关键信息基础设施ICT供应链安全风险评估指标体系研究.docx

《关键信息基础设施ICT供应链安全风险评估指标体系研究.docx》由会员分享，可在线阅读，更多相关《关键信息基础设施ICT供应链安全风险评估指标体系研究.docx（11页珍藏版）》请在金锄头文库上搜索。

1、随着信息通信技术(ICT)在党政部门、重点行业领域的普及应用，加强ICT产品服务供应 链的平安可控保障变得至关重要。研究从指标框架、指标体系、指标释义和实施过程等方面 构建了一套针对关键信息基础设施ICT供应链平安的评估指标体系，该体系主要围绕关键信 息基础设施ICT供应链涉及的各个方面衡量其平安性，并输出可能的风险点，可作为评价关 键信息基础设施ICT供应链平安程度的依据，进而促进关键信息基础设施ICT供应链平安的 检测评估工作开展。关键词：信息通信技术；关键信息基础设施；供应链；风险评估00引言随着信息通信技术(nformation & Communication Technology,

2、ICT)在党政部 门、重点行业领域的普及应用，加强ICT产品服务供应链的平安可控保障变得至 关重要。与传统供应链相比，ICT供应链覆盖了 ICT产品服务的全生命周期，任 何一个环节的平安隐患都能随着供应链网络进行传播和放大。例如，2015年9 月针对苹果公司的集成开发工具Xcode的攻击，通过影响编译环境间接攻击了 软件产品，最终影响了数亿的终端用户。在ICT采购全球化的态势下,ICT供应链平安与国家平安间的关系愈发密切。2019 年5月，特朗普总统签署第13873号行政令确保信息和通信技术及服务供应 链平安，以国家平安遭遇威胁为由宣告国家进入紧急状态，将ICT供应链平安 关键信息基础设施作为

3、关系国家平安、国计民生、公共利益的信息基础系统，其 供应链的平安与否具有极其重要的意义。本文从指标框架、指标体系、指标释义 和实施过程等方面构建了一套针对关键信息基础设施ICT供应链平安的评估指 标体系，促进关键信息基础设施ICT供应链平安的检测评估工作开展，提出的评 估指标体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其平安 性，并输出可能的风险点。可以作为评价关键信息基础设施ICT供应链平安程度 的重要依据。上升为国家平安问题。2019年11月，美国商务部出台 确保信息通信技术与 服务供应链平安 审查规那么草案使其获得更为广泛的权力，得以全面干预甚 至终止所有涉及ICT供应链的

4、外国交易。随后，2019年5月和10月，美国商务局部别将华为及其旗下累积达144个附属 关联公司以及海康威视、科大讯飞、旷世科技、大华科技、依图科技、颐信科技 等公司列入出口管制的“实体清单”。2020年1月3日，美国商务部工业平安 局又进一步限制人工智能等软件的出口。至此，美国将ICT供应链平安作为其维护技术领先地位、实施贸易制裁的重要手 段，针对中国高科技企业发起单边制裁与措施，这不仅使信息通信技术领域企业 的供应链平安受到威胁，还将威胁我国基础设施和关键资源的平安与ICT自主控 制权，进而影响我国的政治、经济和社会平安。因此，保障ICT供应链平安是关 乎我国网络空间平安的重要问题。针对以

5、上严峻的平安现状和关键信息基础设施实际的网络平安要求，本论文参考 国内外现有标准研究，从指标框架、指标体系、指标释义和实施过程等方面构建 一套针对关键信息基础设施的ICT供应链平安的评估指标体系，实现关键信息基 础设施ICT供应链平安的检测评估。区别于作为风险管理活动的重要组成局部的 风险评估(riskaccessment),本工程提出的评估指标体系主要围绕关键信息基础 设施ICT供应链涉及的各个方面衡量其平安性，并输出可能的风险点，作为评价 关键信息基础设施ICT供应链平安程度的依据。01 ICT供应链平安风险评估指标体系 关键信息基础设施ICT供应链平安风险评估指标体系共有三个层级，其中第

