導(dǎo)語(yǔ)：電信供應(yīng)鏈安全風(fēng)險(xiǎn)及安全管理研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:本文分析了國(guó)內(nèi)外電信供應(yīng)鏈工作體系發(fā)展情況，從電信供應(yīng)鏈全球化、企業(yè)供應(yīng)鏈制度碎片化和軟件供應(yīng)鏈攻擊隱蔽化3個(gè)角度分析了電信供應(yīng)鏈的現(xiàn)狀及安全風(fēng)險(xiǎn)，提出了供應(yīng)鏈安全管理體系框架，并對(duì)電信供應(yīng)鏈安全工作思路提出建議。

關(guān)鍵詞:電信供應(yīng)鏈；安全風(fēng)險(xiǎn)；安全管理體系

縱觀全球企業(yè)近幾十年供應(yīng)鏈的發(fā)展歷程，供應(yīng)鏈管理呈現(xiàn)非常顯著的特征：即專業(yè)化發(fā)展、集中化實(shí)施、系統(tǒng)化運(yùn)作和信息化支撐。無(wú)論是傳統(tǒng)產(chǎn)業(yè)還是高新技術(shù)產(chǎn)業(yè)，其興衰成敗都與供應(yīng)鏈管理水平有著極大的聯(lián)系。供應(yīng)鏈中任何環(huán)節(jié)發(fā)生的問(wèn)題，都會(huì)給供應(yīng)鏈上下游帶來(lái)深刻地影響。而在全球化和信息技術(shù)快速發(fā)展的同時(shí)，供應(yīng)鏈安全問(wèn)題日益凸顯，因供應(yīng)鏈造成的重大網(wǎng)絡(luò)入侵事件層出不窮。電信企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，“信息”始終是電信供應(yīng)鏈最主要的工作對(duì)象，電信供應(yīng)鏈上的各個(gè)主體通過(guò)對(duì)信息的不斷加工，向用戶提供各種電信業(yè)務(wù)，實(shí)現(xiàn)信息的價(jià)值增值。電信供應(yīng)鏈的安全直接影響著國(guó)家產(chǎn)業(yè)安全、經(jīng)濟(jì)安全和社會(huì)的長(zhǎng)治久安。本文基于國(guó)內(nèi)外電信供應(yīng)鏈工作體系的發(fā)展背景，闡述分析了電信供應(yīng)鏈的現(xiàn)狀及風(fēng)險(xiǎn)，提出了供應(yīng)鏈安全管理體系框架及供應(yīng)鏈安全工作的思路建議。

