当今网络安全威胁和攻击的形式正在发生深刻的变化,已经从传统的网络安全领域逐渐扩展到供应链安全方向。ICT(信息通信技术)产品作为信息化中的重要组成部分,其供应链安全对整个信息化体系的安全稳定具有至关重要的影响。本文尝试分析ICT产品供应链的安全背景、政策法规,并给出具体针对性的建议供ICT产品供应链的供需双方参考。

ICT产品供应链安全定义

首先我们要了解ICT产品供应链的定义,根据理解GB∕T T36637—2018《信息安全技术 ICT供应链安全风险管理指南》,ICT产品供应链,是指为满足供应关系通过资源和过程将需方、供方互相连接的网链结构,可用于将ICT的产品提供给需方。而ICT产品供应链安全,需要有效管理ICT产品供应链生命周期的安全风险。

ICT产品供应链安全背景

随着全球数字化和AI人工智能的全面发展,供应链面临的安全风险和形势日益严峻,重要网络和关键信息基础设施供应链安全攻击逐年增多,传统安全防护措施难以防御。2020年12月,SolarWinds公司旗下Orion平台遭到黑客入侵。这是一次高度复杂的供应链攻击,也是一场全球性的黑客攻击。全球多个政府系统和数千个私人系统因此面临供应链安全威胁。2021年12月,Apache Log4j2组件被爆出存在远程代码执行漏洞,该漏洞导致全球所有使用了该组件的应用系统均面临严重威胁。2023年3月,有报道称英伟达的GPU固件被恶意篡改,以插入恶意代码。篡改者通过获取英伟达的固件文件,将其中的代码进行了修改,以在用户的计算机上运行恶意程序。从2019年起,美国制定出口管制“实体名单”,对我国ICT产品供应链造成很大影响。从上述案例可以看出,无论软件还是硬件,无论是自身漏洞导致还是供应链政策影响,供应链安全事件造成的影响均远大于普通的黑客攻击事件。

ICT产品供应链安全政策

面对ICT产品供应链的安全威胁和风险,美国、欧盟等国先后出台安全政策应对。欧盟通过网络安全法建立欧盟范围内的ICT产品和服务统一认证框架,确保欧盟所销售ICT产品和服务的完整性和真实性,软硬件中不存在已知的漏洞。美国通过发布行政令,禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务。NIST在NIST SP 800—53第五版中也将供应链风险管理(SCRM)作为一个新增的控制领域,可见供应链网络安全的重要程度。

在我国,《网络安全法》、《关键信息基础设施保护条例》、公网安1960号文等政策均对ICT供应链安全提出了安全要求。等级保护2.0在安全建设管理中,提出“网络安全产品采购和使用要满足国家的有关要求”、“外包软件交付前检测其中可能存在的恶意代码”等一系列对于ICT产品供应链的安全要求。GB T 39204—2022 《信息安全技术 关键信息基础设施安全保护要求》第7.9章节“供应链安全保护”对供应链安全管理策略、采购清单、供应方目录、采购渠道管理和保密协议等方面进行了规定和要求。GB/T 36637—2018 《信息安全技术 ICT供应链安全风险管理指南》也对ICT供应链安全风险管理给出了方法和指导。

我们在上篇文章重点对ICT产品供应链安全的定义、背景和政策法规进行了研究和分析,本篇根据研究成果,以及国家供应链安全相关政策和标准要求,结合我中心在供应链安全方面的经验积累和最佳实践,尝试给出ICT产品供应链安全的对策建议。

鉴于ICT产品供应链生命周期包含开发、生产、集成、仓储、交付等多个环节,供应链的链条过长,整个供应链条上的安全风险过多,如从供应链全生命周期进行安全建议过于宽泛,没有抓手,无法起到聚焦的作用。考虑到ICT产品最终均会在交付到最终运营者,无论ICT产品供应链任何环节出现安全风险,最后均体现在交付风险上,因此本文ICT产品供应链安全建议从运营者角度给出。

ICT产品供应链安全建议

ICT产品供应链安全从运营者角度来看,建议包括如下方面开展工作:

0建立ICT供应商管理机制

对供应商进行严格筛选,确保其在技术水平、生产能力、质量管理以及安全防护等方面达到一定要求。建立供应商数据库,记录供应商的历史表现和评价。关键ICT产品避免过于依赖单一供应商,通过多元化的供应链布局,降低供应链中断或单一环节故障带来的风险,保证供应链的弹性和韧性。

0建立ICT供应链资产库

系统性梳理ICT供应链中的所有资产,包括硬件设备、软件应用、数据资源、服务提供商等,对每项资产收集详尽的信息,如型号、版本、供应商信息、采购日期、保修期限、安全特性、软件许可证状态等。分析资产可能面临的各类安全风险,包括开源组件投毒、硬件篡改、软件漏洞等,并制定相应的风险缓解措施。建立资产更新和维护机制,定期对资产库进行校验和更新,确保资产信息的时效性和准确性。

0创新供应链安全检测技术

采用代码审计技术,对代码漏洞和隐患进行排查,利用软件成分分析(SCA)技术,识别和管理软件供应链中的开源组件,预防安全漏洞和许可证合规风险。采用电磁探测、微电子显微镜等物理检测技术,排查硬件产品的潜在篡改和恶意植入。结合人工智能、大数据等技术手段,实现供应链全程安全状态的实时监控和预警。

0加强供应链安全检查与评估

对供应链的各个环节进行定期的安全检查,包括供应商、生产制造、物流运输等,确保每个环节都符合安全要求。采用先进的检测评估技术手段,提高安全检查的效率和准确性。加强与第三方机构建立长期合作关系,共同推动供应链安全管理的持续改进。

结语

ICT产品供应链安全是一个复杂的系统性工程,需要供需双方、第三方以及监管方共同合作,甚至会上升到国与国之间的合作关系,因此本文关于ICT产品供应链的安全思考和建议仅以运营者角度思考供应链安全对策和建议,更多ICT产品供应链条上的威胁、风险和对策需要更广泛的讨论和思考。(王勇

(本文图片来源于网络,非商业用途,如有侵权,请联系删除。)

声明:本文来自公安部网络安全等级保护中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。