國外ICT供應鏈安全管理研究及建議

倪光南，陳曉樺，尚燕敏，王海龍，徐克付

（1. 中國科學院計算技術研究所，北京 100190；2. 中國網絡空間研究院，北京 100010；3. 中國科學院信息工程研究所，北京 100093）

國外ICT供應鏈安全管理研究及建議

倪光南1，陳曉樺2，尚燕敏3，王海龍1，徐克付3

（1. 中國科學院計算技術研究所，北京 100190；2. 中國網絡空間研究院，北京 100010；3. 中國科學院信息工程研究所，北京 100093）

鑒于國家關鍵基礎設施和關鍵資源（CIKR）對信息通信技術（ICT）的依賴，識別和控制ICT供應鏈風險已成為保障國家安全的重要手段。美國作為ICT供應鏈管理的先行者，在提升戰略地位、開展風險管理、確保軟硬件安全、監管政府采購等方面為各國提供了豐富經驗；歐盟、俄羅斯也加強了ICT供應鏈的安全管理。在分析上述國外情況的基礎上，給出了完善我國ICT供應鏈安全管理的相關建議。

供應鏈風險管理；硬件供應鏈；軟件供應鏈；采購安全

DOI 10.15302/J-SSCAE-2016.06.021

一、前言

信息通信技術（ICT）供應鏈包括硬件供應鏈和軟件供應鏈，通常涵蓋采購、開發、外包、集成等環節。其最終的安全很大程度上取決于這些中間環節，涉及到采購方、系統集成方、網絡提供方以及軟硬件供應商等[1]。ICT供應鏈是所有其他供應鏈的基礎，是“供應鏈的供應鏈”[2]。在ICT采購全球化的態勢下，ICT供應鏈安全與國家安全間的關系愈發密切。ICT產品在原料采購、生產、運輸直至交付給最終客戶的過程中，任何一個環節都有可能存在影響ICT產品安全性的因素。如果考慮到信息安全的對抗性質，來自國外的ICT產品供應商完全有可能、有條件在產品中設置惡意功能，如在軟硬件中嵌入惡意程序、突然中斷關鍵ICT產品或后續服務等。

鑒于國家關鍵基礎設施和關鍵資源（CIKR）對ICT技術的依賴，識別和控制ICT供應鏈風險，加強ICT供應鏈安全管理已經成為保障國家安全的重要手段。在國家戰略以及標準制定層面，美國、歐盟、俄羅斯等都提升了ICT供應鏈安全管理的地位，本文將從上述兩方面深入研究國外的相關政策制度。在管理活動層面，本文將對國際現行的ICT硬件安全管理和軟件安全管理進行探討；并進一步以美國為例，對軟硬件安全中涉及的采購環節的安全管理進行分析。本文旨在參考各國經驗，為加強我國ICT供應鏈安全管理、建立我國ICT供應鏈安全評估制度提供建議。

二、國外ICT供應鏈安全管理政策

（一）ICT供應鏈安全戰略定位

長期以來，美國非常注重ICT供應鏈安全。2008年布什政府提出國家網絡安全綜合計劃（CNCI），提出建立全方位的措施來實施全球供應鏈風險管理[3]。在此基礎上，2009年奧巴馬政府指出不應局限于僅譴責國外產品和服務供應商，同時提出了新的供應鏈風險管理方法已經勢在必行。2011年美國在發布的《網絡空間國際戰略》中將“與工業部門磋商，加強高科技供應鏈的安全性”作為保護網絡空間安全的優先政策，該項政策將ICT供應鏈安全提升至保障網絡空間安全的高度[4]。

歐盟、俄羅斯和中國同樣將ICT供應鏈安全上升到國家安全的戰略高度。歐盟《供應鏈完整性》報告指出，ICT供應鏈完整性是國家經濟發展的關鍵因素，提高供應鏈完整度對公共和私營部門意義重大[5]。中俄共同提交聯合國的《信息安全國際行為準則》強調，應當努力確保信息技術產品和服務供應鏈的安全，防止他國利用自身資源、關鍵設施、核心技術及其他優勢，削弱落后國家對信息技術的自主控制權，或威脅落后國家的政治、經濟和社會安全[6]。

（二）ICT供應鏈風險管理

1. 美國國家標準與技術研究院（NIST）

NIST為保護非國家安全的聯邦信息和通信基礎設施，負責開發標準、指南、測試和度量指標。NIST已經與公共和私營部門的利益相關者合作，研究和開發ICT供應鏈風險管理（SCRM）的工具與指標，以及有關ICT供應鏈風險的緩解措施和實施方法的指南。

