本文在研究分析美国等国家制定的 ICT 供应链安全风险管理政策与标准基础上,介绍了 ICT供应链存在的脆弱性和面临的威胁,列举了国内外实际发生的典型案例,提出了建立健全我国 ICT供应链安全管理制度与机制的若干建议。

当今世界,不仅是国防军事武器系统,几乎所有涉及国计民生的关键基础设施都会用到微电子、计算机、通信等信息通信技术(以下简称 ICT),而且对 ICT 的依赖程度越来越高。

在 ICT 采购全球化的态势下,ICT 供应链安全与国家安全的关系愈发密切,可以认为,ICT 供应链是所有供应链的基础。石油、矿产、粮食等物资都存在全球资源配置问题,西方发达国家为了对这些战略性资源跨境的海陆空运输和进出口实施风险管控,数十年前就提出了供应链安全的概念。

近年来,尤其是美国政府将我国众多国营或民营企事业机构列入出口管制实体清单,限制美国技术和产品出口,甚至对中兴、华为等公司通过出口禁令采取断供措施,使得对 ICT 供应链的安全问题的关注上升到前所未有的高度。

鉴于国家关键基础设施和重要资源对 ICT 技术的依赖,通过国家安全审查识别和控制 ICT 供应链风险成为保障国家安全的重要手段。

美国的做法通常是一方面实施 ICT 供应链风险评估,另一方面专门针对外国投资实施国家安全审查,中国近年来则是采取了网络安全审查措施。

根据我国《国家安全法》,网络安全审查是国家安全审查在关键信息基础设施保护领域的具体执行。

ICT 供应链的概念

ICT 供应链,按照我国的国家标准 GB/ T36637-2018 定义,即 ICT 产品和服务的供应链, 是指“为满足供应关系通过资源和过程将需方、供方相互连接的网链结构,可用于将信息通信技术的产品、服务提供给需方。”

不同国家和不同组织对此有不同的定义和解释,但是基本内容大致相同,可能稍有差别和侧重。比如, 美国国防部战略咨询公司 MITRE 对 ICT 供应链给出的定义,与我国上述标准给出的定义相比, 在内容上进行了延伸和扩展,特别强调了人的因素:不仅涵盖供需双方,还包括的中间商、第三方服务商等各种利益相关方。

本文在立足于我国国家标准的 ICT 供应链的定义基础上, 参考国内外相关标准和定义,力求展现 ICT 供应链安全的全貌。

供应链结构通常是多级的,具有全球分布性、全生命周期、产品服务复杂性和供应商多样性的特点。其中,全生命周期十分复杂,涵盖了设计与开发阶段、传统供应阶段和服务运维阶段,例如设计、开发、采购、生产、仓储、物流、销售、维护、召回等,而且,每个环节都有可能被恶意篡改或控制,因此供应链安全问题是全世界很多国家都非常重视的。

同时, 供应商的多样性不仅体现在对其技术考量,通常还需要考虑非技术因素,比如内部人员参与的网络攻击,众多的供应商需要统一的安全标准和操作流程等。

ICT 供应链安全风险

实施 ICT 供应链安全管理,核心任务是开展供应链风险评估,需要认识到 ICT 供应链面临的安全风险主要来源于安全威胁和安全脆弱性。

一方面,安全威胁主要包括恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作和其他方面的威胁。例如,恶意篡改是指在 ICT 供应链的设计、开发、采购、生产、仓储、物流、销售、维护、召回等某一环节,对 ICT 产品或上游组件进行恶意篡改、植入、替换等,以嵌入包含恶意逻辑的软件或硬件。

具体威胁有恶意程序、硬件木马、外来组件被篡改、未经授权的配置、供应信息篡改等等。而在设计和阶段面临的威胁,究竟是设计和开发者有意留有后门还是设计缺陷或开发错误导致系统存在漏洞,则比较难以区分。

再比如假冒伪劣,不合格产品往往会带来严重的后果。当年美国的“挑战者号”载人航天飞船就因为隔热装备的垫圈质量不过关而燃烧坠落。供应受阻是指由于人为或自然的原因,造成 ICT 产品或服务的供应量或质量下降,甚至出现 ICT 供应链中断或终止的情况。

