鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理芻議

朱麗璇

（中國鐵路西安局集團(tuán)有限公司 科技和信息化部，西安 710054）

鐵路信息化歷經(jīng)數(shù)十年持續(xù)建設(shè)，鐵路信息系統(tǒng)已基本實(shí)現(xiàn)各專業(yè)關(guān)鍵業(yè)務(wù)場景全覆蓋，在運(yùn)輸組織、調(diào)度指揮、客貨營銷、辦公綜合等方面發(fā)揮著重要作用，大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新興信息技術(shù)在鐵路的推廣應(yīng)用正在成為鐵路智能化和高質(zhì)量發(fā)展的重要引擎。在鐵路企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)的過程中，由信息和通信技術(shù)供應(yīng)商、第三方供應(yīng)商、系統(tǒng)集成服務(wù)提供商及運(yùn)維服務(wù)提供商共同組成的鐵路信息系統(tǒng)供應(yīng)鏈，將服務(wù)器、網(wǎng)絡(luò)設(shè)備、PC 機(jī)、系統(tǒng)軟件、工具軟件、源代碼、組件、運(yùn)行環(huán)境、知識(shí)產(chǎn)權(quán)等轉(zhuǎn)化為滿足鐵路企業(yè)應(yīng)用需求的特定信息系統(tǒng)產(chǎn)品和服務(wù)，并通過線上或線下交付渠道，完成特定系統(tǒng)、軟件產(chǎn)品和服務(wù)的交付，共同承擔(dān)著鐵路信息系統(tǒng)提供及運(yùn)維服務(wù)任務(wù)。

近年來，隨著鐵路信息系統(tǒng)迭代升級(jí)逐步加快，系統(tǒng)開發(fā)中大量使用外部代碼，如委托開發(fā)的代碼、開源代碼、二進(jìn)制庫等，使得鐵路信息系統(tǒng)供應(yīng)鏈中由供應(yīng)方、中間人和第三方服務(wù)提供商形成多級(jí)網(wǎng)鏈狀供需結(jié)構(gòu)日趨復(fù)雜。攻擊者可以通過在鐵路信息系統(tǒng)供應(yīng)鏈的上游注入惡意程序，在交付及使用過程中違反開源協(xié)議等，蓄意制造鐵路信息系統(tǒng)中的安全漏洞，并伺機(jī)利用這些漏洞對(duì)鐵路信息系統(tǒng)發(fā)起攻擊。另一方面，全球供應(yīng)鏈分工使各國形成不同產(chǎn)業(yè)優(yōu)勢，我國信息通信技術(shù)（ICT，Information Communications Technology）供應(yīng)鏈安全實(shí)力不夠強(qiáng)，尚未形成完整供應(yīng)鏈。

為此，加強(qiáng)鐵路信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理對(duì)保障鐵路信息系統(tǒng)長期安全、可靠、穩(wěn)定具有重要意義。通過建立鐵路信息系統(tǒng)資產(chǎn)及供應(yīng)鏈圖譜，在全面掌握各級(jí)供應(yīng)商資質(zhì)、產(chǎn)品及服務(wù)整體狀況的基礎(chǔ)上，對(duì)這些供應(yīng)商提供的產(chǎn)品及服務(wù)進(jìn)行審查和風(fēng)險(xiǎn)評(píng)估，識(shí)別其中可能對(duì)鐵路業(yè)務(wù)造成威脅的任何潛在弱點(diǎn)，據(jù)此建立鐵路信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)清單。依據(jù)該風(fēng)險(xiǎn)清單，鐵路網(wǎng)絡(luò)安全主管部門可以主動(dòng)開展針對(duì)性網(wǎng)絡(luò)安全管理工作，建立自研版本構(gòu)成分析和管理的長效機(jī)制，主動(dòng)推進(jìn)關(guān)鍵產(chǎn)品與服務(wù)的國產(chǎn)化替代進(jìn)程，對(duì)供應(yīng)商進(jìn)行風(fēng)險(xiǎn)監(jiān)控，使?jié)撛谕{得到有效管控，減少由軟件安全漏洞帶來潛在風(fēng)險(xiǎn)，避免網(wǎng)絡(luò)安全攻擊、數(shù)據(jù)泄露等給鐵路企業(yè)造成損失。鐵路信息化主管部門基于鐵路信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)清單，加強(qiáng)對(duì)鐵路信息系統(tǒng)合規(guī)項(xiàng)目的治理、評(píng)估和跟蹤監(jiān)控，能夠在出現(xiàn)網(wǎng)絡(luò)安全事件時(shí)快速開展應(yīng)急處置，提高處理安全風(fēng)險(xiǎn)的效率，確保各級(jí)供應(yīng)商能夠合規(guī)創(chuàng)造價(jià)值，所交付的產(chǎn)品及服務(wù)符合鐵路企業(yè)網(wǎng)絡(luò)安全管理要求，使鐵路信息系統(tǒng)供應(yīng)鏈能夠長期為鐵路企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)提供有效支撐。