1供應(yīng)鏈

供應(yīng)鏈的概念最早出現(xiàn)在20世紀(jì)80年代。當(dāng)時(shí)供應(yīng)鏈被定義為制造企業(yè)中的一個(gè)內(nèi)部過(guò)程，它是指把從企業(yè)外部采購(gòu)的原材料和零部件通過(guò)生產(chǎn)轉(zhuǎn)換和銷(xiāo)售等活動(dòng)再傳遞到零售商和用戶的過(guò)程。隨著供應(yīng)鏈應(yīng)用的不斷擴(kuò)展，目前對(duì)供應(yīng)鏈的通用定義是指產(chǎn)品生產(chǎn)和流通中涉及的原材料供應(yīng)商、生產(chǎn)商、批發(fā)商、零售商以及最終用戶組成的供需網(wǎng)絡(luò)結(jié)構(gòu)。在這個(gè)網(wǎng)絡(luò)中，每個(gè)角色既是其客戶的供應(yīng)商，又是其供應(yīng)商的客戶，既向其上游的企業(yè)訂購(gòu)產(chǎn)品，又向其下游的企業(yè)供應(yīng)產(chǎn)品，網(wǎng)絡(luò)上流動(dòng)著物流、資金流和信息流。1.1電信供應(yīng)鏈。電信供應(yīng)鏈由生產(chǎn)電信基礎(chǔ)設(shè)施的供應(yīng)鏈和電信業(yè)務(wù)的供應(yīng)鏈兩部分構(gòu)成。電信基礎(chǔ)設(shè)施的供應(yīng)鏈?zhǔn)菫榱私ㄔO(shè)和維護(hù)電信設(shè)施而形成的網(wǎng)狀組織，它由電信運(yùn)營(yíng)企業(yè)、電信設(shè)備生產(chǎn)企業(yè)及其供應(yīng)商、電信設(shè)備維修企業(yè)及其供應(yīng)商等企業(yè)供應(yīng)鏈共同構(gòu)成。電信運(yùn)營(yíng)企業(yè)在企業(yè)供應(yīng)鏈中居于主導(dǎo)地位，是電信基礎(chǔ)設(shè)施供應(yīng)鏈的核心企業(yè)。電信設(shè)備生產(chǎn)企業(yè)和電信設(shè)備維修企業(yè)是電信基礎(chǔ)設(shè)施供應(yīng)鏈的骨干企業(yè)，電信設(shè)備生產(chǎn)企業(yè)和電信設(shè)備維修企業(yè)的供應(yīng)商是電信基礎(chǔ)設(shè)施供應(yīng)鏈的邊緣企業(yè)。電信業(yè)務(wù)供應(yīng)鏈?zhǔn)菫榱死秒娦旁O(shè)施向電信用戶提供服務(wù)，由電信運(yùn)營(yíng)企業(yè)以及增值服務(wù)提供商和增值服務(wù)提供商組成的軟件供應(yīng)鏈共同構(gòu)成的網(wǎng)鏈狀組織。電信供應(yīng)鏈的組成結(jié)構(gòu)如圖1所示。1.2供應(yīng)鏈攻擊。供應(yīng)鏈攻擊也稱為第三方攻擊，是指攻擊者通過(guò)有權(quán)訪問(wèn)企業(yè)系統(tǒng)和數(shù)據(jù)的外部合作伙伴或者供應(yīng)商，入侵企業(yè)內(nèi)部系統(tǒng)。供應(yīng)鏈攻擊已成為業(yè)界公認(rèn)的新型威脅之一，與典型企業(yè)攻擊方式相比，這一攻擊方式能夠接觸到更多的敏感數(shù)據(jù)。硬件供應(yīng)鏈攻擊涉及硬件采購(gòu)、設(shè)計(jì)、制造、組裝、維護(hù)到處理的一系列過(guò)程，其風(fēng)險(xiǎn)來(lái)源于硬件供應(yīng)鏈系統(tǒng)與外部環(huán)境發(fā)生資源交換，以及在與供應(yīng)鏈成員進(jìn)行協(xié)調(diào)與合作過(guò)程中，存在著各種內(nèi)部不確定性和外部不確定性的風(fēng)險(xiǎn)因素。如自然災(zāi)害、恐怖事件和突發(fā)事件等導(dǎo)致供應(yīng)中斷；攻擊者中斷制造和交付、錯(cuò)誤的運(yùn)輸路線或延誤交貨、錯(cuò)誤的訂單、質(zhì)量等風(fēng)險(xiǎn)。軟件供應(yīng)鏈攻擊是指在軟件的開(kāi)發(fā)、交付和使用等生命周期環(huán)節(jié)開(kāi)展的惡意攻擊。軟件供應(yīng)鏈攻擊利用了用戶與軟件供應(yīng)商之間的信任關(guān)系，繞開(kāi)了安全產(chǎn)品的防護(hù)邊界，傳播更加隱蔽和難以追溯。例如在WannaCry病毒集中爆發(fā)并經(jīng)過(guò)了一年多時(shí)間后，2018年臺(tái)積電公司發(fā)生的生產(chǎn)線感染W(wǎng)annaCry病毒變種就是一個(gè)生動(dòng)的例子。對(duì)一批新接入生產(chǎn)線的計(jì)算機(jī)，上游設(shè)備供應(yīng)商未對(duì)其對(duì)外提供的計(jì)算機(jī)設(shè)備進(jìn)行嚴(yán)格的安全檢查和病毒掃描，同時(shí)臺(tái)積電公司也未能對(duì)上線的設(shè)備進(jìn)行嚴(yán)格的安全檢查和病毒掃描，從而導(dǎo)致了此次安全事故，給臺(tái)積電公司生產(chǎn)和聲譽(yù)帶來(lái)重大損失。

