浅析ICT供应链信任体系建设

文│军工保密资格审查认证中心 李璐

2018年4 月美国商务部对中兴通讯禁售零部件、商品、软件和技术；同年8月美国商务部工业安全局将部分军工单位列入出口管制实体清单；2019年5月美国商务部工业安全局将华为列入威胁美国国家安全实体名单，禁止华为从美国企业购买技术及芯片。陆续爆发的供应链安全事件为我国关键基础设施和重要资源（Critical Infrastructure and Key Resources，CIKR）相关领域、行业敲响警钟，ICT供应链的安全可控已迫在眉睫。

ICT供应链特点

ICT供应链（Information and Communications Technology Supply Chain），即信息和通信技术供应链，包含了软、硬件供应链，通常涵盖采购、开发、外包、集成等环节。ICT供应链贯穿多个供需环节，涉及制造商、供应商、系统集成商、服务提供商等多类实体以及技术、法律、政策等软环境，已然是其他供应链的基础，成为“供应链的供应链”。产品供应链如图1所示。

随着ICT产业迅速发展，ICT供应链具备全球分布性、供应商多样性、产品和服务复杂、全生命周期等特点。相对最终用户而言，供应商可分为多个层级，因此，ICT供应链组织结构相对复杂，供需关系呈现出网链结构。如图2所示。

ICT供应链风险来源

ICT供应链的特点及网链结构存在供应中断、信息泄露、被恶意篡改等更多不透明、不可控的安全风险。这些风险主要来自于三个方面：参与产品构成及运维服务主体、产品自身、供应链安全管理能力及要求。

（1）参与产品构成及运维服务主体（以下简称参与主体）风险

产品在交付给最终用户的过程中，会涉及多种参与产品构成的主体（实体角色），包括产品的制造商、供应商、系统集成商、服务提供商等。随着参与主体种类增多、供应商层级的增加，带来的不稳定因素越多：不同公司所代表的利益集团、价值取向、对产品管理要求、产生及存储数据管理要求、其所处国家政治、法律、技术要求等均存在不同甚至是冲突。最终用户对供应链的透明度、理解力、控制能力逐渐降低，风险管理不能有效实施，任一脆弱主体都可能制造漏洞，或是问题主体利用存在的漏洞造成ICT产品不安全，导致ICT供应链断供等安全风险。

（2） 产品自身风险

ICT产品情况直接影响ICT供应链的健壮性，产品自身风险主要分为两个方面，一个是产品的可靠性风险，另一个是产品的信息安全风险。

ICT产品可靠性是用户最关心的问题，产品的功能、性能达到预期效果是保障业务连续性的必要条件，但市场上充斥着大量以次充好的伪劣假冒产品，给航天、石油、电力等关键基础设施的正常运转带来威胁。这些问题主要来自于低水平的生产制造、开发和旧品翻新。

ICT产品的信息安全风险主要来自于产品存在的漏洞、后门、隐蔽功能、间谍软件等。一旦漏洞、后门等被利用，ICT产品面临数据泄露、远程控制的风险。直接影响用户对公司自身的技术、研发能力、所提供的产品安全可靠性的信任。

（3）供应链安全管理风险

ICT产品全生命周期的特点，使其覆盖了产品的设计、研发、采购、生产、仓储、物流、运维等，涉及多个环节、部门和人员，相应的成体系管理能力及要求尤为重要，任何一个环节出现问题都会给整个管理流程带来风险。

目前，ICT供应链安全管理风险主要体现在两个方面，一是缺乏ICT供应链安全意识。因此没有安全管理框架等体系建设，也未能提出相关信息安全管理要求；二是缺乏有效的信息安全检测能力。对于可能存在、可预见的问题无从下手，没有相关标准参照及人员队伍开展安全排查工作。

国外ICT供应链信任体系建立现状

（1）国际标准制定情况

ISO28000系列于2007年发布，是较早的供应链国际标准，主要针对运输和物流业提出供应链安全管理框架及要求，对IT供应链仍有部分指导作用。该系列标准主要四部分组成，ISO 28000:2007供应链安全管理体系规划（Specification for security management systems for the supply chain）、ISO 28001:2007供应链安全管理体系实施供应链安全、评估和计划的最佳实践-要求和指南（Best practices for implementing supply chain security，assessments and plans-Requirements and guidance）、ISO 28003:2007供应链安全管理体系 供应链安全管理系统机构审计和认证要求（Requirements for bodies providing audit and certification of supply chain security management systems）、ISO 28004:2007供应链安全管理体系ISO 28000实施指南（Guidelines for the implementation of ISO 28000）。

