信息通信技術供應鏈安全

本書主要介紹與信息通信技術供應鏈相關的主題，全書共10章，可分為四大部分，首先介紹信息通信技術供應鏈相關概念及其面臨的安全威脅；然後闡述信息通信技術供應鏈的安全戰略與實踐、安全模型與標準規範；接著詳細討論了硬體供應鏈與軟體供應鏈的安全風險與應對，採辦與外包的安全理論及實踐；最後分析了我國當前面臨的信息通信技術供應鏈的安全風險，提出了保障我國信息通信技術供應鏈安全的對策和建議。

本書內容豐富，專業性強，講解深入透徹，所研究的領域較為前沿，可以作為高等院校信息安全、軟體工程、計算機、通信等專業的教學參考書，也可供我國信息技術供應鏈安全決策者、研究人員及其他相關人員參考。

第1章緒論/1

1.1供應鏈概念1

1.2ICT供應鏈定義2

1.3ICT供應鏈安全挑戰4

1.4本書內容和框架結構7

參考文獻8

第2章ICT供應鏈面臨的威脅/10

2.1概述10

2.2ICT供應鏈信息威脅11

2.2.1信息共享的威脅11

2.2.2信息泄露的威脅12

2.3ICT供應鏈系統威脅13

2.3.1惡意邏輯的嵌入14

2.3.2偽造組件的安裝15

2.3.3關鍵產品的中斷16

2.3.4過舊組件的替換17

2.3.5無意漏洞的滲透17

2.4ICT供應鏈網路威脅17

2.4.1網路威脅的產生17

2.4.2網路威脅的動因19

2.4.3網路威脅的非對稱性20

2.5應對威脅21

參考文獻22

第3章國外ICT供應鏈安全戰略/23

3.1概述23

3.2美國ICT供應鏈安全戰略24

3.2.1美國安全戰略的發展24

3.2.2美國的政策與立法保障28〖1〗信息通信技術供應鏈安全目錄[3]〖3〗3.2.3美國供應鏈安全實踐29

3.3歐盟ICT供應鏈安全戰略32

3.3.1歐盟ICT供應鏈安全發展32

3.3.2歐盟ICT供應鏈安全戰略分析33

3.4英國ICT供應鏈安全戰略36

3.4.1英國ICT戰略概述36

3.4.2英國ICT安全戰略分析37

3.5德國ICT供應鏈安全戰略39

3.5.1德國ICT安全概述39

3.5.2德國ICT安全戰略分析40

3.6法國ICT供應鏈安全戰略44

3.6.1法國ICT安全概述44

3.6.2法國ICT安全戰略分析45

3.7俄羅斯ICT供應鏈安全戰略48

3.7.1俄羅斯ICT戰略概述48

3.7.2俄美ICT安全戰略對比51

3.8澳大利亞ICT供應鏈安全戰略52

3.8.1澳大利亞ICT戰略概述52

3.8.2澳大利亞ICT戰略分析53

3.9各國ICT供應鏈安全戰略對比55

參考文獻57

第4章ICT供應鏈安全模型/60

4.1概述60

4.2供應鏈運作參考模型61

4.2.1模型的產生背景61

4.2.2模型的基本原理62

4.2.3模型的套用68

4.3ICT供應鏈確保參考模型70

4.3.1模型的產生背景70

4.3.2模型的基本原理70

4.3.3模型展望78

4.4供應鏈安全維度模型79

4.4.1模型的產生背景79

4.4.2實時德爾菲技術80

4.4.3對2030年的預測81

4.4.4模型的基本原理83

4.5NIST系統開發生命周期模型86

4.5.1系統開發生命周期87

4.5.2模型的基本原理88

4.5.3模型的套用93

4.6達沃斯供應鏈和運輸風險模型95

4.6.1模型的產生背景96

4.6.2模型的基本原理96

4.6.3模型展望100

4.7ICT供應鏈風險管理集群框架101

4.7.1集群框架的構建基礎101

4.7.2集群框架的構建102

4.7.3框架展望108

參考文獻109

第5章ICT供應鏈安全標準/110

5.1概述110

5.1.1對標準的理解110

5.1.2ICT供應鏈相關國際標準111

5.2ISO 28000112

5.2.1ISO 28000的產生背景112

5.2.2ISO 28000的內容113

5.2.3ISO 28000的套用117

5.2.4ISO 28000的意義118

5.3ISO/IEC 27036119

5.3.1ISO/IEC 27036的產生背景120

5.3.2ISO/IEC 27036的內容120

5.3.3ISO/IEC 27036的套用121

5.3.4ISO/IEC 27036的意義123

5.4ISO/IEC 15026124

5.4.1ISO/IEC 15026的產生背景124

5.4.2ISO/IEC 15026的內容124

5.4.3ISO/IEC 15026的套用126

5.4.4ISO/IEC 15026的意義127

5.5NISTIR 7622128

5.5.1NISTIR 7622 的產生背景128

5.5.2NISTIR 7622的內容129

5.5.3NISTIR 7622的套用130