2. ICT SCRM項目及相關資源

（1）CNCI#11

2008年，為響應CNCI#11“建立全方位的方法來實施全球供應鏈風險管理”，布什政府啟動了非國家安全信息系統供應鏈風險管理實踐開發計劃，即ICT SCRM。

CNCI#11為美國聯邦機構信息系統的供應鏈風險管理提供了全面的方法。CNCI#11 第二工作組（WG2）通過提供與采購決策相關的威脅、漏洞和后果的高度評估，同時識別并減輕整個產品和服務生命周期中資源的風險，來促進SCRM的提升。

（2）NIST SP800-161

NIST SP800-161《聯邦信息系統和組織供應鏈風險管理實踐》為聯邦機構制定相應的政策、程序，為有效管理ICT供應鏈風險提供指導[7]。針對ICT產品的整個系統開發生命周期，NIST SP 800-161可為其提供開發ICT SCRM計劃的模板。該模板詳細介紹了一套評估和管理供應鏈風險的程序，并列出了適用的威脅事件和可供參考的風險框架，用于評估威脅和確定緩解對策（即評價事件的相關性和潛在影響的方法）。這些程序被集成到NIST SP800-39的風險管理過程（架構、評估、響應和監控）中，作為聯邦機構整體風險管理活動的一部分來實施[8]。

（3）NIST IR7622

NIST IR7622《聯邦信息系統供應鏈風險管理實踐理論》是NIST發布的網絡供應鏈風險管理指南，旨在消除購買、開發和運營過程中高影響聯合信息系統面臨的生命周期供應鏈風險[9]；該標準同時介紹了ICT SCRM的方法和做法。

NIST IR7622（NIST 7622-2）第二版闡述了供應鏈風險管理在ICT領域中的應用，提供了一套實例可直接應用于那些級別達到聯邦信息處理標準（FIPS）的采購或合同中。其涉及到信息系統采購方、采購團隊、信息系統安全負責人和負責信息系統交付的相關工程師，涵蓋為政府和商業機構提供產品和信息安全服務的所有環節。

NIST IR7622-2還給出了供應鏈風險管理的實施流程（見圖1）。對于FIPS199這樣高影響的系統，ICT供應鏈風險管理被明確嵌入到采購進程中來分析潛在的供應鏈風險，實施額外的安全控制以及供應鏈風險管理的實踐；對中度影響的系統，授權機構應該做出是否實施ICT供應鏈風險管理的決策；低影響系統不需要實施大量的ICT供應鏈風險管理。

三、國外ICT供應鏈安全管理活動

（一）軟/硬件供應鏈安全管理

1. 硬件供應鏈安全管理

ICT硬件供應鏈是指ICT硬件采購、設計、制造、組裝、維護到處理的一系列過程。

近年來ICT硬件供應鏈的長度、復雜性和脆弱性逐漸增加。全球范圍內的政府部門都開始考慮ICT硬件供應鏈對ICT系統產生的威脅。在ICT硬件供應鏈系統與外部環境發生資源交換，以及在與供應鏈成員進行協調與合作的過程中，存在著各種內部或外部的不確定性風險因素。外部風險包括：自然災害、恐怖事件、突發事件等；內部風險包括：供應中斷，如攻擊者中斷制造和交付、錯誤的運輸路線或延誤交貨、錯誤的訂單（如數量或項目錯誤）、制造質量問題（如以硬件為基礎引發的威脅）。

目前硬件供應鏈的風險管理主要針對三大硬件風險：硬件木馬、惡意固件和硬件偽造。

圖1 ICT SCRM實施進程

2. 軟件供應鏈安全管理

在關注硬件供應鏈安全的同時，切不可忽視軟件供應鏈安全，因為任何一條供應鏈都不會脫離軟件的使用。軟件供應鏈可影響已交付系統的所有方面，只要供應鏈參與者能接觸最終的軟件代碼或系統，那么危及軟件供應鏈安全的風險就存在。參與者包括編寫、加強和改變產品或系統內容的供應商、分銷商、運輸者和儲存設施[10]。

確保軟件供應鏈安全的重要方法是軟件供應鏈風險評估。風險評估是風險管理的一個基本方面，軟件供應鏈風險評估是從風險管理角度，運用科學的方法和手段，系統分析軟件供應鏈所面臨的威脅及其存在的脆弱性，評估風險事件發生可能給整條供應鏈帶來的影響或人們可能受到的損失程度，提出有針對性地抵御威脅的防護對策和更改措施。目前針對軟件供應鏈的風險評估并不多，其中常用的是基于卡內基梅隆大學軟件工程研究所（SEI）的風險評估方法。圖2是SEI采用基于風險驅動的方法來評價系統化的軟件供應鏈風險的原型。

