何昊坤 李璐

摘要：隨著信息通信技術(shù)（ICT）產(chǎn)品和服務(wù)逐漸被廣泛應(yīng)用于各重點(diǎn)行業(yè)，其全球化特點(diǎn)所帶來(lái)的安全事件頻發(fā)，ICT供應(yīng)鏈安全管理成為各行業(yè)乃至國(guó)家關(guān)注的焦點(diǎn)。文章分析了當(dāng)前ICT供應(yīng)鏈國(guó)內(nèi)外研究和管理現(xiàn)狀，研究了識(shí)別ICT供應(yīng)鏈全生命周期中存在的安全風(fēng)險(xiǎn)類型，旨在重點(diǎn)保障ICT供應(yīng)鏈全生命周期的保密性、完整性、可用性、可控性，并結(jié)合我國(guó)目前ICT供應(yīng)鏈安全管理實(shí)際提出了具體的建議，為不斷加強(qiáng)ICT供應(yīng)鏈安全管理工作，提供了一定的參考和借鑒。

關(guān)鍵詞：ICT供應(yīng)鏈;安全管理;風(fēng)險(xiǎn)識(shí)別

中圖分類號(hào)：TP393.08????????? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

信息通信技術(shù)供應(yīng)鏈（Information and Communication Technology Supply Chain）這一新興概念由傳統(tǒng)供應(yīng)鏈發(fā)展演變而來(lái)。ICT供應(yīng)鏈在傳統(tǒng)供應(yīng)鏈基礎(chǔ)之上，包含了信息通信技術(shù)和相應(yīng)的配套服務(wù)，它在整個(gè)生命周期內(nèi)通過(guò)一系列資源和過(guò)程，將需求方、供應(yīng)方等多個(gè)主體有機(jī)聯(lián)系，并形成復(fù)雜多樣化、全球化的網(wǎng)鏈系統(tǒng)結(jié)構(gòu)，涵蓋了信息流、資金流、物流所涉及的全部活動(dòng)，較傳統(tǒng)供應(yīng)鏈相比，層次更深化、范圍更廣泛[1]。

因其復(fù)雜化、全球化特點(diǎn)，ICT供應(yīng)鏈所衍生出的風(fēng)險(xiǎn)也逐漸凸顯，安全事件時(shí)有發(fā)生，在全生命周期的各階段保密性、完整性、可用性、可控性等基礎(chǔ)要求，亟需有效的安全保障，安全管理工作形勢(shì)嚴(yán)峻。因此，針對(duì)突出問(wèn)題加強(qiáng)ICT供應(yīng)鏈安全管理，彌補(bǔ)安全漏洞，提升管理能力及水平，保護(hù)國(guó)家相關(guān)利益迫在眉睫。

2國(guó)內(nèi)外ICT供應(yīng)鏈安全管理現(xiàn)狀

2.1國(guó)外ICT供應(yīng)鏈安全管理現(xiàn)狀

國(guó)外在ICT供應(yīng)鏈安全管理研究上起步較早，特別是以美國(guó)為代表的西方國(guó)家，在ICT供應(yīng)鏈安全管理工作上都有了顯著的成績(jī)。目前，建立起了以法律法規(guī)、標(biāo)準(zhǔn)體系、業(yè)務(wù)部門為主的整體管理框架，其相當(dāng)一部分成果都是目前ICT安全管理工作的先進(jìn)經(jīng)驗(yàn)，可為他國(guó)ICT安全管理體系建設(shè)提供參考[2]。

（1）美國(guó)ICT供應(yīng)鏈安全管理現(xiàn)狀

就美國(guó)而言，其經(jīng)歷了傳統(tǒng)供應(yīng)鏈、IT供應(yīng)鏈、ICT供應(yīng)鏈的演變，由最初只關(guān)注貨物產(chǎn)品本身安全的焦點(diǎn)轉(zhuǎn)變到信息技術(shù)安全再到現(xiàn)如今信息通信技術(shù)和服務(wù)的安全，關(guān)注焦點(diǎn)逐漸寬泛，層次不斷深入，內(nèi)涵更加復(fù)雜。美國(guó)對(duì)于ICT供應(yīng)鏈安全管理出臺(tái)的法律法規(guī)、標(biāo)準(zhǔn)體系，以及專門成立的相關(guān)業(yè)務(wù)部門，其管理實(shí)踐成果在國(guó)際上都處于領(lǐng)先水平。

