導(dǎo)語：電信供應(yīng)鏈安全風險及安全管理研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:本文分析了國內(nèi)外電信供應(yīng)鏈工作體系發(fā)展情況，從電信供應(yīng)鏈全球化、企業(yè)供應(yīng)鏈制度碎片化和軟件供應(yīng)鏈攻擊隱蔽化3個角度分析了電信供應(yīng)鏈的現(xiàn)狀及安全風險，提出了供應(yīng)鏈安全管理體系框架，并對電信供應(yīng)鏈安全工作思路提出建議。

關(guān)鍵詞:電信供應(yīng)鏈；安全風險；安全管理體系

縱觀全球企業(yè)近幾十年供應(yīng)鏈的發(fā)展歷程，供應(yīng)鏈管理呈現(xiàn)非常顯著的特征：即專業(yè)化發(fā)展、集中化實施、系統(tǒng)化運作和信息化支撐。無論是傳統(tǒng)產(chǎn)業(yè)還是高新技術(shù)產(chǎn)業(yè)，其興衰成敗都與供應(yīng)鏈管理水平有著極大的聯(lián)系。供應(yīng)鏈中任何環(huán)節(jié)發(fā)生的問題，都會給供應(yīng)鏈上下游帶來深刻地影響。而在全球化和信息技術(shù)快速發(fā)展的同時，供應(yīng)鏈安全問題日益凸顯，因供應(yīng)鏈造成的重大網(wǎng)絡(luò)入侵事件層出不窮。電信企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施運營者，“信息”始終是電信供應(yīng)鏈最主要的工作對象，電信供應(yīng)鏈上的各個主體通過對信息的不斷加工，向用戶提供各種電信業(yè)務(wù)，實現(xiàn)信息的價值增值。電信供應(yīng)鏈的安全直接影響著國家產(chǎn)業(yè)安全、經(jīng)濟安全和社會的長治久安。本文基于國內(nèi)外電信供應(yīng)鏈工作體系的發(fā)展背景，闡述分析了電信供應(yīng)鏈的現(xiàn)狀及風險，提出了供應(yīng)鏈安全管理體系框架及供應(yīng)鏈安全工作的思路建議。