在全球化的今天, 供应链中断一般会出现在发生军事冲突的双方;单纯出于政治目的断供是逆历史潮流的,也不得人心。

另外,信息泄露也对 ICT 供应链影响极大。信息泄露包括个人身份识别信息和企业信息、国防和军事信息等。最常见的是个人信息泄露包含个人生物信息(比如指纹、虹膜、面部等唯一不可变信息)、还包括各种社会属性信息(姓名、电话、身份识别信息以及住址、财务信息等)甚至政治倾向、宗教信仰和性取向等。

其中影响较大的事件是 2018 年曝光的英国剑桥分析公司(Cambridge Analytica)的一个APP 软件,违规收集了 8700 多万 Facebook 用户的个人隐私信息,恶意使用者通过对这些信息进行大数据分析并定向发送信息,就可能影响部分社会群体的思想和行为。

泄露的信息可以被用来为 ICT 供应链攻击提供方便和利用渠道。还有违规操作和误操作,如果对公有云配置不当,会造成存储在云上的信息可被任意访问, 这类事件也经常发生。

另一方面,安全脆弱性主要包含供应链生命周期的脆弱性和供应链基础设施的脆弱性。供应链生命周期的脆弱性涉及开发阶段、供应阶段和运维阶段三个阶段。开发阶段的脆弱性体现在如未遵循安全开发流程,没有建立完善的配置管理控制产品或组件的变更等等。

供应阶段的脆弱性来源于采购时无法识别被篡改或伪造的组件,生产环境的物理安全访问控制不严,采用了不可靠或不安全的仓储商,运输时产品被植入、篡改或替换,经销商未经授权私自预装程序等。

近期华为被断供一事可以理解为是供应阶段采购渠道失控表现,据报道,仅华为手机核心供应商中,就有 33 家美国供应商, 一旦供应链上游厂家出现断供问题,就会对生产制造带来巨大影响。运维阶段的脆弱性体现在采用了不合格的运维供应商。

一方面体现在这些运维商未按时、高效的接受相关的技术和产品服务培训,而这些培训对其运维的正常运行起到关键作用。

另外一方面,对运维商的工作未能监督、检查,以至于一些运维商长期存在的小的故障或者疏忽,最后可能导致被入侵或者成为被攻击的突破口。

在实际案例中,往往一些正规大厂商的系统难以攻破,但是攻击者往往通过其运维商的系统的脆弱性,达到其攻击大厂商的目的。

供应链基础设施的脆弱性体现在以下四个方面:供应链管理脆弱性、ICT 上下游脆弱性、供应链管理信息系统脆弱性以及供应链物理安全脆弱性。

这其中有人的因素,也有外在的客观因素。供应链管理的脆弱性主要是由于 ICT 供应链安全管理缺乏或者管理不严,可能存在安全隐患。

最常见的情况是未完全建立供应链安全管理制度和流程,缺乏供应链安全责任部门和人员,在选择供应商时未考虑网络安全要求,没有对供应商的绩效和安全风险进行定期的评估,缺乏对外包项目、外包人员的安全规定等。

ICT 上下游脆弱性则体现在供应链或者生态圈的供应商安全能力参差不齐,ICT 供应链整体安全水平不高。比较常见的是:一些供应链的产品安全准备和供应链安全管理流程缺乏,也有的供应商不能及时发现安全缺陷并进行修复和响应等。

另外也可能由于上游企业安全能力不足、产品市场被部分企业垄断、部分下游企业安全检测能力有限,造成只能长期独家选择该供应商,从而形成依赖等原因,导致下游的供应商难以控制和追溯上游厂商的供应链风险。

供应链管理信息系统的脆弱性则表现在 ICT 供应链管理系统本身,它可能也存在安全隐患。比如未对供应商访问供应链相关信息进行访问控制, 个人信息保护未满足相关法律法规的标准要求,未对个人信息访问和使用进行控制,供应链信息不透明或者阻塞,或者信息系统本身存在漏洞或者后门等。

供应链物理安全脆弱性则主要是一些显性因素,比如厂房、仓库、数据中心、机房的位置选取,抵御自然灾害或者人为破坏等的能力较差。

对供应链物理攻击(主要是对资产或者设备的攻击)的案例,比较典型的莫过于美国国家安全局针对思科将要运送至某些客户的网络设备(含路由器、服务器等)所进行的预制作业:

在一个秘密的地点,按照事先拟定的操作手册和流程,将原厂(这里指思科)的网络设备进行流水作业:拆包、预制特别后门器件、重新包装并发往目的地。此事发生在大约 2010 年,但直到 2014 年才为外界所知。

