何昊坤 李璐
摘要:隨著信息通信技術(shù)(ICT)產(chǎn)品和服務(wù)逐漸被廣泛應(yīng)用于各重點(diǎn)行業(yè),其全球化特點(diǎn)所帶來(lái)的安全事件頻發(fā),ICT供應(yīng)鏈安全管理成為各行業(yè)乃至國(guó)家關(guān)注的焦點(diǎn)。文章分析了當(dāng)前ICT供應(yīng)鏈國(guó)內(nèi)外研究和管理現(xiàn)狀,研究了識(shí)別ICT供應(yīng)鏈全生命周期中存在的安全風(fēng)險(xiǎn)類型,旨在重點(diǎn)保障ICT供應(yīng)鏈全生命周期的保密性、完整性、可用性、可控性,并結(jié)合我國(guó)目前ICT供應(yīng)鏈安全管理實(shí)際提出了具體的建議,為不斷加強(qiáng)ICT供應(yīng)鏈安全管理工作,提供了一定的參考和借鑒。
關(guān)鍵詞:ICT供應(yīng)鏈;安全管理;風(fēng)險(xiǎn)識(shí)別
中圖分類號(hào):TP393.08????????? 文獻(xiàn)標(biāo)識(shí)碼:A
1 引言
信息通信技術(shù)供應(yīng)鏈(Information and Communication Technology Supply Chain)這一新興概念由傳統(tǒng)供應(yīng)鏈發(fā)展演變而來(lái)。ICT供應(yīng)鏈在傳統(tǒng)供應(yīng)鏈基礎(chǔ)之上,包含了信息通信技術(shù)和相應(yīng)的配套服務(wù),它在整個(gè)生命周期內(nèi)通過(guò)一系列資源和過(guò)程,將需求方、供應(yīng)方等多個(gè)主體有機(jī)聯(lián)系,并形成復(fù)雜多樣化、全球化的網(wǎng)鏈系統(tǒng)結(jié)構(gòu),涵蓋了信息流、資金流、物流所涉及的全部活動(dòng),較傳統(tǒng)供應(yīng)鏈相比,層次更深化、范圍更廣泛[1]。
因其復(fù)雜化、全球化特點(diǎn),ICT供應(yīng)鏈所衍生出的風(fēng)險(xiǎn)也逐漸凸顯,安全事件時(shí)有發(fā)生,在全生命周期的各階段保密性、完整性、可用性、可控性等基礎(chǔ)要求,亟需有效的安全保障,安全管理工作形勢(shì)嚴(yán)峻。因此,針對(duì)突出問(wèn)題加強(qiáng)ICT供應(yīng)鏈安全管理,彌補(bǔ)安全漏洞,提升管理能力及水平,保護(hù)國(guó)家相關(guān)利益迫在眉睫。
2國(guó)內(nèi)外ICT供應(yīng)鏈安全管理現(xiàn)狀
2.1國(guó)外ICT供應(yīng)鏈安全管理現(xiàn)狀
國(guó)外在ICT供應(yīng)鏈安全管理研究上起步較早,特別是以美國(guó)為代表的西方國(guó)家,在ICT供應(yīng)鏈安全管理工作上都有了顯著的成績(jī)。目前,建立起了以法律法規(guī)、標(biāo)準(zhǔn)體系、業(yè)務(wù)部門為主的整體管理框架,其相當(dāng)一部分成果都是目前ICT安全管理工作的先進(jìn)經(jīng)驗(yàn),可為他國(guó)ICT安全管理體系建設(shè)提供參考[2]。
(1)美國(guó)ICT供應(yīng)鏈安全管理現(xiàn)狀
就美國(guó)而言,其經(jīng)歷了傳統(tǒng)供應(yīng)鏈、IT供應(yīng)鏈、ICT供應(yīng)鏈的演變,由最初只關(guān)注貨物產(chǎn)品本身安全的焦點(diǎn)轉(zhuǎn)變到信息技術(shù)安全再到現(xiàn)如今信息通信技術(shù)和服務(wù)的安全,關(guān)注焦點(diǎn)逐漸寬泛,層次不斷深入,內(nèi)涵更加復(fù)雜。美國(guó)對(duì)于ICT供應(yīng)鏈安全管理出臺(tái)的法律法規(guī)、標(biāo)準(zhǔn)體系,以及專門成立的相關(guān)業(yè)務(wù)部門,其管理實(shí)踐成果在國(guó)際上都處于領(lǐng)先水平。
