關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系研究

00引言隨著信息通信技術(shù)（nformation&CommunicationTechnology，ICT）在黨政部門、重點(diǎn)行業(yè)領(lǐng)域的普及應(yīng)用，加強(qiáng)ICT產(chǎn)品服務(wù)供應(yīng)鏈的安全可控保障變得至關(guān)重要。與傳統(tǒng)供應(yīng)鏈相比，ICT供應(yīng)鏈覆蓋了ICT產(chǎn)品服務(wù)的全生命周期，任何一個(gè)環(huán)節(jié)的安全隱患都能隨著供應(yīng)鏈網(wǎng)絡(luò)進(jìn)行傳播和放大。例如，2015年9月針對(duì)蘋果公司的集成開發(fā)工具Xcode的攻擊，通過(guò)影響編譯環(huán)境間接攻擊了軟件產(chǎn)品，最終影響了數(shù)億的終端用戶。在ICT采購(gòu)全球化的態(tài)勢(shì)下，ICT供應(yīng)鏈安全與國(guó)家安全間的關(guān)系愈發(fā)密切。2019年5月，特朗普總統(tǒng)簽署第13873號(hào)行政令《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》，以國(guó)家安全遭遇威脅為由宣告國(guó)家進(jìn)入緊急狀態(tài)，將ICT供應(yīng)鏈安全上升為國(guó)家安全問題。2019年11月，美國(guó)商務(wù)部出臺(tái)《<確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全>審查規(guī)則草案》使其獲得更為廣泛的權(quán)力，得以全面干預(yù)甚至終止所有涉及ICT供應(yīng)鏈的外國(guó)交易。隨后，2019年5月和10月，美國(guó)商務(wù)部分別將華為及其旗下累積達(dá)144個(gè)附屬關(guān)聯(lián)公司以及?？低?、科大訊飛、曠世科技、大華科技、依圖科技、頤信科技等公司列入出口管制的“實(shí)體清單”。2020年1月3日，美國(guó)商務(wù)部工業(yè)安全局又進(jìn)一步限制人工智能等軟件的出口。至此，美國(guó)將ICT供應(yīng)鏈安全作為其維護(hù)技術(shù)領(lǐng)先地位、實(shí)施貿(mào)易制裁的重要手段，針對(duì)中國(guó)高科技企業(yè)發(fā)起單邊制裁與措施，這不僅使信息通信技術(shù)領(lǐng)域企業(yè)的供應(yīng)鏈安全受到威脅，還將威脅我國(guó)基礎(chǔ)設(shè)施和關(guān)鍵資源的安全與ICT自主控制權(quán)，進(jìn)而影響我國(guó)的政治、經(jīng)濟(jì)和社會(huì)安全。因此，保障ICT供應(yīng)鏈安全是關(guān)乎我國(guó)網(wǎng)絡(luò)空間安全的重要問題。針對(duì)以上嚴(yán)峻的安全現(xiàn)狀和關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)際的網(wǎng)絡(luò)安全要求，本論文參考國(guó)內(nèi)外現(xiàn)有標(biāo)準(zhǔn)研究，從指標(biāo)框架、指標(biāo)體系、指標(biāo)釋義和實(shí)施過(guò)程等方面構(gòu)建一套針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供應(yīng)鏈安全的評(píng)估指標(biāo)體系，實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全的檢測(cè)評(píng)估。區(qū)別于作為風(fēng)險(xiǎn)管理活動(dòng)的重要組成部分的風(fēng)險(xiǎn)評(píng)估（riskaccessment），本項(xiàng)目提出的評(píng)估指標(biāo)體系主要圍繞關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈涉及的各個(gè)方面衡量其安全性，并輸出可能的風(fēng)險(xiǎn)點(diǎn)，作為評(píng)價(jià)關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全程度的依據(jù)。01ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系共有三個(gè)層級(jí)，其中第一層級(jí)指標(biāo)對(duì)應(yīng)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)、運(yùn)行和安全防護(hù)的三個(gè)大方面，用建設(shè)情況指標(biāo)評(píng)估ICT供應(yīng)鏈安全措施；用運(yùn)行能力指標(biāo)評(píng)估ICT供應(yīng)鏈安全能力；用安全效果指標(biāo)評(píng)估ICT供應(yīng)鏈安全程度。二級(jí)指標(biāo)對(duì)應(yīng)在三個(gè)大方面中應(yīng)該考慮的具體元素，三級(jí)指標(biāo)對(duì)應(yīng)具體指導(dǎo)落地實(shí)施的評(píng)估因素。如圖1所示：圖1關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系如表1所示，包含由3個(gè)一級(jí)指標(biāo)和12個(gè)二級(jí)指標(biāo)構(gòu)成的指標(biāo)框架以及45個(gè)三級(jí)指標(biāo)，三級(jí)指標(biāo)為可用于測(cè)量的底層指標(biāo)。