導語：電信供應鏈安全風險及安全管理研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:本文分析了國內外電信供應鏈工作體系發展情況，從電信供應鏈全球化、企業供應鏈制度碎片化和軟件供應鏈攻擊隱蔽化3個角度分析了電信供應鏈的現狀及安全風險，提出了供應鏈安全管理體系框架，并對電信供應鏈安全工作思路提出建議。

關鍵詞:電信供應鏈；安全風險；安全管理體系

縱觀全球企業近幾十年供應鏈的發展歷程，供應鏈管理呈現非常顯著的特征：即專業化發展、集中化實施、系統化運作和信息化支撐。無論是傳統產業還是高新技術產業，其興衰成敗都與供應鏈管理水平有著極大的聯系。供應鏈中任何環節發生的問題，都會給供應鏈上下游帶來深刻地影響。而在全球化和信息技術快速發展的同時，供應鏈安全問題日益凸顯，因供應鏈造成的重大網絡入侵事件層出不窮。電信企業作為關鍵信息基礎設施運營者，“信息”始終是電信供應鏈最主要的工作對象，電信供應鏈上的各個主體通過對信息的不斷加工，向用戶提供各種電信業務，實現信息的價值增值。電信供應鏈的安全直接影響著國家產業安全、經濟安全和社會的長治久安。本文基于國內外電信供應鏈工作體系的發展背景，闡述分析了電信供應鏈的現狀及風險，提出了供應鏈安全管理體系框架及供應鏈安全工作的思路建議。

1供應鏈

供應鏈的概念最早出現在20世紀80年代。當時供應鏈被定義為制造企業中的一個內部過程，它是指把從企業外部采購的原材料和零部件通過生產轉換和銷售等活動再傳遞到零售商和用戶的過程。隨著供應鏈應用的不斷擴展，目前對供應鏈的通用定義是指產品生產和流通中涉及的原材料供應商、生產商、批發商、零售商以及最終用戶組成的供需網絡結構。在這個網絡中，每個角色既是其客戶的供應商，又是其供應商的客戶，既向其上游的企業訂購產品，又向其下游的企業供應產品，網絡上流動著物流、資金流和信息流。1.1電信供應鏈。電信供應鏈由生產電信基礎設施的供應鏈和電信業務的供應鏈兩部分構成。電信基礎設施的供應鏈是為了建設和維護電信設施而形成的網狀組織，它由電信運營企業、電信設備生產企業及其供應商、電信設備維修企業及其供應商等企業供應鏈共同構成。電信運營企業在企業供應鏈中居于主導地位，是電信基礎設施供應鏈的核心企業。電信設備生產企業和電信設備維修企業是電信基礎設施供應鏈的骨干企業，電信設備生產企業和電信設備維修企業的供應商是電信基礎設施供應鏈的邊緣企業。電信業務供應鏈是為了利用電信設施向電信用戶提供服務，由電信運營企業以及增值服務提供商和增值服務提供商組成的軟件供應鏈共同構成的網鏈狀組織。電信供應鏈的組成結構如圖1所示。1.2供應鏈攻擊。供應鏈攻擊也稱為第三方攻擊，是指攻擊者通過有權訪問企業系統和數據的外部合作伙伴或者供應商，入侵企業內部系統。供應鏈攻擊已成為業界公認的新型威脅之一，與典型企業攻擊方式相比，這一攻擊方式能夠接觸到更多的敏感數據。硬件供應鏈攻擊涉及硬件采購、設計、制造、組裝、維護到處理的一系列過程，其風險來源于硬件供應鏈系統與外部環境發生資源交換，以及在與供應鏈成員進行協調與合作過程中，存在著各種內部不確定性和外部不確定性的風險因素。如自然災害、恐怖事件和突發事件等導致供應中斷；攻擊者中斷制造和交付、錯誤的運輸路線或延誤交貨、錯誤的訂單、質量等風險。軟件供應鏈攻擊是指在軟件的開發、交付和使用等生命周期環節開展的惡意攻擊。軟件供應鏈攻擊利用了用戶與軟件供應商之間的信任關系，繞開了安全產品的防護邊界，傳播更加隱蔽和難以追溯。例如在WannaCry病毒集中爆發并經過了一年多時間后，2018年臺積電公司發生的生產線感染WannaCry病毒變種就是一個生動的例子。對一批新接入生產線的計算機，上游設備供應商未對其對外提供的計算機設備進行嚴格的安全檢查和病毒掃描，同時臺積電公司也未能對上線的設備進行嚴格的安全檢查和病毒掃描，從而導致了此次安全事故，給臺積電公司生產和聲譽帶來重大損失。