在2002年,美國(guó)政府就供應(yīng)鏈和信息技術(shù)安全之間的關(guān)系展開(kāi)了相應(yīng)的研究,而且將其納入到了國(guó)家信息安全戰(zhàn)略中,可謂重視程度之高。在近幾年中,美國(guó)又陸續(xù)出臺(tái)了若干政策文件,如表1所示。同時(shí),美國(guó)制定了ICT供應(yīng)鏈信息系統(tǒng)安全標(biāo)準(zhǔn)鞏固發(fā)展相關(guān)研究,如圖1所示。到2009年奧巴馬政府時(shí)期,ICT供應(yīng)鏈安全問(wèn)題從此被納入國(guó)家安全范疇,重視程度達(dá)到了有史以來(lái)的最高點(diǎn)[3]。
2013年由美國(guó)NIST制定出臺(tái)的SP800-161《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐標(biāo)準(zhǔn)》,將政府機(jī)構(gòu)采購(gòu)ICT產(chǎn)品和相應(yīng)服務(wù)與ICT供應(yīng)鏈安全風(fēng)險(xiǎn)問(wèn)題相整合,形成了以風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)指標(biāo)分析及風(fēng)險(xiǎn)應(yīng)對(duì)為一體的整體安全風(fēng)險(xiǎn)管理體系,為美國(guó)政府ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理提供專業(yè)化指導(dǎo)。該標(biāo)準(zhǔn)是對(duì)ISO/IEC 27036-3標(biāo)準(zhǔn)的完善和深化,但這一標(biāo)準(zhǔn)是專門針對(duì)美國(guó)政府的需求和現(xiàn)狀所制定的,因此帶有一定的局限性,不適宜他國(guó)直接引用,可作為一定的參考[4]。
在出臺(tái)相應(yīng)政策文件的同時(shí),美國(guó)政府于2008年成立了專門針對(duì)ICT供應(yīng)鏈安全管理的4個(gè)專職機(jī)構(gòu),分別是高級(jí)指導(dǎo)機(jī)構(gòu)、采購(gòu)政策管理機(jī)構(gòu)、安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)機(jī)構(gòu)和安全威脅信息共享機(jī)構(gòu)[5]。這些機(jī)構(gòu)的主要工作內(nèi)容為風(fēng)險(xiǎn)信息分析與共享、標(biāo)準(zhǔn)體系文件的制定、法律法規(guī)的出臺(tái)以及相關(guān)工作的協(xié)調(diào)處置。負(fù)責(zé)上述專職機(jī)構(gòu)工作的國(guó)家部門涉及美聯(lián)邦政府、國(guó)土安全部、國(guó)防部、國(guó)家審計(jì)局、總務(wù)局、標(biāo)準(zhǔn)技術(shù)研究院、國(guó)家情報(bào)總監(jiān)辦公室等。
(2)ICT供應(yīng)鏈安全管理國(guó)際標(biāo)準(zhǔn)
ICT供應(yīng)鏈安全管理國(guó)際標(biāo)準(zhǔn)的發(fā)展歷程主體,可概括為由傳統(tǒng)供應(yīng)鏈逐漸向ICT供應(yīng)鏈轉(zhuǎn)變的“兩階段”發(fā)展。目前,有ISO/IEC 27000信息安全管理體系中,專門針對(duì)供應(yīng)鏈安全管理而制定的ISO/IEC 27036《信息技術(shù) 安全 技術(shù) 供應(yīng)商關(guān)系的信息安全》,ISO/IEC 27036由ISO/IEC 27036-1概述和相關(guān)概念、ISO/IEC 27036-2相關(guān)要求、ISO/IEC 27036-3 ICT供應(yīng)鏈信息安全指南、ISO/IEC 27036-4云服務(wù)安全指南四個(gè)部分構(gòu)成,如圖2所示[6]。其中,ISO/IEC 27036-3為針對(duì)ICT供應(yīng)鏈安全管理所制定的國(guó)際標(biāo)準(zhǔn)。