在2002年，美國(guó)政府就供應(yīng)鏈和信息技術(shù)安全之間的關(guān)系展開(kāi)了相應(yīng)的研究，而且將其納入到了國(guó)家信息安全戰(zhàn)略中，可謂重視程度之高。在近幾年中，美國(guó)又陸續(xù)出臺(tái)了若干政策文件，如表1所示。同時(shí)，美國(guó)制定了ICT供應(yīng)鏈信息系統(tǒng)安全標(biāo)準(zhǔn)鞏固發(fā)展相關(guān)研究，如圖1所示。到2009年奧巴馬政府時(shí)期，ICT供應(yīng)鏈安全問(wèn)題從此被納入國(guó)家安全范疇，重視程度達(dá)到了有史以來(lái)的最高點(diǎn)[3]。

2013年由美國(guó)NIST制定出臺(tái)的SP800-161《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐標(biāo)準(zhǔn)》，將政府機(jī)構(gòu)采購(gòu)ICT產(chǎn)品和相應(yīng)服務(wù)與ICT供應(yīng)鏈安全風(fēng)險(xiǎn)問(wèn)題相整合，形成了以風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)指標(biāo)分析及風(fēng)險(xiǎn)應(yīng)對(duì)為一體的整體安全風(fēng)險(xiǎn)管理體系，為美國(guó)政府ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理提供專業(yè)化指導(dǎo)。該標(biāo)準(zhǔn)是對(duì)ISO/IEC 27036-3標(biāo)準(zhǔn)的完善和深化，但這一標(biāo)準(zhǔn)是專門針對(duì)美國(guó)政府的需求和現(xiàn)狀所制定的，因此帶有一定的局限性，不適宜他國(guó)直接引用，可作為一定的參考[4]。

在出臺(tái)相應(yīng)政策文件的同時(shí)，美國(guó)政府于2008年成立了專門針對(duì)ICT供應(yīng)鏈安全管理的4個(gè)專職機(jī)構(gòu)，分別是高級(jí)指導(dǎo)機(jī)構(gòu)、采購(gòu)政策管理機(jī)構(gòu)、安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)機(jī)構(gòu)和安全威脅信息共享機(jī)構(gòu)[5]。這些機(jī)構(gòu)的主要工作內(nèi)容為風(fēng)險(xiǎn)信息分析與共享、標(biāo)準(zhǔn)體系文件的制定、法律法規(guī)的出臺(tái)以及相關(guān)工作的協(xié)調(diào)處置。負(fù)責(zé)上述專職機(jī)構(gòu)工作的國(guó)家部門涉及美聯(lián)邦政府、國(guó)土安全部、國(guó)防部、國(guó)家審計(jì)局、總務(wù)局、標(biāo)準(zhǔn)技術(shù)研究院、國(guó)家情報(bào)總監(jiān)辦公室等。

（2）ICT供應(yīng)鏈安全管理國(guó)際標(biāo)準(zhǔn)

