ICT供應鏈風險管理標準NIST SP800-161探析

董坤祥 謝宗曉

（南開大學商學院）

ICT供應鏈風險管理標準NIST SP800-161探析

專欄

信息安全管理系列之十

隨著ICT產品和服務的普及和ICT供應鏈的全球化，ICT供應鏈系統的機密性、完整性和可用性面臨著偽造、攻擊等蓄意破壞和信息安全的威脅。NIST SP800-161標準雖然尚未正式發布，但是作為NIST SP800標準族的系列標準，我們認為該標準草案的發布能夠有效解決目前ICT供應鏈風險管理實踐中所面臨的瓶頸。因此，本文對ICT供應鏈風險管理標準NIST SP800-161的內容進行初步介紹，期望對我國ICT供應鏈風險的管理提供指導。

謝宗曉（特約編輯）

董坤祥 謝宗曉

（南開大學商學院）

本文分析了美國聯邦信息系統和組織的供應鏈風險管理實踐指導草案，并從ICT供應鏈風險管理的目標、應用范圍、制定背景、實踐和標準形成五個方面探討了NIST SP 800-161的主要內容。最后提出了ICT供應鏈風險管理標準在新背景下需完善的幾個方面。

信息安全 ICT供應鏈 風險管理 NIST SP800-161

1 ICT供應鏈風險管理標準介紹

ICT（Information Communications Technology）包括可存儲、檢索、修改、傳輸和接受任何形式電子信息的產品和服務，例如，個人電腦、手機、電子郵件等。ICT供應鏈拙劣的制造和開發流程容易導致ICT產品和服務受到偽造、攻擊等蓄意破壞。這些風險降低了ICT技術應用、整合和部署的可見、認知和控制，降低了供應鏈系統完整、安全、可靠，以及產品和服務的質量。因此，明確ICT供應鏈的風險有助于明確保證產品或服務整合、安全、可靠、質量的實施進程、流程與實踐。為了使組織在組織內部所有層面上能夠對ICT供應鏈風險安全進行識別、評估和緩解，美國國家標準與技術研究院（NIST）于2013年發布了美國聯邦機構的ICT供應鏈風險管理（SCRM）標準草案——NIST SP800-161《聯邦信息系統和組織的供應鏈風險管理實踐指導草案》。通過層級式、ICT供應鏈風險具體路徑、供應鏈風險管理指導標準以及其他緩解活動，將ICT供應鏈風險管理整合到美國聯邦風險管理體系中，并形成ICT供應鏈風險管理標準NIST SP800-161。該標準對制定我國相關ICT供應鏈風險管理標準有重要的借鑒意義。

根據NIST SP800-161標準解釋，ICT供應鏈風險管理是指在ICT產品和服務供應鏈全球化分布下識別、評估和減少ICT供應鏈風險。ICT供應鏈風險包括：喪失信息系統的機密性、完整性和可用性，以及對組織運營、組織財產、個人、其他組織和國家等帶來的負面影響。1）該定義結合了美國聯邦信息處理標準（FIPS 200）對風險管理的定義。

2 ICT SCRM標準的目標

隨著ICT產品和服務的普及，以及ICT供應鏈的全球化，組織機構面臨系統的機密性、完整性和可用性或信息系統內部信息安全處理、存儲和傳遞的威脅。因此，美國聯邦組織機構需要相關指導標準來幫助其管理ICT供應鏈風險。NIST SP800-161標準制定的目的就是優化美國聯邦組織機構識別、評估、選擇、實施風險管理流程，并減少組織控制，幫助組織機構管理ICT供應鏈風險。通過實施NIST SP800-161標準，組織能夠建立適當的政策和流程控制并管理ICT供應鏈風險。

3 ICT SCRM標準的應用范圍

ICT供應鏈風險管理是組織層面的活動，應直接在整個組織架構下進行治理，所以該標準的應用范圍是整個組織，包括組織的形式、結構，組織的人、財、物和信息等。ICT供應鏈風險管理應由風險管理部門牽頭，整個組織內不同角色的個體共同實施。NIST SP800-161標準要求個人參與ICT組件和系統的設計、開發、調試、部署、探測、維護和更換。因此，個人應關注ICT供應鏈的信息技術、信息安全、風險管理、流程控制、合法性、最終用戶以及其他事項。雖然，NIST SP800-161標準制定的目的是為美國聯邦組織機構提供管理ICT供應鏈風險的標準。但是，該標準也為其他組織和企業實施ICT 供應鏈風險管理提供了很好的實踐標桿。