以上四份標(biāo)準(zhǔn)化文件,為層層互聯(lián)、相互聯(lián)系關(guān)系,ISO/IEC 27036-1與ISO/IEC 27036-2搭建起整個(gè)標(biāo)準(zhǔn)體系的主體框架,對(duì)ICT供應(yīng)鏈的定義、范圍、實(shí)施、評(píng)估等基本性要素進(jìn)行了規(guī)定;ISO/IEC 27036-3專門針對(duì)ICT供應(yīng)鏈中的信息安全操作規(guī)范和標(biāo)準(zhǔn)實(shí)施流程進(jìn)行了規(guī)定,同時(shí)對(duì)風(fēng)險(xiǎn)評(píng)估及應(yīng)對(duì)進(jìn)行了相關(guān)闡述,該標(biāo)準(zhǔn)為強(qiáng)制性標(biāo)準(zhǔn);ISO/IEC 27036-4則是根據(jù)當(dāng)前云計(jì)算技術(shù)發(fā)展背景制定的ICT供應(yīng)鏈風(fēng)險(xiǎn)識(shí)別分析及應(yīng)對(duì)措施。
2.2 國(guó)內(nèi)ICT供應(yīng)鏈安全管理現(xiàn)狀
我國(guó)供應(yīng)鏈安全管理的研究最早可追溯到20世紀(jì)90年代,當(dāng)時(shí)是與“現(xiàn)代物流”這一概念一同引進(jìn)的。在黨的十九大報(bào)告中也首次提出了“現(xiàn)代供應(yīng)鏈”的新理念,將傳統(tǒng)供應(yīng)鏈的內(nèi)涵賦予新的時(shí)代意義,同時(shí)也代表了將供應(yīng)鏈發(fā)展提升到國(guó)家發(fā)展戰(zhàn)略層面。對(duì)于ICT供應(yīng)鏈安全管理而言,我國(guó)相對(duì)于歐美等國(guó)家起步較晚,雖然目前有一定的研究成果,但是還處于發(fā)展起步階段,相關(guān)制度體系還待進(jìn)一步建設(shè)。
我國(guó)專門針對(duì)ICT供應(yīng)鏈安全管理制定的國(guó)家標(biāo)準(zhǔn),即GB/T 36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》主要從ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制措施兩個(gè)方面進(jìn)行具體闡述。ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程主要包含背景分析、風(fēng)險(xiǎn)評(píng)估處置、風(fēng)險(xiǎn)監(jiān)督檢查、風(fēng)險(xiǎn)溝通記錄四個(gè)板塊,ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制措施則從技術(shù)安全措施和管理安全措施兩個(gè)維度進(jìn)行具體闡述,標(biāo)準(zhǔn)后附ICT供應(yīng)鏈概述、安全威脅、安全脆弱性三個(gè)資料性附錄,重點(diǎn)目標(biāo)是為了保障當(dāng)前ICT供應(yīng)鏈完整性、保密性、可用性、可控性[7]。
當(dāng)前,國(guó)內(nèi)對(duì)于ICT供應(yīng)鏈安全管理研究的文獻(xiàn)資料,都闡述了ICT供應(yīng)鏈的基礎(chǔ)概念及定義、風(fēng)險(xiǎn)識(shí)別以及國(guó)外發(fā)展研究現(xiàn)狀,但對(duì)于全生命周期中的采購(gòu)、生產(chǎn)、研發(fā)、服務(wù)等環(huán)節(jié)的安全風(fēng)險(xiǎn)評(píng)估方法及防范應(yīng)對(duì)措施,未開(kāi)展詳細(xì)的剖析。
3 ICT供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別分析