1供應(yīng)鏈

供應(yīng)鏈的概念最早出現(xiàn)在20世紀80年代。當時供應(yīng)鏈被定義為制造企業(yè)中的一個內(nèi)部過程，它是指把從企業(yè)外部采購的原材料和零部件通過生產(chǎn)轉(zhuǎn)換和銷售等活動再傳遞到零售商和用戶的過程。隨著供應(yīng)鏈應(yīng)用的不斷擴展，目前對供應(yīng)鏈的通用定義是指產(chǎn)品生產(chǎn)和流通中涉及的原材料供應(yīng)商、生產(chǎn)商、批發(fā)商、零售商以及最終用戶組成的供需網(wǎng)絡(luò)結(jié)構(gòu)。在這個網(wǎng)絡(luò)中，每個角色既是其客戶的供應(yīng)商，又是其供應(yīng)商的客戶，既向其上游的企業(yè)訂購產(chǎn)品，又向其下游的企業(yè)供應(yīng)產(chǎn)品，網(wǎng)絡(luò)上流動著物流、資金流和信息流。1.1電信供應(yīng)鏈。電信供應(yīng)鏈由生產(chǎn)電信基礎(chǔ)設(shè)施的供應(yīng)鏈和電信業(yè)務(wù)的供應(yīng)鏈兩部分構(gòu)成。電信基礎(chǔ)設(shè)施的供應(yīng)鏈是為了建設(shè)和維護電信設(shè)施而形成的網(wǎng)狀組織，它由電信運營企業(yè)、電信設(shè)備生產(chǎn)企業(yè)及其供應(yīng)商、電信設(shè)備維修企業(yè)及其供應(yīng)商等企業(yè)供應(yīng)鏈共同構(gòu)成。電信運營企業(yè)在企業(yè)供應(yīng)鏈中居于主導(dǎo)地位，是電信基礎(chǔ)設(shè)施供應(yīng)鏈的核心企業(yè)。電信設(shè)備生產(chǎn)企業(yè)和電信設(shè)備維修企業(yè)是電信基礎(chǔ)設(shè)施供應(yīng)鏈的骨干企業(yè)，電信設(shè)備生產(chǎn)企業(yè)和電信設(shè)備維修企業(yè)的供應(yīng)商是電信基礎(chǔ)設(shè)施供應(yīng)鏈的邊緣企業(yè)。電信業(yè)務(wù)供應(yīng)鏈是為了利用電信設(shè)施向電信用戶提供服務(wù)，由電信運營企業(yè)以及增值服務(wù)提供商和增值服務(wù)提供商組成的軟件供應(yīng)鏈共同構(gòu)成的網(wǎng)鏈狀組織。電信供應(yīng)鏈的組成結(jié)構(gòu)如圖1所示。1.2供應(yīng)鏈攻擊。供應(yīng)鏈攻擊也稱為第三方攻擊，是指攻擊者通過有權(quán)訪問企業(yè)系統(tǒng)和數(shù)據(jù)的外部合作伙伴或者供應(yīng)商，入侵企業(yè)內(nèi)部系統(tǒng)。供應(yīng)鏈攻擊已成為業(yè)界公認的新型威脅之一，與典型企業(yè)攻擊方式相比，這一攻擊方式能夠接觸到更多的敏感數(shù)據(jù)。硬件供應(yīng)鏈攻擊涉及硬件采購、設(shè)計、制造、組裝、維護到處理的一系列過程，其風險來源于硬件供應(yīng)鏈系統(tǒng)與外部環(huán)境發(fā)生資源交換，以及在與供應(yīng)鏈成員進行協(xié)調(diào)與合作過程中，存在著各種內(nèi)部不確定性和外部不確定性的風險因素。如自然災(zāi)害、恐怖事件和突發(fā)事件等導(dǎo)致供應(yīng)中斷；攻擊者中斷制造和交付、錯誤的運輸路線或延誤交貨、錯誤的訂單、質(zhì)量等風險。軟件供應(yīng)鏈攻擊是指在軟件的開發(fā)、交付和使用等生命周期環(huán)節(jié)開展的惡意攻擊。軟件供應(yīng)鏈攻擊利用了用戶與軟件供應(yīng)商之間的信任關(guān)系，繞開了安全產(chǎn)品的防護邊界，傳播更加隱蔽和難以追溯。例如在WannaCry病毒集中爆發(fā)并經(jīng)過了一年多時間后，2018年臺積電公司發(fā)生的生產(chǎn)線感染W(wǎng)annaCry病毒變種就是一個生動的例子。對一批新接入生產(chǎn)線的計算機，上游設(shè)備供應(yīng)商未對其對外提供的計算機設(shè)備進行嚴格的安全檢查和病毒掃描，同時臺積電公司也未能對上線的設(shè)備進行嚴格的安全檢查和病毒掃描，從而導(dǎo)致了此次安全事故，給臺積電公司生產(chǎn)和聲譽帶來重大損失。

