yīng)鏈安全可能面臨的風(fēng)險，并結(jié)合我國的相關(guān)工作現(xiàn)狀提出了工作建議。

1 ICT供應(yīng)鏈安全戰(zhàn)略與政策研究

1.1 美國

美國一直非常關(guān)注供應(yīng)鏈安全，從2000年起就一直在頒布各類政策來保障安全[1]，見表1。

表1 2000年－2017年的關(guān)注點

年份 關(guān)注點2007年 國土安全部出臺了《增強(qiáng)國際供應(yīng)鏈安全的國家戰(zhàn)略》2008年發(fā)布了國家網(wǎng)絡(luò)安全綜合計劃（CNCI），強(qiáng)調(diào)建立全方位措施以進(jìn)行全球供應(yīng)鏈風(fēng)險管理，將IT供應(yīng)鏈安全問題上升到了國家威脅和國家對抗的層面2009年奧巴馬政府發(fā)布《美國網(wǎng)絡(luò)安全空間安全政策評估報告》，將IT供應(yīng)鏈安全納入國家安全的范疇2011年美國政府發(fā)布《聯(lián)邦風(fēng)險及授權(quán)管理計劃》，強(qiáng)化了云計算服務(wù)商的供應(yīng)鏈安全管理2016年奧巴馬總統(tǒng)直屬的美國國家網(wǎng)絡(luò)安全促進(jìn)委員會發(fā)布《加強(qiáng)國家網(wǎng)絡(luò)安全——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》報告，提出了維護(hù)數(shù)字經(jīng)濟(jì)安全與發(fā)展的十大原則，其中第9條強(qiáng)調(diào)了供應(yīng)鏈安全的重要性2017年美國國土安全部提出了新供應(yīng)鏈風(fēng)險管理計劃—持續(xù)診斷與緩解項目CDM，該項目重視物理安全，且旨在通過產(chǎn)品、服務(wù)等認(rèn)證認(rèn)可的方式強(qiáng)化供應(yīng)鏈安全

1.2 歐盟

歐盟從其自身利益出發(fā)，高度重視供應(yīng)鏈安全問題，他們通過制定歐盟內(nèi)部通用的供應(yīng)鏈產(chǎn)品和服務(wù)安全要求的方式，加強(qiáng)供應(yīng)鏈安全管理，強(qiáng)化市場手段和企業(yè)力量的利用。

2012年4月，歐盟出臺了《云計算合同安全服務(wù)水平監(jiān)測指南》，針對云計算服務(wù)這一新技術(shù)新應(yīng)用，通過檢測、核查等技術(shù)手段加強(qiáng)云計算合同的安全管理。2016年7月，歐洲議會通過了《網(wǎng)絡(luò)與信息安全指令》，該指令從歐盟層面提出了供應(yīng)鏈安全管理方面統(tǒng)一的安全保障要求，利用該指令可以促進(jìn)歐盟成員國間安全戰(zhàn)略協(xié)作和信息共享，基于風(fēng)險管理的理念提升歐盟整體的網(wǎng)絡(luò)安全保障水平。

1.3 俄羅斯

俄羅斯在ICT供應(yīng)鏈安全方面一直強(qiáng)調(diào)國產(chǎn)化應(yīng)用和替代。

2013年11月，俄羅斯發(fā)布《俄羅斯聯(lián)邦2014-2020年信息技術(shù)產(chǎn)業(yè)發(fā)展戰(zhàn)略和2025年前景展望》，提出了他們保障國家信息安全的政策戰(zhàn)略和手段，其中重點強(qiáng)調(diào)了研發(fā)自主可控高水平的信息安全產(chǎn)品，用來替代進(jìn)口產(chǎn)品的戰(zhàn)略。綜上所述，美、歐、俄等信息技術(shù)發(fā)達(dá)國家均十分重視ICT供應(yīng)鏈安全，從國家層面發(fā)布了一系列政策戰(zhàn)略，用以提高認(rèn)識、保障國家網(wǎng)絡(luò)安全。