2國(guó)內(nèi)外電信供應(yīng)鏈工作體系發(fā)展

2.1國(guó)外情況。美國(guó)是最先提出并系統(tǒng)實(shí)施供應(yīng)鏈國(guó)家戰(zhàn)略的國(guó)家。從1993年開(kāi)始，每位美國(guó)總統(tǒng)都會(huì)就供應(yīng)鏈行政命令或國(guó)家戰(zhàn)略，幾乎美國(guó)聯(lián)邦政府所有主要部門(mén)都有關(guān)于供應(yīng)鏈方面的政策。2011年11月，美國(guó)商務(wù)部成立了由45位委員組成的供應(yīng)鏈競(jìng)爭(zhēng)力咨詢委員會(huì)，為商務(wù)部長(zhǎng)提供供應(yīng)鏈競(jìng)爭(zhēng)力綜合政策咨詢，以促進(jìn)美國(guó)出口增長(zhǎng)及經(jīng)濟(jì)競(jìng)爭(zhēng)力。2012年1月，美國(guó)總統(tǒng)簽署《全球供應(yīng)鏈安全國(guó)家戰(zhàn)略》，致力于促進(jìn)貨物安全有效移動(dòng)，培養(yǎng)有彈性的供應(yīng)鏈。2017年12月，美國(guó)公布《國(guó)家安全戰(zhàn)略報(bào)告》，其中7次提到“供應(yīng)鏈”，涉及保衛(wèi)國(guó)防工業(yè)供應(yīng)鏈、建立富有彈性的供應(yīng)鏈、防止敏感信息泄露并保證其供應(yīng)鏈的完整性等。2019年，美國(guó)總統(tǒng)簽署《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》行政令，以保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全，防范間諜滲透美國(guó)供應(yīng)鏈。日本是研究供應(yīng)鏈管理的標(biāo)桿國(guó)家之一，在供應(yīng)鏈風(fēng)險(xiǎn)管理方面，日本政府幫助企業(yè)構(gòu)建符合企業(yè)目標(biāo)價(jià)值的信息安全管理框架，依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)基本政策(第三版)》等國(guó)家政策，通過(guò)第三方認(rèn)證等方式增強(qiáng)企業(yè)信息安全整體水平。2018年，日本《網(wǎng)絡(luò)安全戰(zhàn)略》，明確提出針對(duì)供應(yīng)鏈存在的威脅，制定并推廣相關(guān)保護(hù)框架，以推動(dòng)供應(yīng)鏈創(chuàng)新。2020年，日本政府提交了《特定高度電信普及促進(jìn)法》，該法案旨在維護(hù)日本的信息安全，確保日本企業(yè)慎重應(yīng)用5G和無(wú)人機(jī)等新一代網(wǎng)絡(luò)技術(shù)，要求日本相關(guān)企業(yè)在采購(gòu)高級(jí)科技產(chǎn)品及精密器材時(shí)，必須遵守確保系統(tǒng)的安全與可信度，確保系統(tǒng)供貨安全和系統(tǒng)要能夠與國(guó)際接軌的3個(gè)安全準(zhǔn)則。英國(guó)政府高度重視信息安全和保障，其國(guó)家基礎(chǔ)設(shè)施保護(hù)中心是保護(hù)國(guó)家基礎(chǔ)設(shè)施的權(quán)威政府部門(mén)，在信息通信技術(shù)供應(yīng)鏈領(lǐng)域發(fā)揮著重要作用。2013年，英國(guó)發(fā)起可信軟件倡議，該倡議通過(guò)解決軟件可信性中的安全性、可靠性、可用性、彈性和安全性問(wèn)題，提升軟件應(yīng)用的規(guī)范、實(shí)施和使用水平，在信息通信技術(shù)供應(yīng)鏈中軟件領(lǐng)域建立起基于風(fēng)險(xiǎn)的全生命周期管理。2014年，英國(guó)《軟件可信度治理與管理規(guī)范》，涵蓋了技術(shù)、物理環(huán)境和行為管理等多個(gè)方面，并規(guī)定了申請(qǐng)流程，為采購(gòu)、供應(yīng)或使用可信賴軟件提供幫助。2019年，《英國(guó)電信供應(yīng)鏈回顧報(bào)告》，報(bào)告結(jié)合英國(guó)5G發(fā)展目標(biāo)以及5G在經(jīng)濟(jì)和社會(huì)發(fā)展中的作用，強(qiáng)調(diào)了安全在電信這一關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的重要意義，并對(duì)電信供應(yīng)鏈管理展開(kāi)綜合評(píng)估。2.2國(guó)內(nèi)情況。