ICT供應(yīng)鏈安全管理國(guó)際標(biāo)準(zhǔn)的發(fā)展歷程主體，可概括為由傳統(tǒng)供應(yīng)鏈逐漸向ICT供應(yīng)鏈轉(zhuǎn)變的“兩階段”發(fā)展。目前，有ISO/IEC 27000信息安全管理體系中，專門針對(duì)供應(yīng)鏈安全管理而制定的ISO/IEC 27036《信息技術(shù) 安全 技術(shù) 供應(yīng)商關(guān)系的信息安全》，ISO/IEC 27036由ISO/IEC 27036-1概述和相關(guān)概念、ISO/IEC 27036-2相關(guān)要求、ISO/IEC 27036-3 ICT供應(yīng)鏈信息安全指南、ISO/IEC 27036-4云服務(wù)安全指南四個(gè)部分構(gòu)成，如圖2所示[6]。其中，ISO/IEC 27036-3為針對(duì)ICT供應(yīng)鏈安全管理所制定的國(guó)際標(biāo)準(zhǔn)。以上四份標(biāo)準(zhǔn)化文件，為層層互聯(lián)、相互聯(lián)系關(guān)系，ISO/IEC 27036-1與ISO/IEC 27036-2搭建起整個(gè)標(biāo)準(zhǔn)體系的主體框架，對(duì)ICT供應(yīng)鏈的定義、范圍、實(shí)施、評(píng)估等基本性要素進(jìn)行了規(guī)定;ISO/IEC 27036-3專門針對(duì)ICT供應(yīng)鏈中的信息安全操作規(guī)范和標(biāo)準(zhǔn)實(shí)施流程進(jìn)行了規(guī)定，同時(shí)對(duì)風(fēng)險(xiǎn)評(píng)估及應(yīng)對(duì)進(jìn)行了相關(guān)闡述，該標(biāo)準(zhǔn)為強(qiáng)制性標(biāo)準(zhǔn);ISO/IEC 27036-4則是根據(jù)當(dāng)前云計(jì)算技術(shù)發(fā)展背景制定的ICT供應(yīng)鏈風(fēng)險(xiǎn)識(shí)別分析及應(yīng)對(duì)措施。

2.2 國(guó)內(nèi)ICT供應(yīng)鏈安全管理現(xiàn)狀

我國(guó)供應(yīng)鏈安全管理的研究最早可追溯到20世紀(jì)90年代，當(dāng)時(shí)是與“現(xiàn)代物流”這一概念一同引進(jìn)的。在黨的十九大報(bào)告中也首次提出了“現(xiàn)代供應(yīng)鏈”的新理念，將傳統(tǒng)供應(yīng)鏈的內(nèi)涵賦予新的時(shí)代意義，同時(shí)也代表了將供應(yīng)鏈發(fā)展提升到國(guó)家發(fā)展戰(zhàn)略層面。對(duì)于ICT供應(yīng)鏈安全管理而言，我國(guó)相對(duì)于歐美等國(guó)家起步較晚，雖然目前有一定的研究成果，但是還處于發(fā)展起步階段，相關(guān)制度體系還待進(jìn)一步建設(shè)。

我國(guó)專門針對(duì)ICT供應(yīng)鏈安全管理制定的國(guó)家標(biāo)準(zhǔn)，即GB/T 36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》主要從ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制措施兩個(gè)方面進(jìn)行具體闡述。ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程主要包含背景分析、風(fēng)險(xiǎn)評(píng)估處置、風(fēng)險(xiǎn)監(jiān)督檢查、風(fēng)險(xiǎn)溝通記錄四個(gè)板塊，ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制措施則從技術(shù)安全措施和管理安全措施兩個(gè)維度進(jìn)行具體闡述，標(biāo)準(zhǔn)后附ICT供應(yīng)鏈概述、安全威脅、安全脆弱性三個(gè)資料性附錄，重點(diǎn)目標(biāo)是為了保障當(dāng)前ICT供應(yīng)鏈完整性、保密性、可用性、可控性[7]。

當(dāng)前，國(guó)內(nèi)對(duì)于ICT供應(yīng)鏈安全管理研究的文獻(xiàn)資料，都闡述了ICT供應(yīng)鏈的基礎(chǔ)概念及定義、風(fēng)險(xiǎn)識(shí)別以及國(guó)外發(fā)展研究現(xiàn)狀，但對(duì)于全生命周期中的采購(gòu)、生產(chǎn)、研發(fā)、服務(wù)等環(huán)節(jié)的安全風(fēng)險(xiǎn)評(píng)估方法及防范應(yīng)對(duì)措施，未開(kāi)展詳細(xì)的剖析。

3 ICT供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別分析

ICT供應(yīng)鏈全生命周期可分為設(shè)計(jì)研發(fā)、生產(chǎn)供應(yīng)、運(yùn)維服務(wù)三個(gè)階段。設(shè)計(jì)研發(fā)階段包括設(shè)計(jì)、研發(fā)，生產(chǎn)供應(yīng)階段包括采購(gòu)、生產(chǎn)、驗(yàn)收、倉(cāng)儲(chǔ)、物流，運(yùn)維服務(wù)階段包括運(yùn)維、返貨，與各階段相配套的信息系統(tǒng)及數(shù)據(jù)覆蓋整個(gè)生命周期，如圖3所示。