2國內外電信供應鏈工作體系發展

2.1國外情況。美國是最先提出并系統實施供應鏈國家戰略的國家。從1993年開始，每位美國總統都會就供應鏈行政命令或國家戰略，幾乎美國聯邦政府所有主要部門都有關于供應鏈方面的政策。2011年11月，美國商務部成立了由45位委員組成的供應鏈競爭力咨詢委員會，為商務部長提供供應鏈競爭力綜合政策咨詢，以促進美國出口增長及經濟競爭力。2012年1月，美國總統簽署《全球供應鏈安全國家戰略》，致力于促進貨物安全有效移動，培養有彈性的供應鏈。2017年12月，美國公布《國家安全戰略報告》，其中7次提到“供應鏈”，涉及保衛國防工業供應鏈、建立富有彈性的供應鏈、防止敏感信息泄露并保證其供應鏈的完整性等。2019年，美國總統簽署《確保信息和通信技術及服務供應鏈安全》行政令，以保護美國關鍵基礎設施安全，防范間諜滲透美國供應鏈。日本是研究供應鏈管理的標桿國家之一，在供應鏈風險管理方面，日本政府幫助企業構建符合企業目標價值的信息安全管理框架，依據《關鍵信息基礎設施保護基本政策(第三版)》等國家政策，通過第三方認證等方式增強企業信息安全整體水平。2018年，日本《網絡安全戰略》，明確提出針對供應鏈存在的威脅，制定并推廣相關保護框架，以推動供應鏈創新。2020年，日本政府提交了《特定高度電信普及促進法》，該法案旨在維護日本的信息安全，確保日本企業慎重應用5G和無人機等新一代網絡技術，要求日本相關企業在采購高級科技產品及精密器材時，必須遵守確保系統的安全與可信度，確保系統供貨安全和系統要能夠與國際接軌的3個安全準則。英國政府高度重視信息安全和保障，其國家基礎設施保護中心是保護國家基礎設施的權威政府部門，在信息通信技術供應鏈領域發揮著重要作用。2013年，英國發起可信軟件倡議，該倡議通過解決軟件可信性中的安全性、可靠性、可用性、彈性和安全性問題，提升軟件應用的規范、實施和使用水平，在信息通信技術供應鏈中軟件領域建立起基于風險的全生命周期管理。2014年，英國《軟件可信度治理與管理規范》，涵蓋了技術、物理環境和行為管理等多個方面，并規定了申請流程，為采購、供應或使用可信賴軟件提供幫助。2019年，《英國電信供應鏈回顧報告》，報告結合英國5G發展目標以及5G在經濟和社會發展中的作用，強調了安全在電信這一關鍵基礎設施領域的重要意義，并對電信供應鏈管理展開綜合評估。2.2國內情況。為保證信息技術和通信領域供應鏈平穩發展，滿足電信行業需求，我國已逐步構建起了電信供應鏈體系、戰略運行體系和戰略保障體系。2014年5月22日，國家互聯網信息辦公室宣布我國即將推出網絡安全審查制度，初步界定了網絡安全審查的含義。2015年7月1日，《中華人民共和國國家安全法》第59條規定了網絡安全審查制度由國家建立。2016年7月，《國家信息化發展戰略綱要》明確我國要建立實施網絡安全審查制度，對關鍵信息基礎設施中使用的重要信息技術產品和服務開展安全審查。2016年11月7日，《中華人民共和國網絡安全法》中明確關鍵信息基礎設施運營者采購網絡產品和服務，可能影響國家安全的應通過國家有關部門組織開展的網絡安全審查。2017年6月，我國頒布《網絡產品和服務安全審查辦法(試行)》和《網絡關鍵設備和網絡安全專用產品目錄（第一批）》。2020年4月，我國多部門聯合《網絡安全審查辦法》，進一步細化明確了網絡安全審查的范圍、機制、流程等相關要求。2.3標準發展。電信供應鏈安全的國際標準，主要包括適用于供應鏈及物流領域的ISO28000《供應鏈安全管理說明》、ISO28001《供應鏈安全、評估和計劃的最佳實踐——需求和指南》、ISO28002《供應鏈恢復能力的開發——要求及使用指南》等標準；適用于風險管理領域的ISO/IEC27005《信息安全風險管理》、ISO/IEC16085《生命周期過程—風險管理》和ISO/IEC31000《風險管理》等標準；適用于信息安全領域的ISO/IEC27036《供應商關系的信息安全》、ISO/IEC27000《信息安全管理系統》等標準；適用于應用安全領域的ISO/IEC27034《應用安全》、ISO/IECTR24772《編程語言指南——避免編程語言漏洞的指南》等。電信供應鏈安全的國內標準，包括GB/T24420-2009《供應鏈風險管理指南》、GB/T29245-2012《政府部門信息安全管理基本要求》、GB/T31168-2014《云計算服務安全能力要求》、GB/T32921-2016《信息技術產品供應方行為安全準則》和GB/T22239-2019《信息系統安全等級保護基本要求》等。2019年，我國第一個信息通信技術供應鏈安全國家標準GB/T36637-2018《信息安全技術ICT供應鏈安全風險管理指南》正式實施，該指南以國內外供應鏈安全相關標準為基礎，針對信息通信技術供應鏈的特點，細化信息通信技術供應鏈安全風險管理的過程和控制措施，支持多樣的信息通信技術產品和服務供應鏈。

