第1章 绪论 1
1.1 供应链概念 1
1.2 ICT供应链定义 2
1.3 ICT供应链安全挑战 4
1.4 本书内容和框架结构 7
参考文献 8
第2章 ICT供应链面临的威胁 10
2.1 概述 10
2.2 ICT供应链信息威胁 11
2.2.1 信息共享的威胁 11
2.2.2 信息泄露的威胁 12
2.3 ICT供应链系统威胁 13
2.3.1 恶意逻辑的嵌入 14
2.3.2 伪造组件的安装 15
2.3.3 关键产品的中断 16
2.3.4 过旧组件的替换 17
2.3.5 无意漏洞的渗透 17
2.4 ICT供应链网络威胁 17
2.4.1 网络威胁的产生 17
2.4.2 网络威胁的动因 19
2.4.3 网络威胁的非对称性 20
2.5 应对威胁 21
参考文献 22
第3章 国外ICT供应链安全战略 23
3.1 概述 23
3.2 美国ICT供应链安全战略 24
3.2.1 美国安全战略的发展 24
3.2.2 美国的政策与立法保障 28
3.2.3 美国供应链安全实践 29
3.3 欧盟ICT供应链安全战略 32
3.3.1 欧盟ICT供应链安全发展 32
3.3.2 欧盟ICT供应链安全战略分析 33
3.4 英国ICT供应链安全战略 36
3.4.1 英国ICT战略概述 36
3.4.2 英国ICT安全战略分析 37
3.5 德国ICT供应链安全战略 39
3.5.1 德国ICT安全概述 39
3.5.2 德国ICT安全战略分析 40
3.6 法国ICT供应链安全战略 44
3.6.1 法国ICT安全概述 44
3.6.2 法国ICT安全战略分析 45
3.7 俄罗斯ICT供应链安全战略 48
3.7.1 俄罗斯ICT战略概述 48
3.7.2 俄美ICT安全战略对比 51
3.8 澳大利亚ICT供应链安全战略 52
3.8.1 澳大利亚ICT战略概述 52
3.8.2 澳大利亚ICT战略分析 53
3.9 各国ICT供应链安全战略对比 55
参考文献 57
第4章 ICT供应链安全模型 60
4.1 概述 60
4.2 供应链运作参考模型 61
4.2.1 模型的产生背景 61
4.2.2 模型的基本原理 62
4.2.3 模型的应用 68
4.3 ICT供应链确保参考模型 70
4.3.1 模型的产生背景 70
4.3.2 模型的基本原理 70
4.3.3 模型展望 78
4.4 供应链安全维度模型 79
4.4.1 模型的产生背景 79
4.4.2 实时德尔菲技术 80
4.4.3 对2030年的预测 81
4.4.4 模型的基本原理 83
4.5 NIST系统开发生命周期模型 86
4.5.1 系统开发生命周期 87
4.5.2 模型的基本原理 88
4.5.3 模型的应用 93
4.6 达沃斯-供应链和运输风险模型 95
4.6.1 模型的产生背景 96
4.6.2 模型的基本原理 96
4.6.3 模型展望 100
4.7 ICT供应链风险管理集群框架 101
4.7.1 集群框架的构建基础 101
4.7.2 集群框架的构建 102
4.7.3 框架展望 108
参考文献 109
第5章 ICT供应链安全标准 110
5.1 概述 110
5.1.1 对标准的理解 110
5.1.2 ICT供应链相关国际标准 111
5.2 ISO 28000 112
5.2.1 ISO 28000的产生背景 112
5.2.2 ISO 28000的内容 113
5.2.3 ISO 28000的应用 117
5.2.4 ISO 28000的意义 118
5.3 ISO/IEC 27036 119
5.3.1 ISO/IEC 27036的产生背景 120
5.3.2 ISO/IEC 27036的内容 120
5.3.3 ISO/IEC 27036的应用 121
5.3.4 ISO/IEC 27036的意义 123
5.4 ISO/IEC 15026 124
5.4.1 ISO/IEC 15026的产生背景 124
5.4.2 ISO/IEC 15026的内容 124
5.4.3 ISO/IEC 15026的应用 126
5.4.4 ISO/IEC 15026的意义 127
5.5 NISTIR 7622 128
5.5.1 NISTIR 7622的产生背景 128
5.5.2 NISTIR 7622的内容 129
5.5.3 NISTIR 7622的应用 130
5.5.4 NISTIR 7622的意义 132
参考文献 132
第6章 ICT硬件供应链安全 134
6.1 概述 134
6.1.1 硬件供应链的背景 134
6.1.2 硬件供应链的风险 136
6.2 硬件木马 136
6.2.1 硬件木马的定义 137
6.2.2 硬件木马的风险 138
6.2.3 硬件木马的检测 140
