附 錄 B （資料性附錄） ICT供應鏈安全威脅

ICT供應鏈主要面臨惡意篡改、假冒偽劣、供應中斷、信息泄露或違規操作、其他威脅等五類安全威脅，破壞ICT供應鏈的完整性、可用性和保密性。

B.1 惡意篡改

在ICT供應鏈的設計、開發、采購、生產、倉儲、物流、銷售、維護、返回等某一環節，對ICT產品或上游組件進行惡意篡改、植入、替換等，以嵌入包含惡意邏輯的軟件或硬件，危害產品和數據的保密性、完整性和可用性。例如：

a） 惡意程序：是指在用戶不知情或未授權的情況下，在ICT軟件產品或上游組件中植入具有惡意邏輯的可執行文件、代碼模塊或代碼片段。

b） 硬件木馬：是指攻擊者惡意更改硬件電路，例如通過更改專用集成電路ASIC、商業現貨（COTS）部件、微處理器、網絡處理器或數字信號處理器來實現，植入微芯片或電路邏輯，破壞電子電路處理、存儲或傳輸信息的保密性、完整性、可用性。

c） 外來組件被篡改：供應鏈中的產品和服務所使用外來的部件、組件、元器件、數據在其生產、運輸、存儲等環節被篡改、植入、替換、偽造，導致部件、組件、元器件的一項或者全部特性與其設計和出廠規格不一致，導致數據與其原始信息不一致。

d） 未經授權的配置：將具有潛在威脅的變更引入控制背景、攻擊表面等。例如，產品出廠到最終用戶使用前存在經銷商改配的情況。

e） 供應信息篡改：是指在供應商不知情或未授權的情況下，篡改ICT供應鏈上傳遞的供應信息，如銷售信息、庫存信息、商品信息等。

B.2 假冒偽劣

ICT產品或上游組件存在侵犯知識產權、質量低劣等問題，例如未經授權，對已受知識產權保護的產品進行復制和銷售，或由未經供應商授權的渠道提供給供應商并被包裝成合法正規產品。

a） 不合格產品：是指不符合規范的、有缺陷的產品。例如，將在供應鏈的早期階段因不滿足規格或已達到使用壽命的被丟棄的軟硬件融入供應鏈中，將用過的原始部件生產商的產品經過翻新后得到的產品，將低配冒充高配銷售；

b） 未經授權的生產：未經授權而生產或銷售的產品，例如：盜版產品、未經授權的抄襲產品，不符合原始部件生產商的設計、模型和性能標準的產品，未授權的承包商生產的產品，經銷商安裝盜版軟件，授權供應商生產未經授權的部件或產品，未經授權的貼牌或代工等。

c） 假冒產品：提供錯誤的標志和證明文件的產品，如偽造或假冒產地、廠名、廠址、商標、商品標志等。

B.3 供應中斷

由于人為的或自然的原因，造成ICT產品或服務的供應量或質量下降，甚至ICT供應鏈中斷或終止。例如：

a） 突發事件中斷：由于人為的（如由勞動力或政治爭論造成的中斷）和自然的（如地震、火災、洪水或臺風）突發事件，造成關鍵產品/服務的供應鏈中斷，主要表現為數量、質量或成本與預訂管理目標的顯著偏離等。

b） 基礎設施中斷：由于ICT產品和服務對基礎設施（如能源電力、通信基礎設施、云計算平臺等）的依賴性，一旦基礎設施提供方出現問題，如在云平臺上的系統崩潰、數據泄漏或丟失等，則可能直接造成ICT產品和服務的中斷。

c） 國際環境影響：在全球一體化的背景下，ICT產品的開發、制造在不同區域的由不同的公司分工合作完成，并在全球銷售，但是由于國際環境和地域的復雜性，存在因國際政治、戰爭、貿易管制、限制銷售、知識產權等一種或者多種因素導致供應鏈中的產品和服務中必須的一個或者多個組件、部件、算法和技術等無法獲取而導致整個產品/系統、解決方案的全部/部分功能無法實現，不能/及時交付的風險。另外還要考慮地域風險。

d） 不正當競爭行為：ICT供應商利用用戶對產品和服務的依賴性，實施不正當競爭或損害用戶利益的行為，例如供應商通過技術手段，限制或阻礙用戶選擇其他供應商的產品、組件或技術等。

e） 不被支持的組件：當供應商停止生產和維護某些系統組件時，ICT產品和服務可能由于不被支持而被迫中斷運行。

B.4 信息泄露

信息泄露是指ICT供應鏈上傳遞的敏感信息被未授權泄露。例如：

a） 共享信息泄露。為了提高供應鏈協同管理效率和整體績效，供應鏈上下游的供應商之間通常會共享一些信息，例如銷售信息、采購信息、庫存信息、制造信息、技術信息、客戶數據等。這些共享信息可能會被供應鏈上的企業有意或無意泄露，特別是隨著數據在生態圈合作伙伴內的交換和流動日益增多，而由于各企業數據安全管理能力參差不齊，造成供應鏈或生態圈的共享信息泄露。

b） 商業秘密泄露。外包后公司的很多信息要讓服務商知曉，如采購計劃就涉及到組織的生產經營計劃、新項目運作等商業秘密，而這些核心信息一旦外泄，將會給組織帶來相當大的風險。另一方面，公司的很多工作也需要讓服務商來支持，如項目信息、未來規劃等，這些信息屬于保密的信息，服務供應商的參與使信息外泄的風險增大。

B.5 違規操作

違規操作是指ICT供方的違規操作行為。例如：

a） 違規收集或使用用戶數據。ICT產品和服務在使用過程中會記錄使用者的用戶數據，這些數據可能會因為不當的設計或者處置，導致其在收集、存儲、修改、使用、披露、轉移、公開、刪除等環節發生超出法律或數據主體授權的范圍，侵害個人隱私或用戶權益。

b） 濫用大數據分析。在ICT供應鏈中的重要供應商，可能匯聚了大量ICT產品和服務的供應信息，尤其當這些產品和服務應用于關鍵信息基礎設施時，一旦濫用大數據技術對掌握的大量敏感數據進行分析挖掘并任意共享或發布，可能對國家安全或公眾利益造成威脅。

c） 影響市場秩序。如通過技術手段限制用戶合理選擇其他供應方的產品、部件或技術，強制或誘導用戶安裝和升級用戶不知情的產品和組件等。

B.6 其他威脅

除上述安全威脅外，ICT供應鏈還存在許多其他威脅或挑戰，例如：

a） 需方風險控制能力下降。ICT供應鏈通常由分布在各地、多個層級的供應商組成，隨著異地供應商、供應商層級的增多，需方對供應鏈的透明度理解和安全風險控制能力都在下降。

b） 合規差異性挑戰。當前全球各區域的網絡安全法規標準可能存在差異，如國內外密碼標準、可信技術、個人隱私等要求不同，如果供應商的產品與解決方案不滿足生產、銷售、使用區域的法律法規、標準規范，可能導致提供的產品和解決方案無法在當地生產、銷售、使用。

c） 全球化外包管理挑戰。全球化的外包合作帶來的多元文化，如法律環境、生活、工作習慣、其他各種文化差異等，對外包項目管理形成了潛在的風險，如對項目的進度計劃、經費控制產生不利影響。