1.4 韓國

在亞洲經(jīng)濟(jì)發(fā)展屬于前列的韓國也非常注重供應(yīng)鏈安全，韓國一直支持發(fā)展開源技術(shù)，堅持以公共需求帶動國產(chǎn)化應(yīng)用，降低國際依賴。

2011年5月，韓國發(fā)布“云計算推廣及競爭力強(qiáng)化戰(zhàn)略”,旨在通過打造安全的使用環(huán)境，在五年內(nèi)使韓國國內(nèi)云計算的使用率達(dá)到15%。2012年6月，韓國政府表示未來五年，在國防軟件國產(chǎn)化項目上投入430億韓元，實現(xiàn)韓國武器體系核心軟件的國產(chǎn)化。2014年6月，韓國政府聲明為了降低對微軟軟件的依賴性，將與開源軟件界進(jìn)行談判，在2020年之前全部換用開源軟件。

1.5 中國

我國政府高度重視信息技術(shù)產(chǎn)品安全可控，2016年11月通過的《網(wǎng)絡(luò)安全法》明確要求“支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。2016年12月發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》明確提出“加強(qiáng)供應(yīng)鏈安全管理”、“提高產(chǎn)品和服務(wù)的安全性和可控性，防止產(chǎn)品服務(wù)提供者和其他組織利用信息技術(shù)優(yōu)勢實施不正當(dāng)競爭或損害用戶利益”。

華為作為中國IT行業(yè)的領(lǐng)軍企業(yè)，它將供應(yīng)鏈安全管理納入其端到端全球網(wǎng)絡(luò)安全保障體系，建立了一個符合ISO28000的全面供應(yīng)鏈安全管理體系，從來料到客戶交付的端到端流程中識別安全風(fēng)險，并使其最小化。華為根據(jù)供應(yīng)商的體系、流程和產(chǎn)品來選擇和認(rèn)證供應(yīng)商，并持續(xù)監(jiān)控、定期評估供應(yīng)商的交付績效，選擇那些對華為所采購的產(chǎn)品和服務(wù)的質(zhì)量和安全做出貢獻(xiàn)的供應(yīng)商。華為建立了一個全流程可視的可追溯系統(tǒng)，對于第三方部件，會在來料、生產(chǎn)和交付流程中檢查其完整性，記錄其表現(xiàn)。

2 ICT供應(yīng)鏈安全標(biāo)準(zhǔn)規(guī)范研究

該部分針對多個國內(nèi)外標(biāo)準(zhǔn)化組織在ICT供應(yīng)鏈安全方面的工作進(jìn)行了梳理，從而為我國相關(guān)工作的開展提供參考和借鑒。

2.1 ISO工作研究

國家化標(biāo)準(zhǔn)組織（International Organization for Standardization，ISO）將供應(yīng)鏈風(fēng)險管理分為了兩類：傳統(tǒng)供應(yīng)鏈安全管理和傳統(tǒng)供應(yīng)鏈信息安全管理。其中，后者更為重視網(wǎng)絡(luò)安全。

表2 2005年-2015年的標(biāo)準(zhǔn)規(guī)范和關(guān)注點

年份 標(biāo)準(zhǔn)規(guī)范 關(guān)注點2006年I S O／P A S 28001《供應(yīng)鏈安全管理體系供應(yīng)鏈安全的最佳實踐規(guī)范評估和計劃》與上面標(biāo)準(zhǔn)配套使用，提供了實用的指導(dǎo)，為獨立第三方的審核活動提供選項2009年《IT供應(yīng)鏈安全風(fēng)險管理標(biāo)準(zhǔn)草案》美國向ISO下屬的JTC1提出了IT供應(yīng)鏈安全風(fēng)險管理標(biāo)準(zhǔn)草案，SC27對此作了專門研究，英國、日本等國提出了補(bǔ)充建議2010年I S O／ I E C 27036《信息技術(shù) 安全技術(shù)供應(yīng)商關(guān)系信息安全》ISO決定重新調(diào)整ISO／IEC 27036《信息技術(shù)安全技術(shù)供應(yīng)商關(guān)系的信息安全》的結(jié)構(gòu)，增加對供應(yīng)鏈安全管理的要求2013年I S O／ I E C 27036 -3《信息技術(shù)安全技術(shù)供應(yīng)商關(guān)系信息安全 第3部分ICT供應(yīng)鏈安全管理指南》ISO于2013年10月完成相關(guān)修訂工作，發(fā)布27036-3，添加了對供應(yīng)鏈安全管理的內(nèi)容,2015年ISO/TS《社會安全 業(yè)務(wù)連續(xù)性管理體系供應(yīng)鏈連續(xù)性指南》該標(biāo)準(zhǔn)為企業(yè)建立合適的供應(yīng)鏈連續(xù)性管理提供了指南，通過建立業(yè)務(wù)連續(xù)性管理體系，保持相關(guān)業(yè)務(wù)的連續(xù)性