2國內(nèi)外電信供應(yīng)鏈工作體系發(fā)展

2.1國外情況。美國是最先提出并系統(tǒng)實施供應(yīng)鏈國家戰(zhàn)略的國家。從1993年開始，每位美國總統(tǒng)都會就供應(yīng)鏈行政命令或國家戰(zhàn)略，幾乎美國聯(lián)邦政府所有主要部門都有關(guān)于供應(yīng)鏈方面的政策。2011年11月，美國商務(wù)部成立了由45位委員組成的供應(yīng)鏈競爭力咨詢委員會，為商務(wù)部長提供供應(yīng)鏈競爭力綜合政策咨詢，以促進美國出口增長及經(jīng)濟競爭力。2012年1月，美國總統(tǒng)簽署《全球供應(yīng)鏈安全國家戰(zhàn)略》，致力于促進貨物安全有效移動，培養(yǎng)有彈性的供應(yīng)鏈。2017年12月，美國公布《國家安全戰(zhàn)略報告》，其中7次提到“供應(yīng)鏈”，涉及保衛(wèi)國防工業(yè)供應(yīng)鏈、建立富有彈性的供應(yīng)鏈、防止敏感信息泄露并保證其供應(yīng)鏈的完整性等。2019年，美國總統(tǒng)簽署《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》行政令，以保護美國關(guān)鍵基礎(chǔ)設(shè)施安全，防范間諜滲透美國供應(yīng)鏈。日本是研究供應(yīng)鏈管理的標桿國家之一，在供應(yīng)鏈風險管理方面，日本政府幫助企業(yè)構(gòu)建符合企業(yè)目標價值的信息安全管理框架，依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施保護基本政策(第三版)》等國家政策，通過第三方認證等方式增強企業(yè)信息安全整體水平。2018年，日本《網(wǎng)絡(luò)安全戰(zhàn)略》，明確提出針對供應(yīng)鏈存在的威脅，制定并推廣相關(guān)保護框架，以推動供應(yīng)鏈創(chuàng)新。2020年，日本政府提交了《特定高度電信普及促進法》，該法案旨在維護日本的信息安全，確保日本企業(yè)慎重應(yīng)用5G和無人機等新一代網(wǎng)絡(luò)技術(shù)，要求日本相關(guān)企業(yè)在采購高級科技產(chǎn)品及精密器材時，必須遵守確保系統(tǒng)的安全與可信度，確保系統(tǒng)供貨安全和系統(tǒng)要能夠與國際接軌的3個安全準則。英國政府高度重視信息安全和保障，其國家基礎(chǔ)設(shè)施保護中心是保護國家基礎(chǔ)設(shè)施的權(quán)威政府部門，在信息通信技術(shù)供應(yīng)鏈領(lǐng)域發(fā)揮著重要作用。2013年，英國發(fā)起可信軟件倡議，該倡議通過解決軟件可信性中的安全性、可靠性、可用性、彈性和安全性問題，提升軟件應(yīng)用的規(guī)范、實施和使用水平，在信息通信技術(shù)供應(yīng)鏈中軟件領(lǐng)域建立起基于風險的全生命周期管理。2014年，英國《軟件可信度治理與管理規(guī)范》，涵蓋了技術(shù)、物理環(huán)境和行為管理等多個方面，并規(guī)定了申請流程，為采購、供應(yīng)或使用可信賴軟件提供幫助。2019年，《英國電信供應(yīng)鏈回顧報告》，報告結(jié)合英國5G發(fā)展目標以及5G在經(jīng)濟和社會發(fā)展中的作用，強調(diào)了安全在電信這一關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的重要意義，并對電信供應(yīng)鏈管理展開綜合評估。2.2國內(nèi)情況。