本文在分析鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理現(xiàn)狀的基礎(chǔ)上，對(duì)鐵路信息系統(tǒng)供應(yīng)鏈面臨的安全威脅來源進(jìn)行分類，分析其中存在的脆弱性，識(shí)別供應(yīng)鏈安全風(fēng)險(xiǎn)，并給出管理建議。

1 信息通信技術(shù)供應(yīng)鏈安全風(fēng)險(xiǎn)管理現(xiàn)狀

1.1 國內(nèi)外現(xiàn)狀

2008 年，美國明確要求實(shí)施全球供應(yīng)鏈風(fēng)險(xiǎn)管理，發(fā)布并實(shí)施供應(yīng)鏈風(fēng)險(xiǎn)管理計(jì)劃。2011 年，美國為進(jìn)一步加強(qiáng)高科技供應(yīng)鏈的安全性，強(qiáng)調(diào)信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈安全的重要性；2012 年發(fā)布了《供應(yīng)鏈安全戰(zhàn)略》；2015 年，歐洲發(fā)布《供應(yīng)鏈完整性：ICT 供應(yīng)鏈風(fēng)險(xiǎn)和挑戰(zhàn)概述和未來愿景》，在愿景中重點(diǎn)指出ICT 供應(yīng)鏈完整性是國家經(jīng)濟(jì)發(fā)展的關(guān)鍵因素[1]；2007 年，ISO/IEC 發(fā)布了 28000 供應(yīng)鏈安全管理體系系列標(biāo)準(zhǔn)，定義了供應(yīng)鏈安全管理體系框架，可為操作或依賴供應(yīng)鏈中某一環(huán)節(jié)提供參考，用以識(shí)別出各行業(yè)安全風(fēng)險(xiǎn)并指導(dǎo)實(shí)施控制和降低風(fēng)險(xiǎn)，以增強(qiáng)識(shí)別供應(yīng)鏈潛在的安全威脅和影響的能力。

自2009 年起，我國先后發(fā)布一系列ICT 供應(yīng)鏈安全管理相關(guān)國家標(biāo)準(zhǔn)，包括供應(yīng)鏈風(fēng)險(xiǎn)管理指南、ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南和代碼安全審計(jì)規(guī)范等，明確供應(yīng)鏈風(fēng)險(xiǎn)管理過程、風(fēng)險(xiǎn)評(píng)分評(píng)價(jià)方法、ICT供應(yīng)鏈全生命周期風(fēng)險(xiǎn)識(shí)別流程及內(nèi)容[2]，規(guī)定了安全功能缺陷、代碼實(shí)現(xiàn)安全缺陷、資源使用安全缺陷、環(huán)境安全缺陷等方面代碼安全審計(jì)要求；2016 年，我國發(fā)布《國家空間安全戰(zhàn)略》，其中明確提出建立網(wǎng)絡(luò)安全審查制度，加強(qiáng)供應(yīng)鏈安全管理，以提高產(chǎn)品和服務(wù)的安全可控[3]；2021 年，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式發(fā)布實(shí)施，該條例要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，為保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，應(yīng)及早發(fā)現(xiàn)并避免可能產(chǎn)生的風(fēng)險(xiǎn)和危害；2022 年，《網(wǎng)絡(luò)安全審查辦法》頒布，同樣要求對(duì)運(yùn)營者采購活動(dòng)和部分重要產(chǎn)品進(jìn)行審查，以確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。

1.2.鐵路信息系統(tǒng)供應(yīng)鏈特點(diǎn)

鐵路信息系統(tǒng)供應(yīng)鏈涵蓋環(huán)節(jié)更多，涉及范圍廣，具有以下3 個(gè)主要特點(diǎn)：

（1）產(chǎn)品與服務(wù)構(gòu)成復(fù)雜：鐵路信息系統(tǒng)多、網(wǎng)絡(luò)覆蓋地域廣、設(shè)備種類繁雜且分散、老舊設(shè)備參差不齊，部分網(wǎng)絡(luò)資源、設(shè)備設(shè)施、資產(chǎn)臺(tái)賬邊界不清、歸屬不明，未知資產(chǎn)仍然存在，加重了供應(yīng)鏈資產(chǎn)盤點(diǎn)難度。

