电信供应链安全风险及安全管理研究

摘要:本文分析了国内外电信供应链工作体系发展情况，从电信供应链全球化、企业供应链制度碎片化和软件供应链攻击隐蔽化3个角度分析了电信供应链的现状及安全风险，提出了供应链安全管理体系框架，并对电信供应链安全工作思路提出建议。

关键词:电信供应链；安全风险；安全管理体系

纵观全球企业近几十年供应链的发展历程，供应链管理呈现非常显著的特征：即专业化发展、集中化实施、系统化运作和信息化支撑。无论是传统产业还是高新技术产业，其兴衰成败都与供应链管理水平有着极大的联系。供应链中任何环节发生的问题，都会给供应链上下游带来深刻地影响。而在全球化和信息技术快速发展的同时，供应链安全问题日益凸显，因供应链造成的重大网络入侵事件层出不穷。电信企业作为关键信息基础设施运营者，“信息”始终是电信供应链最主要的工作对象，电信供应链上的各个主体通过对信息的不断加工，向用户提供各种电信业务，实现信息的价值增值。电信供应链的安全直接影响着国家产业安全、经济安全和社会的长治久安。本文基于国内外电信供应链工作体系的发展背景，阐述分析了电信供应链的现状及风险，提出了供应链安全管理体系框架及供应链安全工作的思路建议。

1供应链

供应链的概念最早出现在20世纪80年代。当时供应链被定义为制造企业中的一个内部过程，它是指把从企业外部采购的原材料和零部件通过生产转换和销售等活动再传递到零售商和用户的过程。随着供应链应用的不断扩展，目前对供应链的通用定义是指产品生产和流通中涉及的原材料供应商、生产商、批发商、零售商以及最终用户组成的供需网络结构。在这个网络中，每个角色既是其客户的供应商，又是其供应商的客户，既向其上游的企业订购产品，又向其下游的企业供应产品，网络上流动着物流、资金流和信息流。1.1电信供应链。电信供应链由生产电信基础设施的供应链和电信业务的供应链两部分构成。电信基础设施的供应链是为了建设和维护电信设施而形成的网状组织，它由电信运营企业、电信设备生产企业及其供应商、电信设备维修企业及其供应商等企业供应链共同构成。电信运营企业在企业供应链中居于主导地位，是电信基础设施供应链的核心企业。电信设备生产企业和电信设备维修企业是电信基础设施供应链的骨干企业，电信设备生产企业和电信设备维修企业的供应商是电信基础设施供应链的边缘企业。电信业务供应链是为了利用电信设施向电信用户提供服务，由电信运营企业以及增值服务提供商和增值服务提供商组成的软件供应链共同构成的网链状组织。电信供应链的组成结构如图1所示。1.2供应链攻击。供应链攻击也称为第三方攻击，是指攻击者通过有权访问企业系统和数据的外部合作伙伴或者供应商，入侵企业内部系统。供应链攻击已成为业界公认的新型威胁之一，与典型企业攻击方式相比，这一攻击方式能够接触到更多的敏感数据。硬件供应链攻击涉及硬件采购、设计、制造、组装、维护到处理的一系列过程，其风险来源于硬件供应链系统与外部环境发生资源交换，以及在与供应链成员进行协调与合作过程中，存在着各种内部不确定性和外部不确定性的风险因素。如自然灾害、恐怖事件和突发事件等导致供应中断；攻击者中断制造和交付、错误的运输路线或延误交货、错误的订单、质量等风险。软件供应链攻击是指在软件的开发、交付和使用等生命周期环节开展的恶意攻击。软件供应链攻击利用了用户与软件供应商之间的信任关系，绕开了安全产品的防护边界，传播更加隐蔽和难以追溯。例如在WannaCry病毒集中爆发并经过了一年多时间后，2018年台积电公司发生的生产线感染WannaCry病毒变种就是一个生动的例子。对一批新接入生产线的计算机，上游设备供应商未对其对外提供的计算机设备进行严格的安全检查和病毒扫描，同时台积电公司也未能对上线的设备进行严格的安全检查和病毒扫描，从而导致了此次安全事故，给台积电公司生产和声誉带来重大损失。

