引用本文:王博,吴舟婷,吴倩,等.关键信息基础设施ICT供应链安全风险评估指标体系研究[J].信息安全与通信保密,2020(12):103-111.
摘要
随着信息通信技术(ICT)在党政部门、重点行业领域的普及应用,加强ICT产品服务供应链的安全可控保障变得至关重要。研究从指标框架、指标体系、指标释义和实施过程等方面构建了一套针对关键信息基础设施ICT供应链安全的评估指标体系,该体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点,可作为评价关键信息基础设施ICT供应链安全程度的依据,进而促进关键信息基础设施ICT供应链安全的检测评估工作开展。
关键词:信息通信技术;关键信息基础设施;供应链;风险评估
内容目录:
0 引 言
1 ICT供应链安全风险评估指标体系
2 关键信息基础设施ICT供应链安全风险评估指标释义
3 ICT供应链安全风险评估实施过程
3.1 评估准备
3.2 评估方案编制
3.3 安全评估实施
3.4 评估结果分析
3.5 安全报告编制
4 结 论
00 引言
随着信息通信技术(nformation & Communication Technology,ICT)在党政部门、重点行业领域的普及应用,加强ICT产品服务供应链的安全可控保障变得至关重要。与传统供应链相比,ICT供应链覆盖了ICT产品服务的全生命周期,任何一个环节的安全隐患都能随着供应链网络进行传播和放大。例如,2015年9月针对苹果公司的集成开发工具Xcode的攻击,通过影响编译环境间接攻击了软件产品,最终影响了数亿的终端用户。
在ICT采购全球化的态势下,ICT供应链安全与国家安全间的关系愈发密切。2019年5月,特朗普总统签署第 13873 号行政令《确保信息和通信技术及服务供应链安全》,以国家安全遭遇威胁为由宣告国家进入紧急状态,将ICT供应链安全上升为国家安全问题。2019年11月,美国商务部出台《< 确保信息通信技术与服务供应链安全 > 审查规则草案》使其获得更为广泛的权力,得以全面干预甚至终止所有涉及ICT供应链的外国交易。
随后,2019年5月和10月,美国商务部分别将华为及其旗下累积达144个附属关联公司以及海康威视、科大讯飞、旷世科技、大华科技、依图科技、颐信科技等公司列入出口管制的“实体清单”。2020年1月3日,美国商务部工业安全局又进一步限制人工智能等软件的出口。
至此,美国将ICT供应链安全作为其维护技术领先地位、实施贸易制裁的重要手段,针对中国高科技企业发起单边制裁与措施,这不仅使信息通信技术领域企业的供应链安全受到威胁,还将威胁我国基础设施和关键资源的安全与ICT自主控制权,进而影响我国的政治、经济和社会安全。因此,保障ICT供应链安全是关乎我国网络空间安全的重要问题。
针对以上严峻的安全现状和关键信息基础设施实际的网络安全要求,本论文参考国内外现有标准研究,从指标框架、指标体系、指标释义和实施过程等方面构建一套针对关键信息基础设施的ICT供应链安全的评估指标体系,实现关键信息基础设施ICT供应链安全的检测评估。区别于作为风险管理活动的重要组成部分的风险评估(risk accessment),本项目提出的评估指标体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点,作为评价关键信息基础设施ICT供应链安全程度的依据。
01 ICT供应链安全风险评估指标体系
关键信息基础设施ICT供应链安全风险评估指标体系共有三个层级,其中第一层级指标对应关键信息基础设施建设、运行和安全防护的三个大方面,用建设情况指标评估ICT供应链安全措施;用运行能力指标评估ICT供应链安全能力;用安全效果指标评估ICT供应链安全程度。二级指标对应在三个大方面中应该考虑的具体元素,三级指标对应具体指导落地实施的评估因素。如图1所示:
图1 关键信息基础设施ICT供应链安全风险评估指标体系
