近年來，針對(duì)ICT供應(yīng)鏈的安全攻擊事件呈快速增長(zhǎng)態(tài)勢(shì)，開源軟件頻繁曝出的高危漏洞、軟件廠家為維護(hù)便利而內(nèi)置的默認(rèn)權(quán)限或后門、源代碼泄露造成的0Day、nDay漏洞攻擊事件等，都給ICT供應(yīng)鏈帶來了巨大的安全挑戰(zhàn)。

與傳統(tǒng)供應(yīng)鏈相比，ICT供應(yīng)鏈具有許多不同的特點(diǎn)：

首先，ICT供應(yīng)鏈涵蓋ICT產(chǎn)品和服務(wù)的全生命周期，包括傳統(tǒng)供應(yīng)鏈的生產(chǎn)、集成、倉(cāng)儲(chǔ)、交付等供應(yīng)階段，也包括產(chǎn)品服務(wù)的設(shè)計(jì)開發(fā)階段和售后維護(hù)階段，

其次，ICT產(chǎn)品由全球分布的供應(yīng)商開發(fā)、集成或交付，供應(yīng)鏈的全球分布性使得客戶對(duì)供應(yīng)鏈的掌握情況和安全風(fēng)險(xiǎn)控制能力在下降，

最后，傳統(tǒng)供應(yīng)鏈主要關(guān)注產(chǎn)品的交付和供應(yīng)鏈的健壯性，而ICT供應(yīng)鏈安全更關(guān)注是否會(huì)有額外的功能注入產(chǎn)品和服務(wù)中，交付的產(chǎn)品和服務(wù)是否與預(yù)期一致等安全特性。這些特點(diǎn)使得ICT供應(yīng)鏈比傳統(tǒng)供應(yīng)鏈存在更多的安全風(fēng)險(xiǎn)。

為了保障ICT供應(yīng)鏈安全，國(guó)家市場(chǎng)監(jiān)督管理總局和中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了GB/T36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(以下簡(jiǎn)稱《指南》)，來規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理。

《指南》規(guī)定了信息通信技術(shù)(以下簡(jiǎn)稱ICT)供應(yīng)鏈的安全風(fēng)險(xiǎn)管理過程和控制措施，適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供方和運(yùn)營(yíng)者對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)管理，也適用于指導(dǎo)ICT產(chǎn)品和服務(wù)的供方和需方加強(qiáng)供應(yīng)鏈安全管理，同時(shí)還可供第三方測(cè)評(píng)機(jī)構(gòu)對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)參考。

《指南》分為7個(gè)部分和3個(gè)附錄，主要包括術(shù)語(yǔ)定義、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過程、安全控制措施、ICT供應(yīng)鏈概述、ICT供應(yīng)鏈安全威脅、ICT供應(yīng)鏈安全脆弱性等內(nèi)容，具體如下圖所示。

《指南》在第六章中明確了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的步驟和實(shí)施細(xì)則。針對(duì)ICT供應(yīng)鏈可能面臨的安全風(fēng)險(xiǎn)，明確了建立ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過程。ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過程由背景分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)督和檢查、風(fēng)險(xiǎn)溝通和記錄5個(gè)步驟組成，具體如下圖所示。

 根據(jù)《指南》的要求，我們認(rèn)為企業(yè)組織在開展ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理時(shí)，可以采取以下應(yīng)對(duì)機(jī)制：

一、提升企業(yè)安全可控能力

目前很多企業(yè)普遍存在ICT供應(yīng)鏈安全管理缺失或管控不嚴(yán)，供應(yīng)鏈安全管理履職不到位，供應(yīng)商的準(zhǔn)入機(jī)制不健全，盡職調(diào)查和風(fēng)險(xiǎn)評(píng)估不深入等問題。為有效解決上述問題，組織應(yīng)根據(jù)整體風(fēng)險(xiǎn)管理策略、信息安全策略、科技外包戰(zhàn)略，建立供應(yīng)鏈安全風(fēng)險(xiǎn)管理辦法（如下圖所示），加強(qiáng)供應(yīng)鏈安全政策導(dǎo)向和統(tǒng)籌管理，明確供應(yīng)鏈安全管理的組織架構(gòu)和職責(zé)、管理機(jī)制、技術(shù)要求、風(fēng)險(xiǎn)監(jiān)測(cè)、審計(jì)監(jiān)督等。

二、摸清供應(yīng)鏈安全風(fēng)險(xiǎn)底限

ICT供應(yīng)鏈安全涉及信息化產(chǎn)品和服務(wù)的全生命周期，包括設(shè)計(jì)、開發(fā)、集成等階段，以及交付后的安裝、運(yùn)維等過程。目前企業(yè)主要面臨供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)、供應(yīng)鏈中斷風(fēng)險(xiǎn)等ICT供應(yīng)鏈安全風(fēng)險(xiǎn)。針對(duì)上述問題，組織應(yīng)定期開展ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估，摸清風(fēng)險(xiǎn)底數(shù)，及時(shí)開展排查整改。

ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估，分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)三個(gè)環(huán)節(jié)。

1、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別

ICT供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別，分為資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、現(xiàn)有處置措施識(shí)別四個(gè)步驟。

首先需要對(duì)ICT供應(yīng)鏈關(guān)鍵資產(chǎn)進(jìn)行識(shí)別，關(guān)鍵資產(chǎn)的可用性對(duì)組織的產(chǎn)品和服務(wù)的功能或質(zhì)量具有直接影響。ICT供應(yīng)鏈資產(chǎn)主要包括物理設(shè)施、硬件設(shè)備、信息系統(tǒng)、數(shù)據(jù)、人員、服務(wù)。具體如表1所示：

表1 ICT供應(yīng)鏈資產(chǎn)分類

完成資產(chǎn)識(shí)別后，需對(duì)ICT供應(yīng)鏈全生命周期所面臨的威脅進(jìn)行識(shí)別，ICT供應(yīng)鏈安全威脅識(shí)別分為威脅來源識(shí)別、威脅類型識(shí)別。

威脅主要來源于ICT供應(yīng)鏈的設(shè)計(jì)、開發(fā)、生產(chǎn)、集成、倉(cāng)儲(chǔ)、交付、運(yùn)維、廢棄等環(huán)節(jié)的環(huán)境因素、供應(yīng)鏈攻擊和人為錯(cuò)誤，具體如表2所示：

表2  ICT供應(yīng)鏈安全威脅來源

ICT供應(yīng)鏈安全威脅類型主要包括：惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作和其他威脅等，具體如表3所示：

表3  ICT供應(yīng)鏈安全威脅類型

ICT供應(yīng)鏈脆弱性是在產(chǎn)品和服務(wù)的全生命周期各環(huán)節(jié)中能夠被威脅利用的缺陷，應(yīng)圍繞ICT供應(yīng)鏈關(guān)鍵資產(chǎn)展開，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的脆弱性，并對(duì)其嚴(yán)重程度進(jìn)行評(píng)估。

安全措施識(shí)別是指對(duì)ICT供應(yīng)鏈現(xiàn)有或已計(jì)劃的安全措施進(jìn)行識(shí)別，并對(duì)安全措施的有效性進(jìn)行確認(rèn)。主要評(píng)估方法包括資料審閱、人員訪談、現(xiàn)場(chǎng)觀察、系統(tǒng)查看、數(shù)據(jù)分析、其他成果利用等，具體如下圖所示。

2、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)分析

針對(duì)每個(gè)安全威脅場(chǎng)景，組織應(yīng)評(píng)估現(xiàn)有的應(yīng)對(duì)措施，確定每個(gè)安全威脅場(chǎng)景發(fā)生的可能性及其后果。風(fēng)險(xiǎn)分析分為可能性分析、后果分析、風(fēng)險(xiǎn)估算三個(gè)步驟。

可能性分析應(yīng)從兩個(gè)角度進(jìn)行：

• ICT供應(yīng)鏈本身受到損害的可能性，例如可能影響關(guān)鍵組件使用或增加知識(shí)產(chǎn)權(quán)被竊取風(fēng)險(xiǎn)；
• ICT供應(yīng)鏈內(nèi)的產(chǎn)品、服務(wù)、系統(tǒng)、組件受到損害的可能性，例如系統(tǒng)被植入惡意代碼或設(shè)備被電擊損壞。

后果分析是指針對(duì)已識(shí)別的ICT供應(yīng)鏈安全事件，分析事件的潛在影響。應(yīng)從資產(chǎn)的重要性，引發(fā)安全事件的威脅來源的特征，已識(shí)別的脆弱性，現(xiàn)有或已計(jì)劃安全措施等方面進(jìn)行分析。

風(fēng)險(xiǎn)估算為ICT供應(yīng)鏈安全風(fēng)險(xiǎn)的可能性和后果賦值，同時(shí)，還應(yīng)基于可能性分析和后果分析的結(jié)論進(jìn)行，如表4所示。風(fēng)險(xiǎn)計(jì)算公式：風(fēng)險(xiǎn)值=可能性賦值*后果賦值。

表4 風(fēng)險(xiǎn)估算賦值

3、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)價(jià)

將風(fēng)險(xiǎn)估算結(jié)果與風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則和風(fēng)險(xiǎn)偏好比較，依據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則輸出按優(yōu)先順序排列的風(fēng)險(xiǎn)列表。需要注意的是多個(gè)中低風(fēng)險(xiǎn)的聚合可能導(dǎo)致更高的整體風(fēng)險(xiǎn)。