3電信供應鏈現狀及風險

3.1電信供應鏈全球化加劇供應鏈安全管控壓力。隨著高精尖技術產品研制程序的日趨精細和復雜，產業鏈按照比較優勢跨國集中布局成為必然。供應鏈全球化已成為經濟社會進步的重要推動力，但在5G技術成為國家戰略的背景下，也引發了各國政府對國家安全的擔憂。首先，在復雜的國際環境下，對供應鏈安全風險的覺察和管控能力下降。其次，供應鏈在信息流通過程中面臨信息泄露、惡意篡改和供應中斷等一系列安全威脅，而第三方服務提供者或廠商通常不清楚其供應商所用系統和應用的更新及受保護程度，也無法確保其供應商了解最新的系統、網絡和應用級漏洞情況。3.2企業供應鏈制度碎片化帶來供應鏈安全風險。從《國家網絡空間安全戰略》、《中華人民共和國網絡安全法》等上位法的頒布，到《國家技術安全管理清單制度》、《網絡安全審查辦法》等制度的建立，我國已基本建立起供應鏈安全相關政策，但與歐美等西方國家相比，仍有一定的提升空間，實施準則和風險預判標準有待進一步細化研究。在此背景下，大部分電信企業處于供應鏈安全管理的起步階段，企業內部管理和評估供應鏈安全風險的頂層設計有待完善，支撐國家供應鏈安全政策的詳細操作規程尚不健全。當前大部分企業仍然只是重點關注系統及產品開發生命周期過程中的安全問題，對于第三方提供的產品及服務是否嵌入惡意內容或安全漏洞，只能依靠其自我披露及承諾來保證。被動的局面極大影響了企業對第三方的可靠性判斷，成倍放大了供應鏈安全風險的系數。3.3軟件供應鏈攻擊隱蔽化加劇供應鏈安全威脅。日益豐富的電信業務需求催生了種類繁多的應用軟件，軟件供應鏈攻擊因其易操作，易偽裝成為電信運營商面臨的重要威脅。軟件開發環節涉及環境部署、第三方開源庫的使用和軟件開發實施等，存在開發環境感染木馬、源代碼污染、開發工具植入惡意代碼和第三方開源庫被污染等可能。在軟件交付環節，用戶通過在線商店購買和免費網絡下載等方式獲取軟件，極易受到捆綁下載和下載劫持等困擾。在軟件使用環節，攻擊者則可通過劫持軟件更新渠道和重定向更新下載鏈接進行惡意代碼植入。典型的軟件供應鏈攻擊事件如蘋果集成開發工具Xcode非官方版本被植入病毒，導致利用該軟件開發編譯出來的APP都被注入病毒代碼，這些攻擊以較強的隱蔽性影響了上億用戶，造成了隱私泄露、釣魚攻擊和遠程控制等嚴重危害。