為保證信息技術(shù)和通信領(lǐng)域供應(yīng)鏈平穩(wěn)發(fā)展，滿足電信行業(yè)需求，我國(guó)已逐步構(gòu)建起了電信供應(yīng)鏈體系、戰(zhàn)略運(yùn)行體系和戰(zhàn)略保障體系。2014年5月22日，國(guó)家互聯(lián)網(wǎng)信息辦公室宣布我國(guó)即將推出網(wǎng)絡(luò)安全審查制度，初步界定了網(wǎng)絡(luò)安全審查的含義。2015年7月1日，《中華人民共和國(guó)國(guó)家安全法》第59條規(guī)定了網(wǎng)絡(luò)安全審查制度由國(guó)家建立。2016年7月，《國(guó)家信息化發(fā)展戰(zhàn)略綱要》明確我國(guó)要建立實(shí)施網(wǎng)絡(luò)安全審查制度，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中使用的重要信息技術(shù)產(chǎn)品和服務(wù)開(kāi)展安全審查。2016年11月7日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的應(yīng)通過(guò)國(guó)家有關(guān)部門(mén)組織開(kāi)展的網(wǎng)絡(luò)安全審查。2017年6月，我國(guó)頒布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》和《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》。2020年4月，我國(guó)多部門(mén)聯(lián)合《網(wǎng)絡(luò)安全審查辦法》，進(jìn)一步細(xì)化明確了網(wǎng)絡(luò)安全審查的范圍、機(jī)制、流程等相關(guān)要求。2.3標(biāo)準(zhǔn)發(fā)展。電信供應(yīng)鏈安全的國(guó)際標(biāo)準(zhǔn)，主要包括適用于供應(yīng)鏈及物流領(lǐng)域的ISO28000《供應(yīng)鏈安全管理說(shuō)明》、ISO28001《供應(yīng)鏈安全、評(píng)估和計(jì)劃的最佳實(shí)踐——需求和指南》、ISO28002《供應(yīng)鏈恢復(fù)能力的開(kāi)發(fā)——要求及使用指南》等標(biāo)準(zhǔn)；適用于風(fēng)險(xiǎn)管理領(lǐng)域的ISO/IEC27005《信息安全風(fēng)險(xiǎn)管理》、ISO/IEC16085《生命周期過(guò)程—風(fēng)險(xiǎn)管理》和ISO/IEC31000《風(fēng)險(xiǎn)管理》等標(biāo)準(zhǔn)；適用于信息安全領(lǐng)域的ISO/IEC27036《供應(yīng)商關(guān)系的信息安全》、ISO/IEC27000《信息安全管理系統(tǒng)》等標(biāo)準(zhǔn)；適用于應(yīng)用安全領(lǐng)域的ISO/IEC27034《應(yīng)用安全》、ISO/IECTR24772《編程語(yǔ)言指南——避免編程語(yǔ)言漏洞的指南》等。電信供應(yīng)鏈安全的國(guó)內(nèi)標(biāo)準(zhǔn)，包括GB/T24420-2009《供應(yīng)鏈風(fēng)險(xiǎn)管理指南》、GB/T29245-2012《政府部門(mén)信息安全管理基本要求》、GB/T31168-2014《云計(jì)算服務(wù)安全能力要求》、GB/T32921-2016《信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》和GB/T22239-2019《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等。2019年，我國(guó)第一個(gè)信息通信技術(shù)供應(yīng)鏈安全國(guó)家標(biāo)準(zhǔn)GB/T36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》正式實(shí)施，該指南以國(guó)內(nèi)外供應(yīng)鏈安全相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)，針對(duì)信息通信技術(shù)供應(yīng)鏈的特點(diǎn)，細(xì)化信息通信技術(shù)供應(yīng)鏈安全風(fēng)險(xiǎn)管理的過(guò)程和控制措施，支持多樣的信息通信技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈。