2.2 NIST相關(guān)工作研究

美國國家標(biāo)準(zhǔn)技術(shù)研究院NIST于2008年啟動了非國家安全信息系統(tǒng)供應(yīng)鏈風(fēng)險管理實踐開發(fā)計劃，即ICT SCRM。

該計劃推薦使用已有的標(biāo)準(zhǔn)SP 800-37《風(fēng)險管理框架應(yīng)用到聯(lián)邦信息系統(tǒng)中指南：一種安全生命周期方法》和SP 800-39《管理信息安全風(fēng)險：組織、任務(wù)和信息系統(tǒng)視角》來加強(qiáng)ICT供應(yīng)鏈安全風(fēng)險的管理程序，包括識別和評估可能的風(fēng)險、確定可能的應(yīng)對措施，選定應(yīng)對措施并實施、措施效果監(jiān)督評估等。

同時，NIST積極制定新的標(biāo)準(zhǔn)規(guī)范，以強(qiáng)化ICT供應(yīng)鏈安全管理。2012年，發(fā)布了NIST IR7622《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險管理實踐》，該標(biāo)準(zhǔn)提供了一種可以在聯(lián)邦信息系統(tǒng)供應(yīng)鏈中使用的具體實踐，旨在消除購買、開發(fā)和運營過程等供應(yīng)鏈全生命周期中可能影響聯(lián)邦信息系統(tǒng)的高風(fēng)險。2015年，發(fā)布了SP 800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險管理實踐》，該指南為聯(lián)邦機(jī)構(gòu)指定ICT供應(yīng)鏈相關(guān)政策和程序、管理供應(yīng)鏈安全風(fēng)險提供了其實有效的指導(dǎo)。該指南還提供了一整套的評估和管理供應(yīng)鏈風(fēng)險的程序模板，列出了可能的威脅事件和可供參考的風(fēng)險框架，指導(dǎo)性作用極強(qiáng)。

歐盟委員會方面于2017年10月4日公布了關(guān)于“修改ENISA授權(quán)立法和建立信息通信技術(shù)產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度”的立法草案。該法案自稱“網(wǎng)絡(luò)安全法”（Cybersecurity Act，以下稱“歐盟網(wǎng)絡(luò)安全法”）。歐盟網(wǎng)絡(luò)安全法的實質(zhì)是歐盟網(wǎng)絡(luò)和信息安全局（ENISA）的授權(quán)法，為2004年成立的ENISA賦予新職能，將其改建為歐盟的“網(wǎng)絡(luò)安全局”，負(fù)責(zé)在歐盟層面制定和執(zhí)行網(wǎng)絡(luò)安全政策、提升網(wǎng)絡(luò)安全能力、搜集網(wǎng)絡(luò)安全信息、構(gòu)建統(tǒng)一網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)市場，以及研發(fā)和創(chuàng)新等工作。根據(jù)該法授權(quán)，ENISA的一項重要任務(wù)就是建立歐盟層面的信息通信技術(shù)產(chǎn)品和服務(wù)（ICT產(chǎn)品和服務(wù)）網(wǎng)絡(luò)安全認(rèn)證制度。目前，歐盟沒有歐盟層面統(tǒng)一的ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度，主要依靠各成員國自行組織認(rèn)證。有的成員國有相關(guān)認(rèn)證制度，有的成員國沒有，并且認(rèn)證所依據(jù)的技術(shù)標(biāo)準(zhǔn)也不完全統(tǒng)一，企業(yè)同一件產(chǎn)品或服務(wù)在不同國家需要重復(fù)認(rèn)證。此次歐盟建立ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度，一方面是為了提高歐盟域內(nèi)的網(wǎng)絡(luò)安全水平，另一方面也是為了建立統(tǒng)一市場，實現(xiàn)“一次認(rèn)證，全域通行”，取代各成員國現(xiàn)有認(rèn)證體系。

