信息通信技术供应链安全政策法规与标准研究

文│ 中国电子技术标准化研究院 上官晓丽 孙彦 李彦峰

随着经济全球化的日益深入和信息通信技术的飞速发展，信息通信技术供应链（简称“ICT 供应链”）已经发展为一个遍布全球的复杂系统。这一复杂系统中任一组件、任一环节出现问题，均可能带来信息通信产品和服务的安全问题，进而影响信息通信行业安全、经济社会发展安全，乃至国家安全。作为网络安全工作的重要一环，如何加强 ICT 供应链安全管理，有效保障供应链安全已经成为学术和产业领域研究的热点问题之一。

一、国内外政策法规情况

美欧等发达国家和地区在信息技术供应链安全管理领域起步较早，出台了大量政策法规和标准规范，用于加强 ICT 供应链安全管理。我国近年来也不断出台相关法律规范，逐步完善 ICT 供应链安全管理工作。

（一）美国

2018 年 9 月，特朗普政府发布《国家网络战略》，要求改进联邦供应链风险管理。为确保联邦政府部署应用的技术安全可靠，该战略提出在联邦机构采购和风险管理流程中整合供应链风险管理的要求。同时，要求各部门和机构之间要更好地共享供应链安全风险信息，通过建立供应链安全风险评估共享服务等方式，提高对供应链威胁的认识，减少政府内部重复的供应链活动。

2018 年 12 月，美国国会通过了《联邦采购供应链安全法案》。该法案设立了新的联邦采购安全理事会，授权其为联邦供应链安全制定规则，以增强联邦采购和采购规则的网络安全弹性。同年 12 月，美国国土安全部正式组建 ICT 供应链风险管理特别任务组。该任务组主要职责时识别全球 ICT 供应链安全风险挑战，并提供可操作的解决方案。

2019 年 5 月，特朗普签署第 13873 号《确保信息通信技术与服务供应链安全行政令》，要求商务部长、国务卿、国土安全部、国家情报总监分别根据自身职责开展持续性评估工作，每年均需发布相关评估报告。其中，国家情报总监负责对外国拥有、控制、管辖的信息通信技术或服务，以及由国外设计、开发、制造的信息通信技术或服务可能给美国带来的威胁进行评估。国土安全部负责对存在安全漏洞并对美国国家安全造成重大潜在威胁的实体、硬件、软件和服务进行评估。

2021 年 2 月，拜登签署了第 14017 号《美国供应链行政令》，要求联邦机构对关键领域和行业的全球供应链进行审查，包括在行政令发布后的 100天内针对包括半导体芯片的四个关键领域的供应链进行审查；在行政令发布后的一年之内对国防、医疗卫生、通信技术、能源、交通和食品生产六个行业进行供应链审查。

（二）欧盟

2015 年 8 月，欧洲网络与信息安全局（ENISA）发布《供应链完整性：ICT 供应链风险和挑战概述，以及发展方向愿景》报告，指出 ICT 供应链完整性是国家经济发展的关键因素，提高供应链完整度对公共和私营部门意义重大，并建议供应链安全管理应遵循同一套实践，为评估和管理提供共同的基础，政府应与企业合作建立 ICT 供应链安全风险评估框架。

2021 年 7 月，ENISA 发布了《ENISA 的供应链攻击威胁情景》，对供应链攻击进行了分类，并对从 2020 年 1 月到 7 月初的 24 起供应链攻击事件进行了研究，对供应链攻击者来源、攻击手段、攻击目标以及应对措施进行了分析。

（三）俄罗斯

2012 年，俄罗斯推出了《工业发展及其竞争力提升国家纲要》，针对产品生命周期，研究制定一系列综合性保障措施，其主旨就是要尽快形成和完善俄罗斯的产业体系，减少对国外技术和产品依赖。

（四）我国相关政策法规

《网络安全法》第三十五条“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”和第三十六条“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任”，分别从网络安全审查、网络产品和服务安全角度对供应链安全提出要求。