由于其全球化分布、產(chǎn)品服務(wù)復(fù)雜、供需方多樣性、全生命周期的特點(diǎn)，使ICT供應(yīng)鏈面臨著各種安全威脅，威脅主體引起的威脅利用軟硬件、服務(wù)自身的脆弱性，導(dǎo)致ICT產(chǎn)品和服務(wù)產(chǎn)生安全風(fēng)險(xiǎn)，以致ICT供應(yīng)鏈在保密性、完整性、可用性、可控性上受到破壞。

安全威脅按其性質(zhì)可分為非人為威脅和人為威脅。非人為威脅是因其周邊環(huán)境因素的異常改變而導(dǎo)致的，通常具有不可抗力性，如臺(tái)風(fēng)、地震等自然災(zāi)害和潮濕、灰塵、磁場(chǎng)等周邊環(huán)境危害;供應(yīng)鏈中的設(shè)施設(shè)備、信息系統(tǒng)本身故障等;政策因素、產(chǎn)品斷供等突發(fā)事件;同時(shí)，包括因供應(yīng)鏈中各參與者因其本身過(guò)失或其他原因而造成的結(jié)果，主要包括專業(yè)技能不足、疏忽大意、系統(tǒng)誤差、信息泄露等。人為威脅指的是供應(yīng)鏈內(nèi)外部人員因其主觀惡意試圖破壞供應(yīng)鏈而采取的攻擊行為，主要包括惡意篡改、信息泄露、假冒偽劣、違規(guī)操作等[8]。ICT供應(yīng)鏈常見(jiàn)威脅為產(chǎn)品斷供、惡意篡改、假冒偽劣、違規(guī)操作、信息泄露。

產(chǎn)品斷供發(fā)生于生產(chǎn)供應(yīng)階段，它發(fā)生在最終用戶的上游階段，由于ICT供應(yīng)鏈的需方與供方存在供應(yīng)關(guān)系，并且在供應(yīng)鏈體系中某一供應(yīng)商為下游供應(yīng)商的供方，同時(shí)也為上游供應(yīng)商的需方，如圖4所示。因此，任一層級(jí)的供應(yīng)商發(fā)生斷供且無(wú)替代產(chǎn)品可選擇的情況下，ICT供應(yīng)鏈由此中斷。

惡意篡改常發(fā)生于生產(chǎn)供應(yīng)、運(yùn)維服務(wù)階段，是指不法分子和敵對(duì)勢(shì)力通過(guò)信息安全技術(shù)手段對(duì)元器件、設(shè)備或系統(tǒng)進(jìn)行故意改變?cè)泄δ?、不法植入的行為。篡改植入可發(fā)生在ICT供應(yīng)鏈的全生命周期的各個(gè)階段，潛在的篡改植入者的目的，就是為了干擾產(chǎn)品正常功能的實(shí)現(xiàn) 、對(duì)產(chǎn)品功能造成損害或竊取有關(guān)數(shù)據(jù)，主要方式包括人為攻擊、植入木馬或程序、修改信息數(shù)據(jù)等。

假冒偽劣一般發(fā)生在生產(chǎn)供應(yīng)階段的制造生產(chǎn)環(huán)節(jié)，既可以是假冒、劣質(zhì)的產(chǎn)品，也可以是假冒、劣質(zhì)的服務(wù)，同樣也包括生產(chǎn)計(jì)劃外未經(jīng)批準(zhǔn)授權(quán)的產(chǎn)品和服務(wù)。其產(chǎn)生原因一般是因?yàn)樯a(chǎn)流程不規(guī)范、質(zhì)量要求不嚴(yán)格所導(dǎo)致，當(dāng)然也可能是生產(chǎn)廠家工人存有報(bào)復(fù)心理、或被策反故意在生產(chǎn)中參假、降低要求進(jìn)行制造。

