ICT:Information and Communication Technology 信息与通信技术
(一)风险管理目标
目标 | 说明 | |
1 | 完整性 | 确保在ICT供应链所有环节中,产品、系统、服务及其所包含组件、部件、元器件、数据等不被植入、篡改、替换和伪造 |
2 | 保密性 | 确保ICT供应链传递信息不被泄露给未授权者 |
3 | 可用性 | 确保需方对ICT供应链使用不会被不合理拒绝 |
4 | 可控性 | 需方对ICT产品、服务或供应链的控制能力 |
(二)供应链安全威胁
威胁 | 说明 | 威胁方式 | 案例 | |
1 | 恶意篡改 | 在供应链某环节,对ICT产品或上游组件恶意修改、植入、替换,危害产品和数据保密性、完整性和可用性 | 植入恶意程序、插入硬件木马、篡改外来组件、未经授权配置、供应信息篡改 | 美国NSA设计带有缺陷的随机数生成算法 |
2 | 假冒伪劣 | ICT产品或上游组件存在侵犯知识产权、质量低劣等问题 | 复制和销售未授权产品 未经供应商授权渠道提供给供应商并被包装成合法正规产品 | |
3 | 供应中断 | 由于人为或自然原因,造成ICT产品或服务供应量或质量下降,甚至供应链中断或终止 | 突发事件中断、基础设施中断、国际环境影响、不正当竞争行为、不被支持组件等 | 微软停止提供Windows XP支持,强制用户升级 |
4 | 信息泄露或违规操作 | 指ICT供应链上传递敏感信息被非法收集、处理或泄露 | 共享信息泄露、违规收集或使用用户数据、滥用大数据分析、商业秘密泄露 | Facebook与第三方分享5000万用户数据 |
5 | 其他威胁 | 典型安全威胁方式:合规差异性挑战、内部人员破坏、外包人员攻击或操作不当、全球化外包管理挑战 | ||