6、一层 级指标对应关键信息基础设施建设、运行和平安防护的三个大方面，用建设情况 指标评估ICT供应链平安措施；用运行能力指标评估ICT供应链平安能力；用安 全效果指标评估ICT供应链平安程度。二级指标对应在三个大方面中应该考虑的 具体元素，三级指标对应具体指导落地实施的评估因素。如图1所示：I1 关键信息基础设施ICT供应链图1关键信息基础设施ICT供应链平安风险评估指标体系关键信息基础设施ICT供应链平安风险评估指标体系如表1所示，包含由3个一 级指标和12个二级指标构成的指标框架以及45个三级指标，三级指标为可用 于 测 量 的 底 层 指 标。表1 ICT供应链平安风险评估指标一级指标二级

7、指标三级指标建设情况指标管理隹设指标组织机构建设指标法律标准建设指标基础设施建设指标人才队伍建设指标教育培训建设指标资源投入指标开发制造过程指标维护过程指标退服过程指标技术隹设指标物理与环境系统与通信访问控制标识与鉴别供应与正完整性保护可追溯性采购过程建设指标供应商选择指标协议过程指标交付过程指标运行地力指标平安防护能力指标等级保护测评指标网络信任体系指标信息平安监控指标防患发现能力指标风险评估指标应急处置能力指标灾难备份和恢豆指标事件处置指标平安效果指标可信性指标ICT供应商组织可信性指标ICT产品和服务可信性指标完第性指标防恶意篡改指标防肢品组件指标防违规远程控制指标保密性指标防ICT供应

8、链敏感数据泄露指标防ICT供应链敏感数据滥用指标防用户信息方法收集处理指标业务连续性指标防突发中断事件效果指标防供应商垄断行为效果指标防不被支持的系统组件指标产品和服务来源的多样性指标可控性指标用户信息可管理性指标产品远程控制可管理性指标供应链可追溯性指标供应商遵守中国法律法规章指标透明性指标产品/服务资料规范完备性指标供应链过程信息透明性指标用户信息收集和处理透明性指标产品远程控制透明性指标供应商信息透明性指标02关键信息基础设施ICT供应链平安风险评估指标释义关键信息基础设施ICT供应链平安风险评估指标体系由建设情况指标、运行能力指标和平安效果指标这三类一级指标构成，其中每个一级指标下又分

9、为假设干二级指标，并详细划分到三级指标。其中：（1）建设情况指标主要描述了关键信息基础设施ICT供应链平安体系的建设情况。（2）运行能力指标主要用来评估关键信息基础设施ICT供应链平安体系运行能力。（3）平安效果指标主要用于评估关键信息基础设施ICT供应链平安效果情况。ICT供应链平安风险评估指标的具体释义如表2所示：表2 ICT供应链平安风险评估指标释义一级指标二级指标三级指标释义建设情况指标管理建设指标组织机构建设指标主要i平价组织中负责管理与协调icr供应链平安相关工作或 具备ICT供应锌平安管理职资的部门建设情况法律标戕建设指标主要评价组织对运营所在国家政策、法律、标准的理解和执 行情

10、况基础设施建设指标主要用来用占关键信息基础设施icr供应链产品或服务的生 产或运营过程、环境涉及的基础设施建设情况人才队伍建设指标主要用来厚佑关键信息基础设施1CT供应链相关的人员、岗 位、职责设置情况教育培训建设指标主要用来评估关键信息基础设施icr供应链相关的平安培训 计划设置、更新和执行情况资源投入指标主要用于评价关键信息基础设施icr供应链平安管理的资 金、资产和权限等情况建设情况指标管理建设指标开发制造过程指标主要用于评价关键信息基拙设蓬k丁供应链产品服务开发制 造过程建设情况维护过程指标士要用丁评价关键信息基他设底k丁供也推产品、版%维护 过程建设情况退服过程指标士暨用丁评价关键信