ICT供應(yīng)鏈全生命周期可分為設(shè)計(jì)研發(fā)、生產(chǎn)供應(yīng)、運(yùn)維服務(wù)三個(gè)階段。設(shè)計(jì)研發(fā)階段包括設(shè)計(jì)、研發(fā),生產(chǎn)供應(yīng)階段包括采購(gòu)、生產(chǎn)、驗(yàn)收、倉(cāng)儲(chǔ)、物流,運(yùn)維服務(wù)階段包括運(yùn)維、返貨,與各階段相配套的信息系統(tǒng)及數(shù)據(jù)覆蓋整個(gè)生命周期,如圖3所示。
由于其全球化分布、產(chǎn)品服務(wù)復(fù)雜、供需方多樣性、全生命周期的特點(diǎn),使ICT供應(yīng)鏈面臨著各種安全威脅,威脅主體引起的威脅利用軟硬件、服務(wù)自身的脆弱性,導(dǎo)致ICT產(chǎn)品和服務(wù)產(chǎn)生安全風(fēng)險(xiǎn),以致ICT供應(yīng)鏈在保密性、完整性、可用性、可控性上受到破壞。
安全威脅按其性質(zhì)可分為非人為威脅和人為威脅。非人為威脅是因其周邊環(huán)境因素的異常改變而導(dǎo)致的,通常具有不可抗力性,如臺(tái)風(fēng)、地震等自然災(zāi)害和潮濕、灰塵、磁場(chǎng)等周邊環(huán)境危害;供應(yīng)鏈中的設(shè)施設(shè)備、信息系統(tǒng)本身故障等;政策因素、產(chǎn)品斷供等突發(fā)事件;同時(shí),包括因供應(yīng)鏈中各參與者因其本身過(guò)失或其他原因而造成的結(jié)果,主要包括專業(yè)技能不足、疏忽大意、系統(tǒng)誤差、信息泄露等。人為威脅指的是供應(yīng)鏈內(nèi)外部人員因其主觀惡意試圖破壞供應(yīng)鏈而采取的攻擊行為,主要包括惡意篡改、信息泄露、假冒偽劣、違規(guī)操作等[8]。ICT供應(yīng)鏈常見(jiàn)威脅為產(chǎn)品斷供、惡意篡改、假冒偽劣、違規(guī)操作、信息泄露。
產(chǎn)品斷供發(fā)生于生產(chǎn)供應(yīng)階段,它發(fā)生在最終用戶的上游階段,由于ICT供應(yīng)鏈的需方與供方存在供應(yīng)關(guān)系,并且在供應(yīng)鏈體系中某一供應(yīng)商為下游供應(yīng)商的供方,同時(shí)也為上游供應(yīng)商的需方,如圖4所示。因此,任一層級(jí)的供應(yīng)商發(fā)生斷供且無(wú)替代產(chǎn)品可選擇的情況下,ICT供應(yīng)鏈由此中斷。
惡意篡改常發(fā)生于生產(chǎn)供應(yīng)、運(yùn)維服務(wù)階段,是指不法分子和敵對(duì)勢(shì)力通過(guò)信息安全技術(shù)手段對(duì)元器件、設(shè)備或系統(tǒng)進(jìn)行故意改變?cè)泄δ?、不法植入的行為。篡改植入可發(fā)生在ICT供應(yīng)鏈的全生命周期的各個(gè)階段,潛在的篡改植入者的目的,就是為了干擾產(chǎn)品正常功能的實(shí)現(xiàn) 、對(duì)產(chǎn)品功能造成損害或竊取有關(guān)數(shù)據(jù),主要方式包括人為攻擊、植入木馬或程序、修改信息數(shù)據(jù)等。
假冒偽劣一般發(fā)生在生產(chǎn)供應(yīng)階段的制造生產(chǎn)環(huán)節(jié),既可以是假冒、劣質(zhì)的產(chǎn)品,也可以是假冒、劣質(zhì)的服務(wù),同樣也包括生產(chǎn)計(jì)劃外未經(jīng)批準(zhǔn)授權(quán)的產(chǎn)品和服務(wù)。其產(chǎn)生原因一般是因?yàn)樯a(chǎn)流程不規(guī)范、質(zhì)量要求不嚴(yán)格所導(dǎo)致,當(dāng)然也可能是生產(chǎn)廠家工人存有報(bào)復(fù)心理、或被策反故意在生產(chǎn)中參假、降低要求進(jìn)行制造。
