产品安全培训剖析

1、2016.04.06目录1、引子 2、什么是网络安全？3、公司要求及规章制度4、制造网络安全管理要求布什尔核电站反应堆已封项，马反应堆已封项，马上可以发电了上可以发电了哈哈！我叫震网，！我叫震网，我来了我来了 2015年2月27日江苏省公安厅紧急通知由于海康威视监控设备存在巨大安全隐患，部分设备已被境外IP控制，要求对海康监控设备进行全面清查。2010年9月，伊朗核设施突遭来源不明的网络病毒攻击，纳坦兹离心浓缩厂的上千台离心机报废警示一、弱密码不可取，未修改初始密码更易被攻击警示二、系统的相对封闭是系统安全运行的首要保障1 1、引子：网络安全问题、引子：网络安全问题上升到政治和法律法规2005

2、年3月，多家媒体曝光了希腊的手机窃听事件，包括希腊首相夫妇、司法部长、雅典市长、美国大使等106位高官电话被窃听，网络安全问题又一次成为全球关注的焦点。回溯启示1 1、引子：网络安全问题关乎公司的生死存亡、引子：网络安全问题关乎公司的生死存亡n2003年1月20日，E 公司(设备商)交付V公司 (运营商)AXE R9.1产品，含有合法监听模块。n2004年7到10月，该设备被植入了恶意软件，通过该软件控制合法监听模块，窃听政府官员电话。n2005年3月，多家媒体曝光了一百多名政府官员的电话被窃听，随后E 公司发现此恶意软件，V 公司 CEO下令清除恶意软件。n在2006年和2007年，V公司两

3、次被主管机构罚款共9500万欧元，E公司 被罚700万欧元。nV公司网络经历主管机构长达一年的严酷测试，公司形象被破坏, 市场份额后果n通信网络作为国家重要基础设施，一旦受到威胁，极可能对国家利益造成影响。本案例中，涉及公民通信秘密和隐私被侵犯，运营商和设备商都承担了相应的法律和经济责任。所以，对于合法监听模块的启用和维护，一定要严格遵循所适用的法律法规要求。n网络安全问题不仅是技术问题，已上升为法律问题、政治问题，我们应避免因网络安全问题而导致公司崩溃的政治风险和法律后果。n通信网络作为国家重要基础设施，一旦受到威胁，极可能对国家利益造成影响。本案例中，涉及公民通信秘密和隐私被侵犯，运营商和

4、设备商都承担了相应的法律和经济责任。所以，对于合法监听模块的启用和维护，一定要严格遵循所适用的法律法规要求。n网络安全问题不仅是技术问题，已上升为法律问题、政治问题，我们应避免因网络安全问题而导致公司崩溃的政治风险和法律后果。客户数据未授权被访问，维护工程师虽解决问题但仍引起公司间的信任危机回溯启示后果行为1、引子：网络安全问题关乎个人的前途命运引子：网络安全问题关乎个人的前途命运n2009年12月，A公司收到客户反馈，设备存在随机通话中断问题，要求尽快解决。nA公司委任维护工程师 Z 在现网进行定位分析，但在执行操作前需得到客户授权在执行操作前需得到客户授权。nZ 经客户授权，在客户现网采集

5、数据进行定位分析，但故障现象一直没有重现，问题一直无法解决。n两周后故障重现， Z联系客户希望获取授权，但没有打通电话。n考虑到故障现象可能马上消失，Z在未经客户授权的情况下就直接登录客户网络采集数据了，很快就解决了此问题。 n客户认为A公司未经授权操作客户的设备是对其资产的侵犯，容易造成网络中个人数据和隐私的泄漏，对Z员工行为非常不满。 n客户运维主管将此事升级到客户高层和安全部门，演变成为网络安全事故，造成A公司与客户的信任危机。 n如果客户将此事件移交司法，根据当地国法律未授权访问的解释，Z Z员工将面临员工将面临2 2年以下监禁或罚金年以下监禁或罚金。n客户设备、网络以及其承载的数据和