11、息基础设选1(丁供应链产品、服务退服 过程建设情况技术建设指标物理与环境主要用于评价关锹信息基副设睡K丁供应链产品、服相关 物理与环境技术建设情况系统与通信主要用于评价关键佶：-应链产品、服相关系统与通信技术建设情况访问控制-矍用于评价关键信息基础设it icr供应链 公、服务相关 访问控制技术建设情况标识与鉴别主要用于评价关键信息基础设选i( 丁供应链产品、服务相关 标识与鉴别技术建设情况供应链完整性保护主要用丁评价关键信息基他设超K丁供应链产品、服务相关 供应链完整性保护建设情况可追溯性主要用于评价关倭信息星拙设亮ICT供:品、服务相关供应链可追溯性技术建设情况采购过程建设 指标供应商选择

12、指标用于评价采购关键信C基他设宙K丁供应链广供应商选择情况协议过程指标主要用于评价采购关键信息基他设豌KT供应链产品、服务 时协议过程建设情况交付过程指标主要用丁评价采购关锹信G- Y诞1( 才供近族产品、服务 时交付过程建设情况运行能力指标平安防护能力 指标等级保护测评指标主要评价关锹广息向设诞K丁优立植J-N全等级保护 测评的通过率是否超过一定比率网络信任体系指标王暨评价关钺格息基间设榛1(丁供应链相关的5f份认证、及 权管理、责任认定等网络信任体系的建设植盖率是否到达一 定比例信息平安监控指标主要评价关键信息基础设施ICT供应链平安实时监控的实匿 和瘫盖情况是否到达一定比例除患发现能力

13、指标风险评估指标主要评价关键信；.周设魄1(丁供工/安幻川ferftSWF 展情况与改进情况灾碟备份和恢复指标主要，- ;信息网络或篁要信息系统的各系统中开展灾 难备份与灾难恢复I.作的情况应急处置能力 指标事件处置指标上要N价仔星引信息网络或更要信息系统的行系统中灯具发 生的信息平安多件按照其主管部门制定的信息平安事件管理 规范进行通报与处理的情况平安效果指标可信性1( 丁供应商组织可信 性指标在1(丁供应链中原始设备制造侑、厂品经销防、分销俏、批 发福等1CT供出愚可信性生要评价供文福的行为是否合法合 册，是否扶得担的认证，是否可说明其具有最正确实践 等情况ICT产品和服务可信 性指标K丁

14、供应商交付的产品和服务可信性士工,或服务是 否合规合法.是否具有相关资质认证完整性防芯苣篡改指标评估1CT供应链所有环节中产品、服务和组件发生恶意篡 改事件的情况防卷品组件指标1”： K丁伐近链所有环节中，产品、服务和组件发生卷品组 件事件的情况防违规远程控制指标评估ICT供应链所有环节中，产小.报务和组件发生违规远 程控制事件的情况保密性防i(n伏也链敏感 数据泄露指标评估关键信息网络或童要信息系统发生的敏感数据泄露事件 的情况平安效果指标保击性防icr供应链的感 数据滥用指标评估icr供应链上的所有供应意收集和处理用户信息时合理 合法的情况防用户信息非法收 集处理指标评估|（丁供应链上的所

15、有供应俯收集和处理用户信息时合八 合法的情况业务连续性防突发中断步件效 果指标件估当由r人为的（政治、外交、贸易等因石）和口然的（如 地震、火灾、洪水或台风等因索）突发步件，造成关键产品 ，服务的伏亘链中断，即icr品和服务的数量、质量或成入。预订管理目标的星假设偏青等事件发情卫防供应商垄断行为 效果指标评估1CT供应链中当供.可用用户对产品依赖性实曜不正当竞争或损害用户利益的行为时，推关键产品/服务的供应链中断，即ICT产品和服务的数呈、质员或本钱、 交付R期与预订目标的&著偏邕等事件发生情况组件指标评估icr供立链中当某些硬件，软件停止生产和维/ .品和服务供应商不再对某系统组件提供支持时，造成供应链 关键产品/服务中断等事件发生情况“品和服务来源的 多样性指标评估当icr供虫链关键产品和服务是否实现多供应来强 情况可控性指标评估ICT供应链中用户对供艮而提供的用户信息