2国内外电信供应链工作体系发展

2.1国外情况。美国是最先提出并系统实施供应链国家战略的国家。从1993年开始，每位美国总统都会就供应链行政命令或国家战略，几乎美国联邦政府所有主要部门都有关于供应链方面的政策。2011年11月，美国商务部成立了由45位委员组成的供应链竞争力咨询委员会，为商务部长提供供应链竞争力综合政策咨询，以促进美国出口增长及经济竞争力。2012年1月，美国总统签署《全球供应链安全国家战略》，致力于促进货物安全有效移动，培养有弹性的供应链。2017年12月，美国公布《国家安全战略报告》，其中7次提到“供应链”，涉及保卫国防工业供应链、建立富有弹性的供应链、防止敏感信息泄露并保证其供应链的完整性等。2019年，美国总统签署《确保信息和通信技术及服务供应链安全》行政令，以保护美国关键基础设施安全，防范间谍渗透美国供应链。日本是研究供应链管理的标杆国家之一，在供应链风险管理方面，日本政府帮助企业构建符合企业目标价值的信息安全管理框架，依据《关键信息基础设施保护基本政策(第三版)》等国家政策，通过第三方认证等方式增强企业信息安全整体水平。2018年，日本《网络安全战略》，明确提出针对供应链存在的威胁，制定并推广相关保护框架，以推动供应链创新。2020年，日本政府提交了《特定高度电信普及促进法》，该法案旨在维护日本的信息安全，确保日本企业慎重应用5G和无人机等新一代网络技术，要求日本相关企业在采购高级科技产品及精密器材时，必须遵守确保系统的安全与可信度，确保系统供货安全和系统要能够与国际接轨的3个安全准则。英国政府高度重视信息安全和保障，其国家基础设施保护中心是保护国家基础设施的权威政府部门，在信息通信技术供应链领域发挥着重要作用。2013年，英国发起可信软件倡议，该倡议通过解决软件可信性中的安全性、可靠性、可用性、弹性和安全性问题，提升软件应用的规范、实施和使用水平，在信息通信技术供应链中软件领域建立起基于风险的全生命周期管理。2014年，英国《软件可信度治理与管理规范》，涵盖了技术、物理环境和行为管理等多个方面，并规定了申请流程，为采购、供应或使用可信赖软件提供帮助。2019年，《英国电信供应链回顾报告》，报告结合英国5G发展目标以及5G在经济和社会发展中的作用，强调了安全在电信这一关键基础设施领域的重要意义，并对电信供应链管理展开综合评估。2.2国内情况。为保证信息技术和通信领域供应链平稳发展，满足电信行业需求，我国已逐步构建起了电信供应链体系、战略运行体系和战略保障体系。2014年5月22日，国家互联网信息办公室宣布我国即将推出网络安全审查制度，初步界定了网络安全审查的含义。2015年7月1日，《中华人民共和国国家安全法》第59条规定了网络安全审查制度由国家建立。2016年7月，《国家信息化发展战略纲要》明确我国要建立实施网络安全审查制度，对关键信息基础设施中使用的重要信息技术产品和服务开展安全审查。2016年11月7日，《中华人民共和国网络安全法》中明确关键信息基础设施运营者采购网络产品和服务，可能影响国家安全的应通过国家有关部门组织开展的网络安全审查。2017年6月，我国颁布《网络产品和服务安全审查办法(试行)》和《网络关键设备和网络安全专用产品目录（第一批）》。2020年4月，我国多部门联合《网络安全审查办法》，进一步细化明确了网络安全审查的范围、机制、流程等相关要求。2.3标准发展。电信供应链安全的国际标准，主要包括适用于供应链及物流领域的ISO28000《供应链安全管理说明》、ISO28001《供应链安全、评估和计划的最佳实践——需求和指南》、ISO28002《供应链恢复能力的开发——要求及使用指南》等标准；适用于风险管理领域的ISO/IEC27005《信息安全风险管理》、ISO/IEC16085《生命周期过程—风险管理》和ISO/IEC31000《风险管理》等标准；适用于信息安全领域的ISO/IEC27036《供应商关系的信息安全》、ISO/IEC27000《信息安全管理系统》等标准；适用于应用安全领域的ISO/IEC27034《应用安全》、ISO/IECTR24772《编程语言指南——避免编程语言漏洞的指南》等。电信供应链安全的国内标准，包括GB/T24420-2009《供应链风险管理指南》、GB/T29245-2012《政府部门信息安全管理基本要求》、GB/T31168-2014《云计算服务安全能力要求》、GB/T32921-2016《信息技术产品供应方行为安全准则》和GB/T22239-2019《信息系统安全等级保护基本要求》等。2019年，我国第一个信息通信技术供应链安全国家标准GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》正式实施，该指南以国内外供应链安全相关标准为基础，针对信息通信技术供应链的特点，细化信息通信技术供应链安全风险管理的过程和控制措施，支持多样的信息通信技术产品和服务供应链。