（二）ICT采購安全管理

1. 政府規章

20世紀90年代末，美國已經意識到政府信息采購的安全性問題。1998年5月22日，克林頓發布的第63號總統令中指出要確定大型采購任務中與其相關的信息安全。在布什執政期間，政府采購安全性被進一步明確，2002年起草的國家安全戰略中詳細闡述了采購的步驟和過程，以及相關的標準。2008年12月，在奧巴馬上臺之前，美國智庫戰略與國際研究中心（CSIS）發布了《在第44任總統任期內保護網絡空間安全》的咨詢報告，向新總統提出了若干重要建議，其中包括“通過采購規則提高安全性”，該條建議希望政府能與工業界合作，共同制定和執行ICT產品（軟件居首要位置）采購安全指南[11]。

除美國外，歐盟對ICT供應鏈采購安全也有明確規定。2016年上半年，歐洲標準化機構——歐洲標準化委員會（CEN）、歐洲電工委員會（CENELEC）與歐洲電信標準協會（ETSI）對歐洲ICT產品和服務的政府采購所適用的可接入性提出了新的標準。新標準是歐洲首次用法規和形式強調ICT產品和服務的政府采購所適用的可接入性，政府部門與其他公共機構在采購ICT產品和服務時，要確保服務、軟件、電子設備與其他產品具有更好的可接入性。

2. 國防采購安全流程實例

對ICT產品和服務的采購主要分為國防采購和企業采購兩類，其中國防采購的要求更高。下面以美國為例，簡要介紹其在ICT產品和服務的安全采購方面的管理體系和采購系統，為我國ICT國防采購提供經驗借鑒。

（1）ICT采購管理

美國國防部的ICT采購實行國防部統一領導與軍種分散實時結合的管理模式。所謂統一領導，是指在國防部設置專門負責采辦、技術與后勤的副部長一職，統管全軍ICT研發及采購事項；而分散實施，是按ICT項目的重要性及費用多少實行分類和分級管理。對于不同類別的ICT采購項目，負責采辦、技術和后勤的副部長指派相應級別的里程碑決策當局進行監管（見圖3）。

圖3 不同類別的ICT采辦項目

（2）ICT采購系統

美國國防部共有三個分系統來組織國防ICT采購，這三個系統互相配合，來完成軍工產品的ICT采購。它們分別是規劃、計劃預算與執行系統（PPBE），聯合能力集成與開發系統（JCIDS），采購運行系統（DAS）[12]。這三個系統在美國軍工產品的ICT采購過程中相互支持，相互制約，確保ICT采購的安全。

四、對我國ICT供應鏈安全評估的建議

在我國ICT供應鏈處于劣勢的背景下，根據《中華人民共和國國家安全法》要求，在國家網絡安全審查工作中，加強ICT供應鏈安全評估管理、建立供應鏈安全評估制度是當務之急。在分析國外相關情況的基礎上，給出我國ICT供應鏈安全管理和評估的幾點建議。

（一）戰略層面加強ICT供應鏈安全管理

從國家戰略層面重視供應鏈安全管理，促進相應制度和標準的研究制定，加大探索研究與ICT供應鏈安全管理相關的核心技術。實施國家ICT供應鏈安全管理，使之作為國家網絡安全保障的正當需求被國際社會所接受。建立供應鏈安全管理制度已成為國際通行做法，應在此基礎上，進一步建立我國國家ICT供應鏈安全評估制度。

（二）將ICT供應鏈評估納入網絡安全審查

從加強國家供應鏈安全管理的角度出發，強化針對供應鏈的網絡安全審查，對ICT產品和服務的設計、研發、制造、生產、分發、安裝、運營、維護、采購等環節實施有效監督。將ICT供應鏈評估納入網絡安全審查，有利于澄清網絡安全審查制度不是針對特定的國家或地區，可緩解外方對我國將該項制度當作貿易壁壘的擔心和質疑。

（三）制定ICT供應鏈安全評估的法律法規

制定與完善國家政策、法律和標準，明確各方在ICT供應鏈安全評估中應當承擔的責任和義務。ICT供應鏈安全評估涉及多項法律的適用和協調，其中技術進出口管制、商用密碼專控和認證許可都是與評估活動最為密切的法律制度，為了與網絡安全審查的目的更加契合，需要進行適度調整。

