李 璐 倪 平 何昊坤 王梓伊 /文

信息和通信技術(shù)供應(yīng)鏈（Information and Communications Technology Supply Chain Management，簡(jiǎn)稱ICT 供應(yīng)鏈）包括硬件供應(yīng)鏈和軟件供應(yīng)鏈，通常涵蓋采購(gòu)、開(kāi)發(fā)、外包、集成等環(huán)節(jié)，涉及制造商、供應(yīng)商、系統(tǒng)集成商、服務(wù)提供商等多類實(shí)體及技術(shù)、法律、政策等軟環(huán)境。隨著ICT 產(chǎn)業(yè)的全球化發(fā)展，ICT 供應(yīng)鏈具備全球分布性、供應(yīng)商多樣性等特點(diǎn)，同時(shí)也帶來(lái)惡意篡改、供應(yīng)中斷、信息泄露等更多不透明、不可控的安全隱患。供應(yīng)鏈安全事件時(shí)有發(fā)生，ICT 供應(yīng)鏈安全面臨著巨大的風(fēng)險(xiǎn)。

ICT 產(chǎn)品和服務(wù)從無(wú)到有，直至廢棄的全生命周期中都會(huì)涉及供應(yīng)鏈。ICT 供應(yīng)鏈通常以ICT 產(chǎn)品和服務(wù)的設(shè)計(jì)為起點(diǎn)，經(jīng)過(guò)生產(chǎn)供應(yīng)階段，到運(yùn)維服務(wù)階段，涉及設(shè)計(jì)、研發(fā)、采購(gòu)、生產(chǎn)、驗(yàn)收、倉(cāng)儲(chǔ)、物流、維護(hù)、返回等環(huán)節(jié)。ICT 供應(yīng)鏈安全管理涉及的環(huán)節(jié)如下圖所示。

——ICT 供應(yīng)鏈安全管理環(huán)節(jié)

ICT 供應(yīng)鏈安全管理的不同環(huán)節(jié)涉及了不同的合作方，如設(shè)計(jì)服務(wù)提供商、元器件供應(yīng)商、系統(tǒng)集成商、外包服務(wù)商等，導(dǎo)致不同環(huán)節(jié)面臨不同的安全風(fēng)險(xiǎn)。

——設(shè)計(jì)研發(fā)階段風(fēng)險(xiǎn)分析

ICT 產(chǎn)品設(shè)計(jì)研發(fā)階段主要任務(wù)是設(shè)計(jì)產(chǎn)品的實(shí)現(xiàn)方案，如概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)等，其中需要確定使用的元器件、軟件框架等。這一階段最主要的供應(yīng)鏈風(fēng)險(xiǎn)集中在元器件選用、開(kāi)發(fā)環(huán)境使用等。

——元器件選用安全風(fēng)險(xiǎn)

在選用元器件時(shí)，首先考慮的是要滿足功能要求，然后會(huì)考慮經(jīng)濟(jì)性、穩(wěn)定性、健壯性等。但是元器件作為ICT 產(chǎn)品的基本組成部分，其安全性至關(guān)重要。元器件，尤其是關(guān)鍵核心元器件出現(xiàn)安全問(wèn)題，將嚴(yán)重影響最終產(chǎn)品的安全性。元器件主要面臨的安全風(fēng)險(xiǎn)包括：一是元器件自身存在安全問(wèn)題，如存在漏洞或者安全功能缺失等；二是采購(gòu)渠道因政治、環(huán)境等因素被阻斷，即斷供。

2017 年2 月2 號(hào)，思科集中發(fā)布了8 個(gè)公告，包括路由器、交換機(jī)、防火墻等在內(nèi)超過(guò)50 個(gè)型號(hào)的主要網(wǎng)絡(luò)產(chǎn)品（包括12 個(gè)型號(hào)的MS350 交換機(jī)全線產(chǎn)品和36 個(gè)型號(hào)的路由器）中存在問(wèn)題時(shí)鐘組件，該組件運(yùn)行18 個(gè)月后的失效率可能會(huì)提升，導(dǎo)致設(shè)備永久無(wú)法使用。思科設(shè)備問(wèn)題產(chǎn)生的根源指向其中央處理器（CPU）芯片供應(yīng)商英特爾（Intel）公司，該公司為思科提供的Atom C2000 系列產(chǎn)品的時(shí)鐘組件存在缺陷。英特爾存在缺陷的CPU 產(chǎn)品被廣泛應(yīng)用于基礎(chǔ)網(wǎng)絡(luò)設(shè)備，思科、華為、戴爾、愛(ài)立信、惠普、浪潮等廠商的設(shè)備均使用了該系列芯片。

供應(yīng)鏈管理信息系統(tǒng)與數(shù)據(jù)