歐盟網(wǎng)絡(luò)安全法草案并未規(guī)定ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度的具體細(xì)節(jié)，而是建立了一個框架性制度，規(guī)定了認(rèn)證制度要實現(xiàn)的目標(biāo)和應(yīng)包含的要素，并授權(quán)ENISA具體負(fù)責(zé)建立認(rèn)證制度。

2.3 我國標(biāo)準(zhǔn)化委員會相關(guān)工作研究

我國的標(biāo)準(zhǔn)化委員會針對ICT供應(yīng)鏈安全方面開展了一系列工作，包括發(fā)布了GB/T 31722《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險管理》（采標(biāo)于ISO相關(guān)標(biāo)準(zhǔn)，強(qiáng)調(diào)安全風(fēng)險管理）和GB/T 24420《供應(yīng)鏈風(fēng)險管理指南》（通過明確供應(yīng)鏈環(huán)境信息，充分識別供應(yīng)鏈風(fēng)險，屬于大安全領(lǐng)域）。

此外，信息安全標(biāo)準(zhǔn)化委員會正在制定《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南》，該標(biāo)準(zhǔn)梳理了ICT供應(yīng)鏈與傳統(tǒng)供應(yīng)鏈安全管理的不同特點，進(jìn)而系統(tǒng)呈現(xiàn)了ICT供應(yīng)鏈的安全威脅、脆弱性和可能存在的風(fēng)險，目前該標(biāo)準(zhǔn)已經(jīng)推進(jìn)到征求意見稿階段。

綜上所述，標(biāo)準(zhǔn)規(guī)范作為一項強(qiáng)化ICT供應(yīng)鏈安全評價的重要抓手，受到了各方的密切關(guān)注和重視，均結(jié)合各自的實際情況，開展了一系列標(biāo)準(zhǔn)規(guī)范制定工作。

3 ICT供應(yīng)鏈安全風(fēng)險分析

信息技術(shù)產(chǎn)品由于其多樣的產(chǎn)品和服務(wù)形態(tài)，復(fù)雜的產(chǎn)品實現(xiàn)功能、異構(gòu)的應(yīng)用場景，導(dǎo)致ICT供應(yīng)鏈面臨著各種安全威脅，輕則導(dǎo)致產(chǎn)品和服務(wù)出現(xiàn)異常，重則導(dǎo)致重要信息泄露、重要服務(wù)中止等安全風(fēng)險。ICT供應(yīng)鏈面臨的主要安全威脅可以分為惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露或違規(guī)操作、其他威脅等五類，均可能嚴(yán)重破壞ICT供應(yīng)鏈的完整性、可用性和保密性。

惡意篡改可能是外在原因（如惡意程序、高級木馬、外部組件、非授權(quán)部件等）、也可能是內(nèi)在原因（如非授權(quán)配置、供應(yīng)鏈信息篡改等）導(dǎo)致的。惡意篡改可能存在于在ICT供應(yīng)鏈的設(shè)計、開發(fā)、采購、生產(chǎn)、倉儲、物流、銷售、維護(hù)、返回等任何一個環(huán)節(jié)，也可能是多發(fā)性的存在于上述多個環(huán)節(jié)，從而導(dǎo)致信息技術(shù)產(chǎn)品和服務(wù)機(jī)密性、完整性和可用性的破壞。

假冒偽劣屬于信息技術(shù)產(chǎn)品和服務(wù)本身可能存在的問題，也可能是由于供應(yīng)過程中缺乏嚴(yán)格管理導(dǎo)致的外在產(chǎn)品和服務(wù)混雜其中引發(fā)的安全威脅問題。按照產(chǎn)品和服務(wù)本身特性來分，又可以分為假冒產(chǎn)品和服務(wù)、不合格產(chǎn)品和服務(wù)、未經(jīng)授權(quán)生產(chǎn)的產(chǎn)品和服務(wù)。