（四）ICT供應鏈安全評估的組織方式

改變分散的ICT供應鏈安全評估方式，設立統一的評估機構。評估機構可以是現有的與ICT供應鏈安全相關的管理部門，也可以建立專門的評估機構。評估機構負責統一部署和協調ICT供應鏈的安全管理與審查工作。

（五）建立ICT供應鏈安全評估程序

借鑒國際現有的信息安全評估制度，評估機構可運用供應鏈安全評估標準對ICT產品和服務的安全性能進行評估，其程序包括評估準備、一次評估、二次評估、定期評估、再認證評估等階段。

五、結語

縱觀國際現行ICT供應鏈安全管理的特點，我國應在以下幾個方面做好準備工作：加強ICT供應鏈安全管理的戰略研究；制定通用的ICT供應鏈安全評估標準；加強ICT供應鏈安全評估與現有信息安全制度的銜接。

[1]Boyson S, Rossman H. Developing a cyber-supply chain assurance reference model [R]. Maryland: Supply Chain Management Center (SCMC), Robert H. Smith School of Business University of Maryland, 2009.

[2]Booz Allen Hamilton. Managing risk in global ICT supply chains: Best practices and standards for acquiring ICT[R]. McLean, Virginia: Booz Allen Hamilton, 2012.

[3]The comprehensive national cyber security initiative [EB/OL]. (2008-01-01) [2016-10-12]. https://www.whitehouse.gov/issues/ foreign-policy/cybersecurity/national-initiative.

[4]Schmidt H A. International strategy for cyberspace [R]. Washington, DC: White House, 2011.

[5]Cadzow S, Giannopoulos G, Merle A, et al. Supply chain integrity: An overview of the ICT supply chain risks and challenges, and vision for the way forward (2015) [R/OL].(2015-09-11) [2016-10-15]. https://www.enisa.europa.eu/publications/sci-2015.

[6]The Embassy of the People’s Republic of China in New Zealand (Cook Islands, Niue). China, Russia and other countries submit the document of international code of conduct for information security to the United Nations International code of conduct for information security [EB/OL].(2011-09-12) [2016-10-15]. http://www. chinaembassy.org.nz/eng/zgyw/t858978.htm

[7]Boyens J, Paulsen C, Moorthy R, et al. NIST special publication 800-161: Supply chain risk management practices for federal information systems and organizations [S]. Gaithersburg: National Institute of Standards and Technology, 2015.

[8]Ross R S. NIST special publication 800-39, managing information security risk: Organization, mission, and information system view [S]Gaithersburg: National Institute of Standards and Technology, 2011.

[9]Boyens J. NIST IR7622: Notional supply chain risk managementpractices for federal information systems [S]. Gaithersburg: National Institute of Standards and Technology, 2012.

[10]Simpson S, Reddy D, Minnis B, et al. The software supply chain integrity framework: Defining risks and responsibilities for securing software in the global supply chain [S]. SAFECode, 2009.

[11]Langevin J R, McCaul M T, Charney S, et al. Securing cyberspace for the 44th presidency: A report of the CSIS commission on cybersecurity for the 44th presidency [R]. Washington, DC: Center for Strategic and International Studies, 2008.

[12]Chadwick S H. Defense acquisition: Overview, issues, and options for congress [R]. Washington, DC: Congressional Research Service, the Library of Congress, 2007.

Research on Foreign ICT Supply Chain Security Management with Suggestions

Ni Guangnan1, Chen Xiaohua2, Shang Yanmin3, Wang Hailong1, Xu Kefu3
(1. Institute of Computer Technology, Chinese Academy of Sciences, Beijing 100190, China; 2. Chinese Academy of Cyberspace Studies, Beijing 100010, China; 3. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

Given the nation’s critical infrastructure and key resources (CIKR) reliance on information and communication technology (ICT), identifying and controlling the ICT supply chain risk has become an important factor when protecting national security. As the forerunner of ICT supply chain management, the US provides rich experience in enhancing the strategic position of the ICT supply chain, establishing the standards of ICT supply chain management, ensuring the security of software and hardware in the ICT supply chain, and supervising the procurement of ICT supply chains. In addition, the EU and Russia also specifically strengthen the security management of the ICT supply chain. Based on the above research, this paper provides some suggestions on the security management of the ICT supply chain in China.

supply chain risk management; hardware supply chain; software supply chain; procurement security

TP393.08

A

2016-10-20；

2016-10-25

倪光南，中國工程院，院士，中國科學院計算技術研究所，研究員，研究方向為多媒體技術；E-mail: ngn@public.bta.net.cn

中國工程院重大咨詢項目“網絡空間安全戰略研究”(2015-ZD-10)

本刊網址：www.enginsci.cn