此前思科也曾發(fā)生類似事件，大量思科設(shè)備采用的鎂光內(nèi)存芯片出現(xiàn)故障，會(huì)導(dǎo)致設(shè)備在啟動(dòng)或關(guān)閉時(shí)死機(jī)。這個(gè)問(wèn)題幾乎影響思科的全線產(chǎn)品，超過(guò)600 個(gè)型號(hào)。2014 年2 月12 日，思科發(fā)布公告，將出資6.55 億美元補(bǔ)償受到此次事件影響的客戶。

芯片漏洞影響范圍廣，而且修復(fù)困難，還有可能帶來(lái)性能上的下降。2018 年，Intel 和ARM 的部分CPU 芯片被披露存在嚴(yán)重安全漏洞，從個(gè)人電腦、服務(wù)器、云計(jì)算機(jī)服務(wù)器到移動(dòng)端的智能手機(jī)，都受到漏洞的影響。在云環(huán)境下利用漏洞可以突破用戶隔離，獲取其他用戶的敏感信息。而修復(fù)該漏洞，會(huì)影響性能。

除了安全漏洞，在選用元器件時(shí)，還應(yīng)當(dāng)考慮供貨穩(wěn)定性。在ICT 產(chǎn)業(yè)全球化的態(tài)勢(shì)下，ICT 供應(yīng)鏈安全與國(guó)家安全之間的關(guān)系日益密切。復(fù)雜而全球化的供應(yīng)鏈在使得企業(yè)能夠享受全球新技術(shù)、規(guī)模經(jīng)濟(jì)效益的同時(shí)，也面臨著新的安全風(fēng)險(xiǎn)，如國(guó)際環(huán)境因素導(dǎo)致的斷供風(fēng)險(xiǎn)。國(guó)際政治、戰(zhàn)爭(zhēng)、貿(mào)易管制、限制先手、知識(shí)產(chǎn)權(quán)等一種或者多種因素導(dǎo)致供應(yīng)鏈中的產(chǎn)品或者服務(wù)中的必需要素（組件、部件、算法、技術(shù)等）無(wú)法獲得，將導(dǎo)致整個(gè)產(chǎn)品或服務(wù)都無(wú)法實(shí)現(xiàn)。

2018 年4 月，美國(guó)商務(wù)部發(fā)布公告稱，美國(guó)政府在未來(lái)7 年內(nèi)禁止中興通訊向美國(guó)企業(yè)購(gòu)買敏感產(chǎn)品。該事件直接造成中興公司某些重要設(shè)備的核心部件斷供的安全風(fēng)險(xiǎn)，“主要經(jīng)營(yíng)活動(dòng)無(wú)法進(jìn)行”，影響巨大。2018 年10 月30 日，國(guó)內(nèi)自主存儲(chǔ)DRAM 技術(shù)開(kāi)發(fā)陣營(yíng)之一的福建晉華，被美國(guó)商務(wù)部以國(guó)家安全為由，列入出口管制清單。美國(guó)三大半導(dǎo)體設(shè)備商Applied Materials、Lam Research、Axcelis 在禁令實(shí)施當(dāng)天就立刻撤出福建晉華的12 寸廠，而福建晉華的DRAM 技術(shù)開(kāi)發(fā)合作方臺(tái)灣聯(lián)電也在10 月31日正式表態(tài)，決定停止該DRAM 開(kāi)發(fā)計(jì)劃。所有的機(jī)臺(tái)設(shè)備裝機(jī)、協(xié)助生產(chǎn)的動(dòng)作全面停止，而已下單但未出貨的機(jī)臺(tái)設(shè)備則全數(shù)暫停出貨。

——開(kāi)發(fā)環(huán)境風(fēng)險(xiǎn)

由于安全意識(shí)的普及，在設(shè)計(jì)研發(fā)過(guò)程中，往往會(huì)考慮產(chǎn)品的安全性，并設(shè)計(jì)相應(yīng)的安全功能。但是，開(kāi)發(fā)使用的環(huán)境安全性卻受到了忽略，選用存在安全隱患的開(kāi)發(fā)環(huán)境或者組件，往往會(huì)導(dǎo)致更加隱蔽、影響范圍更廣的安全問(wèn)題。

