铁路信息系统供应链安全风险管理刍议

朱丽璇

（中国铁路西安局集团有限公司 科技和信息化部，西安 710054）

铁路信息化历经数十年持续建设，铁路信息系统已基本实现各专业关键业务场景全覆盖，在运输组织、调度指挥、客货营销、办公综合等方面发挥着重要作用，大数据、人工智能、物联网等新兴信息技术在铁路的推广应用正在成为铁路智能化和高质量发展的重要引擎。在铁路企业数字化转型升级的过程中，由信息和通信技术供应商、第三方供应商、系统集成服务提供商及运维服务提供商共同组成的铁路信息系统供应链，将服务器、网络设备、PC 机、系统软件、工具软件、源代码、组件、运行环境、知识产权等转化为满足铁路企业应用需求的特定信息系统产品和服务，并通过线上或线下交付渠道，完成特定系统、软件产品和服务的交付，共同承担着铁路信息系统提供及运维服务任务。

近年来，随着铁路信息系统迭代升级逐步加快，系统开发中大量使用外部代码，如委托开发的代码、开源代码、二进制库等，使得铁路信息系统供应链中由供应方、中间人和第三方服务提供商形成多级网链状供需结构日趋复杂。攻击者可以通过在铁路信息系统供应链的上游注入恶意程序，在交付及使用过程中违反开源协议等，蓄意制造铁路信息系统中的安全漏洞，并伺机利用这些漏洞对铁路信息系统发起攻击。另一方面，全球供应链分工使各国形成不同产业优势，我国信息通信技术（ICT，Information Communications Technology）供应链安全实力不够强，尚未形成完整供应链。

为此，加强铁路信息系统供应链风险管理对保障铁路信息系统长期安全、可靠、稳定具有重要意义。通过建立铁路信息系统资产及供应链图谱，在全面掌握各级供应商资质、产品及服务整体状况的基础上，对这些供应商提供的产品及服务进行审查和风险评估，识别其中可能对铁路业务造成威胁的任何潜在弱点，据此建立铁路信息系统供应链风险清单。依据该风险清单，铁路网络安全主管部门可以主动开展针对性网络安全管理工作，建立自研版本构成分析和管理的长效机制，主动推进关键产品与服务的国产化替代进程，对供应商进行风险监控，使潜在威胁得到有效管控，减少由软件安全漏洞带来潜在风险，避免网络安全攻击、数据泄露等给铁路企业造成损失。铁路信息化主管部门基于铁路信息系统供应链风险清单，加强对铁路信息系统合规项目的治理、评估和跟踪监控，能够在出现网络安全事件时快速开展应急处置，提高处理安全风险的效率，确保各级供应商能够合规创造价值，所交付的产品及服务符合铁路企业网络安全管理要求，使铁路信息系统供应链能够长期为铁路企业数字化转型升级提供有效支撑。

本文在分析铁路信息系统供应链安全风险管理现状的基础上，对铁路信息系统供应链面临的安全威胁来源进行分类，分析其中存在的脆弱性，识别供应链安全风险，并给出管理建议。

1 信息通信技术供应链安全风险管理现状

1.1 国内外现状

2008 年，美国明确要求实施全球供应链风险管理，发布并实施供应链风险管理计划。2011 年，美国为进一步加强高科技供应链的安全性，强调信息技术产品和服务供应链安全的重要性；2012 年发布了《供应链安全战略》；2015 年，欧洲发布《供应链完整性：ICT 供应链风险和挑战概述和未来愿景》，在愿景中重点指出ICT 供应链完整性是国家经济发展的关键因素[1]；2007 年，ISO/IEC 发布了 28000 供应链安全管理体系系列标准，定义了供应链安全管理体系框架，可为操作或依赖供应链中某一环节提供参考，用以识别出各行业安全风险并指导实施控制和降低风险，以增强识别供应链潜在的安全威胁和影响的能力。

