浅谈ICT供应链安全风险管理与应对机制-创站实验室

近年来，浅谈针对ICT供应链的供管理安全攻击事件呈快速增长态势，开源软件频繁曝出的应链应对高危漏洞、软件厂家为维护便利而内置的安全默认权限或后门、源代码泄露造成的风险0Day、nDay漏洞攻击事件等，机制都给ICT供应链带来了巨大的浅谈安全挑战。

与传统供应链相比，供管理ICT供应链具有许多不同的应链应对特点：

首先，ICT供应链涵盖ICT产品和服务的安全全生命周期，模板下载包括传统供应链的风险生产、集成、机制仓储、浅谈交付等供应阶段，供管理也包括产品服务的应链应对设计开发阶段和售后维护阶段，

其次，ICT产品由全球分布的供应商开发、集成或交付，供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降，

最后，传统供应链主要关注产品的服务器租用交付和供应链的健壮性，而ICT供应链安全更关注是否会有额外的功能注入产品和服务中，交付的产品和服务是否与预期一致等安全特性。这些特点使得ICT供应链比传统供应链存在更多的安全风险。

为了保障ICT供应链安全，国家市场监督管理总局和中国国家标准化管理委员会发布了GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》(以下简称《指南》)，来规范关键信息基础设施和重要信息系统供应链安全风险管理。

《指南》规定了信息通信技术(以下简称ICT)供应链的安全风险管理过程和控制措施，适用于重要信息系统和关键信息基础设施的香港云服务器ICT供方和运营者对ICT供应链进行安全风险管理，也适用于指导ICT产品和服务的供方和需方加强供应链安全管理，同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考。

《指南》分为7个部分和3个附录，主要包括术语定义、ICT供应链安全风险管理过程、安全控制措施、ICT供应链概述、ICT供应链安全威胁、ICT供应链安全脆弱性等内容，具体如下图所示。

《指南》在第六章中明确了ICT供应链安全风险管理的步骤和实施细则。针对ICT供应链可能面临的安全风险，亿华云明确了建立ICT供应链安全风险管理过程。ICT供应链安全风险管理过程由背景分析、风险评估、风险处置、风险监督和检查、风险沟通和记录5个步骤组成，具体如下图所示。

根据《指南》的要求，我们认为企业组织在开展ICT供应链安全风险管理时，可以采取以下应对机制：

一、提升企业安全可控能力

目前很多企业普遍存在ICT供应链安全管理缺失或管控不严，供应链安全管理履职不到位，供应商的准入机制不健全，尽职调查和风险评估不深入等问题。源码库为有效解决上述问题，组织应根据整体风险管理策略、信息安全策略、科技外包战略，建立供应链安全风险管理办法（如下图所示），加强供应链安全政策导向和统筹管理，明确供应链安全管理的组织架构和职责、管理机制、技术要求、风险监测、审计监督等。

二、摸清供应链安全风险底限

ICT供应链安全涉及信息化产品和服务的全生命周期，包括设计、源码下载开发、集成等阶段，以及交付后的安装、运维等过程。目前企业主要面临供应链网络安全风险、敏感数据泄露风险、供应链中断风险等ICT供应链安全风险。针对上述问题，组织应定期开展ICT供应链安全风险评估，摸清风险底数，及时开展排查整改。

ICT供应链安全风险评估，分为风险识别、风险分析、风险评价三个环节。

1、ICT供应链安全风险识别

ICT供应链安全风险识别，分为资产识别、威胁识别、脆弱性识别、现有处置措施识别四个步骤。

首先需要对ICT供应链关键资产进行识别，关键资产的可用性对组织的产品和服务的功能或质量具有直接影响。ICT供应链资产主要包括物理设施、硬件设备、信息系统、数据、人员、服务。具体如表1所示：