6、个人隐私等都属于客户资产，需建立对客户资产的保护意识，避免无意违规甚至违法。n每个员工都要对自己所做的事情和产生的结果负责。不仅要对技术负责，也要承担法律、每个员工都要对自己所做的事情和产生的结果负责。不仅要对技术负责，也要承担法律、政治政治的责的责任任。n客户设备、网络以及其承载的数据和个人隐私等都属于客户资产，需建立对客户资产的保护意识，避免无意违规甚至违法。n每个员工都要对自己所做的事情和产生的结果负责。不仅要对技术负责，也要承担法律、政治的责任。政府监管技术影响美国、欧盟等多国政府已将网络安全列为国家安全战略的重要组成部分；英国、法国、印度等政府基于信任和对安全问题的担心，政府监管和标

7、准法规对运营商和设备商提出安全合规性要求。法律因素市场准入1、引子：全球网络安全的影响和挑战全球网络安全及隐私保护的立法日趋严格，挑战越来越严重；在欧美国家，与一般的公司违法行为相比(税务、IPR、违约)，违反网络安全法律往往容易和侵犯人权、危害国家安全联系起来。这样，政府和公众对此的容忍度更低，更容易引起对整个公司的信任危机。随着ICT技术日益开放，电信网络的IP化，终端的智能化和多业务融合，电信网络的安全性面临着越来越严峻的威胁和挑战，华为产品应充分考虑抗攻击和可恢复能力;技术方案选择或实现不当（如未公开接口），可能导致外界攻击引发信任危机; 网络安全事故对客户正常业务带来了实际的风险和损

8、失，必须加强安全预防，进一步降低安全的管理和运维成本。业界频繁曝光的重大安全事件，对网络安全问题的担忧，导致设备商失去百亿的大单，甚至不能进入重点市场；运营商将法律责任转移给设备供应商，越来越多主流运营商要求与设备商签署专门的安全协议, 遵守当地的法律和法规，提出产品安全性、安全教育和审查要求等等，如印度所有运营商要求如发现安全问题将面临巨额罚款和退网的处罚。 美国依然是供应链网络安全的领先者美国通过将供应链的安全纳入国家战略，其核心诉求是建立“促进商品高效安全的流动， 加强商品的完整性和建立一个恢复能力强的供应链。” NIST（美国国家标准局）刷新了新的信息安全要求，在其中明确了对的供应链安

9、全要求，如NIST SP800-161（联邦信息系统和组织的供应链风险管理实践）。 隐私和客户数据保护依然是政府和客户关注的重点欧盟正在拟制的个人数据保护法，加大了对设备供应商的法律责任，在逆向再利用、已使用货物报废和设备搬迁时需要满足当地的法规要求；从严要求保护个人数据和隐私（德国/土耳其/丹麦客户要求在本地处理个人数据）；中国政府客户在政务云招标中直接采取了NIST SP 800-53（联邦信息系统及组织安全和隐私控制）作为安全要求 倡导建立统一的供应链评估标准，支持ICT行业全球化的发展美国智库布鲁金斯发布如何在ICT全球供应链建立信任的白皮书，倡导建立统一标准； 全球ICT产业界发布声

10、明政府网络安全推荐性实施准则，建议政府统一对业界的网络安全标准；华为参与制定可信技术供应商标准（O-TTPS），是目前业界供应链领域的第一份安全标准，但还不成熟各各方对方对ICTICT供应链网络安全越来越关注，供应链网络安全越来越关注，强调产品在供应链中的高效流动、完整性和数强调产品在供应链中的高效流动、完整性和数据及隐私保护据及隐私保护美国政府的供应链安全管理：美国在供应链安全领域很早就进行规划和布局，并形成了完整的供应链风险管控体系，由于其领先和示范作用，其他各国会效仿和借鉴1、引子：网络安全业界业界形势政府&法律法规从运营商到最终用户对网络安全要求和隐私保护都更加重视从运营商到最

