关键信息基础设施ICT供应链安全风险评估指标体系研究

  • A+
所属分类:云安全

摘要:随着信息通信技术(ICT)在党政部门、重点行业领域的普及应用,加强ICT产品服务供应链的安全可控保障变得至关重要。研究从指标框架、指标体系、指标释义和实施过程等方面构建了一套针对关键信息基础设施ICT供应链安全的评估指标体系,该体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点,可作为评价关键信息基础设施ICT供应链安全程度的依据,进而促进关键信息基础设施ICT供应链安全的检测评估工作开展。

引言

随着信息通信技术(nformation & Communication Technology,ICT)在党政部门、重点行业领域的普及应用,加强ICT产品服务供应链的安全可控保障变得至关重要。与传统供应链相比,ICT供应链覆盖了ICT产品服务的全生命周期,任何一个环节的安全隐患都能随着供应链网络进行传播和放大。例如,2015年9月针对苹果公司的集成开发工具Xcode的攻击,通过影响编译环境间接攻击了软件产品,最终影响了数亿的终端用户。

在ICT采购全球化的态势下,ICT供应链安全与国家安全间的关系愈发密切。2019年5月,特朗普总统签署第 13873 号行政令《确保信息和通信技术及服务供应链安全》,以国家安全遭遇威胁为由宣告国家进入紧急状态,将ICT供应链安全上升为国家安全问题。2019年11月,美国商务部出台《< 确保信息通信技术与服务供应链安全 > 审查规则草案》使其获得更为广泛的权力,得以全面干预甚至终止所有涉及ICT供应链的外国交易。

随后,2019年5月和10月,美国商务部分别将华为及其旗下累积达144个附属关联公司以及海康威视、科大讯飞、旷世科技、大华科技、依图科技、颐信科技等公司列入出口管制的“实体清单”。2020年1月3日,美国商务部工业安全局又进一步限制人工智能等软件的出口。

至此,美国将ICT供应链安全作为其维护技术领先地位、实施贸易制裁的重要手段,针对中国高科技企业发起单边制裁与措施,这不仅使信息通信技术领域企业的供应链安全受到威胁,还将威胁我国基础设施和关键资源的安全与ICT自主控制权,进而影响我国的政治、经济和社会安全。因此,保障ICT供应链安全是关乎我国网络空间安全的重要问题。

针对以上严峻的安全现状和关键信息基础设施实际的网络安全要求,本论文参考国内外现有标准研究,从指标框架、指标体系、指标释义和实施过程等方面构建一套针对关键信息基础设施的ICT供应链安全的评估指标体系,实现关键信息基础设施ICT供应链安全的检测评估。区别于作为风险管理活动的重要组成部分的风险评估(risk accessment),本项目提出的评估指标体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点,作为评价关键信息基础设施ICT供应链安全程度的依据。

1  ICT供应链安全风险评估指标体系

关键信息基础设施ICT供应链安全风险评估指标体系共有三个层级,其中第一层级指标对应关键信息基础设施建设、运行和安全防护的三个大方面,用建设情况指标评估ICT供应链安全措施;用运行能力指标评估ICT供应链安全能力;用安全效果指标评估ICT供应链安全程度。二级指标对应在三个大方面中应该考虑的具体元素,三级指标对应具体指导落地实施的评估因素。如图1所示:
关键信息基础设施ICT供应链安全风险评估指标体系研究

图1 关键信息基础设施ICT供应链安全风险评估指标体系

关键信息基础设施ICT供应链安全风险评估指标体系如表1所示,包含由3个一级指标和12个二级指标构成的指标框架以及45个三级指标,三级指标为可用于测量的底层指标。

表1  ICT供应链安全风险评估指标

关键信息基础设施ICT供应链安全风险评估指标体系研究

2  关键信息设施ICT供应链安全风险评估指标释义

关键信息基础设施ICT供应链安全风险评估指标体系由建设情况指标、运行能力指标和安全效果指标这三类一级指标构成,其中每个一级指标下又分为若干二级指标,并详细划分到三级指标。其中:

( 1 ) 建设情况指标主要描述了关键信息基础设施ICT供应链安全体系的建设情况。

( 2 ) 运行能力指标主要用来评估关键信息基础设施ICT供应链安全体系运行能力。

( 3 ) 安全效果指标主要用于评估关键信息基础设施ICT供应链安全效果情况。

ICT供应链安全风险评估指标的具体释义如表2所示:

表2  ICT供应链安全风险评估指标释义

关键信息基础设施ICT供应链安全风险评估指标体系研究

关键信息基础设施ICT供应链安全风险评估指标体系研究

关键信息基础设施ICT供应链安全风险评估指标体系研究

3  ICT供应链安全风险评估实施过程

ICT供应链安全评估的目标在于评估关键信息基础设施ICT供应链建设情况、运行能力和安全效果等各个方面,输出可能的风险点,作为评价关键信息基础设施ICT供应链安全程度的依据。安全评估的过程包括评估准备、评估方案编制、安全评估实施、评估结果分析以及安全程度报告等部分。

3.1 评估准备

评估准备是否充分关系到评估结果科学性、有效性以及评估工作是否能够顺利开展。评估准备活动的主要任务是明确评估目的,熟悉指标及其含义,制定评估项目计划,并做好相应文档准备工作。

3.2 评估方案编制

本项活动的主要任务是明确评估目标、评估对象及测量方法,经过裁剪、增加确定安全评估程序,最终完成评估方案编制并获得执行评估的相关权限。

3.3 安全评估实施

本项活动的主要任务是执行评估方案,包括针对评估目标采用检查、访问和测试等方法评估相应的文档、设备或活动,输出针对各项指标点的评估结果,评估结果示例如表3所示:

( 1 ) 访谈:评估实施方通过与供应方相关人员进行有针对性的交流以帮助理解、厘清或取得证据,访谈的对象为个人或团体,如技术团队负责人、核心技术工程师、采购部门负责人等;

( 2 ) 检查:评估实施方对供应方提供的相关材料进行观察、查验、分析以帮助理解、厘清或取得证据,检查的对象为制度、文档和记录, 如必要的技术设计文档、核心材料采购记录等;

( 3 ) 测试:评估实施方使用预定的方法/工具使测试对象产生特定的结果,并将运行结果与预期的结果进行比对,测试的对象为信息技术产品的技术或功能特性,如安全可控产品适配性、重现结果与产品一致性等。

3.4 评估结果分析

本项活动的主要任务是审核安全评估实施阶段获得的评估结果,并确定应对评估中发现的弱点和不足采取相应的调查或者补救措施。如表 3 所示,以组织机构建设指标为例,说明指标的测量过程。

表3  指标测量过程示例(以组织机构建设指标为例)

关键信息基础设施ICT供应链安全风险评估指标体系研究

3.5 安全报告编制

本项活动的主要任务是根据评估结果以及评估过程反映出的情况,形成评估报告文本。

4  结论

关键信息基础设施作为关系国家安全、国计民生、公共利益的信息基础系统,其供应链的安全与否具有极其重要的意义。本文从指标框架、指标体系、指标释义和实施过程等方面构建了一套针对关键信息基础设施ICT供应链安全的评估指标体系,促进关键信息基础设施ICT供应链安全的检测评估工作开展,提出的评估指标体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点。可以作为评价关键信息基础设施ICT供应链安全程度的重要依据。



原文来源:信息安全与通信保密杂志社

关键信息基础设施ICT供应链安全风险评估指标体系研究

本文始发于微信公众号(关键基础设施安全应急响应中心):关键信息基础设施ICT供应链安全风险评估指标体系研究

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: