ICT产品供应链安全现状分析与对策建议（上）

当今网络安全威胁和攻击的形式正在发生深刻的变化，已经从传统的网络安全领域逐渐扩展到供应链安全方向。ICT(信息通信技术)产品作为信息化中的重要组成部分，其供应链安全对整个信息化体系的安全稳定具有至关重要的影响。本文尝试分析ICT产品供应链的安全背景、政策法规，并给出具体针对性的建议供ICT产品供应链的供需双方参考。

ICT产品供应链安全定义

首先我们要了解ICT产品供应链的定义，根据理解GB∕T T36637—2018《信息安全技术 ICT供应链安全风险管理指南》，ICT产品供应链，是指为满足供应关系通过资源和过程将需方、供方互相连接的网链结构，可用于将ICT的产品提供给需方。而ICT产品供应链安全，需要有效管理ICT产品供应链生命周期的安全风险。

ICT产品供应链安全背景

随着全球数字化和AI人工智能的全面发展，供应链面临的安全风险和形势日益严峻，重要网络和关键信息基础设施供应链安全攻击逐年增多，传统安全防护措施难以防御。2020年12月，SolarWinds公司旗下Orion平台遭到黑客入侵。这是一次高度复杂的供应链攻击，也是一场全球性的黑客攻击。全球多个政府系统和数千个私人系统因此面临供应链安全威胁。2021年12月，Apache Log4j2组件被爆出存在远程代码执行漏洞，该漏洞导致全球所有使用了该组件的应用系统均面临严重威胁。2023年3月，有报道称英伟达的GPU固件被恶意篡改，以插入恶意代码。篡改者通过获取英伟达的固件文件，将其中的代码进行了修改，以在用户的计算机上运行恶意程序。从2019年起，美国制定出口管制“实体名单”，对我国ICT产品供应链造成很大影响。从上述案例可以看出，无论软件还是硬件，无论是自身漏洞导致还是供应链政策影响，供应链安全事件造成的影响均远大于普通的黑客攻击事件。

ICT产品供应链安全政策

面对ICT产品供应链的安全威胁和风险，美国、欧盟等国先后出台安全政策应对。欧盟通过网络安全法建立欧盟范围内的ICT产品和服务统一认证框架，确保欧盟所销售ICT产品和服务的完整性和真实性，软硬件中不存在已知的漏洞。美国通过发布行政令，禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务。NIST在NIST SP 800—53第五版中也将供应链风险管理(SCRM)作为一个新增的控制领域，可见供应链网络安全的重要程度。

在我国，《网络安全法》、《关键信息基础设施保护条例》、公网安1960号文等政策均对ICT供应链安全提出了安全要求。等级保护2.0在安全建设管理中，提出“网络安全产品采购和使用要满足国家的有关要求”、“外包软件交付前检测其中可能存在的恶意代码”等一系列对于ICT产品供应链的安全要求。GB T 39204—2022 《信息安全技术 关键信息基础设施安全保护要求》第7.9章节“供应链安全保护”对供应链安全管理策略、采购清单、供应方目录、采购渠道管理和保密协议等方面进行了规定和要求。GB/T 36637—2018 《信息安全技术 ICT供应链安全风险管理指南》也对ICT供应链安全风险管理给出了方法和指导。