11、终用户对网络安全要求和隐私保护都更加重视运营商对供应链越来越从关注管理方法向关注细节和技术实现方式上转变，如：如何从技术上保证产品加载的软件完整性可校验；客户越来越关注供应商的网络安全管理，尤其是开源软件清单及可追溯问题，越来越多敏感国家客户提出要交流供应商安全议题。UK、德国等国运营商如VDF、DT将对供应链安全要求写入合同，要求遵从当地（AEO）或者美国（C-TPAT）的供应链安全标准。Telenor、BT、VDF等客户强调华为可追溯数据库要利用起来，帮助华为进行漏洞影响的和监控；运营商企业网消费者云服务、银行、交通、电力、医院、政府等企业客户除了传统的网络安全要求外，对用户数据和隐私保护

12、要求更高；企业网客户，如亚马逊、HP等北美客户依据C-TPAT+客户内部少量的定制化需求提出安全要求，其他市场客户尚未明确类似要求；中国政府客户在政务云招标中采取了NIST SP800-53。消费者越来越倚重和使用移动业务，手机成为最重要的交流媒介，手机消费者个人隐私数据的保密要求变得空前重要；Gartner的调查指出使用社交媒体时，最重要的挑战是首先要解决安全和隐私、内容管理等问题个人数据的保护应贯穿到每个产品的生命周期中: 数据收集、数据存储、数据转移/共享、数据留存与删除等开源漏洞迅速上升，2014年业界爆发5起一级开源漏洞，几乎涉及华为所有产品和供应商，海康视讯事件突显了供应链的脆弱性

13、1、引子：网络安全业界业界形势客户要求1、引子：网络安全业界业界形势近期事件2015年8月成都超4千家网站遇黑客 超半数政府网站有漏洞； 8月份成都网络安全面临的威胁主要来自SQL注入，4209家单位网站和系统被黑客入侵，314家企事业单位网站已被黑客利用并被植入暗链。 (新华网)2015年9月15日，韩国购物网站“ppomppu”遭黑客袭击 190万条个人信息被泄露(中国网)2015年9月21日，苹果被曝安全漏洞 多款常用APP感染病毒，苹果应用商店中包括12306、滴滴出行、高德地图等多款常用的76款APP应用均感染上了一种名叫XcodeGhost的病毒。（中新网)2015年9月11日，多

14、家金融机构被曝存在漏洞 黑客：价钱合适数据都能买到；包括乌云、补天等漏洞响应平台曝光了多家银行、券商、保险、基金公司网站存在漏洞。这些漏洞主要集中在跨站脚本攻击、金融APP安全问题等，如果不及时处理，包括银行的转账信息、投资者的个人信息、账号密码、交易记录都存在着被泄露的风险。 (央广网)网络安全网络安全Cyber Cyber securitysecurity误区误区1 1：网络安全：网络安全= =信息安全信息安全 华为的信息安全是确保确保对内关键资产对内关键资产的有效管控； 网络安全是指对客户的系统和网络对客户的系统和网络，以及其所承载，以及其所承载的客户或用户的通信内容、个人数据及隐私等进

15、行的客户或用户的通信内容、个人数据及隐私等进行保护。保护。信息信息安全安全防攻击防攻击防病毒防病毒误区误区2 2：网络安全：网络安全= =防攻击防病毒防攻击防病毒 网络安全不仅仅是防攻击防病毒，还包括业务连续及健壮的网络、承载及保护的数据/隐私。误区误区3 3：网络安全：网络安全= = 物理和人身安全物理和人身安全（SafetySafety） lSafetySafety 主要是人在使用产品时不受到伤害，包括电磁、电容辐射、安规等。物理和人身物理和人身安全安全 SafetySafety 误区误区4 4：网络：网络Cyber= NetworkCyber= Network Network: Netw

16、ork: 是指具体实体的网络，包括如计算机、路由器、交换机等组建网络； CyberCyber：是指虚拟的网络Network Network securitysecurity2 2、什么是网络安全？、什么是网络安全？华为对网络安全的定义华为对网络安全的定义网络安全网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。通过网络安全的保障，避免华为及其客户的经济、声誉受损；避免行为人或华为承担民事、行政甚至刑事责任；避免成为贸易保护的借口，避免成为国际政治危机的导火索。Page 10网络安全五