5.5.4NISTIR 7622的意義132

參考文獻132

第6章ICT硬體供應鏈安全/134

6.1概述134

6.1.1硬體供應鏈的背景134

6.1.2硬體供應鏈的風險136

6.2硬體木馬136

6.2.1硬體木馬的定義137

6.2.2硬體木馬的風險138

6.2.3硬體木馬的檢測140

6.3惡意固件142

6.3.1惡意固件的定義142

6.3.2惡意固件的風險143

6.3.3惡意固件的檢測144

6.4硬體偽造146

6.4.1硬體偽造的定義147

6.4.2硬體偽造的滲入148

6.4.3硬體偽造的根源149

6.4.4硬體偽造的影響150

6.5反硬體偽造153

6.5.1反硬體偽造項目153

6.5.2反硬體偽造的法律建議155

6.5.3反硬體偽造的政策建議156

6.5.4反硬體偽造的技術建議157

6.5.5反硬體偽造的管理建議159

參考文獻161

第7章ICT軟體供應鏈安全/165

7.1概述165

7.1.1軟體供應鏈的定義165

7.1.2軟體供應鏈的重要性166

7.1.3軟體供應鏈的複雜性167

7.1.4軟體供應鏈的完整性168

7.2軟體供應鏈風險管理171

7.2.1軟體供應鏈的風險識別171

7.2.2軟體供應鏈的風險因素172

7.2.3軟體供應鏈的風險評估175

7.2.4軟體供應鏈的風險處理176

7.3軟體供應鏈確保178

7.3.1軟體供應鏈確保的定義178

7.3.2軟體供應鏈確保的計畫181

7.3.3軟體供應鏈確保的三要素182

7.4軟體供應鏈安全模型183

7.4.1S3R183

7.4.2Microsoft SDL185

7.4.3OWASP CLASP187

7.4.4Touchpoints189

7.4.5OWASP SAMM191

7.5軟體供應鏈的強化策略194

7.5.1降低開發風險194

7.5.2軟體安全測評194

7.5.3可行性舉措197

參考文獻199

第8章ICT採辦安全/202

8.1概述202

8.2ICT採辦基礎203

8.2.1ICT採辦機制203

8.2.2ICT採辦注意事項204

8.2.3ICT採辦新趨勢205

8.2.4與傳統採辦模式比較207

8.3ICT採辦安全209

8.3.1ICT採辦風險分類209

8.3.2ICT採辦信息安全三要素209

8.3.3ICT採辦管理特徵211

8.3.4ICT立法保證212

8.4美國國防部採辦安全212

8.4.1美國國防部ICT採辦管理213

8.4.2美國國防部的ICT採辦系統215

8.4.3美國國防部ICT採辦存在的問題218

參考文獻219

第9章ICT外包安全/220

9.1概述220

9.2ICT外包基礎221

9.2.1ICT外包簡介221

9.2.2ICT外包類型222

9.2.3ICT外包理論225

9.2.4ICT外包發展229

9.3ICT外包安全模型230

9.3.1美國審計署 ICT風險管理模型230

9.3.2KPMG2 ICT風險管理框架231

9.3.3ICT 外包決策三維模型231

9.4ICT外包風險233

9.4.1ICT風險因素識別233

9.4.2決策階段風險因素234

9.4.3執行階段的風險因素237

9.4.4ICT風險應對方法238

9.5ICT外包管理239

9.5.1ICT外包管理對企業ICT績效的影響239

9.5.2ICT外包管理面臨的挑戰239

9.5.3ICT風險管理系統241

9.5.4管理與外包商的關係242

參考文獻242

第10章構建我國ICT供應鏈安全/244

10.1概述244

10.2我國ICT供應鏈的發展及相應問題245

10.2.1我國ICT供應鏈發展現狀245

10.2.2我國ICT供應鏈發展趨勢246

10.2.3我國信息化發展戰略247

10.2.4我國ICT供應鏈發展所面臨的風險250

10.2.5制約我國ICT供應鏈管理的因素251

10.3我國ICT供應鏈安全問題的應對254

10.3.1中美ICT供應鏈安全問題對比254

10.3.2我國ICT供應鏈信息管理存在的問題255

10.3.3我國ICT供應鏈安全問題對策256

10.3.4從國際安全的角度來看ICT領域的發展259

10.3.5我國相應標準的發展及應對259

10.4從華為中興海外受阻談我國ICT供應鏈發展的應對263

10.4.1華為中興再遭美國國會調查263

10.4.2華為中興海外歷年失利事件264

10.4.3其他國家對華為中興的態度267

10.4.4華為中興海外擴張受阻的警示與對策271

10.5ICT供應鏈技術新興套用領域探索274

10.5.1工業控制系統供應鏈安全274

10.5.2智慧型電網供應鏈安全279

參考文獻282