Xcode 是由蘋果公司發(fā)布的運(yùn)行在Apple 所有平臺(tái)上的集成開(kāi)發(fā)工具（IDE），是開(kāi)發(fā)OS X 和iOS 應(yīng)用程序的最主流工具。2015 年9 月14 日起，一例Xcode 非官方版本惡意代碼污染事件逐步被關(guān)注，并成為熱點(diǎn)事件。多數(shù)分析者將這一事件稱為“XcodeGhost”。攻擊者通過(guò)對(duì)Xcode 進(jìn)行篡改，加入惡意模塊，并進(jìn)行各種傳播活動(dòng)，使大量開(kāi)發(fā)者使用被污染過(guò)的版本，建立開(kāi)發(fā)環(huán)境。經(jīng)過(guò)被污染的Xcode 版本編譯出的App 程序，將被植入惡意邏輯，其中包括向攻擊者注冊(cè)的域名回傳若干信息，并可能導(dǎo)致彈窗攻擊和被遠(yuǎn)程控制的風(fēng)險(xiǎn)。

NetSarang 是一家提供安全鏈接解決方案的公司，該公司的產(chǎn)品主要包括Xmanager， Xmanager 3D， Xshell， Xftp 和Xlpd。官方在2017 年7 月18日發(fā)布的軟件被發(fā)現(xiàn)有惡意后門代碼，該惡意的后門代碼存在于有合法簽名的nssock2.dll 模塊中。從后門代碼的分析來(lái)看，該代碼是由于攻擊者入侵的開(kāi)發(fā)者的主機(jī)或者編譯系統(tǒng)并向源碼中插入后門導(dǎo)致的。該后門代碼可導(dǎo)致用戶遠(yuǎn)程登錄的信息泄露。

——采購(gòu)風(fēng)險(xiǎn)分析

傳統(tǒng)采購(gòu)的重點(diǎn)放在如何和供應(yīng)商進(jìn)行商業(yè)交易的活動(dòng)上，其特點(diǎn)是比較重視交易過(guò)程中的價(jià)格比較，通過(guò)供應(yīng)商的多頭競(jìng)爭(zhēng)，從中選擇價(jià)格最低的作為合作者。結(jié)合ICT 產(chǎn)品的特點(diǎn)，在ICT 供應(yīng)鏈的采購(gòu)環(huán)節(jié)中，還應(yīng)重點(diǎn)關(guān)注如何保障采購(gòu)物資（包括組件、部件或元器件，以及儀器儀表、生產(chǎn)設(shè)備、開(kāi)發(fā)工具等）的完整性、安全性和真實(shí)性。例如，由于缺乏元器件供貨質(zhì)量、來(lái)源安全驗(yàn)證手段，無(wú)法識(shí)別完整性、真實(shí)性遭到破壞的部件、組件或元器件。

在采購(gòu)環(huán)節(jié)中，除了購(gòu)買貨架產(chǎn)品，還會(huì)購(gòu)買服務(wù)，如外包或者外協(xié)。這個(gè)過(guò)程中的安全風(fēng)險(xiǎn)主要來(lái)自提供服務(wù)的第三方。如外包或者外協(xié)人員缺乏安全技能或者安全意識(shí)，外包或者外協(xié)單位安全控制措施不足，開(kāi)發(fā)過(guò)程不規(guī)范等，都有可能給最終的產(chǎn)品或服務(wù)帶來(lái)安全風(fēng)險(xiǎn)。

2017 年，瑞典政府發(fā)現(xiàn)了一項(xiàng)嚴(yán)重的安全問(wèn)題——外包公司對(duì)于政府敏感數(shù)據(jù)的訪問(wèn)權(quán)限控制存在漏洞，未獲得安全許可的外包員工能夠接觸到敏感信息，這些信息均為重要的國(guó)家安全信息和個(gè)人信息，如瑞典公路和橋梁的承載能力；空軍戰(zhàn)斗機(jī)飛行員的姓名、照片和家庭地址；警察的姓名、照片和家庭地址；特種兵的姓名、照片和住址；受保護(hù)證人的姓名、照片和住址，以及其獲得的保護(hù)身份；政府和軍隊(duì)所有的車輛，所屬機(jī)構(gòu)，車輛型號(hào)、載重和機(jī)械缺陷；警方所登記的公民信息等。這起嚴(yán)重的數(shù)據(jù)泄露事故直接導(dǎo)致執(zhí)政黨遭到彈劾，兩名內(nèi)閣成員因此辭職。