关键信息基础设施ICT供应链安全风险评估指标体系如表1所示,包含由3个一级指标和12个二级指标构成的指标框架以及45个三级指标,三级指标为可用于测量的底层指标。
02 关键信息基础设施ICT供应链安全风险评估指标释义
关键信息基础设施ICT供应链安全风险评估指标体系由建设情况指标、运行能力指标和安全效果指标这三类一级指标构成,其中每个一级指标下又分为若干二级指标,并详细划分到三级指标。其中:
(1)建设情况指标主要描述了关键信息基础设施ICT供应链安全体系的建设情况。
(2)运行能力指标主要用来评估关键信息基础设施ICT供应链安全体系运行能力。
(3)安全效果指标主要用于评估关键信息基础设施ICT供应链安全效果情况。
ICT供应链安全风险评估指标的具体释义如表2所示:
03 ICT供应链安全风险评估实施过程
ICT供应链安全评估的目标在于评估关键信息基础设施ICT供应链建设情况、运行能力和安全效果等各个方面,输出可能的风险点,作为评价关键信息基础设施ICT供应链安全程度的依据。安全评估的过程包括评估准备、评估方案编制、安全评估实施、评估结果分析以及安全程度报告等部分。
3.1 评估准备
评估准备是否充分关系到评估结果科学性、有效性以及评估工作是否能够顺利开展。评估准备活动的主要任务是明确评估目的,熟悉指标及其含义,制定评估项目计划,并做好相应文档准备工作。
3.2 评估方案编制
本项活动的主要任务是明确评估目标、评估对象及测量方法,经过裁剪、增加确定安全评估程序,最终完成评估方案编制并获得执行评估的相关权限。
3.3 安全评估实施
本项活动的主要任务是执行评估方案,包括针对评估目标采用检查、访问和测试等方法评估相应的文档、设备或活动,输出针对各项指标点的评估结果,评估结果示例如表3所示:
(1)访谈:评估实施方通过与供应方相关人员进行有针对性的交流以帮助理解、厘清或取得证据,访谈的对象为个人或团体,如技术团队负责人、核心技术工程师、采购部门负责人等;
(2)检查:评估实施方对供应方提供的相关材料进行观察、查验、分析以帮助理解、厘清或取得证据,检查的对象为制度、文档和记录, 如必要的技术设计文档、核心材料采购记录等;
(3)测试:评估实施方使用预定的方法/工具使测试对象产生特定的结果,并将运行结果与预期的结果进行比对,测试的对象为信息技术产品的技术或功能特性,如安全可控产品适配性、重现结果与产品一致性等。
3.4 评估结果分析
本项活动的主要任务是审核安全评估实施阶段获得的评估结果,并确定应对评估中发现的弱点和不足采取相应的调查或者补救措施。如表 3 所示,以组织机构建设指标为例,说明指标的测量过程。
3.5 安全报告编制
本项活动的主要任务是根据评估结果以及评估过程反映出的情况,形成评估报告文本。
04 结论
关键信息基础设施作为关系国家安全、国计民生、公共利益的信息基础系统,其供应链的安全与否具有极其重要的意义。本文从指标框架、指标体系、指标释义和实施过程等方面构建了一套针对关键信息基础设施ICT供应链安全的评估指标体系,促进关键信息基础设施ICT供应链安全的检测评估工作开展,提出的评估指标体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点。可以作为评价关键信息基础设施ICT供应链安全程度的重要依据。
作者简介
王博(1982—),男,博士,高级工程师,主要研究方向为网络安全;
吴舟婷(1988—),女,博士,副教授,主要研究方向为地球同步轨道 SAR 成像算法、网络安全;
吴倩(1987—),女, 博士,工程师,主要研究方向为网络安全、软件安全编程;
罗森林(1968—),男,博士,教授博导,主要研究方向为信息安全与对抗、网络安全。
选自《信息安全与通信保密》2020年第12期(为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。