4供應鏈安全管理體系框架

根據以上分析，供應鏈安全管理體系建設是全方位提升企業供應鏈安全能力的關鍵，而構建供應鏈安全管理體系，可從供應鏈安全管理政策體系、供應鏈安全風險管理體系和供應鏈安全預警體系3個維度入手。具體框架如圖2所示。供應鏈安全管理政策體系可以從戰略規劃、制度建設、保障機制、配套政策和標準體系5個方面策劃實施。一是根據國家供應鏈戰略規劃要求，在本單位“十四五”規劃和中長期規劃等階段性戰略中明確。二是完善供應鏈安全制度建設，厘清各部門在供應鏈安全管理中的責任。三是完善供應鏈安全保障機制，特別是健全供應鏈安全審查工作機制，針對供應鏈關鍵環節，實施風險評估審查。四是制定供應鏈安全政策，明確主體職責、權限，與國家戰略相互補充、相互協調。五是加快供應鏈安全管理國家標準的制定，促進其與國際標準對接。供應鏈安全預警體系可從組織機構、預警指標、監測范圍和信息共享4個方面策劃實施。一是設立供應鏈預警機構，將政府、企業、產業有機結合，對國際技術出口管制體系進行深入研究，為供應鏈安全提供決策依據。二是建立符合實際的供應鏈安全預警指標，將供應鏈安全量化并分析，為后續措施提供指導。三是建立監測范圍，設置關鍵監測指標，密切關注重大事件發展趨勢和國外針對我國設置的貿易壁壘情況。四是建立預警信息共享機制，向管理部門和利益相關方開放相關信息，達成應急互助與信息共享協議。供應鏈安全風險管理體系可按照以下4個方面開展。一是風險識別，即對供應鏈面臨的各種潛在風險進行歸類分析，了解影響風險的因素。二是風險衡量，對特定風險發生的可能性和損失范圍及程度進行估計與度量。三是風險控制，選擇恰當風險管理工具，優化組合，規避、轉移和降低風險。四是實施風險管理，使用各種風險管理工具，不斷反饋、檢查、調整、修正，使之更接近風險管理目標。