2015 年底挪威發(fā)生了“Broadnet 公司外包安全事件”。Broadnet 公司是挪威光纖通信設(shè)備提供商，其客戶包括挪威政府、國(guó)營(yíng)和私營(yíng)企業(yè)。該公司還是為挪威警方、消防部門和醫(yī)療急救等機(jī)構(gòu)提供應(yīng)急通信網(wǎng)絡(luò)服務(wù)的Nodnett 公司的主要供應(yīng)商和董事會(huì)成員。2015 年9 月，Broadnet 公司為了削減運(yùn)營(yíng)成本解雇了120 名挪威雇員，并將這些雇員承擔(dān)的工作外包給了印度孟買的IT 企業(yè)Tech Mahindra 公司。但挪威政府后來(lái)組織的一次審計(jì)發(fā)現(xiàn)，Tech Mahnidra公司的外包人員多次通過(guò)Broadnet 的核心網(wǎng)絡(luò)非法訪問(wèn)Nodnett 的系統(tǒng)。該事件曝光后，Broadnet 收回了其外包的運(yùn)營(yíng)事務(wù)，所有與安全相關(guān)的IT 運(yùn)營(yíng)工作在2017 年底已全部收回挪威本國(guó)，但該公司仍遭到挪威政府、反對(duì)派政治家和具有保護(hù)挪威IT 基礎(chǔ)設(shè)施職能的挪威國(guó)家安全機(jī)關(guān)的強(qiáng)烈批評(píng)。

2016 年，美國(guó)國(guó)防部發(fā)布了一項(xiàng)新規(guī)定，限制假冒元器件進(jìn)入關(guān)鍵的軍事系統(tǒng)。根據(jù)新規(guī)定，軍事承包商和分包商，必須從原始零件制造商或授權(quán)的特許分銷商處采購(gòu)。從2011 年到2015 年，根據(jù)美國(guó)國(guó)防部和承包商提交的526 條疑似假貨的報(bào)告統(tǒng)計(jì)，美國(guó)在國(guó)防部的供應(yīng)鏈中發(fā)現(xiàn)了一百多萬(wàn)個(gè)假冒電子元器件。

——物流風(fēng)險(xiǎn)分析

物流安全包括信息安全、運(yùn)輸安全、加工安全與存儲(chǔ)安全。物流在運(yùn)輸過(guò)程中，產(chǎn)品可能會(huì)被植入、篡改、替換、偽造、破壞、滯留或者丟失，這是ICT產(chǎn)品供應(yīng)鏈中物流環(huán)節(jié)所面臨的安全風(fēng)險(xiǎn)。2014 年，據(jù)美國(guó)國(guó)家安全局(National Safety Association， NSA)前雇員愛(ài)德華·斯諾登(Edward Snowden)披露，路由器、服務(wù)器和其他網(wǎng)絡(luò)設(shè)備從美國(guó)出口并交付給國(guó)外客戶前，NSA 經(jīng)常收到或攔截這些設(shè)備。NSA 之后在設(shè)備中植入后門監(jiān)視工具，產(chǎn)品的完整性在運(yùn)輸過(guò)程中被破壞了，然后用廠家的密封條重新包裝設(shè)備，再繼續(xù)運(yùn)輸。NSA 因此得以訪問(wèn)整個(gè)網(wǎng)絡(luò)及其所有用戶。這種攻擊手段隱蔽性非常高，而且成本低，效果好。

在運(yùn)輸過(guò)程中，除了存在被篡改等破壞完整性的風(fēng)險(xiǎn)外，還存在著敏感信息被泄露的風(fēng)險(xiǎn)。如在軍工等敏感領(lǐng)域，如果物流信息被泄露了，攻擊者可以通過(guò)物流信息（收貨人、地址、貨物信息等）推測(cè)出該單位近期的研發(fā)任務(wù)或者生產(chǎn)計(jì)劃等。

ICT 產(chǎn)品在設(shè)計(jì)研發(fā)、采購(gòu)、運(yùn)輸直至交付給最終客戶的過(guò)程中，任何一個(gè)環(huán)節(jié)都有可能存在影響ICT 產(chǎn)品安全性的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)一旦發(fā)生，將給企業(yè)甚至是國(guó)家?guī)?lái)巨大的損失。考慮到當(dāng)前國(guó)際形勢(shì)風(fēng)云變幻，中美之間貿(mào)易摩擦不斷，貿(mào)易保護(hù)主義抬頭，來(lái)自國(guó)外的ICT 產(chǎn)品供應(yīng)商完全有可能、有條件在產(chǎn)品中設(shè)置惡意功能，如在軟硬件中嵌入惡意代碼、中斷產(chǎn)品供應(yīng)或后續(xù)運(yùn)維服務(wù)等。因此有必要從國(guó)家戰(zhàn)略層面加強(qiáng)對(duì)ICT 供應(yīng)鏈的安全管理，引導(dǎo)企業(yè)重視ICT 供應(yīng)鏈安全管理，鼓勵(lì)企業(yè)對(duì)ICT 供應(yīng)鏈所面臨的安全風(fēng)險(xiǎn)進(jìn)行全面的梳理，制定相關(guān)的安全評(píng)估標(biāo)準(zhǔn)，指導(dǎo)企業(yè)開(kāi)展ICT 供應(yīng)鏈安全管理，提高ICT 供應(yīng)鏈的安全性和健壯性。