左图为 4 名工作人员打开截获的思科产品包装;右图为预制后门器件操作台

软硬件供应链风险在整个 ICT 供应链的安全风险中占据着重要的地位,下面分别从硬件和软件供应链安全的角度加以具体阐述。

硬件供应链涉及 ICT 硬件采购、设计、制造、组装、维护到处理的一系列过程,其风险来源于 ICT 硬件供应链系统与外部环境发生资源交换,以及在与供应链成员进行协调与合作过程中,存在着各种内部不确定性和外部不确定性的风险因素,如自然灾害、恐怖事件、突发事件等导致供应中断,如攻击者中断制造和交付、错误的运输路线或延误交货、错误的订单(如数量或项目错误)、质量等风险。

此外,软件供应链安全风险具有威胁对象种类多、极端隐蔽、涉及维度广、攻击成本低但回报高、检测困难等特性。软件供应链可影响已交付的系统的所有方面,无论何时,只要供应链参与者能接触最终的软件代码或系统,危及软件供应链安全的风险都是存在的。

软件供应链安全事故案例很多,从棱镜门事件到 XcodeGhost,再从惠普驱动键盘记录后门事件,到 Xshell 后门、python pip 源欺骗性污染、VSCODE 插件钓鱼。

2015 年, 苹果操作系统 Mac OS 的集成开发工具的 Xcode 被污染,就是上面提到的 XcodeGhost,波及了当时主流的近 700 种 APP 应用,包含微信、滴滴、网易云音乐等国内主流应用。

从其感染波及面、实际污染数量和可能带来的衍生风险来看,其可能是移动安全史上非常严重的恶意代码污染事件。

它利用修改原生开发工具的方式来攻击软件供应链,使得所有采用该集成开发环境编制的移动应用都可能会被自动“植入”恶意代码:上传用户隐私、弹窗以及远控,这改变了传统恶意代码的传播和感染方式。

软件供应链攻击有很多不同的利用方式和途径,一种常见方式是:通过攻击升级服务器以及采用在开源组件中植入恶意组件。

攻击者在攻击服务器时,通常劫持正常软件的安装、升级服务,在用户进行正常软件安装后,后续升级时植入恶意代码。比较流行的是植入勒索病毒。

这种传播方式利用了用户(使用安装软件的人)与软件供应商(升级服务器)之间的信任关系,绕开了安全产品的防护边界,传播更加隐蔽和难以追溯。

例如,2017 年 6 月,席卷乌克兰、俄罗斯、美国等的 Petya 勒索病毒就是通过劫持一个流行的财务软件 Medoc 的更新服务进行传播。

当该勒索软件感染用户后,还会在用户的内网中,通过永恒之蓝漏洞(类似于 WannaCry,也称魔窟勒索病毒)利用工具,进行横向移动,寻找含有漏洞的机器或者服务器,进一步传播和感染。

即使遇到已经打过补丁的机器,该病毒也不放过,它会通过搜集感染机器中的用户登录凭证进行暴力破解,一旦破解成功的机器恰好为服务器并拥有管理员权限,则该服务器可能会被远程控制,对用户造成更大的损失和破坏。

同样,国内也发生过类似案例,2018 年 12 月常用工具软件“驱动人生” 的驱动安装与更新服务器被攻击,黑客采用永恒之蓝漏洞利用工具包对受害用户的内网进行了横向渗透攻击。

此外,在 WannaCry 集中爆发经过了一年多时间后,2018 年台积电发生的生产线感染 WannaCry 变种也是一个生动的例子,对一批新接入生产线的计算机,未经过严格的安全检查和病毒扫描,是造成此事事故的主要原因,给台积电生产和声誉带来重大损失。

上游设备供应商未对其对外提供的计算机设备进行严格的安全检查,而将这种威胁传递到下游的台积电公司。同时台积电公司也未能对上线的设备进行严格的安全检查和病毒扫描,从而导致了此次安全事故。

恶意开发者借助开源技术可以将其恶意代码改头换面、进而制作成定制化的攻击武器, 能有效逃避反病毒引擎的检测,减少受害用户对恶意程序的感知能力,起到更好的潜伏和攻击效果,这也是攻击者热衷于使用这类开源技术方案的主要原因。

这类攻击由于开源项目的兴起,项目众多,而且涉及研发整个链条, 因此防范、检测都非常困难。

另外,采用社会工程学的方式在供应链攻击中也有一席之地。最常见的是通过垃圾邮件, 给受害者发送嵌入恶意代码的邮件或者附件, 进行攻击。

虽然在这个攻击链条中,有时攻击者会采用漏洞利用工具,有时也不需要用户交互,但是最关键的防护点还是人,在关键岗位的具体执行人员的安全意识,直接关系到整个系统是否安全。

