供应链安全与治理：基于关键信息基础设施信息系统的实践

本书以关键信息基础设施信息系统为研究的切入点，深入探讨了该领域供应链安全和治理的相关理论和实践，旨在帮助读者更好地理解和应对供应链风险和挑战。本书从关键信息基础设施信息系统的供应链安全基础、供应链安全治理现状及方法、供应链安全威胁分析、供应链安全风险识别、供应链安全评估方法、供应链自主可控性分析、供应链安全典型案例分析和供应链安全治理思路的完善等方面进行了深入阐述。对于供应链管理人员、企业高管、信息技术专业人员、政府官员以及相关领域的研究者和学生来说，本书是一本有价值的参考书。

孙中豪，国家互联网应急中心高级工程师，主要负责关键信息基础设施网络安全相关的技术研究、政策分析、应急处置。主持了多项国家级科研课题，发表SCI/EI索引论文十余篇，获得发明专利授权20余项，先后参与完成多项国家网络安全相关法规政策的制定。

马原野，博士，国家发展改革委创新驱动发展中心（国家发展改革委数字经济研究发展中心）高级工程师。长期从事创新领域研究，参与完成多项国家级规划和政策文件的制定。

前言

第1章 绪论

1.1 关键信息基础设施信息系统供应链安全的研究背景

1.2 关键信息基础设施信息系统供应链安全的研究意义和价值

第2章 关键信息基础设施信息系统供应链安全基础

2.1 关键信息基础设施的内涵和类型划分

2.1.1 关键信息基础设施的内涵

2.1.2 关键信息基础设施的类型划分

2.2 供应链安全

2.2.1 供应链概念

2.2.2 国家安全和国家安全观的概念

2.2.3 供应链安全内涵

2.3 供应链安全问题对社会稳定的影响

2.3.1 社会经济发展风险

2.3.2 社会秩序风险

2.3.3 国家安全风险

2.3.4 社会治安风险

2.3.5 国家治理风险

2.4 供应链安全问题对社会竞争力的影响

2.4.1 对声誉的影响

2.4.2 对可持续发展的影响

2.4.3 对文化传承和创新的影响

2.5 供应链安全问题对产业结构的影响

2.5.1 产业链瘫痪风险

2.5.2 产业创新能力损害风险

2.5.3 行业风险

第3章 关键信息基础设施信息系统供应链安全治理现状及方法

3.1 国内关键信息基础设施信息系统供应链安全治理现状

3.1.1 产业链与供应链安全治理现状

3.1.2 关键信息基础设施供应链安全治理现状

3.2 国外关键信息基础设施信息系统供应链安全治理现状

3.2.1 国外供应链安全治理政策

3.2.2 国外供应链安全治理措施

3.3 传统治理方法及成效

3.3.1 设备通报

3.3.2 设备下线

3.3.3 软件更新

3.4 基于供应链的治理方法及成效

3.4.1 合规治理

3.4.2 病毒治理

3.4.3 断供治理

第4章 关键信息基础设施信息系统供应链安全威胁分析

4.1 硬件供应链安全威胁

4.1.1 硬件供应链中断威胁

4.1.2 硬件供应链安全风险

4.1.3 硬件供应链中间人攻击威胁

4.2 软件供应链安全威胁

4.2.1 软件供应链安全后门威胁

4.2.2 软件供应链安全病毒威胁

4.2.3 软件供应链安全木马威胁

4.3 服务安全威胁

4.3.1 服务提供商的安全可信性威胁

4.3.2 服务完整性威胁

4.3.3 第三方服务集成威胁

第5章 关键信息基础设施信息系统供应链安全风险识别

5.1 供应链安全风险识别原理

5.1.1 综合性原理

5.1.2 复杂性原理

5.1.3 动态性原理

5.2 供应链安全风险识别的方法

5.2.1 供应链关键区域分析

5.2.2 定量风险分析

5.2.3 信息安全框架技术

5.2.4 漏洞扫描技术

5.2.5 模拟攻击技术

第6章 关键信息基础设施信息系统供应链安全评估方法

6.1 供应链安全评估目标

6.1.1 关键信息基础设施信息系统的安全性和完整性

6.1.2 确保安全管理措施和解决方案有效性

6.1.3 强化国家和行业的信息安全意识和能力

6.2 供应链安全评估常见方法

6.2.1 资产管理

6.2.2 威胁建模

6.2.3 漏洞扫描

6.2.4 安全测试

6.2.5 漏洞修复

6.3 供应链安全评估威胁建模算法

6.3.1 确定评估对象

6.3.2 建立威胁建模网络

第7章 关键信息基础设施信息系统供应链自主可控性分析

7.1 设备供应链自主可控性分析

7.1.1 影响设备供应链自主可控性的主要因素

7.1.2 设备生产环节的自主可控性

7.1.3 设备维护和升级环节的自主可控性

7.2 软件供应链自主可控性分析

7.2.1 国产化软件替代

7.2.2 软件成分分析

7.2.3 软件源代码审计

7.3 服务供应链自主可控性分析

7.3.1 部署和维护

7.3.2 数据管理和存储

7.3.3 安全服务

第8章 关键信息基础设施信息系统供应链安全典型案例分析

8.1 制裁型供应链安全风险

8.1.1 华为供应链安全危机事件

8.1.2 中兴通讯被制裁事件

8.1.3 俄罗斯铝业公司被制裁事件

8.2 系统漏洞型供应链安全风险

8.2.1 微软Exchange Server漏洞利用事件

……