数据观澜数据库
快捷导航
您的位置:首页>系统运维>>浅谈ICT供应链安全风险管理与应对机制 >

浅谈ICT供应链安全风险管理与应对机制

  发布时间:2025-12-07 20:35:14   作者:玩站小弟   我要评论
近年来,针对ICT供应链的安全攻击事件呈快速增长态势,开源软件频繁曝出的高危漏洞、软件厂家为维护便利而内置的默认权限或后门、源代码泄露造成的0Day、nDay漏洞攻击事件等,都给ICT供应链带来了巨大 。

近年来 ,浅谈针对ICT供应链的供管理安全攻击事件呈快速增长态势 ,开源软件频繁曝出的应链应对高危漏洞、软件厂家为维护便利而内置的安全默认权限或后门 、源代码泄露造成的风险0Day 、nDay漏洞攻击事件等 ,机制都给ICT供应链带来了巨大的浅谈安全挑战。

与传统供应链相比 ,供管理ICT供应链具有许多不同的应链应对特点:

首先,ICT供应链涵盖ICT产品和服务的安全全生命周期,建站模板包括传统供应链的风险生产 、集成、机制仓储 、浅谈交付等供应阶段 ,供管理也包括产品服务的应链应对设计开发阶段和售后维护阶段,

其次,ICT产品由全球分布的供应商开发、集成或交付 ,供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降,

最后 ,传统供应链主要关注产品的香港云服务器交付和供应链的健壮性,而ICT供应链安全更关注是否会有额外的功能注入产品和服务中,交付的产品和服务是否与预期一致等安全特性 。这些特点使得ICT供应链比传统供应链存在更多的安全风险。

为了保障ICT供应链安全 ,国家市场监督管理总局和中国国家标准化管理委员会发布了GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》(以下简称《指南》),来规范关键信息基础设施和重要信息系统供应链安全风险管理 。

《指南》规定了信息通信技术(以下简称ICT)供应链的安全风险管理过程和控制措施,适用于重要信息系统和关键信息基础设施的模板下载ICT供方和运营者对ICT供应链进行安全风险管理,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理 ,同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考 。

《指南》分为7个部分和3个附录 ,主要包括术语定义、ICT供应链安全风险管理过程、安全控制措施 、ICT供应链概述 、ICT供应链安全威胁、ICT供应链安全脆弱性等内容,具体如下图所示 。

《指南》在第六章中明确了ICT供应链安全风险管理的步骤和实施细则 。针对ICT供应链可能面临的安全风险,源码库明确了建立ICT供应链安全风险管理过程。ICT供应链安全风险管理过程由背景分析、风险评估、风险处置、风险监督和检查、风险沟通和记录5个步骤组成 ,具体如下图所示 。

 根据《指南》的要求 ,我们认为企业组织在开展ICT供应链安全风险管理时 ,可以采取以下应对机制 :

一 、提升企业安全可控能力

目前很多企业普遍存在ICT供应链安全管理缺失或管控不严 ,供应链安全管理履职不到位 ,供应商的准入机制不健全,尽职调查和风险评估不深入等问题 。云计算为有效解决上述问题,组织应根据整体风险管理策略、信息安全策略、科技外包战略,建立供应链安全风险管理办法(如下图所示),加强供应链安全政策导向和统筹管理 ,明确供应链安全管理的组织架构和职责 、管理机制 、技术要求、风险监测、审计监督等 。

二、摸清供应链安全风险底限

ICT供应链安全涉及信息化产品和服务的全生命周期 ,包括设计、亿华云开发、集成等阶段,以及交付后的安装、运维等过程。目前企业主要面临供应链网络安全风险、敏感数据泄露风险、供应链中断风险等ICT供应链安全风险 。针对上述问题 ,组织应定期开展ICT供应链安全风险评估,摸清风险底数 ,及时开展排查整改。

ICT供应链安全风险评估 ,分为风险识别、风险分析 、风险评价三个环节 。

1 、ICT供应链安全风险识别

ICT供应链安全风险识别,分为资产识别 、威胁识别 、脆弱性识别 、现有处置措施识别四个步骤 。

首先需要对ICT供应链关键资产进行识别 ,关键资产的可用性对组织的产品和服务的功能或质量具有直接影响。ICT供应链资产主要包括物理设施 、硬件设备、信息系统 、数据 、人员 、服务 。具体如表1所示:

