附 錄 C （資料性附錄） ICT供應鏈安全脆弱性

在ICT供應鏈的設計、開發、采購、制造、物流、銷售、維護、返回等各環節，由于ICT供應鏈安全管理缺失或管理不嚴，均會導致ICT供應鏈存在安全脆弱性。

C.1 設計研發階段的安全隱患

ICT產品或服務在設計、開發階段可能存在安全隱患，例如：

a） 安全需求和設計。供應鏈中的產品和服務（含合作產品）在開發時未基于業務應用場景，開展安全需求、安全威脅分析，也未完全遵循相關法律規定、業界標準以及內部的相關設計規范進行安全架構與系統設計，導致安全特性定義不完善，安全能力不足的風險。

b） 安全開發和測試。供應鏈中的產品和解決方案不是基于嚴謹的開發流程開發，選用存在安全隱患的開發環境和組件，缺乏有效的安全評審點或驗收點，不能依據安全開發的最佳實踐和最新的安全技術開發，也沒有進行全面的安全代碼檢查和測試，導致產品和解決方案安全能力低下、無法滿足需方需求或者損害需方利益的風險。

c） 配置管理。供應鏈中的產品和服務（含合作產品）在開發過程中缺乏配置和編譯構建管理、開源和第三方軟件管理以及相關開發工具的管理，也不能實現數字簽名、數字證書、TPM等安全驗證技術，導致產品的防植入防篡改和可追溯的能力不足，不能保證產品在研發和生命周期中的完整性、一致性和可追溯性的風險。

d） 合作開發。供應鏈中的產品和服務存在在進行合作開發、外包開發時委托方未制定或者未明確安全需求規格并傳遞給合作方實現，對合作產品未或者缺乏選型和驗收測試，對外包開發未或者缺乏在階段驗收和結項驗收環節開展網絡安全驗收活動，不能保證合作產品和研發外包項目滿足網絡安全需求規格和交付要求的風險。

e） 第三方軟件管理。供應鏈中的產品和解決方案在開發設計時未對集成或者嵌入的第三方軟件、開源軟件、公共軟件進行安全測試、安全驗證和管理，無法識別這些產品存在安全威脅、薄弱點的風險。

C.2 供應階段的安全隱患

ICT產品或服務在生產、倉儲、運輸、銷售等供應階段可能存在安全隱患，例如：

a） 采購安全。采購階段的安全風險，例如由于缺乏元件供貨質量、來源安全驗證手段，無法識別完整性、真實性遭到破壞的部件、組件或器件；采購合同中未協商安全條件等。

b） 生產安全。生產階段的安全風險，例如：生產環境物理安全。由于采取薄弱的物理安全防護措施和準入控制措施，導致產品在預生產、生產過程中存在完整性和真實性受到破壞的風險。例如,制造車間缺乏一定的安全隔離，制造環境溫濕度要求標準較低，照明要求標準較低，監控類電子安全系統缺乏，門禁報警系統缺乏，安全信息載體未定期銷毀；生產測試網絡安全。由于生產測試網絡安全防護不完善，被滲透、攻破導致產品的功能和安全受到威脅。例如，制造網絡缺乏隔離，制造設備缺乏聯網控制，制造數據未安全傳輸，私人設備可接入制造網絡等。

c） 倉儲安全。由于采用了不可靠或不安全的倉儲商，導致在倉儲過程中，產品的完整性、一致性被破壞。例如，倉儲服務商缺乏相關安全資質，倉儲服務商的安全保障能力不足。倉庫消防標準太低，倉庫保險標準缺乏或太低，倉庫作業安全規范缺乏或較低，倉儲作業人員安全規范缺乏或較低。

d） 運輸安全。由于采用了不可靠或不安全的承運商，導致在運輸過程中，產品被植入、篡改、替換、偽造、破壞、滯留、丟失，造成無法及時交付需方的風險。例如，承運商資質標準太低，運輸工具硬件標準太低，運輸工具保險標準太低，運輸人員缺乏有效合同控制。

e） 銷售安全。由于采用了不可靠/不安全的經銷商，導致在銷售過程中，產品被經銷商私自預裝程序、私下改動硬件，或者出售贗品假貨、低配沖高配等。

C.3 服務運維階段的安全隱患

ICT產品或服務在維護、返回等服務運維階段可能存在安全隱患，例如：

a） 返回安全。針對逆向返回物料未采取有效措施保證其產品的質量、安全功能和完整性，由于其內部存在原需方數據、IPR軟件、部分功能失效或者因為返回時被植入、篡改、替換，而導致其無法達到或恢復到原出廠技術狀態，無法再利用的風險。

b） 漏洞管理。供應鏈中的產品和服務的開發者/提供者自身安全保障能力有限，未建立或者缺乏漏洞的管理流程，不能對產品和解決方案中開發和生命周期中發現的漏洞的進行收集、處理和披露，不能滿足需方對產品漏洞響應及時性和透明性要求的風險。

c） 售后人員安全。售后人員是否合理改動硬件，售后人員是否盜竊數據及預裝程序，售后人員針對應急事件的響應能力。

C.4 ICT供應鏈管理的安全隱患

由于ICT供應鏈安全管理缺乏或管理不嚴，可能存在安全隱患，例如：

a） 缺乏安全管理制度。沒有明確的供應鏈安全戰略或未完全建立相應的供應鏈安全制度和流程，缺乏供應鏈安全責任部門和人員，缺乏供應鏈安全管理目標、范圍、應急流程、事件定級和熔斷機制等規范，缺乏供應鏈供應商的評估機制，不能定期識別和管理安全風險，無法管控其供應鏈安全的風險。

