近年来,美国对供应链的完整性及安全性表示出了越来越多的担忧。美国认为供应链安全问题对于美国技术领先以及美国的经济和国家安全的未来至关重要。为了确保我国关键信息基础设施供应链安全,相关部门依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》制定了《网络安全审查办法》,并将于今年6月1日正式实施。可见供应链安全对于关键基础设施等公共事业单位的重要性,天极智库本次对美国国家标准与技术研究院NIST发布的公共事业单位网络安全供应链风险管理最佳实践进行解读,希望为我国关键基础设施供应链风险管理提供参考。
关键基础设施的安全性和可靠性一直是公共事业单位最关注的部分,金融、交通、电信、供水、燃气供应等都依赖于电力,当电网出现问题的时候,几乎所有的公共事业相关系统都会受到重大影响。近年来,网络安全已经成为影响电力基础设施可靠性的关键因素,但是并非所有的网络风险都来自于对业务系统的网络攻击和钓鱼,供应链攻击逐渐成为了危害公共事业相关业务系统的重要手段。
基于供应链的攻击可以伪造、篡改或以其他方式破坏软件和硬件的安全性,在软硬件中植入恶意代码、不安全配置以破坏软硬件的安全机制,导致业务系统无法按计划安全运行。例如,在硬件设备集成到业务系统之前植入后门,在设备上线之后可以远程访问,以实现数据窃取和系统破坏。受影响或受损的组件可能会从较低层级进入供应链,而这些较低层级通常是公共事业单位所不可见的。
受影响或受损的组件从较低层级进入供应链,由于不可见性可能会对公共事业单位业务系统和关键基础设施会带来较大的安全风险,不仅仅会影响社会公众,甚至会影响国家经济和国家安全。因此需要制定相关标准和最佳实践,以应对供应链所带来的安全风险。
公共事业单位通用风险管理策略
公共事业单位风险管理的主要目标是提高客户满意度,降低公共事业单位财务、声誉和运营风险是进行风险管理投资的主要驱动力。公共事业单位不断地平衡风险和投资,以便最大化利用相关资源。根据美国能源政策和系统分析,尽管近年来物理和网络攻击有所增加,但天气因素仍然是对安全运营的最大威胁。
1. 提高网络安全恢复能力
由于天气因素无法控制,因此公共事业单位在缓解和恢复能力方面进行了大量的投资,以最大程度减少与天气有关的风险。尽管网络安全工作主要集中在预防上,但恢复能力也非常重要。因为即使采用最好的安全防御手段和措施,也无法保证业务系统百分之百的安全,正所谓道高一尺魔高一丈,并不是所有攻击都会被有效拦截。因此需要不断提高网络安全恢复能力,制定符合业务需求的应急响应计划,当发生安全事件时尽快采取相关行动和措施,确保数据泄露损失最小化,通过业务的补救恢复能力,实现业务连续性的最大化。
2. 增强跨部门协同合作能力
随着公共事业相关业务的控制系统连接到互联网,运营技术OT和信息技术IT已经融为一体,但也随之带来了安全风险。网络安全策略的基本要素之一是在机构内部进行跨部门之间的协作。网络安全风险涉及到IT、工程、供应链、运营、法律、财务等多个部门,因此增强跨部门协同合作能力是应对风险挑战的最佳实践,一些最佳实践治理结构包括:
将传统IT架构审查和运营设计审查小组,与IT和运营技术中的风险管理相结合,使得采购和供应链密切合作。
组建跨职能、跨学科的安全指导委员会,提高人们对网络安全问题意识,鼓励员工将安全风险管理纳入所有决策中。
供应链网络安全的风险管理策略
当下有很多供应商和政府组织主导制定了针对供应链完整性的强制性标准和要求,但在供应链安全领域的标准仍不成熟,并且缺乏第三方认证流程,有些标准执行成本较高。尽管确保供应链完整性的责任在于网络资产制造商,但公共事业部门在标准、采购、制造和保障这四个关键领域负有关键责任。
1. 优先考虑安全标准
主要包括支持关键业务流程的网络资产的功能和技术要求,公共事业领域应考虑以下指导标准的高层次原则和指南:
公开所有功能,禁用不需要的功能
禁用不必要的系统服务、程序和功能以及已有或访客帐户,并更改默认密码;确保系统密码没有硬编码且足够复杂;完全公开所有通信功能的细节;解决软件/固件中已知的安全漏洞。
限制用户能力