為保證信息技術(shù)和通信領(lǐng)域供應(yīng)鏈平穩(wěn)發(fā)展，滿足電信行業(yè)需求，我國已逐步構(gòu)建起了電信供應(yīng)鏈體系、戰(zhàn)略運行體系和戰(zhàn)略保障體系。2014年5月22日，國家互聯(lián)網(wǎng)信息辦公室宣布我國即將推出網(wǎng)絡(luò)安全審查制度，初步界定了網(wǎng)絡(luò)安全審查的含義。2015年7月1日，《中華人民共和國國家安全法》第59條規(guī)定了網(wǎng)絡(luò)安全審查制度由國家建立。2016年7月，《國家信息化發(fā)展戰(zhàn)略綱要》明確我國要建立實施網(wǎng)絡(luò)安全審查制度，對關(guān)鍵信息基礎(chǔ)設(shè)施中使用的重要信息技術(shù)產(chǎn)品和服務(wù)開展安全審查。2016年11月7日，《中華人民共和國網(wǎng)絡(luò)安全法》中明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的應(yīng)通過國家有關(guān)部門組織開展的網(wǎng)絡(luò)安全審查。2017年6月，我國頒布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》和《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》。2020年4月，我國多部門聯(lián)合《網(wǎng)絡(luò)安全審查辦法》，進一步細化明確了網(wǎng)絡(luò)安全審查的范圍、機制、流程等相關(guān)要求。2.3標準發(fā)展。電信供應(yīng)鏈安全的國際標準，主要包括適用于供應(yīng)鏈及物流領(lǐng)域的ISO28000《供應(yīng)鏈安全管理說明》、ISO28001《供應(yīng)鏈安全、評估和計劃的最佳實踐——需求和指南》、ISO28002《供應(yīng)鏈恢復(fù)能力的開發(fā)——要求及使用指南》等標準；適用于風險管理領(lǐng)域的ISO/IEC27005《信息安全風險管理》、ISO/IEC16085《生命周期過程—風險管理》和ISO/IEC31000《風險管理》等標準；適用于信息安全領(lǐng)域的ISO/IEC27036《供應(yīng)商關(guān)系的信息安全》、ISO/IEC27000《信息安全管理系統(tǒng)》等標準；適用于應(yīng)用安全領(lǐng)域的ISO/IEC27034《應(yīng)用安全》、ISO/IECTR24772《編程語言指南——避免編程語言漏洞的指南》等。電信供應(yīng)鏈安全的國內(nèi)標準，包括GB/T24420-2009《供應(yīng)鏈風險管理指南》、GB/T29245-2012《政府部門信息安全管理基本要求》、GB/T31168-2014《云計算服務(wù)安全能力要求》、GB/T32921-2016《信息技術(shù)產(chǎn)品供應(yīng)方行為安全準則》和GB/T22239-2019《信息系統(tǒng)安全等級保護基本要求》等。2019年，我國第一個信息通信技術(shù)供應(yīng)鏈安全國家標準GB/T36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風險管理指南》正式實施，該指南以國內(nèi)外供應(yīng)鏈安全相關(guān)標準為基礎(chǔ)，針對信息通信技術(shù)供應(yīng)鏈的特點，細化信息通信技術(shù)供應(yīng)鏈安全風險管理的過程和控制措施，支持多樣的信息通信技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈。