6.3 恶意固件 142
6.3.1 恶意固件的定义 142
6.3.2 恶意固件的风险 143
6.3.3 恶意固件的检测 144
6.4 硬件伪造 146
6.4.1 硬件伪造的定义 147
6.4.2 硬件伪造的渗入 148
6.4.3 硬件伪造的根源 149
6.4.4 硬件伪造的影响 150
6.5 反硬件伪造 153
6.5.1 反硬件伪造项目 153
6.5.2 反硬件伪造的法律建议 155
6.5.3 反硬件伪造的政策建议 156
6.5.4 反硬件伪造的技术建议 157
6.5.5 反硬件伪造的管理建议 159
参考文献 161
第7章 ICT软件供应链安全 165
7.1 概述 165
7.1.1 软件供应链的定义 165
7.1.2 软件供应链的重要性 166
7.1.3 软件供应链的复杂性 167
7.1.4 软件供应链的完整性 168
7.2 软件供应链风险管理 171
7.2.1 软件供应链的风险识别 171
7.2.2 软件供应链的风险因素 172
7.2.3 软件供应链的风险评估 175
7.2.4 软件供应链的风险处理 176
7.3 软件供应链确保 178
7.3.1 软件供应链确保的定义 178
7.3.2 软件供应链确保的计划 181
7.3.3 软件供应链确保的三要素 182
7.4 软件供应链安全模型 183
7.4.1 S3 R 183
7.4.2 Microsoft SDL 185
7.4.3 OWASP CLASP 187
7.4.4 Touchpoints 189
7.4.5 OWASP SAMM 191
7.5 软件供应链的强化策略 194
7.5.1 降低开发风险 194
7.5.2 软件安全测评 194
7.5.3 可行性举措 197
参考文献 199
第8章 ICT采办安全 202
8.1 概述 202
8.2 ICT采办基础 203
8.2.1 ICT采办机制 203
8.2.2 ICT采办注意事项 204
8.2.3 ICT采办新趋势 205
8.2.4 与传统采办模式比较 207
8.3 ICT采办安全 209
8.3.1 ICT采办风险分类 209
8.3.2 ICT采办信息安全三要素 209
8.3.3 ICT采办管理特征 211
8.3.4 ICT立法保证 212
8.4 美国国防部采办安全 212
8.4.1 美国国防部ICT采办管理 213
8.4.2 美国国防部的ICT采办系统 215
8.4.3 美国国防部ICT采办存在的问题 218
参考文献 219
第9章 ICT外包安全 220
9.1 概述 220
9.2 ICT外包基础 221
9.2.1 ICT外包简介 221
9.2.2 ICT外包类型 222
9.2.3 ICT外包理论 225
9.2.4 ICT外包发展 229
9.3 ICT外包安全模型 230
9.3.1 美国审计署ICT风险管理模型 230
9.3.2 KPMG2ICT风险管理框架 231
9.3.3 ICT外包决策三维模型 231
9.4 ICT外包风险 233
9.4.1 ICT风险因素识别 233
9.4.2 决策阶段风险因素 234
9.4.3 执行阶段的风险因素 237
9.4.4 ICT风险应对方法 238
9.5 ICT外包管理 239
9.5.1 ICT外包管理对企业ICT绩效的影响 239
9.5.2 ICT外包管理面临的挑战 239
9.5.3 ICT风险管理系统 241
9.5.4 管理与外包商的关系 242
参考文献 242
第10章 构建我国ICT供应链安全 244
10.1 概述 244
10.2 我国ICT供应链的发展及相应问题 245
10.2.1 我国ICT供应链发展现状 245
10.2.2 我国ICT供应链发展趋势 246
10.2.3 我国信息化发展战略 247
10.2.4 我国ICT供应链发展所面临的风险 250
10.2.5 制约我国ICT供应链管理的因素 251
10.3 我国ICT供应链安全问题的应对 254
10.3.1 中美ICT供应链安全问题对比 254
10.3.2 我国ICT供应链信息管理存在的问题 255
10.3.3 我国ICT供应链安全问题对策 256
10.3.4 从国际安全的角度来看ICT领域的发展 259
10.3.5 我国相应标准的发展及应对 259
10.4 从华为中兴海外受阻谈我国ICT供应链发展的应对 263
10.4.1 华为中兴再遭美国国会调查 263
10.4.2 华为中兴海外历年失利事件 264
10.4.3 其他国家对华为中兴的态度 267
10.4.4 华为中兴海外扩张受阻的警示与对策 271
10.5 ICT供应链技术新兴应用领域探索 274
10.5.1 工业控制系统供应链安全 274
10.5.2 智能电网供应链安全 279
参考文献 282