（2）供應(yīng)商多樣性：鐵路信息系統(tǒng)供應(yīng)商包括設(shè)備、系統(tǒng)軟件和應(yīng)用系統(tǒng)的設(shè)計(jì)、開發(fā)、采購、制造、集成、交付等，還涉及運(yùn)維業(yè)務(wù)外包服務(wù)，每一個(gè)供應(yīng)商對(duì)供應(yīng)鏈的安全性和完整性都會(huì)產(chǎn)生影響。

（3）應(yīng)用軟件產(chǎn)品眾多、運(yùn)維服務(wù)量大：鐵路信息系統(tǒng)目前已基本實(shí)現(xiàn)各專業(yè)關(guān)鍵業(yè)務(wù)場景全覆蓋，鑒于我國鐵路運(yùn)輸管理業(yè)務(wù)的獨(dú)特性，研發(fā)和應(yīng)用了數(shù)量眾多的專用應(yīng)用系統(tǒng)軟件，這些應(yīng)用軟件需要持續(xù)滿足實(shí)際業(yè)務(wù)需求不斷地更新升級(jí)，管控源代碼安全成為保證鐵路信息系統(tǒng)供應(yīng)鏈安全的重點(diǎn)工作。

1.3 鐵路信息系統(tǒng)供應(yīng)鏈安全現(xiàn)狀

2022 年，鐵路發(fā)布《“十四五”鐵路網(wǎng)絡(luò)安全和信息化規(guī)劃》[4]，將供應(yīng)鏈安全納入鐵路網(wǎng)絡(luò)安全體系架構(gòu)，明確提出強(qiáng)化供應(yīng)鏈安全管理，確保系統(tǒng)產(chǎn)品和服務(wù)供應(yīng)鏈安全。同年發(fā)布的工作實(shí)施方案要求完善供應(yīng)鏈管理制度，組織梳理形成鐵路信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈圖譜，通過合同等方式提出對(duì)供應(yīng)鏈、人員、產(chǎn)品、服務(wù)等環(huán)節(jié)的安全要求，開展監(jiān)測，管控供應(yīng)鏈安全風(fēng)險(xiǎn)，逐步建立供應(yīng)鏈管控機(jī)制[5]。

近年來，中國國家鐵路集團(tuán)有限公司（簡稱：國鐵集團(tuán)）組織各單位針對(duì)鐵路重要信息系統(tǒng)開展供應(yīng)鏈安全風(fēng)險(xiǎn)排查工作，梳理供應(yīng)鏈企業(yè)形成供應(yīng)鏈企業(yè)清單，盤點(diǎn)供應(yīng)鏈產(chǎn)品形成產(chǎn)品清單，自查安全風(fēng)險(xiǎn)形成風(fēng)險(xiǎn)問題清單，最終形成重要信息系統(tǒng)產(chǎn)品與服務(wù)供應(yīng)鏈圖譜，其構(gòu)成如圖1 所示。

圖1 鐵路重要信息系統(tǒng)供應(yīng)鏈圖譜清單構(gòu)成示意

（1）供應(yīng)鏈企業(yè)清單是供應(yīng)鏈管理的基礎(chǔ)；清單涉及供應(yīng)鏈全生命周期各個(gè)階段的相關(guān)參與方，包括信息系統(tǒng)的開發(fā)方、承建方、設(shè)計(jì)方、運(yùn)維方、服務(wù)和產(chǎn)品的供應(yīng)商、安全測評(píng)方、合作方等各個(gè)參與方；供應(yīng)鏈企業(yè)清單的建立要從信息系統(tǒng)的建設(shè)、運(yùn)維、服務(wù)等階段多方面收集信息，并持續(xù)進(jìn)行及時(shí)更新。

（2）供應(yīng)鏈管理風(fēng)險(xiǎn)自查旨在幫助管理單位全面掌握信息系統(tǒng)供應(yīng)鏈中潛在的風(fēng)險(xiǎn)隱患，主要從供應(yīng)鏈管理的組織架構(gòu)、管理流程、人員管理、安全管理、供應(yīng)商管理、產(chǎn)品安全審查、源代碼審計(jì)、產(chǎn)品開發(fā)、漏洞排查處置等方面開展自查，以據(jù)此加強(qiáng)對(duì)供應(yīng)鏈各環(huán)節(jié)安全風(fēng)險(xiǎn)的控制。

（3）鐵路信息系統(tǒng)供應(yīng)鏈產(chǎn)品主要涉及安全防護(hù)軟件、虛擬化軟件、業(yè)務(wù)應(yīng)用軟件、服務(wù)器、中間件、數(shù)據(jù)庫、生產(chǎn)系統(tǒng)、日志審計(jì)系統(tǒng)、辦公系統(tǒng)等，通過盤點(diǎn)和梳理既有信息系統(tǒng)資產(chǎn)形成供應(yīng)鏈產(chǎn)品清單。