違規(guī)操作可發(fā)生在ICT供應(yīng)鏈的全生命周期的各個(gè)階段，其威脅主體是各級(jí)供應(yīng)商的內(nèi)部人員，它同時(shí)具備過(guò)失和故意兩種意識(shí)形態(tài)。過(guò)失情形主要指因技能不熟而錯(cuò)誤操作、疏忽大意導(dǎo)致流程上的缺失，故意情形帶有主觀惡意，包括對(duì)信息系統(tǒng)的配置和程序進(jìn)行違法改變、違規(guī)訪問(wèn)收集產(chǎn)品的信息數(shù)據(jù)、違規(guī)降低測(cè)試驗(yàn)收標(biāo)準(zhǔn)、違規(guī)改變運(yùn)維數(shù)據(jù)等。

信息泄露常存在于設(shè)計(jì)研發(fā)階段和生產(chǎn)供應(yīng)階段，設(shè)計(jì)參數(shù)、性能指標(biāo)、測(cè)試數(shù)據(jù)、采購(gòu)生產(chǎn)信息、運(yùn)維數(shù)據(jù)等重要信息，若因信息安全管理能力不足無(wú)意或有意泄露，所造成的風(fēng)險(xiǎn)將相當(dāng)嚴(yán)重[9]。

ICT供應(yīng)鏈軟硬件、服務(wù)自身的脆弱性同樣存在于全生命周期中的各階段。設(shè)計(jì)研發(fā)階段主要包括在進(jìn)行產(chǎn)品服務(wù)的設(shè)計(jì)開(kāi)發(fā)時(shí)是否考慮未來(lái)安全風(fēng)險(xiǎn)的處置應(yīng)對(duì)需求，是否按照法律法規(guī)、行業(yè)標(biāo)準(zhǔn)進(jìn)行安全體系設(shè)置，是否按要求進(jìn)行流程開(kāi)發(fā)。生產(chǎn)供應(yīng)階段主要包括供應(yīng)商管理、采購(gòu)的元件質(zhì)量檢測(cè)、供貨來(lái)源安全驗(yàn)證、外包安全管理措施是否有效，生產(chǎn)環(huán)境的物理環(huán)境、安全監(jiān)管要求是否達(dá)標(biāo)，是否按要求開(kāi)展產(chǎn)品驗(yàn)收安全測(cè)試，倉(cāng)儲(chǔ)環(huán)境的物理防護(hù)、安防設(shè)施設(shè)備是否達(dá)標(biāo)，產(chǎn)品運(yùn)輸商背景審查、運(yùn)輸途中的安全保障能力是否達(dá)標(biāo)等。運(yùn)維服務(wù)階段主要包括產(chǎn)品的返廠維護(hù)維修的運(yùn)輸條件的安全性、維護(hù)人員的安全可靠性。同時(shí)，覆蓋全生命周期的信息系統(tǒng)及數(shù)據(jù)主要包括系統(tǒng)安全漏洞、數(shù)據(jù)留存與備份安全、訪問(wèn)控制權(quán)限設(shè)置等脆弱性[10]。

風(fēng)險(xiǎn)是威脅發(fā)生的充分不必要條件。若當(dāng)供應(yīng)鏈中的脆弱性與威脅主體引起的威脅相對(duì)應(yīng)，則會(huì)導(dǎo)致風(fēng)險(xiǎn)，如圖5所示。因此，從威脅的角度，研究分析威脅主體所想達(dá)成的目標(biāo)，從目標(biāo)尋找應(yīng)對(duì)措施才是正當(dāng)之策。

4 對(duì)我國(guó)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的建議

4.1不斷深化ICT供應(yīng)鏈戰(zhàn)略研究成果

ICT供應(yīng)鏈產(chǎn)品和服務(wù)廣泛遍布于各個(gè)行業(yè)領(lǐng)域，因其復(fù)雜多樣化、全球化的特點(diǎn)則更易產(chǎn)生安全風(fēng)險(xiǎn)問(wèn)題，因此不斷深化ICT供應(yīng)鏈戰(zhàn)略研究是當(dāng)前的必要工作之一。聚集專家智慧庫(kù)、各單位實(shí)情摸底、組織專題研討分析，在全面和系統(tǒng)的戰(zhàn)略研究分析基礎(chǔ)上得到科學(xué)、合理的成果，為明確戰(zhàn)略定位以及后期制度體系的建設(shè)工作筑下基礎(chǔ)堡壘。