3电信供应链现状及风险

3.1电信供应链全球化加剧供应链安全管控压力。随着高精尖技术产品研制程序的日趋精细和复杂，产业链按照比较优势跨国集中布局成为必然。供应链全球化已成为经济社会进步的重要推动力，但在5G技术成为国家战略的背景下，也引发了各国政府对国家安全的担忧。首先，在复杂的国际环境下，对供应链安全风险的觉察和管控能力下降。其次，供应链在信息流通过程中面临信息泄露、恶意篡改和供应中断等一系列安全威胁，而第三方服务提供者或厂商通常不清楚其供应商所用系统和应用的更新及受保护程度，也无法确保其供应商了解最新的系统、网络和应用级漏洞情况。3.2企业供应链制度碎片化带来供应链安全风险。从《国家网络空间安全战略》、《中华人民共和国网络安全法》等上位法的颁布，到《国家技术安全管理清单制度》、《网络安全审查办法》等制度的建立，我国已基本建立起供应链安全相关政策，但与欧美等西方国家相比，仍有一定的提升空间，实施准则和风险预判标准有待进一步细化研究。在此背景下，大部分电信企业处于供应链安全管理的起步阶段，企业内部管理和评估供应链安全风险的顶层设计有待完善，支撑国家供应链安全政策的详细操作规程尚不健全。当前大部分企业仍然只是重点关注系统及产品开发生命周期过程中的安全问题，对于第三方提供的产品及服务是否嵌入恶意内容或安全漏洞，只能依靠其自我披露及承诺来保证。被动的局面极大影响了企业对第三方的可靠性判断，成倍放大了供应链安全风险的系数。3.3软件供应链攻击隐蔽化加剧供应链安全威胁。日益丰富的电信业务需求催生了种类繁多的应用软件，软件供应链攻击因其易操作，易伪装成为电信运营商面临的重要威胁。软件开发环节涉及环境部署、第三方开源库的使用和软件开发实施等，存在开发环境感染木马、源代码污染、开发工具植入恶意代码和第三方开源库被污染等可能。在软件交付环节，用户通过在线商店购买和免费网络下载等方式获取软件，极易受到捆绑下载和下载劫持等困扰。在软件使用环节，攻击者则可通过劫持软件更新渠道和重定向更新下载链接进行恶意代码植入。典型的软件供应链攻击事件如苹果集成开发工具Xcode非官方版本被植入病毒，导致利用该软件开发编译出来的APP都被注入病毒代码，这些攻击以较强的隐蔽性影响了上亿用户，造成了隐私泄露、钓鱼攻击和远程控制等严重危害。

4供应链安全管理体系框架

根据以上分析，供应链安全管理体系建设是全方位提升企业供应链安全能力的关键，而构建供应链安全管理体系，可从供应链安全管理政策体系、供应链安全风险管理体系和供应链安全预警体系3个维度入手。具体框架如图2所示。供应链安全管理政策体系可以从战略规划、制度建设、保障机制、配套政策和标准体系5个方面策划实施。一是根据国家供应链战略规划要求，在本单位“十四五”规划和中长期规划等阶段性战略中明确。二是完善供应链安全制度建设，厘清各部门在供应链安全管理中的责任。三是完善供应链安全保障机制，特别是健全供应链安全审查工作机制，针对供应链关键环节，实施风险评估审查。四是制定供应链安全政策，明确主体职责、权限，与国家战略相互补充、相互协调。五是加快供应链安全管理国家标准的制定，促进其与国际标准对接。供应链安全预警体系可从组织机构、预警指标、监测范围和信息共享4个方面策划实施。一是设立供应链预警机构，将政府、企业、产业有机结合，对国际技术出口管制体系进行深入研究，为供应链安全提供决策依据。二是建立符合实际的供应链安全预警指标，将供应链安全量化并分析，为后续措施提供指导。三是建立监测范围，设置关键监测指标，密切关注重大事件发展趋势和国外针对我国设置的贸易壁垒情况。四是建立预警信息共享机制，向管理部门和利益相关方开放相关信息，达成应急互助与信息共享协议。供应链安全风险管理体系可按照以下4个方面开展。一是风险识别，即对供应链面临的各种潜在风险进行归类分析，了解影响风险的因素。二是风险衡量，对特定风险发生的可能性和损失范围及程度进行估计与度量。三是风险控制，选择恰当风险管理工具，优化组合，规避、转移和降低风险。四是实施风险管理，使用各种风险管理工具，不断反馈、检查、调整、修正，使之更接近风险管理目标。