5工作思路建議

5.1促進供應鏈多元化發展。供應鏈多元化是分散安全風險的有效手段。電信運營商應積極參與，深入規劃電信行業供應鏈重組，推動電信供應鏈向多元化、安全化發展，并加強對供應鏈關鍵環節，特別是針對涉及用于關鍵信息基礎設施的網絡產品和服務的采購、研發、運營等關鍵階段的網絡安全檢測評估和安全審查。按照國家網絡安全審查相關管理制度，進一步完善自身網絡安全審查機制，提高供應鏈抵抗安全風險的能力。具體而言，建議由電信運營商安全管理部門指導各部門制定業務安全指南，確保“摸清家底”，逐步對位審查，實現不同業務的安全應用；采購部門應從業務連續性、可能造成的不良影響等方面出發，預判采購產品、服務、供應商的安全程度，對于存在安全隱患的供應商及時申報網絡安全審查，同時將供應商配合網絡安全審查納入合同要求；業務需求單位應精準識別安全審查范圍與對象，加強督促產品和服務提供者履行網絡安全審查中做出的承諾，并定期更新網絡資產清單，依照清單自上而下逐步審查評估，仔細甄別內外部安全威脅。5.2強化供應商的安全管理。對供應商建立科學完備的管理機制，營造安全的供應環境，可從源頭上降低供應鏈安全威脅隱患。電信運營商應在供應商的資質認證、風險管理和績效評估等環節加強安全管控。首先，可對引入的供應商進行資質審核與認證，從行業資質、管理體系、技術能力、產品質量及網絡安全防護能力等角度對其安全評估，并建立完善門類齊全、重點有序的供應鏈安全廠商名錄；其次，對供應商定期開展風險評級，根據供應商產品類別、業務情況、供應風險和環境風險等因素，結合運營商自身關鍵業務需求對其進行綜合評估和等級劃分，并實施分級管理，降低供應鏈的脆弱性；最后，根據供應商管理體系、安全表現和合作情況等定期對供應商開展安全績效評價，更新供應鏈安全廠商清單，建立完善供應鏈安全監管機制，補齊供應鏈管理短板。5.3加強供應鏈檢測評估。電信運營商需統籌考慮針對軟件供應鏈的攻擊防御，兼顧系統全生命周期的安全管理。在軟件開發階段，建立安全可信的開發環境，采購安全可信的外包服務；在軟件測試階段，采用專業工具和服務對軟件代碼，特別是第三方開源庫、中間件進行代碼審查和安全檢測，并在軟件正式版本前對其安全評估；在軟件交付階段，應為用戶提供完整性校驗信息；在用戶使用軟件期間，嚴密防范軟件升級劫持。此外，針對內部使用軟件，運營商還要全面、精準掌控終端軟件的資產信息，定期開展終端安全檢查，并在此之上，制定軟件供應鏈攻擊安全應急響應預案，以便在遭到攻擊時第一時間降低損失。5.4培育供應鏈產業生態。抵抗供應鏈安全風險必須解決關鍵核心技術“卡脖子”問題。一方面，電信運營商要加大對通信領域供應鏈關鍵技術的研究投入，全面發掘5G、人工智能和區塊鏈等新一代技術融合創新，匯集重點企業和機構力量，推動通信領域技術突破，補齊核心技術短板，解決關鍵技術受制于人的局面；另一方面，應建立敏捷信息共享機制，提高供應鏈各個節點企業信息傳遞和共享水平，加強供應鏈上下游供應商信息溝通，強化運營商與第三方的供應鏈安全維護工作，建立長效信用機制，提高企業的合作效率，培育產業生態體系，共同抵抗供應鏈安全風險。

6結束語

安全可靠的供應鏈是國家產業安全、經濟安全和社會長治久安的基石。本文通過對供應鏈、電信供應鏈和供應鏈攻擊等概念的深入闡述，總結了國內外電信供應鏈安全管理的發展歷程。從電信供應鏈全球化、企業供應鏈制度碎片化和軟件供應鏈攻擊隱蔽化3個角度分析了電信供應鏈的現狀及安全風險，提出了供應鏈安全管理體系框架。最后，對電信供應鏈安全工作思路提出建議，指出應多元化分散供應鏈安全風險、建立科學完備的管理機制、統籌電信軟件系統全生命周期的安全管理、核心技術的研發投入和共享，對電信運營商未來開展供應鏈安全工作有一定的參考和借鑒意義。

參考文獻

[1]汪麗.ICT供應鏈安全標準化體系及實踐應用[J].信息安全與通信保密,2020(4).

[2]胡影,孫彥,任澤君.GB/T36637-2018《信息安全技術ICT供應鏈安全風險管理指南》標準解讀[J].保密科學技術,2019(5).

作者:喬喆 陳雋 王曉周 王曉晴 單位:中國移動通信集團公司信息安全管理與運行中心