自2009 年起，我国先后发布一系列ICT 供应链安全管理相关国家标准，包括供应链风险管理指南、ICT 供应链安全风险管理指南和代码安全审计规范等，明确供应链风险管理过程、风险评分评价方法、ICT供应链全生命周期风险识别流程及内容[2]，规定了安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等方面代码安全审计要求；2016 年，我国发布《国家空间安全战略》，其中明确提出建立网络安全审查制度，加强供应链安全管理，以提高产品和服务的安全可控[3]；2021 年，《关键信息基础设施安全保护条例》正式发布实施，该条例要求关键信息基础设施运营者在采购网络产品和服务时，为保障关键信息基础设施供应链安全，应及早发现并避免可能产生的风险和危害；2022 年，《网络安全审查办法》颁布，同样要求对运营者采购活动和部分重要产品进行审查，以确保关键信息基础设施供应链安全。

1.2.铁路信息系统供应链特点

铁路信息系统供应链涵盖环节更多，涉及范围广，具有以下3 个主要特点：

（1）产品与服务构成复杂：铁路信息系统多、网络覆盖地域广、设备种类繁杂且分散、老旧设备参差不齐，部分网络资源、设备设施、资产台账边界不清、归属不明，未知资产仍然存在，加重了供应链资产盘点难度。

（2）供应商多样性：铁路信息系统供应商包括设备、系统软件和应用系统的设计、开发、采购、制造、集成、交付等，还涉及运维业务外包服务，每一个供应商对供应链的安全性和完整性都会产生影响。

（3）应用软件产品众多、运维服务量大：铁路信息系统目前已基本实现各专业关键业务场景全覆盖，鉴于我国铁路运输管理业务的独特性，研发和应用了数量众多的专用应用系统软件，这些应用软件需要持续满足实际业务需求不断地更新升级，管控源代码安全成为保证铁路信息系统供应链安全的重点工作。

1.3 铁路信息系统供应链安全现状

2022 年，铁路发布《“十四五”铁路网络安全和信息化规划》[4]，将供应链安全纳入铁路网络安全体系架构，明确提出强化供应链安全管理，确保系统产品和服务供应链安全。同年发布的工作实施方案要求完善供应链管理制度，组织梳理形成铁路信息技术产品和服务供应链图谱，通过合同等方式提出对供应链、人员、产品、服务等环节的安全要求，开展监测，管控供应链安全风险，逐步建立供应链管控机制[5]。

近年来，中国国家铁路集团有限公司（简称：国铁集团）组织各单位针对铁路重要信息系统开展供应链安全风险排查工作，梳理供应链企业形成供应链企业清单，盘点供应链产品形成产品清单，自查安全风险形成风险问题清单，最终形成重要信息系统产品与服务供应链图谱，其构成如图1 所示。

图1 铁路重要信息系统供应链图谱清单构成示意

（1）供应链企业清单是供应链管理的基础；清单涉及供应链全生命周期各个阶段的相关参与方，包括信息系统的开发方、承建方、设计方、运维方、服务和产品的供应商、安全测评方、合作方等各个参与方；供应链企业清单的建立要从信息系统的建设、运维、服务等阶段多方面收集信息，并持续进行及时更新。

（2）供应链管理风险自查旨在帮助管理单位全面掌握信息系统供应链中潜在的风险隐患，主要从供应链管理的组织架构、管理流程、人员管理、安全管理、供应商管理、产品安全审查、源代码审计、产品开发、漏洞排查处置等方面开展自查，以据此加强对供应链各环节安全风险的控制。

（3）铁路信息系统供应链产品主要涉及安全防护软件、虚拟化软件、业务应用软件、服务器、中间件、数据库、生产系统、日志审计系统、办公系统等，通过盘点和梳理既有信息系统资产形成供应链产品清单。

通过建立铁路信息系统供应链图谱，将分散的供应链信息进行一体化整合，从各单位内部与外部因素进行排查，对供应链企业及其对应提供的产品及服务加强管控，对各单位自身组织、人员等方面存在的问题进行整改，及早发现已存在的供应链风险和危害，保证重要信息系统相关产品和服务的安全性和完整性。

