摘 要
随着信息通信技术(ICT)在党政部门、重点行业领域的普及应用,加强ICT产品服务供应链的安全可控保障变得至关重要。研究从指标框架、指标体系、指标释义和实施过程等方面构建了一套针对关键信息基础设施ICT供应链安全的评估指标体系,该体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点,可作为评价关键信息基础设施ICT供应链安全程度的依据,进而促进关键信息基础设施ICT供应链安全的检测评估工作开展。
关键词:信息通信技术;关键信息基础设施;供应链;风险评估
00引 言
随着信息通信技术(nformation & Communication Technology,ICT)在党政部门、重点行业领域的普及应用,加强ICT产品服务供应链的安全可控保障变得至关重要。与传统供应链相比,ICT供应链覆盖了ICT产品服务的全生命周期,任何一个环节的安全隐患都能随着供应链网络进行传播和放大。例如,2015年9月针对苹果公司的集成开发工具Xcode的攻击,通过影响编译环境间接攻击了软件产品,最终影响了数亿的终端用户。
在ICT采购全球化的态势下,ICT供应链安全与国家安全间的关系愈发密切。2019年5月,特朗普总统签署第 13873 号行政令《确保信息和通信技术及服务供应链安全》,以国家安全遭遇威胁为由宣告国家进入紧急状态,将ICT供应链安全
上升为国家安全问题。2019年11月,美国商务部出台《< 确保信息通信技术与服务供应链安全 > 审查规则草案》使其获得更为广泛的权力,得以全面干预甚至终止所有涉及ICT供应链的外国交易。
随后,2019年5月和10月,美国商务部分别将华为及其旗下累积达144个附属关联公司以及海康威视、科大讯飞、旷世科技、大华科技、依图科技、颐信科技等公司列入出口管制的“实体清单”。2020年1月3日,美国商务部工业安全局又进一步限制人工智能等软件的出口。
至此,美国将ICT供应链安全作为其维护技术领先地位、实施贸易制裁的重要手段,针对中国高科技企业发起单边制裁与措施,这不仅使信息通信技术领域企业的供应链安全受到威胁,还将威胁我国基础设施和关键资源的安全与ICT自主控制权,进而影响我国的政治、经济和社会安全。因此,保障ICT供应链安全是关乎我国网络空间安全的重要问题。
针对以上严峻的安全现状和关键信息基础设施实际的网络安全要求,本论文参考国内外现有标准研究,从指标框架、指标体系、指标释义和实施过程等方面构建一套针对关键信息基础设施的ICT供应链安全的评估指标体系,实现关键信息基础设施ICT供应链安全的检测评估。区别于作为风险管理活动的重要组成部分的风险评估(risk accessment),本项目提出的评估指标体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点,作为评价关键信息基础设施ICT供应链安全程度的依据。
01 ICT供应链安全风险评估指标体系
关键信息基础设施ICT供应链安全风险评估指标体系共有三个层级,其中第一层级指标对应关键信息基础设施建设、运行和安全防护的三个大方面,用建设情况指标评估ICT供应链安全措施;用运行能力指标评估ICT供应链安全能力;用安全效果指标评估ICT供应链安全程度。二级指标对应在三个大方面中应该考虑的具体元素,三级指标对应具体指导落地实施的评估因素。如图1所示:
图1 关键信息基础设施ICT供应链安全风险评估指标体系
关键信息基础设施ICT供应链安全风险评估指标体系如表1所示,包含由3个一级指标和12个二级指标构成的指标框架以及45个三级指标,三级指标为可用于
测
量
的
底
层
指
标
。
02
关键信息基础设施ICT供应链安全风险评估指标释义
关键信息基础设施ICT供应链安全风险评估指标体系由建设情况指标、运行能力指标和安全效果指标这三类一级指标构成,其中每个一级指标下又分为若干二级
指标,并详细划分到三级指标。其中:
(1)建设情况指标主要描述了关键信息基础设施ICT供应链安全体系的建设情况。(2)运行能力指标主要用来评估关键信息基础设施ICT供应链安全体系运行能力。(3)安全效果指标主要用于评估关键信息基础设施ICT供应链安全效果情况。
ICT供应链安全风险评估指标的具体释义如表2所示:
关键信息基础设施ICT供应链安全风险评估指标体系研究