3電信供應(yīng)鏈現(xiàn)狀及風(fēng)險(xiǎn)

3.1電信供應(yīng)鏈全球化加劇供應(yīng)鏈安全管控壓力。隨著高精尖技術(shù)產(chǎn)品研制程序的日趨精細(xì)和復(fù)雜，產(chǎn)業(yè)鏈按照比較優(yōu)勢(shì)跨國(guó)集中布局成為必然。供應(yīng)鏈全球化已成為經(jīng)濟(jì)社會(huì)進(jìn)步的重要推動(dòng)力，但在5G技術(shù)成為國(guó)家戰(zhàn)略的背景下，也引發(fā)了各國(guó)政府對(duì)國(guó)家安全的擔(dān)憂。首先，在復(fù)雜的國(guó)際環(huán)境下，對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)的覺(jué)察和管控能力下降。其次，供應(yīng)鏈在信息流通過(guò)程中面臨信息泄露、惡意篡改和供應(yīng)中斷等一系列安全威脅，而第三方服務(wù)提供者或廠商通常不清楚其供應(yīng)商所用系統(tǒng)和應(yīng)用的更新及受保護(hù)程度，也無(wú)法確保其供應(yīng)商了解最新的系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用級(jí)漏洞情況。3.2企業(yè)供應(yīng)鏈制度碎片化帶來(lái)供應(yīng)鏈安全風(fēng)險(xiǎn)。從《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等上位法的頒布，到《國(guó)家技術(shù)安全管理清單制度》、《網(wǎng)絡(luò)安全審查辦法》等制度的建立，我國(guó)已基本建立起供應(yīng)鏈安全相關(guān)政策，但與歐美等西方國(guó)家相比，仍有一定的提升空間，實(shí)施準(zhǔn)則和風(fēng)險(xiǎn)預(yù)判標(biāo)準(zhǔn)有待進(jìn)一步細(xì)化研究。在此背景下，大部分電信企業(yè)處于供應(yīng)鏈安全管理的起步階段，企業(yè)內(nèi)部管理和評(píng)估供應(yīng)鏈安全風(fēng)險(xiǎn)的頂層設(shè)計(jì)有待完善，支撐國(guó)家供應(yīng)鏈安全政策的詳細(xì)操作規(guī)程尚不健全。當(dāng)前大部分企業(yè)仍然只是重點(diǎn)關(guān)注系統(tǒng)及產(chǎn)品開(kāi)發(fā)生命周期過(guò)程中的安全問(wèn)題，對(duì)于第三方提供的產(chǎn)品及服務(wù)是否嵌入惡意內(nèi)容或安全漏洞，只能依靠其自我披露及承諾來(lái)保證。被動(dòng)的局面極大影響了企業(yè)對(duì)第三方的可靠性判斷，成倍放大了供應(yīng)鏈安全風(fēng)險(xiǎn)的系數(shù)。3.3軟件供應(yīng)鏈攻擊隱蔽化加劇供應(yīng)鏈安全威脅。日益豐富的電信業(yè)務(wù)需求催生了種類繁多的應(yīng)用軟件，軟件供應(yīng)鏈攻擊因其易操作，易偽裝成為電信運(yùn)營(yíng)商面臨的重要威脅。軟件開(kāi)發(fā)環(huán)節(jié)涉及環(huán)境部署、第三方開(kāi)源庫(kù)的使用和軟件開(kāi)發(fā)實(shí)施等，存在開(kāi)發(fā)環(huán)境感染木馬、源代碼污染、開(kāi)發(fā)工具植入惡意代碼和第三方開(kāi)源庫(kù)被污染等可能。在軟件交付環(huán)節(jié)，用戶通過(guò)在線商店購(gòu)買(mǎi)和免費(fèi)網(wǎng)絡(luò)下載等方式獲取軟件，極易受到捆綁下載和下載劫持等困擾。在軟件使用環(huán)節(jié)，攻擊者則可通過(guò)劫持軟件更新渠道和重定向更新下載鏈接進(jìn)行惡意代碼植入。典型的軟件供應(yīng)鏈攻擊事件如蘋(píng)果集成開(kāi)發(fā)工具Xcode非官方版本被植入病毒，導(dǎo)致利用該軟件開(kāi)發(fā)編譯出來(lái)的APP都被注入病毒代碼，這些攻擊以較強(qiáng)的隱蔽性影響了上億用戶，造成了隱私泄露、釣魚(yú)攻擊和遠(yuǎn)程控制等嚴(yán)重危害。