通過建立鐵路信息系統(tǒng)供應(yīng)鏈圖譜，將分散的供應(yīng)鏈信息進(jìn)行一體化整合，從各單位內(nèi)部與外部因素進(jìn)行排查，對(duì)供應(yīng)鏈企業(yè)及其對(duì)應(yīng)提供的產(chǎn)品及服務(wù)加強(qiáng)管控，對(duì)各單位自身組織、人員等方面存在的問題進(jìn)行整改，及早發(fā)現(xiàn)已存在的供應(yīng)鏈風(fēng)險(xiǎn)和危害，保證重要信息系統(tǒng)相關(guān)產(chǎn)品和服務(wù)的安全性和完整性。

2 鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)分析

2.1 威脅來源

鐵路信息系統(tǒng)供應(yīng)鏈具有分布廣泛、軟件產(chǎn)品服務(wù)復(fù)雜、供需方多樣化的特點(diǎn)，導(dǎo)致信息系統(tǒng)產(chǎn)品面臨多種安全威脅，攻擊者通過利用系統(tǒng)自身的脆弱性，破壞系統(tǒng)供應(yīng)鏈的保密性、完整性、可用性和可控性[6]。

鐵路信息系統(tǒng)供應(yīng)鏈主要面臨環(huán)境因素、供應(yīng)鏈攻擊、人為錯(cuò)誤3 個(gè)方面的安全威脅來源，如表1所示。

表1 鐵路信息系統(tǒng)軟件供應(yīng)鏈安全威脅來源

2.2 脆弱性分析

鐵路信息系統(tǒng)所依托的設(shè)備軟硬件環(huán)境及其開發(fā)過程中存在的自身脆弱性同樣存在于鐵路信息系統(tǒng)全生命周期中[7]。威脅主體利用系統(tǒng)自身存在的脆弱性，將導(dǎo)致安全風(fēng)險(xiǎn)，威脅、脆弱性與風(fēng)險(xiǎn)的關(guān)系如圖2 所示。

圖2 威脅、脆弱性與風(fēng)險(xiǎn)的關(guān)系

為有效減少或消除鐵路信息系統(tǒng)全生命周期中的安全威脅，必須對(duì)鐵路信息系統(tǒng)設(shè)計(jì)與研發(fā)、生產(chǎn)供應(yīng)和運(yùn)維服務(wù)這3 個(gè)階段潛在的脆弱性進(jìn)行系統(tǒng)分析[8]，各階段中潛在的脆弱性分析內(nèi)容如表2所示。

表2 鐵路信息系統(tǒng)生命周期各階段中潛在的脆弱性分析內(nèi)容

2.3 風(fēng)險(xiǎn)識(shí)別

2.3.1 產(chǎn)品斷供

在鐵路信息系統(tǒng)供應(yīng)鏈中，供應(yīng)商之間是相互聯(lián)系的，互為供方和需方。系統(tǒng)是由供方向需方提供的，產(chǎn)品斷供的發(fā)生通常存在于供應(yīng)鏈產(chǎn)品的上游生產(chǎn)供應(yīng)階段。當(dāng)供應(yīng)鏈中某一層級(jí)供應(yīng)商出現(xiàn)產(chǎn)品斷供事件，且該產(chǎn)品無其它產(chǎn)品可替代時(shí)，供應(yīng)鏈將隨即中斷，如圖3 所示。

圖3 信息系統(tǒng)產(chǎn)品斷供示意

鐵路信息系統(tǒng)的軟硬件產(chǎn)品、網(wǎng)絡(luò)產(chǎn)品、服務(wù)供應(yīng)鏈通常分布在各地、多個(gè)層級(jí)的供應(yīng)方組成，隨著異地供應(yīng)方、供應(yīng)方層級(jí)的增多，產(chǎn)品與服務(wù)供應(yīng)鏈的透明性和安全風(fēng)險(xiǎn)控制能力都在下降，供應(yīng)鏈面臨中斷或終止的安全威脅。鐵路信息系統(tǒng)在設(shè)計(jì)研發(fā)、生產(chǎn)供應(yīng)直至運(yùn)維服務(wù)階段所涉及的設(shè)計(jì)單位、研發(fā)承建單位、運(yùn)維單位等各類供應(yīng)商，他們所提供的產(chǎn)品和服務(wù)涵蓋系統(tǒng)設(shè)備、芯片、終端、應(yīng)用軟件、操作系統(tǒng)、數(shù)據(jù)庫等，其技術(shù)和產(chǎn)品的產(chǎn)業(yè)支撐能力需要持續(xù)創(chuàng)新和升級(jí)，協(xié)同產(chǎn)業(yè)鏈各環(huán)節(jié)同步要更新完善，提供更為安全可靠的技術(shù)產(chǎn)品，在較短時(shí)間內(nèi)難以通過采購、生產(chǎn)、備貨、國產(chǎn)化替代等措施解決，將增加供應(yīng)鏈安全風(fēng)險(xiǎn)。如遇到相關(guān)供應(yīng)商倒閉等不可控因素時(shí)，設(shè)計(jì)單位在生產(chǎn)供應(yīng)和運(yùn)維服務(wù)階段提供相關(guān)服務(wù)支撐或安全設(shè)計(jì)方案變更時(shí)，存在服務(wù)斷供風(fēng)險(xiǎn)，導(dǎo)致后續(xù)階段任務(wù)不能按時(shí)執(zhí)行交付，信息系統(tǒng)不能正常上線運(yùn)行將嚴(yán)重影響鐵路正常運(yùn)營。

