网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

(原标题:【网安智库】ICT供应链安全评价技术研究综述)

信息通信技术供应链安全事关国家安全。ICT 供应链安全评价可以发现并尝试解决由拙劣的制造和开发流程所产生的一系列风险问题。本文从战略政策方面系统梳理了美国、欧盟、俄罗斯等信息技术发达国家在ICT 供应链安全方面的工作；从标准规范方面，梳理了ISO、NIST 以及我国的相关工作，并分析了ICT 产品和服务供应链安全风险点。在上述工作基础上，结合我国工作现状，从制度建立、标准制定、工作开展、人才培养等方面提出了工作建议，为ICT 供应链安全评价工作的落实提供参考和借鉴。

信息通信技术(Information and Communications Technology， ICT) 供应链安全是一个涉及面广、影响范围大的全球性的问题，其安全性需要综合考虑供应商多样性、产品服务复杂性、全生命周期覆盖性三个维度的特性。任何一个维度的任一环节出现问题，例如供应链中的任一供应商、产品/ 服务中的任一组件、信息系统生命周期的任一阶段出现安全隐患，都可能造成ICT产品、系统或服务不安全，进而导致ICT 供应链安全风险。因此，与传统领域的实体供应链相比，ICT 供应链面临的安全风险更为复杂多变，更为多样化。

本文首先系统梳理了美国、欧盟、俄罗斯、韩国等信息发达国家在ICT 供应链安全方面的工作，进而分析了ICT 供应链安全可能面临的风险，并结合我国的相关工作现状提出了工作建议。

ICT 供应链安全战略与政策研究

美国

美国一直非常关注供应链安全，从2000 年起就一直在颁布各类政策来保障安全，见表1。

表1 2000 年－ 2017 年的关注点

欧盟

欧盟从其自身利益出发，高度重视供应链安全问题，他们通过制定欧盟内部通用的供应链产品和服务安全要求的方式，加强供应链安全管理，强化市场手段和企业力量的利用。2012 年4 月，欧盟出台了《云计算合同安全服务水平监测指南》，针对云计算服务这一新技术新应用，通过检测、核查等技术手段加强云计算合同的安全管理。2016 年7 月，欧洲议会通过了《网络与信息安全指令》，该指令从欧盟层面提出了供应链安全管理方面统一的安全保障要求，利用该指令可以促进欧盟成员国间安全战略协作和信息共享，基于风险管理的理念提升欧盟整体的网络安全保障水平。

俄罗斯

俄罗斯在ICT 供应链安全方面一直强调国产化应用和替代。

2013 年11 月，俄罗斯发布《俄罗斯联邦2014-2020 年信息技术产业发展战略和2025 年前景展望》，提出了他们保障国家信息安全的政策战略和手段，其中重点强调了研发自主可控高水平的信息安全产品，用来替代进口产品的战略。综上所述，美、欧、俄等信息技术发达国家均十分重视ICT 供应链安全，从国家层面发布了一系列政策战略，用以提高认识、保障国家网络安全。

韩国

在亚洲经济发展属于前列的韩国也非常注重供应链安全，韩国一直支持发展开源技术，坚持以公共需求带动国产化应用，降低国际依赖。

2011 年5 月，韩国发布“云计算推广及竞争力强化战略”, 旨在通过打造安全的使用环境，在五年内使韩国国内云计算的使用率达到15%。2012 年6 月，韩国政府表示未来五年，在国防软件国产化项目上投入430 亿韩元，实现韩国武器体系核心软件的国产化。2014 年6 月，韩国政府声明为了降低对微软软件的依赖性，将与开源软件界进行谈判，在2020 年之前全部换用开源软件。

中国

我国政府高度重视信息技术产品安全可控，2016 年11 月通过的《网络安全法》明确要求“支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务”。2016 年12 月发布的《国家网络空间安全战略》明确提出“加强供应链安全管理”、“提高产品和服务的安全性和可控性，防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益”。

华为作为中国IT 行业的领军企业，它将供应链安全管理纳入其端到端全球网络安全保障体系，建立了一个符合ISO28000 的全面供应链安全管理体系，从来料到客户交付的端到端流程中识别安全风险，并使其最小化。华为根据供应商的体系、流程和产品来选择和认证供应商，并持续监控、定期评估供应商的交付绩效，选择那些对华为所采购的产品和服务的质量和安全做出贡献的供应商。华为建立了一个全流程可视的可追溯系统，对于第三方部件，会在来料、生产和交付流程中检查其完整性，记录其表现。

ICT 供应链安全标准规范研究

该部分针对多个国内外标准化组织在ICT供应链安全方面的工作进行了梳理，从而为我国相关工作的开展提供参考和借鉴。

ISO 工作研究