4 ICT SCRM標準制定的背景

ICT供應鏈風險管理產生的背景是：（1）組織生命周期過程中每個環節都存在信息安全及風險；（2）供應鏈成員之間關系的交互所產生的信息安全與風險。ICT SCRM的生命周期包括ICT產品和服務的研發、設計、制造、采購、交付、整合、運行和處理，且ICT SCRM的實施涉及ICT產品的安全、整合、彈性和質量，如圖1所示。

圖1 ICT SCRM的4個方面

由美國聯邦組織機構、供應商、服務提供商、系統集成商以及其他相關利益者構成的供應鏈成員關系，在其交互過程中容易產生信息安全與風險。美國聯邦機構從ICT供應商處獲得ICT產品和服務用于布置組織的信息系統。同時，美國聯邦機構也需要通過外包的形式將部分功能分包給系統集成商和服務提供商，以減少運行成本或者獲得更好的服務水平。此外，構建信息系統的軟件和硬件也均是由第三方供應商提供。但是，外包往往造成信息安全問題的產生，諸如盜竊、惡意接入等。因此，ICT供應鏈風險管理過程不僅要把控各個相關利益者，還應對ICT供應鏈中的硬件、軟件和流程整合，即組織邊界及組織環境內系統的研發、制造、測試、部署、維護、更新和關系的維持與控制。圖2描述了美國聯邦機構ICT供應鏈的多層級結構的整合。

圖2 美國聯邦機構與系統集成商、供應商和外部服務商之間的關系

圖2還顯示，ICT供應鏈中風險不僅與組織在不同層級的可觀察性、認知和控制有關，還與供應商、系統集成商和外部服務提供商之間存在復雜的關系。外部服務提供商以合約的形式代替美國聯邦機構運營其信息系統。在這種合約關系中，美國聯邦機構因將部分功能外包而降低了成本，同時，因部分功能承包給第三方服務商使得系統的安全性降低。因此，美國聯邦機構應權衡信息安全和成本，并嚴格控制整個實施的流程，確保信息安全。ICT產品通常也是以契約的形式直接采購于ICT供應商，然而，ICT供應商生產的產品具有國際適用性，而不是針對顧客的獨特需求。這就意味著，美國聯邦機構應與ICT供應商建立特殊關系以保證產品的特殊性，保證ICT SCRM的實施過程和控制。

雖然，ICT供應鏈管理風險可通過管理實踐獲得，但是這種獲取形式具有滯后性，而ICT供應鏈實施流程分析方法則可以對每個環節進行風險識別，從而可以全面了解ICT供應鏈面臨的風險。圖3描述了在ICT供應鏈實施過程中如何識別潛在的漏洞及其影響。

圖3 ICT供應鏈風險

首先，識別分析ICT產品和ICT供應鏈潛在的威脅和脆弱性，包括敵對威脅和非敵對威脅、外部脆弱性和內部脆弱性；其次，通過歷史案例分析法和統計方法，分析可能出現威脅和脆弱性的目的、意圖和影響；最后，評估不同風險對商業流程或功能的危害程度，從而識別真正的風險。

5 ICT SCRM標準的實踐

ICT SCRM標準基于已有的風險管理標準和成功實踐，這些管理實踐均包含在NIST的標準體系以及其他國際標準體系中，包括：組織實施ICT SCRM的成本及約束流程，將信息安全標準整合入采購流程，使用已有安全標準作為安全要求，確保軟件質量及其控制流程的魯棒性，構建多元關鍵系統的配送路徑等。具體的ICT SCRM標準的實踐有：

（1）根據NIST SP800-39標準和NIST SP800-30標準構建風險管理的層次、流程，以及橫跨組織層面的風險評估流程。

（2）將ICT SCRM要求與組織政策整合，根據FIPS199標準（美國聯邦信息和信息系統安全分類標準）定義組織治理結構，并構建可持續、易記錄、可重復檢驗的風險評估流程。

（3）實施全面質量管理和可靠性流程，即組織和相關者全部參與到ICT產品和服務的質量管理中，確保服務水平和信息安全。

（4）采納NIST SP800-53標準體系中合適且具有彈性的信息安全控制標準集合，構建內部檢查、外部審查的均衡質量和信息安全管理體系。

（5）通過知識學習、共享等方法，識別、應對并減少安全威脅。

6 ICT SCRM標準的形成

NIST SP800-161標準基于現有的USIF2）USIF（Unified Information Security Framework）是美國國防部、美國情報局和美國安全局共同完成的信息安全框架，包括NIST SP800-39、NIST SP800-30、NIST SP800-53、NIST SP800-53A、NIST SP800-37。標準體系和NIST標準的概念，這些標準相互補充，構建了合理的信息安全流程，保護組織運營和財產安全，抵抗外部威脅。NIST SP800-161標準是通過以下標準整合而來：