2.3.2 惡意篡改

惡意篡改是指不法分子通過網(wǎng)絡(luò)安全技術(shù)手段故意改變系統(tǒng)的原有功能或植入安全漏洞的不法行為，這種篡改行為經(jīng)常發(fā)生在系統(tǒng)供應(yīng)和運(yùn)維服務(wù)階段。在信息系統(tǒng)供應(yīng)鏈的全生命周期中，篡改植入會(huì)采用多種方式，包括人為攻擊、植入木馬或程序、修改信息數(shù)據(jù)等，其目的是干擾系統(tǒng)產(chǎn)品的正常功能實(shí)現(xiàn)，對(duì)系統(tǒng)產(chǎn)品的功能造成損害或竊取相關(guān)數(shù)據(jù)[9]。

2.3.3 違規(guī)操作

違規(guī)操作威脅主要來自各級(jí)供應(yīng)商的內(nèi)部人員，在系統(tǒng)供應(yīng)鏈的全生命周期的各個(gè)階段都可能發(fā)生。違規(guī)操作可分為過失和故意2 種情況[10]；其中，過失是指由于技能不熟練、錯(cuò)誤操作或疏忽大意導(dǎo)致流程上的缺失；而故意操作則是指帶有主觀惡意的行為，包括違規(guī)違法地對(duì)信息系統(tǒng)進(jìn)行配置和程序變更、訪問和收集產(chǎn)品數(shù)據(jù)、降低測試驗(yàn)收標(biāo)準(zhǔn)、改動(dòng)運(yùn)維數(shù)據(jù)等操作。

2.3.4 信息泄露

信息泄露主要發(fā)生在系統(tǒng)產(chǎn)品的開發(fā)和生產(chǎn)供應(yīng)階段，信息主要涉及到業(yè)務(wù)數(shù)據(jù)、用戶信息、設(shè)計(jì)參數(shù)、日志信息、采購生產(chǎn)信息、運(yùn)維數(shù)據(jù)等重要信息，由于網(wǎng)絡(luò)安全管理范圍受限和能力不足，致使有意或無意的信息泄露，均會(huì)給鐵路企業(yè)帶來嚴(yán)重的安全風(fēng)險(xiǎn)隱患。

3 鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理對(duì)策

對(duì)鐵路信息系統(tǒng)供應(yīng)鏈中存在的問題和風(fēng)險(xiǎn)隱患若不加以有效管控，將會(huì)導(dǎo)致鐵路相關(guān)業(yè)務(wù)中斷、網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失，嚴(yán)重影響鐵路正常生產(chǎn)和經(jīng)營活動(dòng)，甚至給鐵路運(yùn)輸安全帶來重大威脅。為增強(qiáng)鐵路信息系統(tǒng)供應(yīng)鏈的韌性，應(yīng)制定全面并持續(xù)完善的風(fēng)險(xiǎn)管理機(jī)制。為了減少風(fēng)險(xiǎn)對(duì)供應(yīng)鏈構(gòu)成的威脅與損失，應(yīng)建立合理的供應(yīng)商管理機(jī)制、風(fēng)險(xiǎn)防范預(yù)警機(jī)制，對(duì)信息系統(tǒng)供應(yīng)鏈運(yùn)營中可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行分析和識(shí)別，并采取防范和應(yīng)急處置措施，最大限度的減少風(fēng)險(xiǎn)造成的損失，建立涵蓋信息系統(tǒng)設(shè)計(jì)、開發(fā)、交付、運(yùn)維的全流程供應(yīng)鏈安全管理體系，持續(xù)提升鐵路企業(yè)風(fēng)險(xiǎn)防范能力，為鐵路信息系統(tǒng)供應(yīng)鏈自主可控和穩(wěn)定安全打下堅(jiān)實(shí)基礎(chǔ)。