3電信供應(yīng)鏈現(xiàn)狀及風險

3.1電信供應(yīng)鏈全球化加劇供應(yīng)鏈安全管控壓力。隨著高精尖技術(shù)產(chǎn)品研制程序的日趨精細和復(fù)雜，產(chǎn)業(yè)鏈按照比較優(yōu)勢跨國集中布局成為必然。供應(yīng)鏈全球化已成為經(jīng)濟社會進步的重要推動力，但在5G技術(shù)成為國家戰(zhàn)略的背景下，也引發(fā)了各國政府對國家安全的擔憂。首先，在復(fù)雜的國際環(huán)境下，對供應(yīng)鏈安全風險的覺察和管控能力下降。其次，供應(yīng)鏈在信息流通過程中面臨信息泄露、惡意篡改和供應(yīng)中斷等一系列安全威脅，而第三方服務(wù)提供者或廠商通常不清楚其供應(yīng)商所用系統(tǒng)和應(yīng)用的更新及受保護程度，也無法確保其供應(yīng)商了解最新的系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用級漏洞情況。3.2企業(yè)供應(yīng)鏈制度碎片化帶來供應(yīng)鏈安全風險。從《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》、《中華人民共和國網(wǎng)絡(luò)安全法》等上位法的頒布，到《國家技術(shù)安全管理清單制度》、《網(wǎng)絡(luò)安全審查辦法》等制度的建立，我國已基本建立起供應(yīng)鏈安全相關(guān)政策，但與歐美等西方國家相比，仍有一定的提升空間，實施準則和風險預(yù)判標準有待進一步細化研究。在此背景下，大部分電信企業(yè)處于供應(yīng)鏈安全管理的起步階段，企業(yè)內(nèi)部管理和評估供應(yīng)鏈安全風險的頂層設(shè)計有待完善，支撐國家供應(yīng)鏈安全政策的詳細操作規(guī)程尚不健全。當前大部分企業(yè)仍然只是重點關(guān)注系統(tǒng)及產(chǎn)品開發(fā)生命周期過程中的安全問題，對于第三方提供的產(chǎn)品及服務(wù)是否嵌入惡意內(nèi)容或安全漏洞，只能依靠其自我披露及承諾來保證。被動的局面極大影響了企業(yè)對第三方的可靠性判斷，成倍放大了供應(yīng)鏈安全風險的系數(shù)。3.3軟件供應(yīng)鏈攻擊隱蔽化加劇供應(yīng)鏈安全威脅。日益豐富的電信業(yè)務(wù)需求催生了種類繁多的應(yīng)用軟件，軟件供應(yīng)鏈攻擊因其易操作，易偽裝成為電信運營商面臨的重要威脅。軟件開發(fā)環(huán)節(jié)涉及環(huán)境部署、第三方開源庫的使用和軟件開發(fā)實施等，存在開發(fā)環(huán)境感染木馬、源代碼污染、開發(fā)工具植入惡意代碼和第三方開源庫被污染等可能。在軟件交付環(huán)節(jié)，用戶通過在線商店購買和免費網(wǎng)絡(luò)下載等方式獲取軟件，極易受到捆綁下載和下載劫持等困擾。在軟件使用環(huán)節(jié)，攻擊者則可通過劫持軟件更新渠道和重定向更新下載鏈接進行惡意代碼植入。典型的軟件供應(yīng)鏈攻擊事件如蘋果集成開發(fā)工具Xcode非官方版本被植入病毒，導(dǎo)致利用該軟件開發(fā)編譯出來的APP都被注入病毒代碼，這些攻擊以較強的隱蔽性影響了上億用戶，造成了隱私泄露、釣魚攻擊和遠程控制等嚴重危害。

4供應(yīng)鏈安全管理體系框架

根據(jù)以上分析，供應(yīng)鏈安全管理體系建設(shè)是全方位提升企業(yè)供應(yīng)鏈安全能力的關(guān)鍵，而構(gòu)建供應(yīng)鏈安全管理體系，可從供應(yīng)鏈安全管理政策體系、供應(yīng)鏈安全風險管理體系和供應(yīng)鏈安全預(yù)警體系3個維度入手。具體框架如圖2所示。供應(yīng)鏈安全管理政策體系可以從戰(zhàn)略規(guī)劃、制度建設(shè)、保障機制、配套政策和標準體系5個方面策劃實施。一是根據(jù)國家供應(yīng)鏈戰(zhàn)略規(guī)劃要求，在本單位“十四五”規(guī)劃和中長期規(guī)劃等階段性戰(zhàn)略中明確。二是完善供應(yīng)鏈安全制度建設(shè)，厘清各部門在供應(yīng)鏈安全管理中的責任。三是完善供應(yīng)鏈安全保障機制，特別是健全供應(yīng)鏈安全審查工作機制，針對供應(yīng)鏈關(guān)鍵環(huán)節(jié)，實施風險評估審查。四是制定供應(yīng)鏈安全政策，明確主體職責、權(quán)限，與國家戰(zhàn)略相互補充、相互協(xié)調(diào)。五是加快供應(yīng)鏈安全管理國家標準的制定，促進其與國際標準對接。供應(yīng)鏈安全預(yù)警體系可從組織機構(gòu)、預(yù)警指標、監(jiān)測范圍和信息共享4個方面策劃實施。一是設(shè)立供應(yīng)鏈預(yù)警機構(gòu)，將政府、企業(yè)、產(chǎn)業(yè)有機結(jié)合，對國際技術(shù)出口管制體系進行深入研究，為供應(yīng)鏈安全提供決策依據(jù)。二是建立符合實際的供應(yīng)鏈安全預(yù)警指標，將供應(yīng)鏈安全量化并分析，為后續(xù)措施提供指導(dǎo)。三是建立監(jiān)測范圍，設(shè)置關(guān)鍵監(jiān)測指標，密切關(guān)注重大事件發(fā)展趨勢和國外針對我國設(shè)置的貿(mào)易壁壘情況。四是建立預(yù)警信息共享機制，向管理部門和利益相關(guān)方開放相關(guān)信息，達成應(yīng)急互助與信息共享協(xié)議。供應(yīng)鏈安全風險管理體系可按照以下4個方面開展。一是風險識別，即對供應(yīng)鏈面臨的各種潛在風險進行歸類分析，了解影響風險的因素。二是風險衡量，對特定風險發(fā)生的可能性和損失范圍及程度進行估計與度量。三是風險控制，選擇恰當風險管理工具，優(yōu)化組合，規(guī)避、轉(zhuǎn)移和降低風險。四是實施風險管理，使用各種風險管理工具，不斷反饋、檢查、調(diào)整、修正，使之更接近風險管理目標。