2019 年 7 月，国家互联网信息办公室等四部门发布《云计算服务安全评估办法》，要求云计算服务安全评估工作中，应重点评估“云平台技术、产品和服务供应链安全情况”。申请安全评估的云服务商应提交“业务连续性和供应链安全报告”。

2020 年 4 月，《网络安全审查办法》明确提出，为了确保关键信息基础设施供应链安全，维护国家安全，对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应进行网络安全审查。

2021 年 7 月 30 日正式公布的《关键信息基础设施安全保护条例》第十九条明确指出：“运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查”。

二、国外标准情况

（一）ISO/IEC 27036《信息技术 安全技术供应商关系的信息安全》系列标准

该系列标准由 ISO/IEC JTC1/SC27 研制，旨在确保组织战略目标和商业需求实现的同时，降低采购方和供应方在供应关系中存在的信息安全风险。ISO/IEC JTC1/SC27 是国际标准化组织（ISO）和国际电工委员会（IEC）第一联合技术委员会（JTC1）下的“信息安全、网络安全和隐私保护分技术委员会”，负责网络安全领域国际标准化工作。

该系列标准包括四个部分，分别是 ISO/IEC27036-1：2021《第 1 部分：概述和相关概念》，提供了 27036 系列标准的总体介绍，对供应商关系的类型、相关安全风险以及风险管理相关概念进行了描述；ISO/IEC 27036-2：2014《第 2 部分：通用要求》，对供应关系中的信息安全进行定义，并对实施、操作、评估、应对措施等提出了通用要求；ISO/IEC 27036-3：2013《第 3 部分：供应链安全指南》，对 ICT 供应链中产品和服务的安全风险进行描述和分析，给出了应对相应风险的措施；ISO/IEC 27036-4：2016《第 4 部分：云服务安全指南》，提出了云计算服务在 ICT 供应链方面存在的安全风险及相关应对措施。

（二）ISO/IEC 20243《信息技术 开放可信技术提供商标准 减少恶意和仿冒组件》系列标准

该系列标准包括 ISO/IEC 20243-1：2018《要求和建议》、ISO/IEC 20243-2：2018《O-TTPS 和ISO/IEC 20243-1：2018 的评估流程》两个部分，针对信息通信技术硬件和软件在产品生命周期内面临的完整性威胁，特别是恶意和仿冒组件带来的安全风险，提供了一套应对准则、方针和建议。

（三）ISO 28000《供应链安全管理体系规范》

该标准作为一套供应链安全管理规范，说明了组织建立、实施供应链安全管理体系的要求，保障供应链安全的重要内容，为各类组织开展供应链安全管理提供了一个较为系统的管理模式。

（四）NIST SP 800-161《联邦信息系统和组织的供应链风险管理实践》

该标准是美国国家标准技术研究院在 NIST SP800-39《管理信息安全风险：组织、任务和信息系统视角》、NIST SP 800-53《信息系统和组织的安全和隐私控制措施》基础上，针对为联邦信息系统和机构供应链方面面临的安全风险，提出的 ICT 供应链安全风险控制流程和措施。该标准通过提出将供应链安全风险纳入组织整体的风险管理过程，并给出 19 类 ICT 供应链安全控制措施，以减少联邦信息系统和组织面临的供应链安全风险。

三、我国相关标准

（一） GB/T 36637—2018《信息安全技术ICT 供应链安全风险管理指南》

该标准分析了 ICT 供应链的特点，梳理了 ICT 供应链面临的典型安全威胁和安全脆弱性。在通用风险管理模型基础上，提出了 ICT 供应链风险管理过程，细化风险管理的步骤和实施细则，提出了供应链完整性保护、可追溯性等技术安全措施，以及制度和人员管理、供应链生命周期管理、采购外包与供应商管理等管理安全措施，为 ICT 产品和服务的供应方和需求方加强供应链安全管理提供指导。该标准由全国信息安全标准化技术委员会（TC260）提出并归口。

