本书主要介绍与信息通信技术供应链相关的主题，全书共10章，可分为四大部分，首先介绍信息通信技术供应链相关概念及其面临的安全威胁；然后阐述信息通信技术供应链的安全战略与实践、安全模型与标準规范；接着详细讨论了硬体供应链与软体供应链的安全风险与应对，採办与外包的安全理论及实践；最后分析了我国当前面临的信息通信技术供应链的安全风险，提出了保障我国信息通信技术供应链安全的对策和建议。

本书内容丰富，专业性强，讲解深入透彻，所研究的领域较为前沿，可以作为高等院校信息安全、软体工程、计算机、通信等专业的教学参考书，也可供我国信息技术供应链安全决策者、研究人员及其他相关人员参考。

第1章绪论/1

1.1供应链概念1

1.2ICT供应链定义2

1.3ICT供应链安全挑战4

1.4本书内容和框架结构7

参考文献8

第2章ICT供应链面临的威胁/10

2.1概述10

2.2ICT供应链信息威胁11

2.2.1信息共享的威胁11

2.2.2信息泄露的威胁12

2.3ICT供应链系统威胁13

2.3.1恶意逻辑的嵌入14

2.3.2伪造组件的安装15

2.3.3关键产品的中断16

2.3.4过旧组件的替换17

2.3.5无意漏洞的渗透17

2.4ICT供应链网路威胁17

2.4.1网路威胁的产生17

2.4.2网路威胁的动因19

2.4.3网路威胁的非对称性20

2.5应对威胁21

参考文献22

第3章国外ICT供应链安全战略/23

3.1概述23

3.2美国ICT供应链安全战略24

3.2.1美国安全战略的发展24

3.2.2美国的政策与立法保障28〖1〗信息通信技术供应链安全目录[3]〖3〗3.2.3美国供应链安全实践29

3.3欧盟ICT供应链安全战略32

3.3.1欧盟ICT供应链安全发展32

3.3.2欧盟ICT供应链安全战略分析33

3.4英国ICT供应链安全战略36

3.4.1英国ICT战略概述36

3.4.2英国ICT安全战略分析37

3.5德国ICT供应链安全战略39

3.5.1德国ICT安全概述39

3.5.2德国ICT安全战略分析40

3.6法国ICT供应链安全战略44

3.6.1法国ICT安全概述44

3.6.2法国ICT安全战略分析45

3.7俄罗斯ICT供应链安全战略48

3.7.1俄罗斯ICT战略概述48

3.7.2俄美ICT安全战略对比51

3.8澳大利亚ICT供应链安全战略52

3.8.1澳大利亚ICT战略概述52

3.8.2澳大利亚ICT战略分析53

3.9各国ICT供应链安全战略对比55

参考文献57

第4章ICT供应链安全模型/60

4.1概述60

4.2供应链运作参考模型61

4.2.1模型的产生背景61

4.2.2模型的基本原理62

4.2.3模型的套用68

4.3ICT供应链确保参考模型70

4.3.1模型的产生背景70

4.3.2模型的基本原理70

4.3.3模型展望78

4.4供应链安全维度模型79

4.4.1模型的产生背景79

4.4.2实时德尔菲技术80

4.4.3对2030年的预测81

4.4.4模型的基本原理83

4.5NIST系统开发生命周期模型86

4.5.1系统开发生命周期87

4.5.2模型的基本原理88

4.5.3模型的套用93

4.6达沃斯供应链和运输风险模型95

4.6.1模型的产生背景96

4.6.2模型的基本原理96

4.6.3模型展望100

4.7ICT供应链风险管理集群框架101

4.7.1集群框架的构建基础101

4.7.2集群框架的构建102

4.7.3框架展望108

参考文献109

第5章ICT供应链安全标準/110

5.1概述110

5.1.1对标準的理解110

5.1.2ICT供应链相关国际标準111

5.2ISO 28000112

5.2.1ISO 28000的产生背景112

5.2.2ISO 28000的内容113

5.2.3ISO 28000的套用117

5.2.4ISO 28000的意义118

5.3ISO/IEC 27036119

5.3.1ISO/IEC 27036的产生背景120

5.3.2ISO/IEC 27036的内容120

5.3.3ISO/IEC 27036的套用121

5.3.4ISO/IEC 27036的意义123

5.4ISO/IEC 15026124

5.4.1ISO/IEC 15026的产生背景124

5.4.2ISO/IEC 15026的内容124

5.4.3ISO/IEC 15026的套用126

5.4.4ISO/IEC 15026的意义127

5.5NISTIR 7622128

5.5.1NISTIR 7622 的产生背景128

5.5.2NISTIR 7622的内容129

5.5.3NISTIR 7622的套用130

5.5.4NISTIR 7622的意义132