3.1 建立鐵路企業(yè)信息系統(tǒng)供應(yīng)鏈安全管理機(jī)制

（1）制定安全管理規(guī)范

鐵路企業(yè)依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)要求，明確制定鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理相關(guān)規(guī)范，落實(shí)鐵路信息系統(tǒng)供應(yīng)鏈安全管理要求[11]，實(shí)施規(guī)范化鐵路信息系統(tǒng)全生命周期供應(yīng)鏈安全風(fēng)險(xiǎn)管理，對(duì)系統(tǒng)開發(fā)、交付、使用、運(yùn)維各階段的風(fēng)險(xiǎn)進(jìn)行嚴(yán)格的合規(guī)性管控，系統(tǒng)供應(yīng)鏈管理全流程如圖4 所示。

圖4 鐵路信息系統(tǒng)供應(yīng)鏈管理全流程示意

信息系統(tǒng)供應(yīng)鏈安全管理涉及信息系統(tǒng)供應(yīng)鏈全生命周期各個(gè)階段相關(guān)參與方及其所提供的產(chǎn)品與服務(wù)諸構(gòu)成要素。信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理應(yīng)涵蓋系統(tǒng)協(xié)議過程、生產(chǎn)過程、交付過程、獲取過程、維護(hù)過程、使用過程和廢止過程全流程風(fēng)險(xiǎn)管理。

（2）明確安全管理責(zé)任

建立鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理組織架構(gòu)，明確各層級(jí)的管理責(zé)任和具體職責(zé)要求，做到權(quán)責(zé)分明，清晰落實(shí)責(zé)任。各信息系統(tǒng)主要負(fù)責(zé)人負(fù)責(zé)本系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理，系統(tǒng)安全責(zé)任人為主要執(zhí)行責(zé)任人，對(duì)管理工作負(fù)主要責(zé)任，涉及系統(tǒng)采購、開發(fā)和其它技術(shù)人員負(fù)直接責(zé)任[12]，具體如圖5 所示。

圖5 管理責(zé)任組織架構(gòu)示意

（3）健全風(fēng)險(xiǎn)管理機(jī)制

定期開展鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別[13]，收集和梳理供應(yīng)鏈管理機(jī)構(gòu)、流程環(huán)節(jié)、供應(yīng)商等多維度信息，系統(tǒng)分析風(fēng)險(xiǎn)源、風(fēng)險(xiǎn)原因、風(fēng)險(xiǎn)事件，識(shí)別可能對(duì)目標(biāo)產(chǎn)生重大影響的狀況，構(gòu)建鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)庫。結(jié)合項(xiàng)目管理全流程，構(gòu)建從規(guī)劃設(shè)計(jì)、采購供應(yīng)、交付運(yùn)維、外包服務(wù)等供應(yīng)鏈管理全生命周期的風(fēng)險(xiǎn)數(shù)據(jù)庫，定期更新。開展風(fēng)險(xiǎn)評(píng)估，建立風(fēng)險(xiǎn)處置應(yīng)急響應(yīng)機(jī)制。依據(jù)信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)發(fā)生概率和影響后果，定量評(píng)估供應(yīng)鏈安全風(fēng)險(xiǎn)；對(duì)風(fēng)險(xiǎn)進(jìn)行分類分級(jí)管理，按照不同風(fēng)險(xiǎn)級(jí)別采取針對(duì)性風(fēng)險(xiǎn)防范措施；制定風(fēng)險(xiǎn)處置應(yīng)急預(yù)案，強(qiáng)化應(yīng)急響應(yīng)機(jī)制，持續(xù)開展鐵路信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)監(jiān)管。

（4）強(qiáng)化培訓(xùn)和檢查

提高各級(jí)信息安全管理人員針對(duì)信息系統(tǒng)供應(yīng)鏈的安全管理意識(shí)，強(qiáng)化信息系統(tǒng)供應(yīng)鏈安全管理業(yè)務(wù)知識(shí)和技能的教育培訓(xùn)；對(duì)涉及到第三方供應(yīng)商的安全管理責(zé)任人、關(guān)鍵崗位人員和相關(guān)從業(yè)人員開展安全培訓(xùn)、日常培訓(xùn)及崗前培訓(xùn)；定期開展信息系統(tǒng)供應(yīng)鏈情況檢查，對(duì)發(fā)現(xiàn)問題及時(shí)整改，接受有關(guān)部門的監(jiān)督、檢查、指導(dǎo)。