目前有很多移动操作系统的恶意代码是通过穿透移动应用商店的审核机制进行传播。不过,有些攻击会另辟蹊径,不利用通过移动商店, 而是直接利用社会工程学的方式,首先将本来正规的应用重新打包,增加恶意部分;然后攻击某些网站,得手后,将其上传至这些网站;最后是通过社会工程学的方式引诱用户点击下载安装,进而达到其攻击目的。

与前面通过垃圾邮件或者移动应用商店的大范围、非针对性传播不同,这种方式传播效率较低,感染面较窄,但在某些针对性攻击中,往往也会达成其攻击目的。

典型国家和区域组织的管理情况

本节从战略地位、国际标准、ICT 供应链风险管理、采购安全等方面来介绍国外 ICT 供应链安全管理情况。

首先,国外对 ICT 供应链安全管理的战略定位很高。以美国为例,通过立法、行政命令以及国会决议等形式,实施了对 ICT 供应链安全管理制度的整体布局和设计。

2008 年,布什政府提出国家网络安全综合计划(CNCI),提出建立全方位的方法来实施全球供应链风险管理。

到 2009 年,奥巴马政府指出不应局限于仅谴责国外产品和服务供应商,新的供应链风险管理方法势在必行。2011 年美国发布《网络空间国际战略》,将“与工业部门磋商,加强高科技供应链的安全性”作为保护网络空间安全的优先政策。

2019 年5 月,特朗普总统签署了《确保 ICT 和服务供应链安全的行政令》,以保证美国的 ICT 供应链安全,其中提出了对美国的关键基础设施以及对数字经济的保护,提出了安全性以及弹性恢复能力的建设。

2015 年 1 月,中国和俄罗斯等六国在提交联合国的《信息安全国际行为准则》中,强调“努力确保信息技术产品和服务供应链的安全,防止他国利用自身资源、关键设施、核心技术、信息通讯技术产品和服务、信息通讯网络及其他优势,削弱接受上述行为准则国家对信息通讯技术产品和服务的自主控制权,或威胁其政治、经济和社会安全。”

其次,制定了若干关于 ICT 供应链安全的国际标准。比如早期的适用于多个领域的 ISO 28000 系列标准,还有 ISO/IEC 27002、ISO/IEC27036、ISO/IEC 15026、ISO/IEC 22O43 等等。

其中 ISO 28000 系列标准将供应链安全的风险要素划分为安全计划、资产安全、人员安全、信息安全以及货物及运输工具安全等,安全威胁来源于入侵或控制供应链中的资产、供应链走私、信息破坏、货物完整性、非授权使用等。

另外 ISO 28000 系列标准也关联了其他指南,包括 ISO 28001《供应链安全、评估和计划的最佳实践 -- 需求和指南》、ISO 28002《供应链恢复能力的开发——要求及使用指南》等内容。

再者,2008 年为呼应国家网络安全综合计划 CNCI#11 “建立全方位的方法来实施全球供应链风险管理”,美国布什政府启动了非国家安全信息系统供应链风险管理实践开发计划, 即 ICT SCRM 项目。

其主要目的是保证政府机构能通过各种技术标准、流程以及工具手段来保证供应链的安全,以防止一些假冒的原材料进入生产流程、预防软件产品中包含有意或者无意的恶意代码或者避免采用未经审核的产品或者服务等。CNCI#11 为美国联邦机构信息系统的供应链风险管理提供了全面的方法,并为促进SCRM 开发了协作工具。

欧盟在 2015 年 9 月发布的《供应链完整性》报告,分析了 ICT 产品从开发设计、分发到运营全过程的风险要素,不仅描述了传统的假冒伪劣等供应链安全问题,还讨论了对数字经济的供应链攻击 , 提出了如何防范这些风险的战略性对策和建议。该报告是对 2012 年版的修订和升级。

此外,在采购安全管理方面,美国已经颁布了一系列的政策文件。

1998 年克林顿发布的第 63 号总统令中指出要确定大型采购任务中与其相关的信息安全。2002 年布什政府发布的国家安全战略中详细阐述了采购的步骤和过程, 以及相关的标准。2008 年美国战略与国际问题研究中心(CSIS)发布了《在第 44 任总统任期内保护网络空间安全》的咨询报告,向奥巴马总统提出了若干重要建议,其中包括“通过采购规则提高安全性”,该条建议希望政府能与工业界合作,共同制定和执行 ICT 产品(软件居首要位置)采购安全指南。