5工作思路建議

5.1促進供應(yīng)鏈多元化發(fā)展。供應(yīng)鏈多元化是分散安全風險的有效手段。電信運營商應(yīng)積極參與，深入規(guī)劃電信行業(yè)供應(yīng)鏈重組，推動電信供應(yīng)鏈向多元化、安全化發(fā)展，并加強對供應(yīng)鏈關(guān)鍵環(huán)節(jié)，特別是針對涉及用于關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購、研發(fā)、運營等關(guān)鍵階段的網(wǎng)絡(luò)安全檢測評估和安全審查。按照國家網(wǎng)絡(luò)安全審查相關(guān)管理制度，進一步完善自身網(wǎng)絡(luò)安全審查機制，提高供應(yīng)鏈抵抗安全風險的能力。具體而言，建議由電信運營商安全管理部門指導(dǎo)各部門制定業(yè)務(wù)安全指南，確保“摸清家底”，逐步對位審查，實現(xiàn)不同業(yè)務(wù)的安全應(yīng)用；采購部門應(yīng)從業(yè)務(wù)連續(xù)性、可能造成的不良影響等方面出發(fā)，預(yù)判采購產(chǎn)品、服務(wù)、供應(yīng)商的安全程度，對于存在安全隱患的供應(yīng)商及時申報網(wǎng)絡(luò)安全審查，同時將供應(yīng)商配合網(wǎng)絡(luò)安全審查納入合同要求；業(yè)務(wù)需求單位應(yīng)精準識別安全審查范圍與對象，加強督促產(chǎn)品和服務(wù)提供者履行網(wǎng)絡(luò)安全審查中做出的承諾，并定期更新網(wǎng)絡(luò)資產(chǎn)清單，依照清單自上而下逐步審查評估，仔細甄別內(nèi)外部安全威脅。5.2強化供應(yīng)商的安全管理。對供應(yīng)商建立科學(xué)完備的管理機制，營造安全的供應(yīng)環(huán)境，可從源頭上降低供應(yīng)鏈安全威脅隱患。電信運營商應(yīng)在供應(yīng)商的資質(zhì)認證、風險管理和績效評估等環(huán)節(jié)加強安全管控。首先，可對引入的供應(yīng)商進行資質(zhì)審核與認證，從行業(yè)資質(zhì)、管理體系、技術(shù)能力、產(chǎn)品質(zhì)量及網(wǎng)絡(luò)安全防護能力等角度對其安全評估，并建立完善門類齊全、重點有序的供應(yīng)鏈安全廠商名錄；其次，對供應(yīng)商定期開展風險評級，根據(jù)供應(yīng)商產(chǎn)品類別、業(yè)務(wù)情況、供應(yīng)風險和環(huán)境風險等因素，結(jié)合運營商自身關(guān)鍵業(yè)務(wù)需求對其進行綜合評估和等級劃分，并實施分級管理，降低供應(yīng)鏈的脆弱性；最后，根據(jù)供應(yīng)商管理體系、安全表現(xiàn)和合作情況等定期對供應(yīng)商開展安全績效評價，更新供應(yīng)鏈安全廠商清單，建立完善供應(yīng)鏈安全監(jiān)管機制，補齊供應(yīng)鏈管理短板。5.3加強供應(yīng)鏈檢測評估。電信運營商需統(tǒng)籌考慮針對軟件供應(yīng)鏈的攻擊防御，兼顧系統(tǒng)全生命周期的安全管理。在軟件開發(fā)階段，建立安全可信的開發(fā)環(huán)境，采購安全可信的外包服務(wù)；在軟件測試階段，采用專業(yè)工具和服務(wù)對軟件代碼，特別是第三方開源庫、中間件進行代碼審查和安全檢測，并在軟件正式版本前對其安全評估；在軟件交付階段，應(yīng)為用戶提供完整性校驗信息；在用戶使用軟件期間，嚴密防范軟件升級劫持。此外，針對內(nèi)部使用軟件，運營商還要全面、精準掌控終端軟件的資產(chǎn)信息，定期開展終端安全檢查，并在此之上，制定軟件供應(yīng)鏈攻擊安全應(yīng)急響應(yīng)預(yù)案，以便在遭到攻擊時第一時間降低損失。5.4培育供應(yīng)鏈產(chǎn)業(yè)生態(tài)。抵抗供應(yīng)鏈安全風險必須解決關(guān)鍵核心技術(shù)“卡脖子”問題。一方面，電信運營商要加大對通信領(lǐng)域供應(yīng)鏈關(guān)鍵技術(shù)的研究投入，全面發(fā)掘5G、人工智能和區(qū)塊鏈等新一代技術(shù)融合創(chuàng)新，匯集重點企業(yè)和機構(gòu)力量，推動通信領(lǐng)域技術(shù)突破，補齊核心技術(shù)短板，解決關(guān)鍵技術(shù)受制于人的局面；另一方面，應(yīng)建立敏捷信息共享機制，提高供應(yīng)鏈各個節(jié)點企業(yè)信息傳遞和共享水平，加強供應(yīng)鏈上下游供應(yīng)商信息溝通，強化運營商與第三方的供應(yīng)鏈安全維護工作，建立長效信用機制，提高企業(yè)的合作效率，培育產(chǎn)業(yè)生態(tài)體系，共同抵抗供應(yīng)鏈安全風險。