应该使用有限提升的特权和基于角色的访问控制来限制系统访问权限。
阻止未经授权的访问
网络/设备之间的连接或通信应通过防火墙进行限制。协议和最佳实践应足够安全,以防止未经授权的访问。控制系统设备应通过防火墙或隔离器,使之与企业IT系统或互联网隔离,物理层面应防止未经授权的系统访问。应确保终端设备(例如智能电子设备IED,远程终端设备RTU或可编程逻辑控制器PLC)的物理安全和网络安全。
保护数据流量
所有通信设备均应得到保护,并在必要的情况下进行身份验证和加密。不安全基础设施上的任何流量都应通过VPN来确保物理和网络安全(访问控制、事件和通信日志、监视和告警)。
启用持续的监控、告警和日志记录
应该进行监控以检测未经授权的系统访问或异常的网络流量。应该启用账户审计和日志记录,以方便检测、分析取证和异常检测。不应安装无授权的日志记录设备,监控范围应涵盖合作伙伴、第三方解决方案提供商和技术支持供应商。
确保更新能力
应建立用于验证固件/软件更新和安全补丁、用于报告和修复缺陷以及检测恶意软件的流程。
适用于公共事业领域的操作步骤
–建立并文档化支持关键业务流程的系统的技术标准,重点是硬件和软件的安全性。
–组建一个技术审查委员会,以进行网络资产决策,重点是推动遵守这些标准的可重复治理流程。
–确保供应商了解这些标准以及不符合项标准所面临的后果。
2. 采购风险管理
采购需要从供应商选择到合同中的条款等方面考虑安全因素。基于风险的采购方法的关键原则包括:
应与采购和法律代表,以及来自IT、安全、工程和运营部门的技术和业务专家,共同制定采购流程;
所有项目需求书和合同中都应包含安全标准和安全条款,且重点关注机密性、完整性和可用性;
不满足或没有能力满足这些标准的供应商应排除在采购机构名录之外;
公共事业单位应具有审核权,以评估供应商对合同承诺的遵守情况。
管理供应链网络安全的经验法则是:“如果接触到网络,就属于风险管理范围“。
3. 缓解供应商风险
几十年来公共事业单位的供应链功能主要是物流,即确保所购组件能够以正确的数量和合理的价格按时交付。但是当下由于供应链全球化和系统组件的集成化,导致供应链与以往有很大不同。在这种情况下,供应商无法对客户真实的可靠性和安全性需求有充分的了解。公共事业单位供应链管理人员由于缺乏对第二级和第三级供应商的可见性,导致会面临很高的安全风险。即使是第一级供应商,也会以商业机密为由不公开制造工艺和技术。
这些变化迫使公共事业单位的供应链经理角色从单纯采购和成本优化转变成为风险管理团队不可或缺的一份子,需要评估所购买产品全生命周期中的网络风险,也需要在对这些供应链的供应商和分销商的风险管理过程中承担更大的责任。
由于缺乏第三方认证/鉴定过程,许多公共事业单位都依靠供应商的自我披露来确保其产品和软件中没有嵌入恶意内容。在这种情况下,公共事业单位需要对供应商做深入的调研,以了解其如何降低在生产和供应链中的安全风险。最后,公共事业单位应根据资产风险和重要性对供应商的安全实践进行评估,以行使其供应商合同中的审计条款。
4. 保证:安全为先
供应链网络风险与其他类型风险不同在于,它远远超过了销售和交付的范畴。安全是一个永不停止的持续的过程,供应链安全管理过程中包括以下几个部分:
安装部署前检查和审查
强大的变更管理控制
专门的威胁检测(基于异常的检测,而不是基于特征的检测)
对所有服务提供商进行控制,包括物理访问控制和远程运维的VPN连接控制
下一步
1. 提高意识和培训
安全工作中最关键的是人,而且关乎到每一员工。如果员工安全意识不高,就谈不上什么技术和最佳实践。通过培训提高员工的安全意识,有助于推动更好的决策。除此之外,公共事业单位也将会为供应商提供行业标准培训,以满足未来项目需求。
2. 发挥行业市场影响力
公共事业单位应共同努力,打造市场影响力,影响潜在供应商采取适用于关键基础设施的安全措施。公共事业单位联合制定行业相关标准,符合相关标准的供应商将具备安全竞争优势。通过行业联合发挥行业市场影响力,引导行业发展。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