17、个特性 确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。完整性系统或设备遭受攻击时，具体一定的防护能力。确保实体行动或信息流动可被追踪。抗攻击性确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。可用性机密性可追溯性业界网络安全三性 CIA 机密性（Confidentiality）指只有授权用户可以获取信息完整性（Integrality）指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性可用性（

18、Availability）指保证合法用户对信息和资源的使用不会被不正当地拒绝。2、什么网络安全？ 五个特性的解读2、什么是网络安全？、什么是网络安全？Page 12美国食品及药物管理局发现370多起病患因为电子数据出问题受伤害事件：病人过敏性数据在更新了之后却被删除了。重要的生命体征数据在观察完了之后从记录里面消失了。完整性可用性抗攻击性某种服务每秒发一个格式不对的文件包就会导致服务不可用的情况；2011年初，小偷们进入一个英国第二大移动通讯公司的交换站，导致几十万的用户无法使用服务。德国明镜报报道称，美国ASN组织入侵了苹果、cisco、华为等多家设备通信商的外包工厂(但未被证实)，但依然说

19、明一个问题，即：如果真被攻破并入侵，说明这家外包厂的网络抗抗击性很差。终端simlock号码被盗贩卖问题沃达丰毫微微蜂窝基遭黑客攻击：设计违背 3GPP 安全标准，攻击者能够修改设备，达到截取设备附近任意用户通话信息。（3GPP第三代伙伴计划协议)机密性可追溯性S公司案例：黑客使用一连串的受损害的系统攻击S公司，导致大量S公司客户信息泄露，由于没有日志导致很难识别黑客。常见的网络安全失效案例类别类别目的及威胁目的及威胁主要攻击方式主要攻击方式信息窃取类主要以盗取机密信息、个人数据、敏感数据为目的，隐蔽性强，威胁国家保密信息、公司商业机密，个人隐私数据等，对于被攻击目标危害极大。木马、网络钓鱼、

20、垃圾邮件、间谍软件等拒绝服务类以攻瘫目标为目的，即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法病毒、蠕虫、DDOS、僵尸网络远程控制类所谓远程控制，是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，连通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作，可以进行任何危险操作。木马、间谍软件、病毒、APT2、什么是网络安全？常见的威胁Page 14黑客

21、承载及保护的数据/隐私业务连续及健壮的网络光弘利用漏洞机密性完整性可用性可追溯抗攻击被怀疑利用所谓的“后门”业界网络安全光弘网络安全白上加白政治上打消质疑法律上自证清白业界网络安全是指用健壮的网络承载和保护数据/隐私，抵御黑客攻击。光弘的网络安全除此之外，还要白上加白。2 2、什么是网络安全？、什么是网络安全？ 转变到主观上无恶意客观上无风险公司员工和管理者要真正认识到网络安全的重要性，改变思想意识员工意识和行为，是公司网络安全战略落实的重要保障 公司网络安全最大的障碍就是缺乏网络安全意识，始终认为我们主观上是没有恶意。我们千万不要认为主观上没有恶意，就可以不承担责任。 每个员工都要对自己所做

22、的事情和产生的结果负责。不仅要对技术负责，也要承担法律的责任。 光弘交付的网络产品、服务等不允许出现任何问题，一旦发生，都要经得起法律的追溯。Page 153、公司要求及规章制度Page 16网络安全违规行为很多被法律界定为违法行为保护对保护对象象违法行违法行为为法律解读法律解读法律依据法律依据法律后果（以德法律后果（以德国为例）国为例）保护用户保护用户通信秘密通信秘密和隐私、和隐私、及通信自及通信自由由未授权访问；非法监听；数据干扰；数据非法转移；伪造计算机数据。 通信秘密及自由是一项基本人权，通信秘密依法受到保护，而除了合法目的（如合法监听、维护监听或法律允许的正常商业目的）外，通信自由不