表1 ICT供应链资产分类

完成资产识别后 ,需对ICT供应链全生命周期所面临的威胁进行识别 ,ICT供应链安全威胁识别分为威胁来源识别、威胁类型识别 。

威胁主要来源于ICT供应链的设计、开发、生产、集成、仓储 、交付 、运维、废弃等环节的环境因素 、供应链攻击和人为错误 ,具体如表2所示:

表2  ICT供应链安全威胁来源

ICT供应链安全威胁类型主要包括:恶意篡改、假冒伪劣 、供应中断、信息泄露、违规操作和其他威胁等,具体如表3所示 :

表3  ICT供应链安全威胁类型

ICT供应链脆弱性是在产品和服务的全生命周期各环节中能够被威胁利用的缺陷 ,应围绕ICT供应链关键资产展开 ,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对其严重程度进行评估。

安全措施识别是指对ICT供应链现有或已计划的安全措施进行识别,并对安全措施的有效性进行确认 。主要评估方法包括资料审阅、人员访谈、现场观察 、系统查看 、数据分析、其他成果利用等,具体如下图所示。

2 、ICT供应链安全风险分析

针对每个安全威胁场景 ,组织应评估现有的应对措施 ,确定每个安全威胁场景发生的可能性及其后果。风险分析分为可能性分析  、后果分析、风险估算三个步骤 。

可能性分析应从两个角度进行:

ICT供应链本身受到损害的可能性 ,例如可能影响关键组件使用或增加知识产权被窃取风险;ICT供应链内的产品、服务 、系统、组件受到损害的可能性 ,例如系统被植入恶意代码或设备被电击损坏 。

后果分析是指针对已识别的ICT供应链安全事件,分析事件的潜在影响 。应从资产的重要性 ,引发安全事件的威胁来源的特征 ,已识别的脆弱性  ,现有或已计划安全措施等方面进行分析。

风险估算为ICT供应链安全风险的可能性和后果赋值 ,同时,还应基于可能性分析和后果分析的结论进行 ,如表4所示 。风险计算公式:风险值=可能性赋值*后果赋值。

表4 风险估算赋值

3 、ICT供应链安全风险评价

将风险估算结果与风险评价准则和风险偏好比较 ,依据风险评价准则输出按优先顺序排列的风险列表 。需要注意的是多个中低风险的聚合可能导致更高的整体风险。

  • Tag:

相关文章

  • OpenAI公司首席执行官承认ChatGPT存在风险,现在怎么办?

    在上周末,OpenAI公司首席执行官Sam Altman突然加入了关于ChatGPT(该公司最近发布的对话文本生成模型) 在Twitter上的争论,并给出了令人惊讶的警告。他在T
    2025-12-07

  • 番茄花园win10专业版在哪下载

    如果我们在使用电脑的候遇到了系统出现故障问题,死机、卡顿蓝屏黑屏等等情况,很多小伙伴都会选择自行重装操作系统来解决问题。那么对于番茄花园win10专业版在哪下载,小编觉得我们可以在电脑技术网 Tagx
    2025-12-07

  • 探究BOSECM15家庭影院的表现与体验(解析BOSECM15家庭影院的音质、画质和功能特点)

    在如今数字科技快速发展的时代,家庭影院已成为许多人娱乐生活中不可或缺的一部分。BOSECM15家庭影院作为市场上备受瞩目的产品之一,其出色的音质、高清晰度的画质以及丰富的功能特点备受消费者追捧。本文将
    2025-12-07

  • win10如何关闭防火墙提示打游戏

    想必每一个热爱游戏的小伙伴们都在打游戏的时候遇到过系统一直弹出提示的情况吧,虽然弹框不影响正常的游戏操作但是总是让高度集中游戏的你需要对弹框提示分心等待有空查看弹框提示的时候却发现根本不是什么问题,仅
    2025-12-07

  • 新的网络钓鱼攻击欺骗Microsoft 365身份验证系统

    电子邮件安全和威胁检测服务提供商Vade公司近日发布了一份报告,详细阐述了最近发现的一起网络钓鱼攻击,这起攻击成功欺骗了Microsoft 365身份验证系统。据Vade的威胁情报和响应中心TIRC)
    2025-12-07

  • win10键盘win键被锁定

    近期有小伙伴说win10键盘win键被锁定了这样的状况。Windows10 1607版,起因是在游戏中GTAV)按Windows+空格切输入法,解决办法是按Windows+L锁定再解锁。具体是什么方法
    2025-12-07

最新评论