摘要:ict是信息技术与通信技术融合发展而形成的技术领域。在全球化时代,企业需要一个稳健、安全的全球供应链体系,不仅为了保障按时交付产品和服务,还需确保产品在整个生命周期内风险最小化,提高供应链的柔性、韧性和抗打击性。
文/王国文 中国(深圳)综合开发研究院供应链管理研究所所长
ict是信息技术与通信技术融合发展而形成的技术领域。在全球化时代,企业需要一个稳健、安全的全球供应链体系,不仅为了保障按时交付产品和服务之外,还需确保产品在整个生命周期内风险最小化,提高供应链的柔性、韧性和抗打击性。
供应链安全管理是一个复杂的系统工程。那么,什么是ict供应链?各国如何重视ict供应链安全?华为提供了哪些典型规范?ict供应链安全的未来发展方向是什么?
1、什么是ict供应链
按照美国标准技术研究院发布的nist sp800-161《联邦信息系统供应链风险管理实践标准》,ict系统的运行依赖于分布在全球相互联系的供应链生态体系。
该供应链生态系统包括制造商、供应商(网络供应商和软硬件供应商)、系统集成商、采购商、终端用户和外部服务提供商等各类实体,产品和服务的设计、研发、生产、分配、部署和使用,以及技术、法律、政策等软环境。
简单地说,ict供应链基本结构包括内部开发、信息、信息系统、服务、组件和产品(或服务)制造维护及退出信息系统的整个过程。
2、ict供应链安全管理已经得到了高度重视
ict供应链安全很大程度上取决于采购、开发、集成等中间环节,涉及到采购方、系统集成方、网络提供方以及软硬件供应商等。
在ict采购全球化的态势下,ict供应链安全与国家安全间的关系愈发密切,美国、欧盟、俄罗斯、中国等国家先后将ict供应链安全置于国家安全战略层面来考虑。
早在2012年,美国便开始高度重视供应链安全,发布了《美国全球供应链国家安全战略》,提出安全和高效两大目标,正式将全球供应链提升为国家安全战略。
对涉及国家安全的信息系统采购,美国遵循统一负责、分散实施原则,通过分类分级对系统及产品进行安全评估认证。
美国国防部通过有关规划预算、集成开发、采购运行的各类系统对采购过程进行风险分析和管理,各系统间相互支撑与制约,确保ict采购的安全可控性。
目前,美国已从国家政策制定、产品测评认证、供应链安全评估到外商投资安全审查等层面,逐步形成了针对ict供应链的深层次安全管理体系。
2015年,欧盟《供应链完整性》报告指出,ict供应链完整性是国家经济发展的关键因素,提高供应链完整度对公共和私营部门意义重大。
中俄共同提交联合国的《信息安全国际行为准则》强调,应当努力确保信息技术产品和服务供应链的安全,防止他国利用自身资源、关键设施、核心技术及其他优势,削弱落后国家对信息技术的自主控制权,或威胁落后国家的政治、经济和社会安全。
2017年6月,中国正式实施《中华人民共和国网络安全法》(以下简称“《网络安全法》”)。《网络安全法》明确了包括网络产品和服务在内的ict产业应朝着安全可信的方向发展。
同时,为保障国家安全,关键信息基础设施运营者应当在采购等环节落实国家网络安全审查政策,将供应链的安全性和可控性作为采购环节的重要参考点,满足网络产品和服务安全可信的需求,提高信息通信产业安全可控水平。
3、华为ict供应链安全管理的典型案例
2012年10月,中国企业华为率先发布第一版网络安全白皮书《21世纪的技术与安全——一场艰难的联姻》,直到2016年,在第四版网络安全白皮书《全球网络安全挑战——解决供应链风险,正当其时》中,第一次将供应链列入网络完全体系。
该白皮书旨在阐述全球信息及通信技术(ict)产业在应对供应链安全挑战方面的不间断努力、优秀实践及标准。
华为将供应链安全管理纳入其端到端全球网络安全保障体系,建立了一个符合iso 28000的全面供应链安全管理体系,从来料到客户交付的端到端流程中识别安全风险,并使其最小化。
根据供应商的体系、流程和产品来选择和认证供应商,并持续监控、定期评估供应商的交付绩效,选择那些对华为所采购的产品和服务的质量和安全做出贡献的供应商。
华为ict供应链安全管理4、ict供应链面临的安全风险来源分析
1/ 供应链信息流通过程中的安全性。
完整的供应链包含多个制造商、采购商、运输服务商等多个主体,信息传递过程较长,渠道较多,使其面临着信息泄露、恶意篡改、供应中断与产品质量参差不齐等安全威胁。
所以,任何环节出现问题,都可能影响整个供应链的安全。
2/ 全球化的发展扩大了网络信息安全风险。
ict供应链的全球化发展,使系统用户在复杂的国际环境下对供应链安全风险的察觉和管控能力下降,面临着来自全球金融资本市场考验和各国间差异性合规的挑战。
3/ 企业普遍缺乏对ict供应链风险评估和管理的措施。
企业通常只针对系统及产品开发生命周期过程部署安全防护措施,而对外部供应链安全风险管理意识较为薄弱。
5、ict供应链安全管理的未来 - 产品生命周期风险最小化
供应链风险是网络安全管理里一直被低估的领域。在瞬息万变的信息时代,随着新一代信息技术及相关产业的爆发时增长,供应链风险逐渐成为的网络安全风险的一个关键要素。
未来供应链管理,除了要确保按时交付产品和服务,还需确保产品在整个生命周期内风险最小化,提高供应链的抗打击性和柔性。
企业应加快实施ict网络产品与服务安全评估,重视供应链流程设计、信息安全管理和供应链风险管理,提高安全检测能力。
对信息系统供应商、集成商、服务商等开展有关行业资质、市场信誉、物理安全、保密资质、安全管理与技术等内容的安全评估工作。(感谢谭慧芳对本文的贡献)。