違規(guī)操作可發(fā)生在ICT供應(yīng)鏈的全生命周期的各個(gè)階段,其威脅主體是各級(jí)供應(yīng)商的內(nèi)部人員,它同時(shí)具備過(guò)失和故意兩種意識(shí)形態(tài)。過(guò)失情形主要指因技能不熟而錯(cuò)誤操作、疏忽大意導(dǎo)致流程上的缺失,故意情形帶有主觀惡意,包括對(duì)信息系統(tǒng)的配置和程序進(jìn)行違法改變、違規(guī)訪問(wèn)收集產(chǎn)品的信息數(shù)據(jù)、違規(guī)降低測(cè)試驗(yàn)收標(biāo)準(zhǔn)、違規(guī)改變運(yùn)維數(shù)據(jù)等。
信息泄露常存在于設(shè)計(jì)研發(fā)階段和生產(chǎn)供應(yīng)階段,設(shè)計(jì)參數(shù)、性能指標(biāo)、測(cè)試數(shù)據(jù)、采購(gòu)生產(chǎn)信息、運(yùn)維數(shù)據(jù)等重要信息,若因信息安全管理能力不足無(wú)意或有意泄露,所造成的風(fēng)險(xiǎn)將相當(dāng)嚴(yán)重[9]。
ICT供應(yīng)鏈軟硬件、服務(wù)自身的脆弱性同樣存在于全生命周期中的各階段。設(shè)計(jì)研發(fā)階段主要包括在進(jìn)行產(chǎn)品服務(wù)的設(shè)計(jì)開(kāi)發(fā)時(shí)是否考慮未來(lái)安全風(fēng)險(xiǎn)的處置應(yīng)對(duì)需求,是否按照法律法規(guī)、行業(yè)標(biāo)準(zhǔn)進(jìn)行安全體系設(shè)置,是否按要求進(jìn)行流程開(kāi)發(fā)。生產(chǎn)供應(yīng)階段主要包括供應(yīng)商管理、采購(gòu)的元件質(zhì)量檢測(cè)、供貨來(lái)源安全驗(yàn)證、外包安全管理措施是否有效,生產(chǎn)環(huán)境的物理環(huán)境、安全監(jiān)管要求是否達(dá)標(biāo),是否按要求開(kāi)展產(chǎn)品驗(yàn)收安全測(cè)試,倉(cāng)儲(chǔ)環(huán)境的物理防護(hù)、安防設(shè)施設(shè)備是否達(dá)標(biāo),產(chǎn)品運(yùn)輸商背景審查、運(yùn)輸途中的安全保障能力是否達(dá)標(biāo)等。運(yùn)維服務(wù)階段主要包括產(chǎn)品的返廠維護(hù)維修的運(yùn)輸條件的安全性、維護(hù)人員的安全可靠性。同時(shí),覆蓋全生命周期的信息系統(tǒng)及數(shù)據(jù)主要包括系統(tǒng)安全漏洞、數(shù)據(jù)留存與備份安全、訪問(wèn)控制權(quán)限設(shè)置等脆弱性[10]。
風(fēng)險(xiǎn)是威脅發(fā)生的充分不必要條件。若當(dāng)供應(yīng)鏈中的脆弱性與威脅主體引起的威脅相對(duì)應(yīng),則會(huì)導(dǎo)致風(fēng)險(xiǎn),如圖5所示。因此,從威脅的角度,研究分析威脅主體所想達(dá)成的目標(biāo),從目標(biāo)尋找應(yīng)對(duì)措施才是正當(dāng)之策。
4 對(duì)我國(guó)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的建議
4.1不斷深化ICT供應(yīng)鏈戰(zhàn)略研究成果
ICT供應(yīng)鏈產(chǎn)品和服務(wù)廣泛遍布于各個(gè)行業(yè)領(lǐng)域,因其復(fù)雜多樣化、全球化的特點(diǎn)則更易產(chǎn)生安全風(fēng)險(xiǎn)問(wèn)題,因此不斷深化ICT供應(yīng)鏈戰(zhàn)略研究是當(dāng)前的必要工作之一。聚集專家智慧庫(kù)、各單位實(shí)情摸底、組織專題研討分析,在全面和系統(tǒng)的戰(zhàn)略研究分析基礎(chǔ)上得到科學(xué)、合理的成果,為明確戰(zhàn)略定位以及后期制度體系的建設(shè)工作筑下基礎(chǔ)堡壘。
4.2 逐步完善ICT供應(yīng)鏈制度體系框架