4供應(yīng)鏈安全管理體系框架

根據(jù)以上分析，供應(yīng)鏈安全管理體系建設(shè)是全方位提升企業(yè)供應(yīng)鏈安全能力的關(guān)鍵，而構(gòu)建供應(yīng)鏈安全管理體系，可從供應(yīng)鏈安全管理政策體系、供應(yīng)鏈安全風(fēng)險(xiǎn)管理體系和供應(yīng)鏈安全預(yù)警體系3個(gè)維度入手。具體框架如圖2所示。供應(yīng)鏈安全管理政策體系可以從戰(zhàn)略規(guī)劃、制度建設(shè)、保障機(jī)制、配套政策和標(biāo)準(zhǔn)體系5個(gè)方面策劃實(shí)施。一是根據(jù)國(guó)家供應(yīng)鏈戰(zhàn)略規(guī)劃要求，在本單位“十四五”規(guī)劃和中長(zhǎng)期規(guī)劃等階段性戰(zhàn)略中明確。二是完善供應(yīng)鏈安全制度建設(shè)，厘清各部門(mén)在供應(yīng)鏈安全管理中的責(zé)任。三是完善供應(yīng)鏈安全保障機(jī)制，特別是健全供應(yīng)鏈安全審查工作機(jī)制，針對(duì)供應(yīng)鏈關(guān)鍵環(huán)節(jié)，實(shí)施風(fēng)險(xiǎn)評(píng)估審查。四是制定供應(yīng)鏈安全政策，明確主體職責(zé)、權(quán)限，與國(guó)家戰(zhàn)略相互補(bǔ)充、相互協(xié)調(diào)。五是加快供應(yīng)鏈安全管理國(guó)家標(biāo)準(zhǔn)的制定，促進(jìn)其與國(guó)際標(biāo)準(zhǔn)對(duì)接。供應(yīng)鏈安全預(yù)警體系可從組織機(jī)構(gòu)、預(yù)警指標(biāo)、監(jiān)測(cè)范圍和信息共享4個(gè)方面策劃實(shí)施。一是設(shè)立供應(yīng)鏈預(yù)警機(jī)構(gòu)，將政府、企業(yè)、產(chǎn)業(yè)有機(jī)結(jié)合，對(duì)國(guó)際技術(shù)出口管制體系進(jìn)行深入研究，為供應(yīng)鏈安全提供決策依據(jù)。二是建立符合實(shí)際的供應(yīng)鏈安全預(yù)警指標(biāo)，將供應(yīng)鏈安全量化并分析，為后續(xù)措施提供指導(dǎo)。三是建立監(jiān)測(cè)范圍，設(shè)置關(guān)鍵監(jiān)測(cè)指標(biāo)，密切關(guān)注重大事件發(fā)展趨勢(shì)和國(guó)外針對(duì)我國(guó)設(shè)置的貿(mào)易壁壘情況。四是建立預(yù)警信息共享機(jī)制，向管理部門(mén)和利益相關(guān)方開(kāi)放相關(guān)信息，達(dá)成應(yīng)急互助與信息共享協(xié)議。供應(yīng)鏈安全風(fēng)險(xiǎn)管理體系可按照以下4個(gè)方面開(kāi)展。一是風(fēng)險(xiǎn)識(shí)別，即對(duì)供應(yīng)鏈面臨的各種潛在風(fēng)險(xiǎn)進(jìn)行歸類分析，了解影響風(fēng)險(xiǎn)的因素。二是風(fēng)險(xiǎn)衡量，對(duì)特定風(fēng)險(xiǎn)發(fā)生的可能性和損失范圍及程度進(jìn)行估計(jì)與度量。三是風(fēng)險(xiǎn)控制，選擇恰當(dāng)風(fēng)險(xiǎn)管理工具，優(yōu)化組合，規(guī)避、轉(zhuǎn)移和降低風(fēng)險(xiǎn)。四是實(shí)施風(fēng)險(xiǎn)管理，使用各種風(fēng)險(xiǎn)管理工具，不斷反饋、檢查、調(diào)整、修正，使之更接近風(fēng)險(xiǎn)管理目標(biāo)。