参考文献132

第6章ICT硬体供应链安全/134

6.1概述134

6.1.1硬体供应链的背景134

6.1.2硬体供应链的风险136

6.2硬体木马136

6.2.1硬体木马的定义137

6.2.2硬体木马的风险138

6.2.3硬体木马的检测140

6.3恶意固件142

6.3.1恶意固件的定义142

6.3.2恶意固件的风险143

6.3.3恶意固件的检测144

6.4硬体伪造146

6.4.1硬体伪造的定义147

6.4.2硬体伪造的渗入148

6.4.3硬体伪造的根源149

6.4.4硬体伪造的影响150

6.5反硬体伪造153

6.5.1反硬体伪造项目153

6.5.2反硬体伪造的法律建议155

6.5.3反硬体伪造的政策建议156

6.5.4反硬体伪造的技术建议157

6.5.5反硬体伪造的管理建议159

参考文献161

第7章ICT软体供应链安全/165

7.1概述165

7.1.1软体供应链的定义165

7.1.2软体供应链的重要性166

7.1.3软体供应链的複杂性167

7.1.4软体供应链的完整性168

7.2软体供应链风险管理171

7.2.1软体供应链的风险识别171

7.2.2软体供应链的风险因素172

7.2.3软体供应链的风险评估175

7.2.4软体供应链的风险处理176

7.3软体供应链确保178

7.3.1软体供应链确保的定义178

7.3.2软体供应链确保的计画181

7.3.3软体供应链确保的三要素182

7.4软体供应链安全模型183

7.4.1S3R183

7.4.2Microsoft SDL185

7.4.3OWASP CLASP187

7.4.4Touchpoints189

7.4.5OWASP SAMM191

7.5软体供应链的强化策略194

7.5.1降低开发风险194

7.5.2软体安全测评194

7.5.3可行性举措197

参考文献199

第8章ICT採办安全/202

8.1概述202

8.2ICT採办基础203

8.2.1ICT採办机制203

8.2.2ICT採办注意事项204

8.2.3ICT採办新趋势205

8.2.4与传统採办模式比较207

8.3ICT採办安全209

8.3.1ICT採办风险分类209

8.3.2ICT採办信息安全三要素209

8.3.3ICT採办管理特徵211

8.3.4ICT立法保证212

8.4美国国防部採办安全212

8.4.1美国国防部ICT採办管理213

8.4.2美国国防部的ICT採办系统215

8.4.3美国国防部ICT採办存在的问题218

参考文献219

第9章ICT外包安全/220

9.1概述220

9.2ICT外包基础221

9.2.1ICT外包简介221

9.2.2ICT外包类型222

9.2.3ICT外包理论225

9.2.4ICT外包发展229

9.3ICT外包安全模型230

9.3.1美国审计署 ICT风险管理模型230

9.3.2KPMG2 ICT风险管理框架231

9.3.3ICT 外包决策三维模型231

9.4ICT外包风险233

9.4.1ICT风险因素识别233

9.4.2决策阶段风险因素234

9.4.3执行阶段的风险因素237

9.4.4ICT风险应对方法238

9.5ICT外包管理239

9.5.1ICT外包管理对企业ICT绩效的影响239

9.5.2ICT外包管理面临的挑战239

9.5.3ICT风险管理系统241

9.5.4管理与外包商的关係242

参考文献242

第10章构建我国ICT供应链安全/244

10.1概述244

10.2我国ICT供应链的发展及相应问题245

10.2.1我国ICT供应链发展现状245

10.2.2我国ICT供应链发展趋势246

10.2.3我国信息化发展战略247

10.2.4我国ICT供应链发展所面临的风险250

10.2.5制约我国ICT供应链管理的因素251

10.3我国ICT供应链安全问题的应对254

10.3.1中美ICT供应链安全问题对比254

10.3.2我国ICT供应链信息管理存在的问题255

10.3.3我国ICT供应链安全问题对策256

10.3.4从国际安全的角度来看ICT领域的发展259

10.3.5我国相应标準的发展及应对259

10.4从华为中兴海外受阻谈我国ICT供应链发展的应对263

10.4.1华为中兴再遭美国国会调查263

10.4.2华为中兴海外历年失利事件264

10.4.3其他国家对华为中兴的态度267

10.4.4华为中兴海外扩张受阻的警示与对策271

10.5ICT供应链技术新兴套用领域探索274

10.5.1工业控制系统供应链安全274

10.5.2智慧型电网供应链安全279

参考文献282