（二） GB/T 32921—2016《信息安全技术信息技术产品供应方行为安全准则》

该标准规定了信息技术产品供应方在提供信息技术产品过程中，为保护用户相关信息，维护用户信息安全应遵守的基本准则，分别从用户相关信息收集和处理的安全、远程控制用户产品的安全和其他行为安全等方面提出相关安全要求，适用于信息技术产品供应、运行或维护过程中的供应方行为管理。该标准由 TC260 提出并归口。

（三） GB/T 32926—2016《信息安全技术政府部门信息技术服务外包信息安全管理规范》

该标准针对政府部门在使用信息技术服务外包时面临的外包服务机构背景复杂、服务人员流动性大、内部管理不规范等问题带来的信息安全风险，建立了政府部门信息技术服务外包信息安全管理模型，明确了服务外包信息安全管理角色和责任，将管理活动划分为规划准备、机构和人员选择、运行监督、改进完成四个阶段，提出具体信息安全管理要求，为政府部门信息技术服务外包的安全管理提供参考。该标准由 TC260 提出并归口。

（四） GB/T 31168—2014《信息安全技术云计算服务安全能力要求》

该标准提出了云服务商应具备的技术能力，适用于对政府部门使用的云计算服务进行安全管理。标准从重要设备安全检测情况，重要信息系统、组件获服务的供应链保护措施情况，供应商情况等方面对云服务商的供应链安全提出要求。该标准由TC260 提出并归口。

（五） GB/T 24420—2009《供应链风险管理指南》

该标准在参考国际航天质量标准、美国机动车工程师协会标准和欧洲航空航天工业协会标准《供应链风险管理指南》等标准的基础上制定。标准给出了供应链风险管理的通用指南，包括供应链风险管理的步骤，以及识别、分析、评价和应对供应链风险的方法和工具，适用于各类组织保护其在供应链上进行的产品的采购活动。该标准由全国风险管理标准化技术委员会（TC 310）提出并归口。

（六） 《信息安全技术 关键信息基础设施信息技术产品供应链安全要求（报批稿）》

该标准提出了关键信息基础设施、政务信息系统信息技术产品供应链在设计、开发、采购、生产、交付和运维等环节的安全要求，主要从安全漏洞缺陷的防范、安全运营维护、供应商管理、供应来源多样性等方面提出安全要求，适用于关键信息基础设施、政务信息系统加强信息技术产品供应链安全。该标准由 TC260 提出并归口，目前处于报批稿阶段。

（七） 《信息安全技术 软件供应链安全（草案）》

该标准规定了软件产品和服务供应链所涉及相关要素的安全要求，包括软件供应链组织管理要求，以及开发、交付、使用等环节的安全要求。该标准由 TC260 提出并归口，目前处在草案阶段。

四、供应链安全标准化工作建议

（一） ICT 供应链安全标准分析

目前，已发布和在研的 ICT 供应链安全标准主要从 ICT 供应链生命周期和安全风险两个方面提出相应安全要求。

ICT 供应链生命周期安全通常从供应方和需求方的不同角度提出安全要求。从供应方角度，与传统物流供应链安全管理聚焦于将产品或服务从供应方安全交付给需求方不同，供应方 ICT 供应链安全管理需要覆盖 ICT 产品和服务的研发设计、生产交付，以及产品和服务的运行维护 3 个主要环节。从需求方角度，需求方通常需要在现有管理制度基础上进一步明确供应链管理制度的要求，建立供应商目录，开展采购管理。因此，需求方在 ICT 供应链安全管理方面主要包括供应商管理、采购外包、管理制度 3个环节。在安全风险方面，ICT 供应链主要面临 6 类安全风险，分别是恶意篡改、仿冒伪造、供应中断、信息泄露、安全漏洞和其他安全威胁。

ISO/IEC 27036《信息技术 安全技术 供应商关系的信息安全》系列标准基于过程模型建立了采购过程（主要是供应商选择和采购外包）和供应过程（主要是生产交付），并在信息安全管理体系基础上增加供应链的管理制度和措施。