5工作思路建議

5.1促進(jìn)供應(yīng)鏈多元化發(fā)展。供應(yīng)鏈多元化是分散安全風(fēng)險(xiǎn)的有效手段。電信運(yùn)營(yíng)商應(yīng)積極參與，深入規(guī)劃電信行業(yè)供應(yīng)鏈重組，推動(dòng)電信供應(yīng)鏈向多元化、安全化發(fā)展，并加強(qiáng)對(duì)供應(yīng)鏈關(guān)鍵環(huán)節(jié)，特別是針對(duì)涉及用于關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)、研發(fā)、運(yùn)營(yíng)等關(guān)鍵階段的網(wǎng)絡(luò)安全檢測(cè)評(píng)估和安全審查。按照國(guó)家網(wǎng)絡(luò)安全審查相關(guān)管理制度，進(jìn)一步完善自身網(wǎng)絡(luò)安全審查機(jī)制，提高供應(yīng)鏈抵抗安全風(fēng)險(xiǎn)的能力。具體而言，建議由電信運(yùn)營(yíng)商安全管理部門(mén)指導(dǎo)各部門(mén)制定業(yè)務(wù)安全指南，確保“摸清家底”，逐步對(duì)位審查，實(shí)現(xiàn)不同業(yè)務(wù)的安全應(yīng)用；采購(gòu)部門(mén)應(yīng)從業(yè)務(wù)連續(xù)性、可能造成的不良影響等方面出發(fā)，預(yù)判采購(gòu)產(chǎn)品、服務(wù)、供應(yīng)商的安全程度，對(duì)于存在安全隱患的供應(yīng)商及時(shí)申報(bào)網(wǎng)絡(luò)安全審查，同時(shí)將供應(yīng)商配合網(wǎng)絡(luò)安全審查納入合同要求；業(yè)務(wù)需求單位應(yīng)精準(zhǔn)識(shí)別安全審查范圍與對(duì)象，加強(qiáng)督促產(chǎn)品和服務(wù)提供者履行網(wǎng)絡(luò)安全審查中做出的承諾，并定期更新網(wǎng)絡(luò)資產(chǎn)清單，依照清單自上而下逐步審查評(píng)估，仔細(xì)甄別內(nèi)外部安全威脅。5.2強(qiáng)化供應(yīng)商的安全管理。對(duì)供應(yīng)商建立科學(xué)完備的管理機(jī)制，營(yíng)造安全的供應(yīng)環(huán)境，可從源頭上降低供應(yīng)鏈安全威脅隱患。電信運(yùn)營(yíng)商應(yīng)在供應(yīng)商的資質(zhì)認(rèn)證、風(fēng)險(xiǎn)管理和績(jī)效評(píng)估等環(huán)節(jié)加強(qiáng)安全管控。首先，可對(duì)引入的供應(yīng)商進(jìn)行資質(zhì)審核與認(rèn)證，從行業(yè)資質(zhì)、管理體系、技術(shù)能力、產(chǎn)品質(zhì)量及網(wǎng)絡(luò)安全防護(hù)能力等角度對(duì)其安全評(píng)估，并建立完善門(mén)類齊全、重點(diǎn)有序的供應(yīng)鏈安全廠商名錄；其次，對(duì)供應(yīng)商定期開(kāi)展風(fēng)險(xiǎn)評(píng)級(jí)，根據(jù)供應(yīng)商產(chǎn)品類別、業(yè)務(wù)情況、供應(yīng)風(fēng)險(xiǎn)和環(huán)境風(fēng)險(xiǎn)等因素，結(jié)合運(yùn)營(yíng)商自身關(guān)鍵業(yè)務(wù)需求對(duì)其進(jìn)行綜合評(píng)估和等級(jí)劃分，并實(shí)施分級(jí)管理，降低供應(yīng)鏈的脆弱性；最后，根據(jù)供應(yīng)商管理體系、安全表現(xiàn)和合作情況等定期對(duì)供應(yīng)商開(kāi)展安全績(jī)效評(píng)價(jià)，更新供應(yīng)鏈安全廠商清單，建立完善供應(yīng)鏈安全監(jiān)管機(jī)制，補(bǔ)齊供應(yīng)鏈管理短板。5.3加強(qiáng)供應(yīng)鏈檢測(cè)評(píng)估。電信運(yùn)營(yíng)商需統(tǒng)籌考慮針對(duì)軟件供應(yīng)鏈的攻擊防御，兼顧系統(tǒng)全生命周期的安全管理。在軟件開(kāi)發(fā)階段，建立安全可信的開(kāi)發(fā)環(huán)境，采購(gòu)安全可信的外包服務(wù)；在軟件測(cè)試階段，采用專業(yè)工具和服務(wù)對(duì)軟件代碼，特別是第三方開(kāi)源庫(kù)、中間件進(jìn)行代碼審查和安全檢測(cè)，并在軟件正式版本前對(duì)其安全評(píng)估；在軟件交付階段，應(yīng)為用戶提供完整性校驗(yàn)信息；在用戶使用軟件期間，嚴(yán)密防范軟件升級(jí)劫持。此外，針對(duì)內(nèi)部使用軟件，運(yùn)營(yíng)商還要全面、精準(zhǔn)掌控終端軟件的資產(chǎn)信息，定期開(kāi)展終端安全檢查，并在此之上，制定軟件供應(yīng)鏈攻擊安全應(yīng)急響應(yīng)預(yù)案，以便在遭到攻擊時(shí)第一時(shí)間降低損失。5.4培育供應(yīng)鏈產(chǎn)業(yè)生態(tài)。抵抗供應(yīng)鏈安全風(fēng)險(xiǎn)必須解決關(guān)鍵核心技術(shù)“卡脖子”問(wèn)題。一方面，電信運(yùn)營(yíng)商要加大對(duì)通信領(lǐng)域供應(yīng)鏈關(guān)鍵技術(shù)的研究投入，全面發(fā)掘5G、人工智能和區(qū)塊鏈等新一代技術(shù)融合創(chuàng)新，匯集重點(diǎn)企業(yè)和機(jī)構(gòu)力量，推動(dòng)通信領(lǐng)域技術(shù)突破，補(bǔ)齊核心技術(shù)短板，解決關(guān)鍵技術(shù)受制于人的局面；另一方面，應(yīng)建立敏捷信息共享機(jī)制，提高供應(yīng)鏈各個(gè)節(jié)點(diǎn)企業(yè)信息傳遞和共享水平，加強(qiáng)供應(yīng)鏈上下游供應(yīng)商信息溝通，強(qiáng)化運(yùn)營(yíng)商與第三方的供應(yīng)鏈安全維護(hù)工作，建立長(zhǎng)效信用機(jī)制，提高企業(yè)的合作效率，培育產(chǎn)業(yè)生態(tài)體系，共同抵抗供應(yīng)鏈安全風(fēng)險(xiǎn)。