供應(yīng)中斷則是更為嚴(yán)重的問題，它是由于人為或者不可抗力的原因，導(dǎo)致ICT供應(yīng)鏈的中斷或終止。按照引發(fā)供應(yīng)中斷的因素來劃分，可以分為人為引發(fā)的中斷、基礎(chǔ)設(shè)施故障引發(fā)的中斷、國際國內(nèi)環(huán)境引發(fā)的中斷、不正當(dāng)競爭導(dǎo)致的中斷等類別。

信息泄露是指ICT供應(yīng)鏈上產(chǎn)生和傳遞的信息被未授權(quán)泄露，這些信息可能是個人隱私信息、商業(yè)機(jī)密信息、國家重要信息。在歐盟通用數(shù)據(jù)保護(hù)條例正式頒布實施以及我國網(wǎng)絡(luò)安全法及其配套標(biāo)準(zhǔn)規(guī)范不斷強(qiáng)化數(shù)據(jù)保護(hù)的今天，由于供應(yīng)鏈安全引發(fā)的數(shù)據(jù)泄露威脅亟需受到重視。

違規(guī)操作是ICT供應(yīng)方內(nèi)部可能產(chǎn)生的違規(guī)操作行為。比如，違規(guī)收集和使用個人隱私數(shù)據(jù)、違規(guī)訪問內(nèi)部數(shù)據(jù)和/或組件、大數(shù)據(jù)濫用、產(chǎn)品和服務(wù)違規(guī)配置等。從某種意義上講，違規(guī)操作導(dǎo)致的后果可能比外部的安全威脅更為嚴(yán)重。

除上述安全威脅外，ICT 供應(yīng)鏈還存在許多其他威脅或挑戰(zhàn)，如合規(guī)差異性挑戰(zhàn)，即當(dāng)前全球各區(qū)域的網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)可能存在差異，導(dǎo)致在各個國家和地區(qū)提供的產(chǎn)品和服務(wù)由于不滿足生產(chǎn)、銷售、使用區(qū)域的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，從而無法在當(dāng)?shù)厣a(chǎn)、銷售、使用。

正是由于上述紛繁復(fù)雜的ICT供應(yīng)鏈安全威脅，才導(dǎo)致ICT供應(yīng)鏈可能存在著諸多的安全風(fēng)險。信息技術(shù)產(chǎn)品生命周期十分復(fù)雜，涉及到產(chǎn)品供應(yīng)方、產(chǎn)品應(yīng)用方、產(chǎn)品供應(yīng)鏈各環(huán)節(jié)供應(yīng)方，如知識產(chǎn)權(quán)供應(yīng)方、設(shè)計生產(chǎn)工具供應(yīng)方、核心部件供應(yīng)方等，因而其安全風(fēng)險可能存在于各個環(huán)節(jié)，具體如圖1所示。

圖1 ICT產(chǎn)品和服務(wù)生命周期示意圖

“中興事件”后，我國亟需重視自主可控，從源頭上提高ICT產(chǎn)品和服務(wù)的供給能力，打造完整、可控、優(yōu)質(zhì)的ICT產(chǎn)品和服務(wù)供應(yīng)鏈。然而，從自主可控的角度出發(fā)，ICT產(chǎn)品和服務(wù)可能面臨的風(fēng)險如下圖所示的安全風(fēng)險。

通過圖2可以看出，ICT供應(yīng)鏈安全風(fēng)險可能存在于ICT產(chǎn)品和服務(wù)的全生命周期中，比如研發(fā)生產(chǎn)評價、供應(yīng)鏈評價、運維服務(wù)評價等[3]。同時ICT供應(yīng)鏈安全風(fēng)險可能是由于上述各種安全威脅引發(fā)的，同時還可能是由于上述多種威脅復(fù)合引發(fā)，從而產(chǎn)生更為嚴(yán)重的后果。