5工作思路建议

5.1促进供应链多元化发展。供应链多元化是分散安全风险的有效手段。电信运营商应积极参与，深入规划电信行业供应链重组，推动电信供应链向多元化、安全化发展，并加强对供应链关键环节，特别是针对涉及用于关键信息基础设施的网络产品和服务的采购、研发、运营等关键阶段的网络安全检测评估和安全审查。按照国家网络安全审查相关管理制度，进一步完善自身网络安全审查机制，提高供应链抵抗安全风险的能力。具体而言，建议由电信运营商安全管理部门指导各部门制定业务安全指南，确保“摸清家底”，逐步对位审查，实现不同业务的安全应用；采购部门应从业务连续性、可能造成的不良影响等方面出发，预判采购产品、服务、供应商的安全程度，对于存在安全隐患的供应商及时申报网络安全审查，同时将供应商配合网络安全审查纳入合同要求；业务需求单位应精准识别安全审查范围与对象，加强督促产品和服务提供者履行网络安全审查中做出的承诺，并定期更新网络资产清单，依照清单自上而下逐步审查评估，仔细甄别内外部安全威胁。5.2强化供应商的安全管理。对供应商建立科学完备的管理机制，营造安全的供应环境，可从源头上降低供应链安全威胁隐患。电信运营商应在供应商的资质认证、风险管理和绩效评估等环节加强安全管控。首先，可对引入的供应商进行资质审核与认证，从行业资质、管理体系、技术能力、产品质量及网络安全防护能力等角度对其安全评估，并建立完善门类齐全、重点有序的供应链安全厂商名录；其次，对供应商定期开展风险评级，根据供应商产品类别、业务情况、供应风险和环境风险等因素，结合运营商自身关键业务需求对其进行综合评估和等级划分，并实施分级管理，降低供应链的脆弱性；最后，根据供应商管理体系、安全表现和合作情况等定期对供应商开展安全绩效评价，更新供应链安全厂商清单，建立完善供应链安全监管机制，补齐供应链管理短板。5.3加强供应链检测评估。电信运营商需统筹考虑针对软件供应链的攻击防御，兼顾系统全生命周期的安全管理。在软件开发阶段，建立安全可信的开发环境，采购安全可信的外包服务；在软件测试阶段，采用专业工具和服务对软件代码，特别是第三方开源库、中间件进行代码审查和安全检测，并在软件正式版本前对其安全评估；在软件交付阶段，应为用户提供完整性校验信息；在用户使用软件期间，严密防范软件升级劫持。此外，针对内部使用软件，运营商还要全面、精准掌控终端软件的资产信息，定期开展终端安全检查，并在此之上，制定软件供应链攻击安全应急响应预案，以便在遭到攻击时第一时间降低损失。5.4培育供应链产业生态。抵抗供应链安全风险必须解决关键核心技术“卡脖子”问题。一方面，电信运营商要加大对通信领域供应链关键技术的研究投入，全面发掘5G、人工智能和区块链等新一代技术融合创新，汇集重点企业和机构力量，推动通信领域技术突破，补齐核心技术短板，解决关键技术受制于人的局面；另一方面，应建立敏捷信息共享机制，提高供应链各个节点企业信息传递和共享水平，加强供应链上下游供应商信息沟通，强化运营商与第三方的供应链安全维护工作，建立长效信用机制，提高企业的合作效率，培育产业生态体系，共同抵抗供应链安全风险。

6结束语

安全可靠的供应链是国家产业安全、经济安全和社会长治久安的基石。本文通过对供应链、电信供应链和供应链攻击等概念的深入阐述，总结了国内外电信供应链安全管理的发展历程。从电信供应链全球化、企业供应链制度碎片化和软件供应链攻击隐蔽化3个角度分析了电信供应链的现状及安全风险，提出了供应链安全管理体系框架。最后，对电信供应链安全工作思路提出建议，指出应多元化分散供应链安全风险、建立科学完备的管理机制、统筹电信软件系统全生命周期的安全管理、核心技术的研发投入和共享，对电信运营商未来开展供应链安全工作有一定的参考和借鉴意义。

参考文献

[1]汪丽.ICT供应链安全标准化体系及实践应用[J].信息安全与通信保密,2020(4).

[2]胡影,孙彦,任泽君.GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》标准解读[J].保密科学技术,2019(5).

作者:乔喆 陈隽 王晓周 王晓晴 单位:中国移动通信集团公司信息安全管理与运行中心