2 铁路信息系统供应链安全风险分析

2.1 威胁来源

铁路信息系统供应链具有分布广泛、软件产品服务复杂、供需方多样化的特点，导致信息系统产品面临多种安全威胁，攻击者通过利用系统自身的脆弱性，破坏系统供应链的保密性、完整性、可用性和可控性[6]。

铁路信息系统供应链主要面临环境因素、供应链攻击、人为错误3 个方面的安全威胁来源，如表1所示。

表1 铁路信息系统软件供应链安全威胁来源

2.2 脆弱性分析

铁路信息系统所依托的设备软硬件环境及其开发过程中存在的自身脆弱性同样存在于铁路信息系统全生命周期中[7]。威胁主体利用系统自身存在的脆弱性，将导致安全风险，威胁、脆弱性与风险的关系如图2 所示。

图2 威胁、脆弱性与风险的关系

为有效减少或消除铁路信息系统全生命周期中的安全威胁，必须对铁路信息系统设计与研发、生产供应和运维服务这3 个阶段潜在的脆弱性进行系统分析[8]，各阶段中潜在的脆弱性分析内容如表2所示。

表2 铁路信息系统生命周期各阶段中潜在的脆弱性分析内容

2.3 风险识别

2.3.1 产品断供

在铁路信息系统供应链中，供应商之间是相互联系的，互为供方和需方。系统是由供方向需方提供的，产品断供的发生通常存在于供应链产品的上游生产供应阶段。当供应链中某一层级供应商出现产品断供事件，且该产品无其它产品可替代时，供应链将随即中断，如图3 所示。

图3 信息系统产品断供示意

铁路信息系统的软硬件产品、网络产品、服务供应链通常分布在各地、多个层级的供应方组成，随着异地供应方、供应方层级的增多，产品与服务供应链的透明性和安全风险控制能力都在下降，供应链面临中断或终止的安全威胁。铁路信息系统在设计研发、生产供应直至运维服务阶段所涉及的设计单位、研发承建单位、运维单位等各类供应商，他们所提供的产品和服务涵盖系统设备、芯片、终端、应用软件、操作系统、数据库等，其技术和产品的产业支撑能力需要持续创新和升级，协同产业链各环节同步要更新完善，提供更为安全可靠的技术产品，在较短时间内难以通过采购、生产、备货、国产化替代等措施解决，将增加供应链安全风险。如遇到相关供应商倒闭等不可控因素时，设计单位在生产供应和运维服务阶段提供相关服务支撑或安全设计方案变更时，存在服务断供风险，导致后续阶段任务不能按时执行交付，信息系统不能正常上线运行将严重影响铁路正常运营。

2.3.2 恶意篡改

恶意篡改是指不法分子通过网络安全技术手段故意改变系统的原有功能或植入安全漏洞的不法行为，这种篡改行为经常发生在系统供应和运维服务阶段。在信息系统供应链的全生命周期中，篡改植入会采用多种方式，包括人为攻击、植入木马或程序、修改信息数据等，其目的是干扰系统产品的正常功能实现，对系统产品的功能造成损害或窃取相关数据[9]。

2.3.3 违规操作

违规操作威胁主要来自各级供应商的内部人员，在系统供应链的全生命周期的各个阶段都可能发生。违规操作可分为过失和故意2 种情况[10]；其中，过失是指由于技能不熟练、错误操作或疏忽大意导致流程上的缺失；而故意操作则是指带有主观恶意的行为，包括违规违法地对信息系统进行配置和程序变更、访问和收集产品数据、降低测试验收标准、改动运维数据等操作。

2.3.4 信息泄露

信息泄露主要发生在系统产品的开发和生产供应阶段，信息主要涉及到业务数据、用户信息、设计参数、日志信息、采购生产信息、运维数据等重要信息，由于网络安全管理范围受限和能力不足，致使有意或无意的信息泄露，均会给铁路企业带来严重的安全风险隐患。

