供應鏈安全與治理:基於關鍵信息基礎設施信息系統的實踐

前言

第1章 緒論

1.1 關鍵信息基礎設施信息系統供應鏈安全的研究背景

1.2 關鍵信息基礎設施信息系統供應鏈安全的研究意義和價值

第2章 關鍵信息基礎設施信息系統供應鏈安全基礎

2.1 關鍵信息基礎設施的內涵和類型劃分

2.1.1 關鍵信息基礎設施的內涵

2.1.2 關鍵信息基礎設施的類型劃分

2.2 供應鏈安全

2.2.1 供應鏈概念

2.2.2 國家安全和國家安全觀的概念

2.2.3 供應鏈安全內涵

2.3 供應鏈安全問題對社會穩定的影響

2.3.1 社會經濟發展風險

2.3.2 社會秩序風險

2.3.3 國家安全風險

2.3.4 社會治安風險

2.3.5 國家治理風險

2.4 供應鏈安全問題對社會競爭力的影響

2.4.1 對聲譽的影響

2.4.2 對可持續發展的影響

2.4.3 對文化傳承和創新的影響

2.5 供應鏈安全問題對產業結構的影響

2.5.1 產業鏈癱瘓風險

2.5.2 產業創新能力損害風險

2.5.3 行業風險

第3章 關鍵信息基礎設施信息系統供應鏈安全治理現狀及方法

3.1 國內關鍵信息基礎設施信息系統供應鏈安全治理現狀

3.1.1 產業鏈與供應鏈安全治理現狀

3.1.2 關鍵信息基礎設施供應鏈安全治理現狀

3.2 國外關鍵信息基礎設施信息系統供應鏈安全治理現狀

3.2.1 國外供應鏈安全治理政策

3.2.2 國外供應鏈安全治理措施

3.3 傳統治理方法及成效

3.3.1 設備通報

3.3.2 設備下線

3.3.3 軟件更新

3.4 基於供應鏈的治理方法及成效

3.4.1 合規治理

3.4.2 病毒治理

3.4.3 斷供治理

第4章 關鍵信息基礎設施信息系統供應鏈安全威脅分析

4.1 硬件供應鏈安全威脅

4.1.1 硬件供應鏈中斷威脅

4.1.2 硬件供應鏈安全風險

4.1.3 硬件供應鏈中間人攻擊威脅

4.2 軟件供應鏈安全威脅

4.2.1 軟件供應鏈安全後門威脅

4.2.2 軟件供應鏈安全病毒威脅

4.2.3 軟件供應鏈安全木馬威脅

4.3 服務安全威脅

4.3.1 服務提供商的安全可信性威脅

4.3.2 服務完整性威脅

4.3.3 第三方服務集成威脅

第5章 關鍵信息基礎設施信息系統供應鏈安全風險識別

5.1 供應鏈安全風險識別原理

5.1.1 綜合性原理

5.1.2 覆雜性原理

5.1.3 動態性原理

5.2 供應鏈安全風險識別的方法

5.2.1 供應鏈關鍵區域分析

5.2.2 定量風險分析

5.2.3 信息安全框架技術

5.2.4 漏洞掃描技術

5.2.5 模擬攻擊技術

第6章 關鍵信息基礎設施信息系統供應鏈安全評估方法

6.1 供應鏈安全評估目標

6.1.1 關鍵信息基礎設施信息系統的安全性和完整性

6.1.2 確保安全管理措施和解決方案有效性

6.1.3 強化國家和行業的信息安全意識和能力

6.2 供應鏈安全評估常見方法

6.2.1 資產管理

6.2.2 威脅建模

6.2.3 漏洞掃描

6.2.4 安全測試

6.2.5 漏洞修覆

6.3 供應鏈安全評估威脅建模算法

6.3.1 確定評估對象

6.3.2 建立威脅建模網絡

第7章 關鍵信息基礎設施信息系統供應鏈自主可控性分析

7.1 設備供應鏈自主可控性分析

7.1.1 影響設備供應鏈自主可控性的主要因素

7.1.2 設備生產環節的自主可控性

7.1.3 設備維護和升級環節的自主可控性

7.2 軟件供應鏈自主可控性分析

7.2.1 國產化軟件替代

7.2.2 軟件成分分析

7.2.3 軟件源代碼審計

7.3 服務供應鏈自主可控性分析

7.3.1 部署和維護

7.3.2 數據管理和存儲

7.3.3 安全服務

第8章 關鍵信息基礎設施信息系統供應鏈安全典型案例分析

8.1 制裁型供應鏈安全風險

8.1.1 華為供應鏈安全危機事件

8.1.2 中興通訊被制裁事件

8.1.3 俄羅斯鋁業公司被制裁事件

8.2 系統漏洞型供應鏈安全風險

8.2.1 微軟Exchange Server漏洞利用事件