23、应受到不适当的限制； 个人数据不仅关乎财产利益，如涉及到了个人隐私更将关乎人格尊严，同样属于人的基本权利; 因此，法律对于一切违法的干涉、破坏通信秘密及自由，非法获取、转移及利用个人数据及隐私的行为都予以惩罚。 欧盟:网络犯罪公约 英国:调查权限法滥用计算机法 德国:电信法、电信媒体法、刑法 法国:刑法 美国:美国国家信息安全法案 欧盟及英、德、法等各成员国的个人数据保护法 美国一揽子制裁伊朗法案 欧盟制裁叙利亚的决定 中国：刑法、侵权责任法、电信条例刑法：206条：5年监禁或罚金 （通信秘密）201条 ：3年监禁或罚金（侵犯谈话隐私）202条 /303条：2年监禁或罚金（数据间谍/数据篡改）

24、个人数据保护法：44(1)：2年监禁或罚金 （未授权访问/非法监听/数据非法转移）保障客户保障客户通信通信（计算机系统、网络、数据）安全系统干扰；设备滥用；计算机欺诈等；个人数据非法利用。 计算机信息系统是个人数据及隐私的载体，也直接影响到通信秘密能否得到保护，通信自由能否通畅。 同时，对于相应的违法行为如非法入侵计算机系统，非法控制计算机系统，为前述违法行为专门提供工具或接口等都将予以刑事处罚。 欧盟:网络犯罪公约 美国:美国计算机保护法美国计算机网络保护法 德国:电信法、刑法 英国:滥用计算机法 中国：刑法、电信条例 中华人民共和国网络安全法(草案)刑法：303条：3年监禁或罚金 （计算机

25、破坏）；3年监禁或罚金（设备滥用）263条：5年监禁或罚金（计算机欺诈）个人数据保护法：44(1)：2年监禁或罚金 （个人数据非法利用）3、公司要求及规章制度网络安全关键岗位清单网络安全关键岗位清单1、IQC（存储类）（存储类）2、测试工程师、测试工程师/技术员技术员3、手工测试员、手工测试员 （含无线模板测试、（含无线模板测试、FT及整机测试）及整机测试）4、软件烧录、软件烧录5、IT工程师工程师6、文控、文控、7、贵材管理员、贵材管理员3、公司要求及规章制度网络安全关键部件网络安全关键部件1、硬盘、硬盘、2、储存卡（、储存卡（U盘、盘、SD卡）、卡）、3、测试卡、测试卡、4、操作系统、操作

26、系统、5、网络服务器软件、网络服务器软件网络安全物料网络安全物料主要是：主要是：IC3、公司要求及规章制度1、IQC（存储类）（存储类）1）对于关键物料的来料要进行安全检测、病毒的比对，确保编码、数量、订单、配置表、格式、具体内容的一致性。 2）新购电脑及维修过的硬盘，IT技术人员要对其进行安装正版杀毒软件，杀毒后移交使用部门。 3）对新采购的存储介质，设备室要进行杀毒并注册编号后发给使用部门所有的关键岗位人员都要签安全协议所有的关键岗位人员都要签安全协议3、公司要求及规章制度2、测试工程师、测试工程师/技术员技术员1）所有工程师或技术员必须经授权后才可以使中测试设备。2）生产测试方法依客户要

27、求进行。3）测试电脑不得用于测试之外的用途，不得利用技术手段上外部网络，由专业人员进行调试和加载，不可使用私人光盘或U盘。 4）测试与维修终端只能安装与测试与维修相关的软件，不得安装 其它无关软件。5）测试电脑至少每周要进行一次杀毒并及时升级病毒库。3、公司要求及规章制度3、软件烧录、软件烧录1） 烧录软件要统一从指定的服务器中下载，禁止通过U盘和移动介质下载。对烧录文件的下载和安装要有专门的人员进行。2）对软件的烧录和下载都要保留记录，软件烧录后应进行有效的软件检验，检验文件与烧录文件非同一份文件。3）烧录技术人员及作业员、禁止带私人存储卡做任何的拷贝或下载。4）不使用的USB接口一律封闭。

28、 5）烧录区域配备闭路电视监控，非工作人员进出必须登记。3、公司要求及规章制度4、IT工程师工程师1）确保生产网络与办公室网络分别，生产网络不用上外网。2）IT人员不得利用工作便利制造、下载、传播、攻击性病毒。3）不得安装 其它无关软件，同时不得安装盗版有风险性软件或操作系统。4）不得私带存储设备进行任何的生产活动。5）不得利用技术手段更改或攻击客户软件。 6）安装防病毒软件与数据监控软件,定期执行病毒查杀动作并保存记录,预防软件被篡改及感染病毒，系统补丁定期升级。3、公司要求及规章制度5、文控、文控1）文控专用电脑禁止接外部网络（用于生产接客户网络除外），授权人才能进入。安装杀毒软件，并每周