3 铁路信息系统供应链安全风险管理对策

对铁路信息系统供应链中存在的问题和风险隐患若不加以有效管控，将会导致铁路相关业务中断、网络瘫痪、数据丢失，严重影响铁路正常生产和经营活动，甚至给铁路运输安全带来重大威胁。为增强铁路信息系统供应链的韧性，应制定全面并持续完善的风险管理机制。为了减少风险对供应链构成的威胁与损失，应建立合理的供应商管理机制、风险防范预警机制，对信息系统供应链运营中可能出现的风险进行分析和识别，并采取防范和应急处置措施，最大限度的减少风险造成的损失，建立涵盖信息系统设计、开发、交付、运维的全流程供应链安全管理体系，持续提升铁路企业风险防范能力，为铁路信息系统供应链自主可控和稳定安全打下坚实基础。

3.1 建立铁路企业信息系统供应链安全管理机制

（1）制定安全管理规范

铁路企业依据《关键信息基础设施安全保护条例》等法律法规要求，明确制定铁路信息系统供应链安全风险管理相关规范，落实铁路信息系统供应链安全管理要求[11]，实施规范化铁路信息系统全生命周期供应链安全风险管理，对系统开发、交付、使用、运维各阶段的风险进行严格的合规性管控，系统供应链管理全流程如图4 所示。

图4 铁路信息系统供应链管理全流程示意

信息系统供应链安全管理涉及信息系统供应链全生命周期各个阶段相关参与方及其所提供的产品与服务诸构成要素。信息系统供应链安全风险管理应涵盖系统协议过程、生产过程、交付过程、获取过程、维护过程、使用过程和废止过程全流程风险管理。

（2）明确安全管理责任

建立铁路信息系统供应链安全风险管理组织架构，明确各层级的管理责任和具体职责要求，做到权责分明，清晰落实责任。各信息系统主要负责人负责本系统供应链安全风险管理，系统安全责任人为主要执行责任人，对管理工作负主要责任，涉及系统采购、开发和其它技术人员负直接责任[12]，具体如图5 所示。

图5 管理责任组织架构示意

（3）健全风险管理机制

定期开展铁路信息系统供应链安全风险识别[13]，收集和梳理供应链管理机构、流程环节、供应商等多维度信息，系统分析风险源、风险原因、风险事件，识别可能对目标产生重大影响的状况，构建铁路信息系统供应链安全风险库。结合项目管理全流程，构建从规划设计、采购供应、交付运维、外包服务等供应链管理全生命周期的风险数据库，定期更新。开展风险评估，建立风险处置应急响应机制。依据信息系统供应链风险发生概率和影响后果，定量评估供应链安全风险；对风险进行分类分级管理，按照不同风险级别采取针对性风险防范措施；制定风险处置应急预案，强化应急响应机制，持续开展铁路信息系统供应链风险监管。

（4）强化培训和检查

提高各级信息安全管理人员针对信息系统供应链的安全管理意识，强化信息系统供应链安全管理业务知识和技能的教育培训；对涉及到第三方供应商的安全管理责任人、关键岗位人员和相关从业人员开展安全培训、日常培训及岗前培训；定期开展信息系统供应链情况检查，对发现问题及时整改，接受有关部门的监督、检查、指导。

3.2 持续完善供应商管理

（1）完善供应商管理要求

通过建立产品和服务供应链图谱，掌握供应链产品或服务名称、主要负责人及供应商联系人、核心技术或组件等情况，制定供应商管理要求，具体如图6 所示。

图6 供应商安全管理要求

明确供应商管理要求，其中包括供应商安全管理规范及标准建立、供应商安全准入机制管理、网络安全监督检查、签署安全保密协议、提供开源产品清单、远程接入访问管理和具备软件安全审计能力等；定期组织监督检查，对关键产品和服务商实行筛选，确保供应商的选择符合国家和国铁集团有关规定。

（2）制定供应商安全保护策略

涉及铁路核心业务、核心能力建设、核心系统及关键技术，以及风险管控存在明显隐患的服务不宜外包；向供应商提供铁路内部资料时，应制定安全保护策略，严格管控铁路内部文档的拷贝、传输、保存；在选择供应链产品、服务和供应商时，应使用多个供应来源，考虑提高供应链各构成要素可用性，避免受到供应链断供影响；定期开展对供应链来源审核和验证，开展安全风险自审或引入第三方审计。