圖2 ICT產(chǎn)品和服務(wù)可能面臨的風(fēng)險

首先，由于ICT產(chǎn)品和服務(wù)的不可控，可能會被非法控制、干擾和中斷運行。如產(chǎn)品或服務(wù)完全依賴美國的因特爾芯片和微軟的操作系統(tǒng)，就可能面臨著不可控的安全漏洞問題，這些安全漏洞一旦爆發(fā)就會引發(fā)極為嚴(yán)重的后果。同時，烏克蘭核設(shè)施面臨的“震網(wǎng)病毒”定向攻擊，本質(zhì)上也是由于它們的工控設(shè)施不可控導(dǎo)致的。

其次ICT產(chǎn)品和服務(wù)可能存在研發(fā)、交付、技術(shù)支持等環(huán)節(jié)面臨著周期加長、服務(wù)質(zhì)量下降甚至中斷的風(fēng)險。因為產(chǎn)品的關(guān)鍵部件嚴(yán)重依賴于外部提供商，又不存在替代方案，必然導(dǎo)致話語權(quán)的喪失。

其次，外部不可控的產(chǎn)品和服務(wù)可能存在數(shù)據(jù)過度收集、非法采集的風(fēng)險，從而引發(fā)侵犯個人信息隱私和泄露重要數(shù)據(jù)等問題。

最后，由于長期和不可替代的依賴于外部提供的產(chǎn)品和服務(wù)，自己不具備自主可控性，就會面臨著產(chǎn)品和服務(wù)提供商利用其壟斷或優(yōu)勢地位實施的不正當(dāng)競爭或損害用戶利益的風(fēng)險。

綜上，ICT產(chǎn)品和服務(wù)的安全威脅復(fù)雜多樣，從而導(dǎo)致安全風(fēng)險多發(fā)頻發(fā)，亟需引起ICT供應(yīng)鏈各方的重視，不斷加強(qiáng)風(fēng)險防控，提高安全防護(hù)和應(yīng)對能力。

4 針對我國相關(guān)工作的建議

通過梳理上述各國針對ICT供應(yīng)鏈安全評價的戰(zhàn)略政策、標(biāo)準(zhǔn)規(guī)范，結(jié)合ICT產(chǎn)品和服務(wù)可能面臨的安全風(fēng)險，本部分嘗試對我國工作提出相關(guān)建議。

4.1 建立多部門參與的ICT供應(yīng)鏈安全監(jiān)管制度

我國ICT供應(yīng)鏈國家安全監(jiān)管制度應(yīng)當(dāng)確立“合作包容”的理念[4-5]。審查過程必須聯(lián)合有關(guān)業(yè)務(wù)和安全主管部門，打組合拳，共同進(jìn)行科學(xué)的戰(zhàn)略規(guī)劃與統(tǒng)籌布局，把ICT供應(yīng)鏈安全監(jiān)管作為國家網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分，從頂層設(shè)計和戰(zhàn)略性高度著力應(yīng)對。

同時，借鑒信息技術(shù)發(fā)達(dá)國家的有益經(jīng)驗，建立健全我國的ICT供應(yīng)鏈安全監(jiān)管體系。一是加強(qiáng)宏觀的國家層面安全監(jiān)管體系建設(shè)，強(qiáng)化立法協(xié)調(diào)、政策制定和戰(zhàn)略規(guī)劃；二是加強(qiáng)安全監(jiān)管行業(yè)建設(shè)，統(tǒng)籌各方力量，制定相應(yīng)的規(guī)章制度，加強(qiáng)行業(yè)的建設(shè)與管理；三是加強(qiáng)安全監(jiān)督執(zhí)行單位的內(nèi)部管理，加強(qiáng)安全評估單位內(nèi)部的規(guī)范化建設(shè)。

4.2 加護(hù)制定發(fā)布ICT供應(yīng)鏈安全管理標(biāo)準(zhǔn)

NIST SP80-161的制定借鑒了SP 800-39和SP800-53中有關(guān)ICT供應(yīng)鏈風(fēng)險管理的方法學(xué)，參考了SP 800-39中提出的多層次的風(fēng)險管理結(jié)構(gòu)及方法，對SP800-53中已有的控制措施進(jìn)行了補(bǔ)充說明和個性化調(diào)整[6]。

