ICS 33.050 CCS M 30 团体标 准 T/TAF 133—2022 网络产品供应链安全要求 制造要求 Security requirements for network product supply chain— Manufact ure requirements 2022-09-15发布 2022-09-15实施 电信终端产业协会 发布 T/TAF 13 3—2022 I 目 次 前言 ................................ ................................ ................ II 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 缩略语 ................................ ................................ ............ 2 5 制造要求概述 ................................ ................................ ...... 2 6 总体要求 ................................ ................................ .......... 4 7 网络产品制造环节安全要求 ................................ .......................... 4 7.1 产品导入 ................................ ................................ ....... 4 7.2 生产过程控制 ................................ ................................ ... 4 7.3 生产外包管理 ................................ ................................ ... 5 7.4 维修 ................................ ................................ ........... 5 7.5 生产系统安全 ................................ ................................ ... 6 参考文献 ................................ ................................ ............. 7 T/TAF 133 —2022 II 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是网络产品供应链安全要求系列标准之一，该系列标准结构如下： ——《网络产品供应链安全要求》 ——《网络产品供应链安全要求 采购要求》 ——《网络产品供应链安全要求 物流要求》 ——《网络产品供应链安全要求 制造要求》 请注意本文件中的某些内容可能涉及专利。本 文件的发布机构不承担识别 专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、华为技术有限公司、联想 （北京） 有限公司 、中兴通讯股 份有限公司、新华三技术有限公司、成都泰瑞通信设备检测有限公司、杭州迪普科技股份有限公司、 浪 潮电子信息产业股份有限公司、 深圳市腾讯计算机系统有限公司。 本文件主要起草人 ：张治兵、 郭春颖、 薄菁、薛勇波、杨春阳、陈鹏、李汝鑫、柯妍、施辰琛、汪 剑、周继华、吴萍、童天予、万晓兰、仇俊杰、 宋桂香、 倪平。 T/TAF 13 3—2022 1 网络产品供应链安全要求 制造要求 1 范围 本文件提出了网络产品在制造环节的安全管理、 组织机构和人员、 信息系统等不 同等级的安全要求， 包括产品导入、生产、生产外包、维修、追溯等过程的安全要求 。 本文件适用于网络产品的提供者对供应链制造过程进行安全管理， 也可为网络产品的采购者和第三 方机构对网络产品制造过程进行安全性评价时提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本 文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 T/TAF 073 —2020 网络产品供应链安全要求 3 术语和定义 下列术语和定义适用于本 文件。 3.1 网络 network 是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、 传输、交换、处理的系统。 [来源：T/TAF 073 —2020，3.1] 3.2 网络产品 network product 是指作为网络组成部分以及维持网络功能的设备、软件等。 [来源： T/TAF 073 —2020，3.2] 3.3 供应链 supply chain 通过多个资源和过程联系在一起的一系列组织， 根据由服务协议或其他采购协议建立连续的供应关 系，每个组织充当一个需求方、提供方或双重角色。 [来源： T/TAF 073 —2020，3.3] 3.4 采购 purchase 指组织在一定的条件下从供应市场获取产品或服务作为组织资源， 以保证组织生产及经营活动正常 开展的一项经营活动 。 [来源： T/TAF 073 —2020，3.8] 3.5 关键部件 critical component 存储软件、数据的介质以及具备数据处理能力的部件。如芯片、存储介质、可编程控制器件等。 [来源： T/TAF 073 —2020，3.10] T/TAF 133 —2022 2 3.6 职责分离 separation of duty 一项控制措施，用 来确保同一个员工没有以下情况 中的一种或两种 ，包括： ——某个流程的多个职责 ； ——应用系统的多个权限 。 从而防止员工在不被察觉的情况下 滥用、破坏或转移公司资产 。 4 缩略语 下列缩略语适用于本 文件。 DFM：可制造性设计 （Design for Manufacturability ） MAC：媒体访问控制 （Media Access Control ） 5 制造要求概述 网络产品供应链安全要求中的制造安全包括以下三个目标： a) 完整性： 保障产品及其所包含的软件、关键部件、数据等以及所使用的工具在制造过程不被植 入或篡改 ； b) 真实性： 防止部件在制造过程中被伪造 或替换，保障生产过程及交付给客户产品的真实性 ； c) 可追溯性： 对产品和主要部件建立唯一 性标识，可识别其来源， 并确保这些信息有效，支撑产 品和部件在制造过程中的可追溯性。芯片、存储介质、可编程控制器件、软件等部件可以使用 来料批次信息或软件版本号进行标识。 制造要求管理框架 见图 1。 图1 制造要求管理框架 由于网络产品供应链在不同产品业务场景下，其制造环节安全管理要求存在差异。本 文件将制造安 全要求分为三个等级，即一级、二级和三级，安全等级由低到高，安全要求逐级增强。一级提出了保障 供应链制造安全管理的基本要求。二 级在基本要求的基础上， 增加了安全培训、过程可追溯、数据保护、 网络隔离等要求，以增强供应链制造环节安全保障。三级在二级要求的基础上增加了应急演练、异常监 控等要求，并通过增加使用自动化工具和技术要求，对供应链制造环节提供较强的安全保障。每一等级 定义了网络产品供应链满足相应等级要求的最小集合，满足该等级标识的所有项目才能标识为该级别。 制造安全要求等 级划分见表1。安全要求条目中的 “ALL”表示一级、二级和三级均具有该要求， “L2， L3”表示二级和三级具有该要求， “L3”表示三级具有 该要求。 T/TAF 13 3—2022 3 表1 制造安全要求等级 划分表 制造安全要求 一级 二级 三级 6总体要求 (a)    (b) —   (c)    (d) — —  (e) —   (f) —   7网络产品制造环节安全 要求 7.1产品导入 (a)    (b)    (c)    7