6結(jié)束語

安全可靠的供應(yīng)鏈是國家產(chǎn)業(yè)安全、經(jīng)濟安全和社會長治久安的基石。本文通過對供應(yīng)鏈、電信供應(yīng)鏈和供應(yīng)鏈攻擊等概念的深入闡述，總結(jié)了國內(nèi)外電信供應(yīng)鏈安全管理的發(fā)展歷程。從電信供應(yīng)鏈全球化、企業(yè)供應(yīng)鏈制度碎片化和軟件供應(yīng)鏈攻擊隱蔽化3個角度分析了電信供應(yīng)鏈的現(xiàn)狀及安全風險，提出了供應(yīng)鏈安全管理體系框架。最后，對電信供應(yīng)鏈安全工作思路提出建議，指出應(yīng)多元化分散供應(yīng)鏈安全風險、建立科學(xué)完備的管理機制、統(tǒng)籌電信軟件系統(tǒng)全生命周期的安全管理、核心技術(shù)的研發(fā)投入和共享，對電信運營商未來開展供應(yīng)鏈安全工作有一定的參考和借鑒意義。

參考文獻

[1]汪麗.ICT供應(yīng)鏈安全標準化體系及實踐應(yīng)用[J].信息安全與通信保密,2020(4).

[2]胡影,孫彥,任澤君.GB/T36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風險管理指南》標準解讀[J].保密科學(xué)技術(shù),2019(5).

作者:喬喆 陳雋 王曉周 王曉晴 單位:中國移動通信集團公司信息安全管理與運行中心