3.2 持續(xù)完善供應(yīng)商管理

（1）完善供應(yīng)商管理要求

通過建立產(chǎn)品和服務(wù)供應(yīng)鏈圖譜，掌握供應(yīng)鏈產(chǎn)品或服務(wù)名稱、主要負(fù)責(zé)人及供應(yīng)商聯(lián)系人、核心技術(shù)或組件等情況，制定供應(yīng)商管理要求，具體如圖6 所示。

圖6 供應(yīng)商安全管理要求

明確供應(yīng)商管理要求，其中包括供應(yīng)商安全管理規(guī)范及標(biāo)準(zhǔn)建立、供應(yīng)商安全準(zhǔn)入機(jī)制管理、網(wǎng)絡(luò)安全監(jiān)督檢查、簽署安全保密協(xié)議、提供開源產(chǎn)品清單、遠(yuǎn)程接入訪問管理和具備軟件安全審計(jì)能力等；定期組織監(jiān)督檢查，對(duì)關(guān)鍵產(chǎn)品和服務(wù)商實(shí)行篩選，確保供應(yīng)商的選擇符合國家和國鐵集團(tuán)有關(guān)規(guī)定。

（2）制定供應(yīng)商安全保護(hù)策略

涉及鐵路核心業(yè)務(wù)、核心能力建設(shè)、核心系統(tǒng)及關(guān)鍵技術(shù)，以及風(fēng)險(xiǎn)管控存在明顯隱患的服務(wù)不宜外包；向供應(yīng)商提供鐵路內(nèi)部資料時(shí)，應(yīng)制定安全保護(hù)策略，嚴(yán)格管控鐵路內(nèi)部文檔的拷貝、傳輸、保存；在選擇供應(yīng)鏈產(chǎn)品、服務(wù)和供應(yīng)商時(shí)，應(yīng)使用多個(gè)供應(yīng)來源，考慮提高供應(yīng)鏈各構(gòu)成要素可用性，避免受到供應(yīng)鏈斷供影響；定期開展對(duì)供應(yīng)鏈來源審核和驗(yàn)證，開展安全風(fēng)險(xiǎn)自審或引入第三方審計(jì)。

（3）嚴(yán)格產(chǎn)品與服務(wù)采購審查

合格供應(yīng)鏈產(chǎn)品采購時(shí)，應(yīng)嚴(yán)格履行網(wǎng)絡(luò)安全審查申報(bào)工作制度，判定所采購的相關(guān)產(chǎn)品是否影響到國家安全；對(duì)于影響國家安全的產(chǎn)品采購，須按照網(wǎng)絡(luò)安全審查管理規(guī)定，提交國家有關(guān)部門進(jìn)行網(wǎng)絡(luò)安全審查，對(duì)提交的審查材料進(jìn)行嚴(yán)格把關(guān)；采購國家名錄中符合要求的產(chǎn)品，經(jīng)過審查通過后方可開展采購工作，保證鐵路企業(yè)所采購的產(chǎn)品與服務(wù)安全可信。

（4）強(qiáng)化供應(yīng)商相關(guān)人員管理

對(duì)供應(yīng)商相關(guān)人員（包括建設(shè)、開發(fā)、運(yùn)維等人員）采取必要的監(jiān)管措施；加強(qiáng)對(duì)供應(yīng)商相關(guān)人員進(jìn)行背景審查，杜絕用人風(fēng)險(xiǎn)；在供應(yīng)商相關(guān)人員開始服務(wù)前，應(yīng)與其簽訂保密承諾書，并在服務(wù)過程中或服務(wù)結(jié)束前對(duì)其進(jìn)行保密檢查；對(duì)開發(fā)人員、設(shè)計(jì)師、測試人員、產(chǎn)品集成人員、運(yùn)維服務(wù)人員等，結(jié)合其工作任務(wù)特點(diǎn)，開展安全意識(shí)、安全責(zé)任、安全策略與管理制度方面的培訓(xùn)和宣貫，防止相關(guān)人員因工作疏忽導(dǎo)致安全隱患。

3.3 強(qiáng)化軟件產(chǎn)品及服務(wù)安全管理

（1）建立軟件安全開發(fā)生命周期管理流程

為最大程度地減少軟件漏洞導(dǎo)致的安全隱患，建立軟件產(chǎn)品安全開發(fā)生命周期（SDL，Security Development Lifecycle）管理流程，在軟件需求分析、設(shè)計(jì)、編碼、測試和維護(hù)階段開展相應(yīng)的安全管理活動(dòng)，梳理形成軟件產(chǎn)品及服務(wù)清單、軟件產(chǎn)品及服務(wù)供應(yīng)商清單、風(fēng)險(xiǎn)清單；明確系統(tǒng)補(bǔ)丁、漏洞修復(fù)管理措施，實(shí)行鐵路信息系統(tǒng)升級(jí)的集中監(jiān)測；增強(qiáng)自主研發(fā)能力，逐步實(shí)現(xiàn)鐵路信息系統(tǒng)自主可控，避免斷供風(fēng)險(xiǎn)。