6結(jié)束語(yǔ)

安全可靠的供應(yīng)鏈?zhǔn)菄?guó)家產(chǎn)業(yè)安全、經(jīng)濟(jì)安全和社會(huì)長(zhǎng)治久安的基石。本文通過(guò)對(duì)供應(yīng)鏈、電信供應(yīng)鏈和供應(yīng)鏈攻擊等概念的深入闡述，總結(jié)了國(guó)內(nèi)外電信供應(yīng)鏈安全管理的發(fā)展歷程。從電信供應(yīng)鏈全球化、企業(yè)供應(yīng)鏈制度碎片化和軟件供應(yīng)鏈攻擊隱蔽化3個(gè)角度分析了電信供應(yīng)鏈的現(xiàn)狀及安全風(fēng)險(xiǎn)，提出了供應(yīng)鏈安全管理體系框架。最后，對(duì)電信供應(yīng)鏈安全工作思路提出建議，指出應(yīng)多元化分散供應(yīng)鏈安全風(fēng)險(xiǎn)、建立科學(xué)完備的管理機(jī)制、統(tǒng)籌電信軟件系統(tǒng)全生命周期的安全管理、核心技術(shù)的研發(fā)投入和共享，對(duì)電信運(yùn)營(yíng)商未來(lái)開(kāi)展供應(yīng)鏈安全工作有一定的參考和借鑒意義。

參考文獻(xiàn)

[1]汪麗.ICT供應(yīng)鏈安全標(biāo)準(zhǔn)化體系及實(shí)踐應(yīng)用[J].信息安全與通信保密,2020(4).

[2]胡影,孫彥,任澤君.GB/T36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)解讀[J].保密科學(xué)技術(shù),2019(5).

作者:喬喆 陳雋 王曉周 王曉晴 單位:中國(guó)移動(dòng)通信集團(tuán)公司信息安全管理與運(yùn)行中心