ISO/IEC 27036 信息技术 安全技术 供应商关系的信息安全（Information Security for supplier relationships）系列标准是由政府、企业及学术界合作完成的，具有普适性和权威性。该标准分为四部分组成，其第一部分ISO/IEC 27036-1综述和概念，为规则性文件，对ICT供应链中涉及的角色及供应关系进行描述，其中，将信任（Trust）定义为两个实体或元素之间的关系，包括一系列的活动和一个安全策略。第二部分ISO/IEC 27036-2通用要求，对供应关系中的信息安全进行定义，并对实施、操作、评估、应对措施等规定了通用要求；其第三部分ISO/IEC 27036-3 ICT供应链安全指南，从实施层面对ICT供应链中产品和服务的安全风险管理进行描述和分析，明确了供应链关系中信息安全风险的评估和应对措施，是目前唯一的专门针对ICT供应链安全的国际标准；ISO/IEC 27036-4 云服务安全指南，提出云计算在ICT供应链中可能存在的安全风险及应对措施。

（2）美国政府相关管理措施

西方国家关注供应链安全及信任体系建设较早，以美国为例，2002年的布什政府向国会提交的《美国国家安全战略》提出要在网络安全领域先发制人，涉及供应链相关安全问题，详细阐述了采购的步骤和过程，并通过采取系列措施、制定标准等将供应链管理上升至国家安全战略：2002年实施（CSI）货柜安全计划与各国（地区）政府和港口签署货柜安检双边互惠协议，以此模式杜绝具有高危险性质货柜输入；同年，通过成立海关-贸易反恐联盟（C-TPAT）与进口商、运输企业、报关行、仓储业者、制造商等相关产业者，共同建立供应链安全管理系统，共享安全信息；2013年，美国国家标准和技术研究所（NIST）发布《联邦信息系统和组织的供应链风险管理实践指导草案》（NIST SP800-161），为联邦机构建立ICT供应链安全风险控制流程，帮助其识别、评估、实施风险管控并形成最佳实践，旨在保障联邦机构供应链的完整性、可用性、保密性、可控性；2015年美国联邦政府的总务管理局（GSA）与马里兰大学(MU)供应链管理中心从财政稳定度，所有权持续性，信息技术的安全性等多个评估角度进行调查，评判 IT 供应商的可信度，至此，已形成IT、ICT供应链安全信任体系的早期雏形。随着美国政府逐年加大对供应链安全管理研究的投入、相关的标准制定及政策颁布，已在供应链安全、IT供应链安全、ICT供应链安全演进过程中形成了覆盖全面、有效的管理体系制度。

（3）国外公司管理情况

因国外政府在供应链安全管理及信任方面关注较早，其国内相关企业在政府指导下也较早开展了系列工作，梳理总结其供应链情况，并制定对硬件、软件等从源头配套零件到中间产品、最终产品直至交付用户全流程相关管理制度。

以美国苹果公司为例，其公布的2019年数据，涉及200多个供应商800多家工厂，汇聚了全球各行业的龙头企业。针对大量的供应商，苹果公司制定了详细的管理制度对上游供应商严加管理，不同于其他厂商仅采取功能测试对上游元器件验收流程，而是通过详细掌控每一个元器件的来源、研发、生产、测试等过程，来完全控制产品生产的每道环节，以保证产品的安全性、可用性。

ICT供应链信任评价模型

鉴于ICT供应链主要风险来源，参与主体、产品和服务自身及供应链安全管理是影响ICT供应链信任体系重要因素。因此，ICT供应链信任模型可用下列公式表示：

Confidence=ζ（参与主体、产品和服务、供应链安全管理）

参与主体：作为ICT供应链信任体系的重要影响因素，主要评判产品是否来自于可信赖的公司。可通过特殊审查和相关资格认证等方式，对公司的股权架构、经营决策、资金运营、人事安全、绩效和信誉、不良记录等状况，及公司所属国家的技术、法律、政策软环境要求等各种背景情况进行了解掌握。

产品和服务：主要评判产品和服务自身的可信情况，包含产品和服务的可靠性及安全性。可靠性主要针对产品性能指标、功能实现等对照需求标准进行符合性检测，同时要防止产品质量问题，如假冒伪劣、翻新等情况出现。安全性方面需要对产品开展信息安全方面检测评估，减少产品因隐蔽信道、漏洞、后门引起数据泄露、远程控制等风险。

供应链安全管理：该部分因素主要评判厂商在供应链安全管理可信情况。了解厂商如何确保用户利益，通过了解厂商在ICT供应链政策、方针、管理制度、流程制定和执行情况，以及所获得的有关科研生产能力、产品质量管理能力等方面资质证明，对其风险管控能力进行评判。

结束语

随着大国博弈日益激烈，先进技术产业竞争态势加剧，供应链安全已上升至国家安全战略，有效规范和保护ICT供应链安全已成为网络安全的重中之重。我国各重点行业在供应链重视程度及安全管理起步较晚， ICT供应链安全风险评估机制和手段尚需完善。建议各重点行业开展本行业ICT供应链风险评价试点工作，尽快建立ICT供应链安全管理的长效机制，健全、保障关键基础设施的网络安全相关工作。

（本文刊登于《中国信息安全》杂志2019年第8期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。