（3）严格产品与服务采购审查

合格供应链产品采购时，应严格履行网络安全审查申报工作制度，判定所采购的相关产品是否影响到国家安全；对于影响国家安全的产品采购，须按照网络安全审查管理规定，提交国家有关部门进行网络安全审查，对提交的审查材料进行严格把关；采购国家名录中符合要求的产品，经过审查通过后方可开展采购工作，保证铁路企业所采购的产品与服务安全可信。

（4）强化供应商相关人员管理

对供应商相关人员（包括建设、开发、运维等人员）采取必要的监管措施；加强对供应商相关人员进行背景审查，杜绝用人风险；在供应商相关人员开始服务前，应与其签订保密承诺书，并在服务过程中或服务结束前对其进行保密检查；对开发人员、设计师、测试人员、产品集成人员、运维服务人员等，结合其工作任务特点，开展安全意识、安全责任、安全策略与管理制度方面的培训和宣贯，防止相关人员因工作疏忽导致安全隐患。

3.3 强化软件产品及服务安全管理

（1）建立软件安全开发生命周期管理流程

为最大程度地减少软件漏洞导致的安全隐患，建立软件产品安全开发生命周期（SDL，Security Development Lifecycle）管理流程，在软件需求分析、设计、编码、测试和维护阶段开展相应的安全管理活动，梳理形成软件产品及服务清单、软件产品及服务供应商清单、风险清单；明确系统补丁、漏洞修复管理措施，实行铁路信息系统升级的集中监测；增强自主研发能力，逐步实现铁路信息系统自主可控，避免断供风险。

（2）实行关键业务应用系统的源代码安全审计

依据国家源代码安全审计相关标准及铁路相关文件要求，加强对铁路信息系统特别是委托第三方开发的系统软件源代码管理及审计工作，审计内容要深入，从软件安全功能缺陷、数据加密与保护、访问控制、日志安全、源代码实现安全、资源使用安全等方面，具体到弱口令、跨站、注入、函数调用、重定向、明文存储传输、身份绕过、目录遍历、编译环境安全、资源释放、后门、木马程序等具体的安全问题，均需通过自测或委托第三方开展深入的代码审计，可采用人工加工具方式开展。

3.4 建立铁路信息系统供应链风险预警系统

（1）研究开发供应链安全风险预警系统

研究开发铁路信息系统供应链关键信息自动采集、建模和安全风险分析等技术，建立铁路信息系统供应链安全风险预警系统[14]；通过供应链网络建模与画像，绘制产品和服务供应链图谱，监测供应链网络涉及的行业市场现状及供方相关风险事件，如产能波动、价格上涨、供应链涉诉涉罚、木马漏洞、产品缺陷、供应链断供等，形成识别、防范、监测、评估供应链安全风险的综合能力。

（2）建立常态化供应链安全监管机制

依托供铁路信息系统应链安全风险预警系统，建立常态化的铁路信息系统供应链安全监管机制，利用该系统提供的信息，针对铁路关键信息基础设施和重要产品、服务等开展风险预警通报，形成覆盖铁路信息系统供应链全环节、多层次的整体安全防护体系。

4 结束语

从新形势下铁路信息系统供应链安全风险管理需求出发，结合铁路信息系统供应链特点及供应链管理现状，对供应链管理过程面临的威胁和风险展开分析，从铁路企业供应链安全管理机制、供应商管理、软件产品及服务安全管理、风险监测预警4个方面，提出应对铁路信息系统供应链安全风险的管理对策，构建系统化、常态化的铁路信息系统供应链安全管理机制，全面提升铁路系统供应链安全风险管控和防御能力，保障铁路企业信息系统长期安全稳定运行，推动铁路信息化高质量发展。

近年来，铁路信息系统供应链安全事件时有发生，供应链安全管理的重要性日益凸显。国铁集团已启动铁路信息系统供应链安全管理工作，但重要信息系统、关键信息基础设施尚缺少有效的供应链安全风险评估手段，下一步将尝试开展铁路信息系统供应链安全风险评估试点工作，为今后全面实施供应链安全风险评估积累经验。