當(dāng)前,我國(guó)整個(gè)ICT供應(yīng)鏈大部分還處于制度體系空缺階段,相關(guān)部門應(yīng)通過(guò)利用戰(zhàn)略研究、實(shí)地調(diào)研、專家座談等多渠道獲取的成果,從全局進(jìn)行頂層設(shè)計(jì),統(tǒng)籌推進(jìn)制度體系框架的搭建工作,建立ICT供應(yīng)鏈安全管理長(zhǎng)效機(jī)制。同時(shí),積極學(xué)習(xí)借鑒國(guó)外ICT供應(yīng)鏈安全管理先進(jìn)經(jīng)驗(yàn),在符合我國(guó)實(shí)際的情況下,構(gòu)建以法律法規(guī)、管理規(guī)范、標(biāo)準(zhǔn)體系、系統(tǒng)平臺(tái)等多維度為一體的整體框架,并著力加大制度宣貫力度,使各項(xiàng)制度真正落地生根。
4.3 大力推進(jìn)ICT供應(yīng)鏈自主可控建設(shè)
2018年美國(guó)政府宣布7年內(nèi)禁止美國(guó)企業(yè)向我國(guó)電信設(shè)備制造商中興通訊銷售元器件產(chǎn)品,因此,我國(guó)需不斷推進(jìn)ICT供應(yīng)鏈自主可控建設(shè):一是要加強(qiáng)政策引導(dǎo)、資金投入,提高重視程度;二是要保障知識(shí)產(chǎn)權(quán)、長(zhǎng)期堅(jiān)持,穩(wěn)健發(fā)展步伐;三是要加強(qiáng)人才培養(yǎng)、技術(shù)創(chuàng)新,助力國(guó)產(chǎn)化替代進(jìn)程。
5 結(jié)束語(yǔ)
我國(guó)ICT 供應(yīng)鏈安全管理任重道遠(yuǎn),在其全生命周期中的風(fēng)險(xiǎn)與威脅對(duì)安全管理的能力和水平會(huì)隨著時(shí)間推移要求會(huì)愈來(lái)愈高。因此要不斷深化ICT供應(yīng)鏈戰(zhàn)略研究成果,逐步完善ICT供應(yīng)鏈制度體系框架,大力推進(jìn)ICT供應(yīng)鏈自主可控建設(shè)。從頂層制度、規(guī)范體系、共享平臺(tái)三個(gè)維度入手,促使戰(zhàn)略研究成果快速轉(zhuǎn)化為可用成果,在制度的約束下進(jìn)行管理實(shí)踐,共同著力搭建行業(yè)共享平臺(tái),促進(jìn)我國(guó)ICT供應(yīng)鏈安全管理向科學(xué)化、規(guī)范化、樣板化發(fā)展。
參考文獻(xiàn)
[1]?李璐,汪坤.ICT供應(yīng)鏈安全管理綜述[J].中國(guó)信息安全,2019(3):100-103.
[2]?倪光南,陳曉樺,尚燕敏,王海龍,徐克付.國(guó)外ICT供應(yīng)鏈安全管理研究及建議[J].中國(guó)工程科學(xué),2016,18(6):104-109.
[3]?張偉麗,楊宏寧.美國(guó)ICT供應(yīng)鏈管理概況及啟示[J].保密科學(xué)技術(shù),2017(2):24-28.
[4]?范科峰.ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化,2014(6):20-22.
[5]?左曉棟.美國(guó)政府IT供應(yīng)鏈安全政策和措施分析[J].中國(guó)信息安全,2011(3):30-32.
[6]?謝宗曉,董坤祥.ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào),2016(3):16-21.
[7]?GB/T 36637-2018.信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南[S].
[8]?鄭興艷.IT供應(yīng)鏈安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化,2012(6):17-19.
[9]?李璐.淺析重要網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全風(fēng)險(xiǎn)監(jiān)管[J].網(wǎng)絡(luò)空間安全,2018,9(3):85-89.
[10] Shon Harris.CISSP認(rèn)證考試指南(第5版)[M].北京:清華大學(xué)出版社,2011:39-58.