具体而言,美国国防部的 ICT 采购实行国防部统一领导与军种分散实施相结合的管理模式。所谓统一领导, 是指在国防部设置专门的采购、技术与后勤副国防部长一职,统管全军 ICT 研发及采购事务。

而分散实施,是按 ICT 项目的重要性及费用多少实行分类和分级管理。对于不同类别的 ICT 采购项目,负责采购、技术和后勤的副部长指派相应级别的决策当局进行监管。

国内 ICT 供应链安全管理

2016 年 4 月 19 日,习近平总书记在网络安全和信息化工作座谈会上指出,“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患。

一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”

从战略层面,2016 年我国发布了《国家网络空间安全战略》中,明确提出“建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。”

另外,我国也制定了 ICT 供应链安全的相关标准,如 GB/T 24420-2009 供应链风险管理指南、GB/T 31168-2014 云计算服务安全能力要求、GB/T 32921-2016 信息技术产品供应方

行为安全准则、GB/T 22239-2019 信息系统安全等级保护基本要求、GB/T 29245-2012 政府部门信息安全管理基本要求。

2019 年 5 月 1 日正式实施的 GB/T 36637-2018《信息安全技术 ICT 供应链安全风险管理指南》,正是在完整性、保密性、可用性、可控性的原则指导下制定的指南, 目标使用者包括了 ICT 产品、服务的采购方—— 党政部门、重点行业、关键信息基础设施。

虽然供应链安全的问题在国内逐步受到重视,但是其实际管理机构高效运转、执行标准的力度与国际主流国家,特别是美国,还存在较大差距。

主要表现在以下几个方面:

首先 , 供应链安全标准体系还欠完善。当前国内已有的标准更多的是从宏观层面的要求,缺乏针对不同行业和部门的落地实施。

其次 ,ICT 产业链不够完善,从客观上也限制了我国完整意义上来实施 ICT 供应链的风险管理。当前我国依然是重视硬件投入和管理,对软件,特别是软件的供应链管理还存在诸多待改进之处。

最后,ICT 供应链涉及各个不同的部门甚至行业,这就要求各行各业能同步推进,才能协调发展。

对策建议

综上所述,在经济全球化时代,信息通信技术供应链存在产品和服务复杂、涉及全生命周期、供应商跨境的特点。建立供应链安全管理制度已成为国际通行做法,也是国际社会所接受的保障国家网络安全的正当措施。

没有 ICT 供应链安全,就无法保障国家网络安全。为此, 应当加强我国 ICT 供应链安全管理,防止他国利用自身资源、关键基础设施、核心技术及其他优势,削弱我国对 ICT 技术的自主控制权,威胁我国的政治、经济和社会安全。

基于上述分析研究,为建立健全我国 ICT 供应链安全管理制度与机制,笔者提出以下建议:

我国应尽快制定专门的 ICT 供应链安全管理相关法律法规,明确各方在 ICT 供应链安全管理中应当承担的责任和义务。在今后修订《网络安全法》的时候, 增加对 ICT 供应链安全管理的条款。并且,供应链管理也应该覆盖上下游,通过与进出口许可管理制度、负面清单、不可靠实体清单等制度配合,切实发挥保障我国军事、外交以及经济安全等方面的作用。

应建立 ICT 供应链安全管理制度,实施国家 ICT 供应链全方位安全管理,在中央网络安全和信息化委员会领导下,设立国家 ICT 供应链安全管理统筹协调联席会议,加快在组织机构建设、人才队伍建设、标准和技术建设等方面的顶层设计。

应建立 ICT 供应链安全风险评估组织,培养安全风险评估队伍和专业人才,制定 ICT 供应链安全评估程序。借鉴国际现有的信息安全评估制度,对 ICT 产品和服务开展供应链安全风险评估工作。

应促进相关标准的研究制定,加大支持研究 ICT 供应链安全管理相关核心技术的力度。

陈晓桦 , 博士,研究员,长期从事网络与信息安全领域政策与理论研究和标准与技术开发工作。曾获 2008 年度国家科技进步一等奖。

严绍文 , 计算机科技开发高级工程师,长期从事计算机和网络恶意代码的分析、研究。

选自《信息安全与通信保密》2019年第十一期

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。