（1）將NIST SP800-39的風險管理層級和風險管理流程整合入ICT SCRM。首先，明確風險管理的層級和方式；然后，對ICT SCRM的所有活動進行描述；最后，將風險管理的流程和控制嵌入到風險管理的組織的層級結構中，并與組織系統的發展生命周期和組織環境進行整合。

（2）將NIST SP800-30的風險管理流程整合入ICT SCRM。

（3）使用NIST FIPS199的關鍵分析來審查ICT SCRM活動，以分析有較大影響的對象和系統。

（4）將NIST SP800-53提供的信息安全控制標準以及其他協議簇融入ICT SCRM的背景。如圖4所示，標準形成過程中還形成了加強的協議簇。這些增加的控制僅與ICT SCRM相關，并解釋了如何應用于ICT SCRM。

圖4 NIST SP800-161標準ICT SCRM的安全控制

（5）將NIST SP800-53A的評價技術應用于ICT SCRM的控制。

此外，NIST SP800-161標準還借鑒了其他出版物的內容，例如美國國防大學出版的《軟件采納中的保險：減少企業風險》（Software Assurance in Acquisition： Mitigating Risks to the Enterprise）， 美 國國防工業協會出版的《系統安防工程》（Engineering for System Assurance），ISO/IEC 15288《系統生命循環過程》，ISO/IEC 27036《信息技術 安全技術 供應商關系的信息安全》，O-TTPS標準（Open Trusted Technology Provider Standard），即“開放可信技術供應商標準”和SAFECode的軟件整合框架、軟件整合最佳實踐。

7 新背景下ICT SCRM標準相關建議

隨著計算機科技的進步，云計算、物聯網、大數據等管理實踐不斷出現并迅速發展。ICT SCRM標準NIST SP800-161是基于現有的相關NIST信息安全標準，尚未考慮組織或企業如何在實施云計算、物聯網和大數據等環境下，確保ICT供應鏈的安全和風險問題。

（1）云計算與云安全。隨著云計算應用的普及，云安全問題日益突出，成為阻礙企業部署云計算的主要原因之一。在云計算背景下，企業實施ICT供應鏈過程中，應首先考慮供應商能提供的安全水平；其次，根據適當的數據分類，將公共及敏感數據遷移到云端，而組織的關鍵信息保存在組織內部。這樣組織既可以減少成本，又能有重點性地確保組織信息安全，控制風險的產生。

（2）物聯網與移動設備安全。物聯網的出現雖然使得ICT供應鏈效率提高，但是也相應帶來諸如惡意攻擊、設備中斷等物理安全風險。此外，物聯網中移動設備應用軟件容易受到惡意軟件的植入或攻擊，且網絡攻擊逐漸蔓延到移動平臺。因此，物聯網與移動設備背景下的ICT SCRM不僅涉及物理安全風險管理，還包括軟件安全風險的管理。

（3）大數據與智能化。隨著可獲得數量的膨脹，數據智能驅動下的安全已成為可能，但將有用信息有效地應用于信息技術安全才剛剛開始。如何將安全手段變得更加智能、利用大數據發現更深層的安全威脅仍然無法更好地得到解決。在ICT SCRM中，企業可以根據各個組件產生的大數據，預測ICT供應鏈中可能出現風險的時間、部位和危害程度，以減少ICT供應鏈的安全隱患。

[1] NIST SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations（Second Draft）[S]. June, 2014.

[2] Boyson S. Cyber supply chain risk management：Revolutionizing the strategic control of critical IT systems[J]. Technovation, 2014, 34(7)： 342-353.

[3] Linton J D, Boyson S, Aje J. The challenge of cyber supply chain security to research and practice—An introduction[J]. Technovation, 2014, 34(7)： 339-341.

[4] 范科峰, 趙鴻雁, 王惠蒞. ICT 供應鏈風險管理標準研究[J].信息技術與標準化，2014（6）：20-23.

[5] 謝宗曉. 信息安全合規性的實施路線探討[J]. 中國標準導報，2015（2）：24-26.

[6] 韋煥華, 覃健文. 政企 ICT 業務的供應鏈系統研究及改進舉措[J]. 數字通信世界，2014 (7)： 45-47.

[7] 林潤輝, 謝宗曉. 信息安全： 從4A到4R[J]. 中國標準導報，2015（5）：26-29.

Study on the ICT Supply Chain Risk Management Standard—NIST SP800-161

Dong Kunxiang, Xie Zongxiao
( Business School, Nankai University )

We analyze the draft of Supply Chain Risk Management Practices for Federal Information Systems and Organizations. Then, we discuss the content of NIST SP800-161 in five aspects： purpose, scope, background,foundational practice and standard formation of ICT SCRM. Finally, we purpose the several aspects need to be improved in ICT SCRM standards.

information security, ICT supply chain, risk management, NIST SP800-161