ISO/IEC 20243《信息技术 开放可信技术提供商标准 减少恶意和仿冒组件》系列标准主要针对 ICT产品和服务在研发设计、生产交付、运行维护等环节面临的恶意篡改、仿冒伪造安全风险提出应对措施。

ISO 28000《供应链安全管理体系规范》建立了供应链安全的管理体系，用于提高供应链在生产交付方面的安全性。

NIST SP 800-161《联邦信息系统和组织的供应链风险管理实践》建立了联邦政府部门和机构的供应链的风险管理模型，提出了覆盖 ICT 供应链生命周期各环节的安全控制措施。

GB/T 36637—2018《信息安全技术 ICT 供应链安全风险管理指南》覆盖了供应方和需求方在 ICT 供应链生命周期中的各环节，并针对各类安全风险提出安全要求和相应安全控制措施。

GB/T 32921—2016《信息安全技术 信息技术产品供应方行为安全准则》主要针对运行维护环节存在的信息泄露风险提出安全要求，规范供应方行为。

GB/T 32926-2016《信息安全技术 政府部门信息技术服务外包信息安全管理规范》主要针对信息泄露、安全漏洞等安全风险，提出采购外包和管理制度等环节的安全要求。

GB/T 31168—2014《信息安全技术 云计算服务安全能力要求》主要针对云计算服务在供应商管理、采购外包等环节可能存在的安全风险提出安全要求。

GB/T 24420—2009《供应链风险管理指南》提出了供应链安全风险的分析框架，主要针对生产交付环节提出安全要求。

在研标准《信息安全技术 关键信息基础设施信息技术产品供应链安全要求（报批稿）》覆盖了 ICT供应链的生命周期，主要针对关键信息基础设施和政务信息系统供应链安全提出安全要求。

（二） ICT 供应链安全标准建议

为加强我国供应链安全管理力度，发挥网络安全标准对政策法规的支撑作用，推动供应链安全标准体系化，结合 ICT 供应链安全标准现状，提出以下三方面建议：

一是梳理分析 ICT 供应链监管方面的安全需求，推进相关标准研制。目前，国内外 ICT 供应链安全标准主要从供应方、需求方两个维度，围绕 ICT 供应链的生命周期，以及可能面临的主要安全风险提出相关安全要求。随着《网络安全法》《关键信息基础设施保护条例》等法律法规的出台，ICT 供应链安全在经济社会安全、国家安全中的作用和影响不断强化。加强 ICT 供应链的安全监管，保障供应链安全已经成为政府部门、学术研究领域和 ICT 产业的共识，急需针对 ICT 供应链安全监管要求，开展标准化需求分析，推动 ICT 供应链安全管理能力提升。

二是加快供应链安全测试评估相关标准研制，推动安全要求标准的有效落地实施。已发布和在研的 ICT 供应链安全国家标准主要针对各类安全风险提出安全要求和相应控制措施。相关标准明确了安全要求，但并未进一步针对安全控制措施的实施给出明确指导，准确、客观评价 ICT 供应链安全管理水平存在一定难度。针对该问题，急需开展 ICT 供应链安全测试评估相关标准的研制，通过建立合理化的测试评估流程，推动 ICT 供应链安全要求和控制措施的有效落地。

三是加大需求方供应链安全管理问题分析力度，强化对信息泄露、供应链中断等安全风险相关技术措施的研究。目前，已发布和在研标准侧重点多集中于供应方角度，安全要求集中在研发设计、生产交付和运行维护等环节。针对需求方供应链安全管理，特别是针对供应商管理、采购外包的相关研究有待加强。在安全风险应对方面，已发布和在研标准主要关注于恶意篡改、伪造仿冒、安全漏洞等风险的防范，对于信息泄露、供应链中断等安全风险，针对性的要求和技术措施较少。因此，急需在相关标准研制中予以重点关注。

（本文刊登于《中国信息安全》杂志2021年第10期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。