29、要进行杀毒，同时病毒库要定期升级。2）文件下载在客户指定的网络系统中下载。3）不得安装 其它无关软件，不得存放与本工作无关的私人文件。4）文控电脑必须设置密码，且至少三个月更换一次密码。3、公司要求及规章制度6、贵材管理员、贵材管理员1）贵材区域配备闭路电视监控，授权人才能进入，非工作人员进出必须登记。2）门禁密码至少三个月更换一次，同时在有人员离职时必须更换密码。3、公司要求及规章制度1、硬盘、储存卡（、硬盘、储存卡（U盘、盘、SD卡）、测试卡类卡）、测试卡类1）必须实施严格的账目管理,实物交接必须签字确认，必须经过杀毒或格式化后才能使用。2）可移动存储器件在生产使用过程中必须定期进行病毒检

30、查、实物交接管理、每班盘点 。3）可移动存储器件禁止带出公司。4）报废必须以客户要求，或对实物进行物理性的破坏后才能报废。网络安全关键部件具体要求网络安全关键部件具体要求3、公司要求及规章制度2、操作系统、网络服务器软件 1）不得安装盗版操作系统。 2）安装防病毒软件,定期执行病毒查杀动作并保存记录, 系统补丁定期升级。3、公司要求及规章制度关键岗位人员安全要求关键岗位人员安全要求1、入职时需做社会背景调查，确定无犯罪记录、无吸毒史。2、入职前需经过网络安全知识培训，熟悉/了解华为产品信息/网络安全要求。3、入职后需与公司签署“安全协议书”。4、在离职时需交回电脑密码、钥匙等，必须落实保密协议

31、内容。3、公司要求及规章制度违规处罚违规处罚1、 对关键岗位人员轻微违反岗位网络安全管理要求，没有造成产品实质性安全的，但有存在安全风险的，以批评教育用主。 2、对违反岗位网络安全管理要求，造成产品实质性安全，给公司或客户带来经济损失或负面影响的，将根据问题的严重程度给予经济处罚，情节特别严重的将移送检查机关处理。3、公司要求及规章制度4、制造网络安全管理要求-概要保障产品在供应链中的完整性、真实性、可追溯性，防止产品被篡改、植入、伪造等网络安全风险，并通过对供应过程的可追溯来达到供应链风险的有效管理。供应链是保障产品从研发、生产到客户端到端完整性的重要一环，供应链应避免华为生产或购买的产品中

32、的软件、硬件或数据等在生产与交付中被恶意篡改或植入、确保交付给客户的产品与研发发布的一致。供应链在生产、交付过程中防止使用被伪造部件，保障生产过程及交付给客户产品的真实性.供应链应建立可追溯系统，支撑产品和部件在供应链过程中的可追溯性。供应链须对产品和部件建立唯一标识，并确保这些信息被有效记录。4、制造网络安全管理要求-术语伪造产品(Counterfeit)：产品不是由或者不是为了华为而生产，或者不是通过正规可靠渠道供应的，但是却以合法产品的身份出现。篡改/植入(Tainted)：华为生产的产品，或华为购买的供应商产品，但因为软件、硬件或数据等被恶意更改，导致产品功能、性能和服务与设计意图不符。可追溯(Traceability)：使用专业管理工具和综合系统，实现基于数据仓库的来料到站点的全交付过程的软硬件记录回溯，让相关产品和部件在整个供应链中可以追踪。O-TTPS：开放组织技术供应商标准，该标准叙述了一套行业最佳实践要求和建议，当组织采用这套要求和建议时，可以为买家减少买到被篡改产品或者伪造产品的风险，带来商业利益。ISO28000: 是国际标准化组织（ISO）制定的应对供应链威胁的系统解决方案，为供应