4.2 逐步完善ICT供應(yīng)鏈制度體系框架

當(dāng)前，我國(guó)整個(gè)ICT供應(yīng)鏈大部分還處于制度體系空缺階段，相關(guān)部門應(yīng)通過(guò)利用戰(zhàn)略研究、實(shí)地調(diào)研、專家座談等多渠道獲取的成果，從全局進(jìn)行頂層設(shè)計(jì)，統(tǒng)籌推進(jìn)制度體系框架的搭建工作，建立ICT供應(yīng)鏈安全管理長(zhǎng)效機(jī)制。同時(shí)，積極學(xué)習(xí)借鑒國(guó)外ICT供應(yīng)鏈安全管理先進(jìn)經(jīng)驗(yàn)，在符合我國(guó)實(shí)際的情況下，構(gòu)建以法律法規(guī)、管理規(guī)范、標(biāo)準(zhǔn)體系、系統(tǒng)平臺(tái)等多維度為一體的整體框架，并著力加大制度宣貫力度，使各項(xiàng)制度真正落地生根。

4.3 大力推進(jìn)ICT供應(yīng)鏈自主可控建設(shè)

2018年美國(guó)政府宣布7年內(nèi)禁止美國(guó)企業(yè)向我國(guó)電信設(shè)備制造商中興通訊銷售元器件產(chǎn)品，因此，我國(guó)需不斷推進(jìn)ICT供應(yīng)鏈自主可控建設(shè)：一是要加強(qiáng)政策引導(dǎo)、資金投入，提高重視程度;二是要保障知識(shí)產(chǎn)權(quán)、長(zhǎng)期堅(jiān)持，穩(wěn)健發(fā)展步伐;三是要加強(qiáng)人才培養(yǎng)、技術(shù)創(chuàng)新，助力國(guó)產(chǎn)化替代進(jìn)程。

5 結(jié)束語(yǔ)

我國(guó)ICT 供應(yīng)鏈安全管理任重道遠(yuǎn)，在其全生命周期中的風(fēng)險(xiǎn)與威脅對(duì)安全管理的能力和水平會(huì)隨著時(shí)間推移要求會(huì)愈來(lái)愈高。因此要不斷深化ICT供應(yīng)鏈戰(zhàn)略研究成果，逐步完善ICT供應(yīng)鏈制度體系框架，大力推進(jìn)ICT供應(yīng)鏈自主可控建設(shè)。從頂層制度、規(guī)范體系、共享平臺(tái)三個(gè)維度入手，促使戰(zhàn)略研究成果快速轉(zhuǎn)化為可用成果，在制度的約束下進(jìn)行管理實(shí)踐，共同著力搭建行業(yè)共享平臺(tái)，促進(jìn)我國(guó)ICT供應(yīng)鏈安全管理向科學(xué)化、規(guī)范化、樣板化發(fā)展。

參考文獻(xiàn)

[1]?李璐，汪坤.ICT供應(yīng)鏈安全管理綜述[J].中國(guó)信息安全，2019（3）：100-103.

[2]?倪光南，陳曉樺，尚燕敏，王海龍，徐克付.國(guó)外ICT供應(yīng)鏈安全管理研究及建議[J].中國(guó)工程科學(xué)，2016，18（6）：104-109.

[3]?張偉麗，楊宏寧.美國(guó)ICT供應(yīng)鏈管理概況及啟示[J].保密科學(xué)技術(shù)，2017（2）：24-28.

[4]?范科峰.ICT供應(yīng)鏈風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2014（6）：20-22.

[5]?左曉棟.美國(guó)政府IT供應(yīng)鏈安全政策和措施分析[J].中國(guó)信息安全，2011（3）：30-32.

[6]?謝宗曉，董坤祥.ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（3）：16-21.

[7]?GB/T 36637-2018.信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南[S].

[8]?鄭興艷.IT供應(yīng)鏈安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012（6）：17-19.

[9]?李璐.淺析重要網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全風(fēng)險(xiǎn)監(jiān)管[J].網(wǎng)絡(luò)空間安全，2018，9（3）：85-89.

[10] Shon Harris.CISSP認(rèn)證考試指南（第5版）[M].北京：清華大學(xué)出版社，2011：39-58.