建議充分借鑒和參考ISO、NIST等相關(guān)工作，結(jié)合我國ICT供應(yīng)鏈安全評價的實際工作，制定適合我國國情的ICT供應(yīng)鏈安全評價標(biāo)準(zhǔn)，

重點涵蓋針對大數(shù)據(jù)、移動互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)新應(yīng)用的供應(yīng)鏈風(fēng)險管理。

同時，標(biāo)準(zhǔn)制定過程中需要注重兩方面工作：一方面加強(qiáng)與國家社會的溝通協(xié)調(diào)，盡量與國家通用標(biāo)準(zhǔn)保持一致；二是保持與我國現(xiàn)有法律法規(guī)、標(biāo)準(zhǔn)體系的一致性，比如關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度、信息安全產(chǎn)品認(rèn)證認(rèn)可制度等。

4.3 綜合考慮ICT供應(yīng)鏈產(chǎn)品和服務(wù)的特點

根據(jù)分析對象的不同，ICT供應(yīng)鏈安全可以劃分為ICT產(chǎn)品供應(yīng)鏈安全與ICT服務(wù)供應(yīng)鏈安全，兩者在技術(shù)風(fēng)險控制點、供應(yīng)鏈安全管理和法律規(guī)制等方面存在著若干的不同特點。

然而在ICT供應(yīng)鏈安全風(fēng)險評價理論、方法、流程、工具等方面又是基本類同的。因此在實際的供應(yīng)鏈安全評價工作中，應(yīng)當(dāng)統(tǒng)籌分析兩者的使用場景、評價對象、評價目的等，兼顧兩者的特點，全面客觀有效的分析供應(yīng)鏈全生命周期中可能存在的風(fēng)險，進(jìn)而提出相關(guān)的應(yīng)對措施，并對應(yīng)對措施的實施效果進(jìn)行監(jiān)督評價。

4.4 建強(qiáng)ICT供應(yīng)鏈安全評價人才隊伍建設(shè)

ICT供應(yīng)鏈安全風(fēng)險評價的每個環(huán)節(jié)，都需要依靠專業(yè)人員完成，因此，必須培養(yǎng)和打造一支懂技術(shù)、懂管理的ICT供應(yīng)鏈安全評價專業(yè)力量，推進(jìn)全國范圍內(nèi)ICT供應(yīng)鏈安全評價整體力量建設(shè)。

可以參考借鑒美國根據(jù)《國家網(wǎng)絡(luò)安全計劃》（NICE）、《網(wǎng)絡(luò)安全國家行動計劃》（CNAP）制定的《聯(lián)邦網(wǎng)絡(luò)安全人才戰(zhàn)略》的相關(guān)內(nèi)容，制定我國的ICT供應(yīng)鏈安全評價與監(jiān)管人才戰(zhàn)略與實施計劃，具體從以下3個方面展開工作：一是確定ICT供應(yīng)鏈安全評價與監(jiān)管的專業(yè)人才需求；二是通過教育與培訓(xùn)擴(kuò)充評價與監(jiān)管專業(yè)人才隊伍；三是開發(fā)、保留與使用好該領(lǐng)域高技能專業(yè)人才。

5 結(jié)語

ICT供應(yīng)鏈安全風(fēng)險評價是一項十分重要的工作，事關(guān)網(wǎng)絡(luò)安全與國家安全。本文從戰(zhàn)略政策角度系統(tǒng)梳理了美國、歐盟、俄羅斯等信息技術(shù)發(fā)達(dá)國家的研究現(xiàn)狀；從標(biāo)準(zhǔn)規(guī)范角度梳理了ISO、NIST以及我國標(biāo)準(zhǔn)化委員會的相關(guān)工作，并分析了ICT產(chǎn)品和服務(wù)供應(yīng)鏈可能存在的安全風(fēng)險點。

結(jié)合我國工作實際，從制度建立、標(biāo)準(zhǔn)制定、工作開展和人才培養(yǎng)等維度提出了對我國ICT供應(yīng)鏈安全風(fēng)險評價工作的建議。