02關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)釋義關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系由建設(shè)情況指標(biāo)、運(yùn)行能力指標(biāo)和安全效果指標(biāo)這三類一級(jí)指標(biāo)構(gòu)成，其中每個(gè)一級(jí)指標(biāo)下又分為若干二級(jí)指標(biāo)，并詳細(xì)劃分到三級(jí)指標(biāo)。其中：（1）建設(shè)情況指標(biāo)主要描述了關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全體系的建設(shè)情況。（2）運(yùn)行能力指標(biāo)主要用來(lái)評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全體系運(yùn)行能力。（3）安全效果指標(biāo)主要用于評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全效果情況。ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估指標(biāo)的具體釋義如表2所示：03ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程ICT供應(yīng)鏈安全評(píng)估的目標(biāo)在于評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈建設(shè)情況、運(yùn)行能力和安全效果等各個(gè)方面，輸出可能的風(fēng)險(xiǎn)點(diǎn)，作為評(píng)價(jià)關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈安全程度的依據(jù)。安全評(píng)估的過(guò)程包括評(píng)估準(zhǔn)備、評(píng)估方案編制、安全評(píng)估實(shí)施、評(píng)估結(jié)果分析以及安全程度報(bào)告等部分。3.1評(píng)估準(zhǔn)備評(píng)估準(zhǔn)備是否充分關(guān)系到評(píng)估結(jié)果科學(xué)性、有效性以及評(píng)估工作是否能夠順利開展。評(píng)估準(zhǔn)備活動(dòng)的主要任務(wù)是明確評(píng)估目的，熟悉指標(biāo)及其含義，制定評(píng)估項(xiàng)目計(jì)劃，并做好相應(yīng)文檔準(zhǔn)備工作。3.2評(píng)估方案編制本項(xiàng)活動(dòng)的主要任務(wù)是明確評(píng)估目標(biāo)、評(píng)估對(duì)象及測(cè)量方法，經(jīng)過(guò)裁剪、增加確定安全評(píng)估程序，最終完成評(píng)估方案編制并獲得執(zhí)行評(píng)估的相關(guān)權(quán)限。3.3安全評(píng)估實(shí)施本項(xiàng)活動(dòng)的主要任務(wù)是執(zhí)行評(píng)估方案，包括針對(duì)評(píng)估目標(biāo)采用檢查、訪問和測(cè)試等方法評(píng)估相應(yīng)的文檔、設(shè)備或活動(dòng)，輸出針對(duì)各項(xiàng)指標(biāo)點(diǎn)的評(píng)估結(jié)果，評(píng)估結(jié)果示例如表3所示：（1）訪談：評(píng)估實(shí)施方通過(guò)與供應(yīng)方相關(guān)人員進(jìn)行有針對(duì)性的交流以幫助理解、厘清或取得證據(jù)，訪談的對(duì)象為個(gè)人或團(tuán)體，如技術(shù)團(tuán)隊(duì)負(fù)責(zé)人、核心技術(shù)工程師、采購(gòu)部門負(fù)責(zé)人等；（2）檢查：評(píng)估實(shí)施方對(duì)供應(yīng)方提供的相關(guān)材料進(jìn)行觀察、查驗(yàn)、分析以幫助理解、厘清或取得證據(jù)，檢查的對(duì)象為制度、文檔和記錄，如必要的技術(shù)設(shè)計(jì)文檔、核心材料采購(gòu)記錄等；（3）測(cè)試：評(píng)估實(shí)施方使用預(yù)定的方法/工具使測(cè)試對(duì)象產(chǎn)生特定的結(jié)果，并將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)，測(cè)試的對(duì)象為信息技術(shù)產(chǎn)品的技術(shù)或功能特性，如安全可控產(chǎn)品適配性、重現(xiàn)結(jié)果與產(chǎn)品一致性等。3.4評(píng)估結(jié)果分析本項(xiàng)活動(dòng)的主要任務(wù)是審核安全評(píng)估實(shí)施階段獲得的評(píng)估結(jié)果，并確定應(yīng)對(duì)評(píng)估中發(fā)現(xiàn)的弱點(diǎn)和不足采取相應(yīng)的調(diào)查或者補(bǔ)救措施。如表3所示，以組織機(jī)構(gòu)建設(shè)指標(biāo)為例，說(shuō)明指標(biāo)的測(cè)量過(guò)程。3.5安全報(bào)告編制本項(xiàng)活動(dòng)的主要任務(wù)是根據(jù)評(píng)估結(jié)果以及評(píng)估過(guò)程反映出的情況，形成評(píng)估報(bào)告文本。04結(jié)論關(guān)鍵信息基礎(chǔ)設(shè)施作為關(guān)系國(guó)家安全、國(guó)計(jì)民生、公共利益的信息基礎(chǔ)系統(tǒng)，其供應(yīng)鏈的安全與否具有極其重要的意義。本文從指標(biāo)框架、指標(biāo)體系、指標(biāo)釋義和實(shí)施過(guò)程等方面構(gòu)建了一套針對(duì)關(guān)鍵信息基礎(chǔ)