b） 未遵循網絡安全標準。供應商不能遵循業界的最佳網絡安全實踐，包括加密算法，開發出的產品和解決方案安全能力低下，無法滿足需方需求的風險。

c） 人員安全意識和能力不足。供應商及其供應鏈上的人員缺乏安全意識、知識、能力，不能識別威脅，預防風險，或不能對安全問題進行快速和有效的檢測。

d） 供應鏈環節存在管理缺失。在從產品研發、原材料采購、產品生產、物流運輸直到按合同交付給需方過程中的一環或者多環缺失，導致無法追溯到產品和解決方案中使用的原材料、半成品、成品和軟件組件、第三方軟件、開源軟件等產品構成元素，無法對安全問題、質量問題等追根溯源，快速解決，也無法滿足對生產者和需方關注的過程進行管理和監控的風險。

e） 供應商選擇流程不完善。需方在選擇供應商時未明確對供應商的網絡安全要求，個別承擔方的資質與實際承擔能力不符，也未簽署相關協議，或者供應商認證選擇流程不夠完善，缺乏數據供應商的評估機制，導致選擇了不符合要求的供應商，不能滿足相關的法律和客戶要求。

f） 缺乏供應商評估。需方未對供應商的績效、安全狀況及風險進行定期或者不定期的評估，未對風險高的供應商進行稽查和推動改善，或者未對績效評估不符合要求的外包供應商采取有效措施，也未對改進措施進行驗證，導致供應商設計或生產的產品不能滿足需方網絡安全要求的風險。

g） 行為審計執行不嚴。公司沒有對內部人員、外包人員的行為進行嚴格審計，如數據消費行為合規性審計，數據采集和發布的設備和行為的審計。

h） 外包項目的立項決策機制不夠完善，缺乏嚴格的控制機制。在立項前期，項目提出部門對擬外包項目的必要性論證不夠充分，參與評審的人員未涉及到各個專業，對項目立項的必要性、可行性和經濟性論證不夠充分。并且缺乏嚴格的監管和控制機制。

i） 外包控制不足。外包常常會使組織失去對一些產品或服務的控制，從而增加組織正常運營的不確定性，例如：缺乏對承擔方的有效管理，有的承擔方擅自將承接的項目進行二次分包或轉包，由于沒有二次分包的相關管理規定，造成對外包項目管理的失控。

j） 供應商安全能力參差不齊。ICT供應鏈上各企業的安全能力存在參差不齊，一些企業的員工在設計研發方面缺乏安全意識和經驗，企業自身的產品安全標準和流程也比較缺乏。另外有些外包供應商缺乏自我改進的意愿，未及時針對發現的網絡安全問題制定改善措施并閉環，也可能導致其設計或生產的產品不能滿足需方網絡安全要求。

k） 上游風險不可控。雖然許多供應商會對供應商關系進行管理，對采購的上游部件或組件進行安全檢測，但是在現實中，由于供應鏈上游企業安全保障能力參差不齊，或者產品市場被部分企業壟斷，部分下游企業安全檢測能力有限，長期合作獨家供應商造成依賴等原因，導致下游供應商難以控制和追溯上游企業的供應鏈風險。

C.5 ICT供應鏈信息系統的安全隱患

ICT供應鏈信息系統可能存在安全隱患，例如：

a） 數據分類。ICT產品或服務中個人信息保護設計未遵從相關的法律法規和合同約定，定義的數據分類和保護策略/標準，無法滿足保護不同類的個人信息的風險。

b） 數據采集。ICT供應商在提供產品和服務時，采集個人信息未獲得用戶的顯示同意和授權，也未對采集數據的范圍進行評估，未按照最小滿足業務場景需求采集數據，也未按照相關法律法規要求對未成年人數據采取額外的保護，導致侵犯用戶和未成年人權益的風險。

c） 數據使用保障。ICT供應商在提供產品和服務時未對使用個人信息的目的的合理性進行評估，未對各角色訪問個人信息提供安全保障機制，在大數據分析、定向推送服務、第三方合作等業務時也未制定相應的規范并獲得用戶的許可，導致用戶數據擴散、濫用或者被騷擾的風險。

d） 信息不透明或信息阻塞。由于利益等原因，使數據供應鏈下游企業不能完全了解數據供應鏈各環節信息，導致無法提供最優化的數據產品和服務，或提供的數據產品和服務功能減退。

e） 數據留存期與銷毀。網絡產品和服務在用戶注銷后，企業通常會考慮業務實際情況和監管需要，根據相關法律法規要求將用戶數據留存一段時間，不會真正刪除用戶的信息。

f） 供應商訪問控制不嚴。供應鏈信息系統未對供應商訪問供應信息進行訪問控制，未對供應商安全進行分級管理等。

g） 系統安全漏洞。供應鏈管理信息系統存在可能被安全威脅利用的安全漏洞。

C.6 ICT供應鏈物理安全隱患

ICT供應鏈相關的廠房、倉庫、數據中心、機房等物理設施可能存在安全隱患，例如：

a） 訪問控制不嚴格。未對廠房、倉庫、數據中心等進行訪問控制管理，沒有劃分機房受控區域，沒有人員訪問登記或陪同等。

b） 廠址選擇不合理。廠房、倉庫、數據中心等未遠離水災、火災、有害氣體、易燃易爆物品等隱患區域，未遠離強振源、強噪聲源、強電磁場干擾等區域。