网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

综上所述，标准规范作为一项强化ICT 供应链安全评价的重要抓手，受到了各方的密切关注和重视，均结合各自的实际情况，开展了一系列标准规范制定工作。

ICT 供应链安全风险分析

人工智能的伦理和安全问题无论对中国还是美国，亦或是欧盟，都是必须要应对的问题，当然欧盟的情况信息技术产品由于其多样的产品和服务形态，复杂的产品实现功能、异构的应用场景，导致ICT 供应链面临着各种安全威胁，轻则导致产品和服务出现异常，重则导致重要信息泄露、重要服务中止等安全风险。ICT 供应链面临的主要安全威胁可以分为恶意篡改、假冒伪劣、供应中断、信息泄露或违规操作、其他威胁等五类，均可能严重破坏ICT 供应链的完整性、可用性和保密性。

恶意篡改可能是外在原因（如恶意程序、高级木马、外部组件、非授权部件等）、也可能是内在原因（如非授权配置、供应链信息篡改等）导致的。恶意篡改可能存在于在ICT 供应链的设计、开发、采购、生产、仓储、物流、销售、维护、返回等任何一个环节，也可能是多发性的存在于上述多个环节，从而导致信息技术产品和服务机密性、完整性和可用性的破坏。

假冒伪劣属于信息技术产品和服务本身可能存在的问题，也可能是由于供应过程中缺乏严格管理导致的外在产品和服务混杂其中引发的安全威胁问题。按照产品和服务本身特性来分，又可以分为假冒产品和服务、不合格产品和服务、未经授权生产的产品和服务。

供应中断则是更为严重的问题，它是由于人为或者不可抗力的原因，导致ICT 供应链的中断或终止。按照引发供应中断的因素来划分，可以分为人为引发的中断、基础设施故障引发的中断、国际国内环境引发的中断、不正当竞争导致的中断等类别。

信息泄露是指ICT 供应链上产生和传递的信息被未授权泄露，这些信息可能是个人隐私信息、商业机密信息、国家重要信息。在欧盟通用数据保护条例正式颁布实施以及我国网络安全法及其配套标准规范不断强化数据保护的今天，由于供应链安全引发的数据泄露威胁亟需受到重视。

违规操作是ICT 供应方内部可能产生的违规操作行为。比如，违规收集和使用个人隐私数据、违规访问内部数据和/ 或组件、大数据滥用、产品和服务违规配置等。从某种意义上讲，违规操作导致的后果可能比外部的安全威胁更为严重。

除上述安全威胁外，ICT 供应链还存在许多其他威胁或挑战，如合规差异性挑战，即当前全球各区域的网络安全法规标准可能存在差异，导致在各个国家和地区提供的产品和服务由于不满足生产、销售、使用区域的法律法规、标准规范，从而无法在当地生产、销售、使用。

正是由于上述纷繁复杂的ICT 供应链安全威胁，才导致ICT 供应链可能存在着诸多的安全风险。信息技术产品生命周期十分复杂，涉及到产品供应方、产品应用方、产品供应链各环节供应方，如知识产权供应方、设计生产工具供应方、核心部件供应方等，因而其安全风险可能存在于各个环节，具体如图1 所示。

图1 ICT 产品和服务生命周期示意图

“中兴事件”后，我国亟需重视自主可控，从源头上提高ICT 产品和服务的供给能力，打造完整、可控、优质的ICT 产品和服务供应链。然而，从自主可控的角度出发，ICT 产品和服务可能面临的风险如下图所示的安全风险。通过图2 可以看出，ICT 供应链安全风险可能存在于ICT 产品和服务的全生命周期中，比如研发生产评价、供应链评价、运维服务评价等。同时ICT 供应链安全风险可能是由于上述各种安全威胁引发的，同时还可能是由于上述多种威胁复合引发，从而产生更为严重的后果。

图2 ICT 产品和服务可能面临的风险

首先，由于ICT 产品和服务的不可控，可能会被非法控制、干扰和中断运行。如产品或服务完全依赖美国的因特尔芯片和微软的操作系统，就可能面临着不可控的安全漏洞问题，这些安全漏洞一旦爆发就会引发极为严重的后果。同时，乌克兰核设施面临的“震网病毒”定向攻击，本质上也是由于它们的工控设施不可控导致的。