关键信息基础设施ICT供应链安全风险评估指标体系研究

00引言随着信息通信技术（nformation&CommunicationTechnology，ICT）在党政部门、重点行业领域的普及应用，加强ICT产品服务供应链的安全可控保障变得至关重要。与传统供应链相比，ICT供应链覆盖了ICT产品服务的全生命周期，任何一个环节的安全隐患都能随着供应链网络进行传播和放大。例如，2015年9月针对苹果公司的集成开发工具Xcode的攻击，通过影响编译环境间接攻击了软件产品，最终影响了数亿的终端用户。在ICT采购全球化的态势下，ICT供应链安全与国家安全间的关系愈发密切。2019年5月，特朗普总统签署第13873号行政令《确保信息和通信技术及服务供应链安全》，以国家安全遭遇威胁为由宣告国家进入紧急状态，将ICT供应链安全上升为国家安全问题。2019年11月，美国商务部出台《<确保信息通信技术与服务供应链安全>审查规则草案》使其获得更为广泛的权力，得以全面干预甚至终止所有涉及ICT供应链的外国交易。随后，2019年5月和10月，美国商务部分别将华为及其旗下累积达144个附属关联公司以及海康威视、科大讯飞、旷世科技、大华科技、依图科技、颐信科技等公司列入出口管制的“实体清单”。2020年1月3日，美国商务部工业安全局又进一步限制人工智能等软件的出口。至此，美国将ICT供应链安全作为其维护技术领先地位、实施贸易制裁的重要手段，针对中国高科技企业发起单边制裁与措施，这不仅使信息通信技术领域企业的供应链安全受到威胁，还将威胁我国基础设施和关键资源的安全与ICT自主控制权，进而影响我国的政治、经济和社会安全。因此，保障ICT供应链安全是关乎我国网络空间安全的重要问题。针对以上严峻的安全现状和关键信息基础设施实际的网络安全要求，本论文参考国内外现有标准研究，从指标框架、指标体系、指标释义和实施过程等方面构建一套针对关键信息基础设施的ICT供应链安全的评估指标体系，实现关键信息基础设施ICT供应链安全的检测评估。区别于作为风险管理活动的重要组成部分的风险评估（riskaccessment），本项目提出的评估指标体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性，并输出可能的风险点，作为评价关键信息基础设施ICT供应链安全程度的依据。01ICT供应链安全风险评估指标体系关键信息基础设施ICT供应链安全风险评估指标体系共有三个层级，其中第一层级指标对应关键信息基础设施建设、运行和安全防护的三个大方面，用建设情况指标评估ICT供应链安全措施；用运行能力指标评估ICT供应链安全能力；用安全效果指标评估ICT供应链安全程度。二级指标对应在三个大方面中应该考虑的具体元素，三级指标对应具体指导落地实施的评估因素。如图1所示：图1关键信息基础设施ICT供应链安全风险评估指标体系关键信息基础设施ICT供应链安全风险评估指标体系如表1所示，包含由3个一级指标和12个二级指标构成的指标框架以及45个三级指标，三级指标为可用于测量的底层指标。02关键信息基础设施ICT供应链安全风险评估指标释义关键信息基础设施ICT供应链安全风险评估指标体系由建设情况指标、运行能力指标和安全效果指标这三类一级指标构成，其中每个一级指标下又分为若干二级指标，并详细划分到三级指标。其中：（1）建设情况指标主要描述了关键信息基础设施ICT供应链安全体系的建设情况。（2）运行能力指标主要用来评估关键信息基础设施ICT供应链安全体系运行能力。（3）安全效果指标主要用于评估关键信息基础设施ICT供应链安全效果情况。ICT供应链安全风险评估指标的具体释义如表2所示：03ICT供应链安全风险评估实施过程ICT供应链安全评估的目标在于评估关键信息基础设施ICT供应链建设情况、运行能力和安全效果等各个方面，输出可能的风险点，作为评价关键信息基础设施ICT供应链安全程度的依据。安全评估的过程包括评估准备、评估方案编制、安全评估实施、评估结果分析以及安全程度报告等部分。3.1评估准备评估准备是否充分关系到评估结果科学性、有效性以及评估工作是否能够顺利开展。评估准备活动的主要任务是明确评估目的，熟悉指标及其含义，制定评估项目计划，并做好相应文档准备工作。3.2评估方案编制本项活动的主要任务是明确评估目标、评估对象及测量方法，经过裁剪、增加确定安全评估程序，最终完成评估方案编制并获得执行评估的相关权限。3.3安全评估实施本项活动的主要任务是执行评估方案，包括针对评估目标采用检查、访问和测试等方法评估相应的文档、设备或活动，输出针对各项指标点的评估结果，评估结果示例如表3所示：（1）访谈：评估实施方通过与供应方相关人员进行有针对性的交流以帮助理解、厘清或取得证据，访谈的对象为个人或团体，如技术团队负责人、核心技术工程师、采购部门负责人等；（2）检查：评估实施方对供应方提供的相关材料进行观察、查验、分析以帮助理解、厘清或取得证据，检查的对象为制度、文档和记录，如必要的技术设计文档、核心材料采购记录等；（3）测试：评估实施方使用预定的方法/工具使测试对象产生特定的结果，并将运行结果与预期的结果进行比对，测试的对象为信息技术产品的技术或功能特性，如安全可控产品适配性、重现结果与产品一致性等。3.4评估结果分析本项活动的主要任务是审核安全评估实施阶段获得的评估结果，并确定应对评估中发现的弱点和不足采取相应的调查或者补救措施。如表3所示，以组织机构建设指标为例，说明指标的测量过程。3.5安全报告编制本项活动的主要任务是根据评估结果以及评估过程反映出的情况，形成评估报告文本。04结论关键信息基础设施作为关系国家安全、国计民生、公共利益的信息基础系统，其供应链的安全与否具有极其重要的意义。本文从指标框架、指标体系、指标释义和实施过程等方面构建了一套针对关键信息基础