（2）實(shí)行關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的源代碼安全審計(jì)

依據(jù)國家源代碼安全審計(jì)相關(guān)標(biāo)準(zhǔn)及鐵路相關(guān)文件要求，加強(qiáng)對(duì)鐵路信息系統(tǒng)特別是委托第三方開發(fā)的系統(tǒng)軟件源代碼管理及審計(jì)工作，審計(jì)內(nèi)容要深入，從軟件安全功能缺陷、數(shù)據(jù)加密與保護(hù)、訪問控制、日志安全、源代碼實(shí)現(xiàn)安全、資源使用安全等方面，具體到弱口令、跨站、注入、函數(shù)調(diào)用、重定向、明文存儲(chǔ)傳輸、身份繞過、目錄遍歷、編譯環(huán)境安全、資源釋放、后門、木馬程序等具體的安全問題，均需通過自測或委托第三方開展深入的代碼審計(jì)，可采用人工加工具方式開展。

3.4 建立鐵路信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)預(yù)警系統(tǒng)

（1）研究開發(fā)供應(yīng)鏈安全風(fēng)險(xiǎn)預(yù)警系統(tǒng)

研究開發(fā)鐵路信息系統(tǒng)供應(yīng)鏈關(guān)鍵信息自動(dòng)采集、建模和安全風(fēng)險(xiǎn)分析等技術(shù)，建立鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)預(yù)警系統(tǒng)[14]；通過供應(yīng)鏈網(wǎng)絡(luò)建模與畫像，繪制產(chǎn)品和服務(wù)供應(yīng)鏈圖譜，監(jiān)測供應(yīng)鏈網(wǎng)絡(luò)涉及的行業(yè)市場現(xiàn)狀及供方相關(guān)風(fēng)險(xiǎn)事件，如產(chǎn)能波動(dòng)、價(jià)格上漲、供應(yīng)鏈涉訴涉罰、木馬漏洞、產(chǎn)品缺陷、供應(yīng)鏈斷供等，形成識(shí)別、防范、監(jiān)測、評(píng)估供應(yīng)鏈安全風(fēng)險(xiǎn)的綜合能力。

（2）建立常態(tài)化供應(yīng)鏈安全監(jiān)管機(jī)制

依托供鐵路信息系統(tǒng)應(yīng)鏈安全風(fēng)險(xiǎn)預(yù)警系統(tǒng)，建立常態(tài)化的鐵路信息系統(tǒng)供應(yīng)鏈安全監(jiān)管機(jī)制，利用該系統(tǒng)提供的信息，針對(duì)鐵路關(guān)鍵信息基礎(chǔ)設(shè)施和重要產(chǎn)品、服務(wù)等開展風(fēng)險(xiǎn)預(yù)警通報(bào)，形成覆蓋鐵路信息系統(tǒng)供應(yīng)鏈全環(huán)節(jié)、多層次的整體安全防護(hù)體系。

4 結(jié)束語

從新形勢下鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理需求出發(fā)，結(jié)合鐵路信息系統(tǒng)供應(yīng)鏈特點(diǎn)及供應(yīng)鏈管理現(xiàn)狀，對(duì)供應(yīng)鏈管理過程面臨的威脅和風(fēng)險(xiǎn)展開分析，從鐵路企業(yè)供應(yīng)鏈安全管理機(jī)制、供應(yīng)商管理、軟件產(chǎn)品及服務(wù)安全管理、風(fēng)險(xiǎn)監(jiān)測預(yù)警4個(gè)方面，提出應(yīng)對(duì)鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)的管理對(duì)策，構(gòu)建系統(tǒng)化、常態(tài)化的鐵路信息系統(tǒng)供應(yīng)鏈安全管理機(jī)制，全面提升鐵路系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管控和防御能力，保障鐵路企業(yè)信息系統(tǒng)長期安全穩(wěn)定運(yùn)行，推動(dòng)鐵路信息化高質(zhì)量發(fā)展。

近年來，鐵路信息系統(tǒng)供應(yīng)鏈安全事件時(shí)有發(fā)生，供應(yīng)鏈安全管理的重要性日益凸顯。國鐵集團(tuán)已啟動(dòng)鐵路信息系統(tǒng)供應(yīng)鏈安全管理工作，但重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施尚缺少有效的供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估手段，下一步將嘗試開展鐵路信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作，為今后全面實(shí)施供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估積累經(jīng)驗(yàn)。