ICT供應(yīng)鏈的網(wǎng)絡(luò)安全威脅不容小覷

王超

信息通信技術(shù)（ICT）供應(yīng)鏈包括硬件供應(yīng)鏈和軟件供應(yīng)鏈，通常涵蓋了采購(gòu)、開發(fā)、外包、集成、交付、使用和服務(wù)等環(huán)節(jié)。近年來，隨著新一代信息技術(shù)及相關(guān)產(chǎn)業(yè)的爆發(fā)式增長(zhǎng)，ICT 供應(yīng)鏈面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷攀升。潛藏安全缺陷的開源代碼應(yīng)用逐漸普及，針對(duì)軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊持續(xù)增加，合作第三方供應(yīng)商引發(fā)的網(wǎng)絡(luò)安全事件層出不窮。深入分析ICT供應(yīng)鏈面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，針對(duì)我國(guó)ICT供應(yīng)鏈存在的諸多安全薄弱環(huán)節(jié)提出有效的應(yīng)對(duì)措施，是防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)鍵環(huán)節(jié)和重要手段。

背景

目前ICT供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷攀升。潛藏安全缺陷的開源代碼被廣泛使用，針對(duì)ICT供應(yīng)鏈薄弱環(huán)節(jié)的網(wǎng)絡(luò)攻擊不斷增加，合作第三方供應(yīng)商引發(fā)的網(wǎng)絡(luò)安全事件層出不窮。賽迪智庫(kù)網(wǎng)絡(luò)安全研究所認(rèn)為，ICT供應(yīng)鏈薄弱環(huán)節(jié)是網(wǎng)絡(luò)安全的防控重點(diǎn)，應(yīng)從四個(gè)方面著手：針對(duì)關(guān)鍵軟硬件產(chǎn)品開展安全審查，管控供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn); 統(tǒng)籌推進(jìn)開源代碼安全檢測(cè)工作，提升對(duì)ICT供應(yīng)鏈安全威脅的檢測(cè)能力; 督促供應(yīng)商營(yíng)造安全的供應(yīng)環(huán)境，強(qiáng)化對(duì)ICT供應(yīng)鏈網(wǎng)絡(luò)安全威脅的源頭管控;引導(dǎo)用戶企業(yè)加強(qiáng)安全管理，補(bǔ)齊ICT供應(yīng)鏈管理短板。

ICT供應(yīng)鏈面臨的網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻

開源軟件應(yīng)用數(shù)量大幅增長(zhǎng)，潛藏的代碼安全缺陷對(duì)ICT供應(yīng)鏈的影響不容忽視。主開源軟件具有開放、共享、自由等特性，已逐步成為軟件開發(fā)的核心基礎(chǔ)設(shè)施、軟件供應(yīng)鏈的重要組成部分。Sonatype 報(bào)告顯示，2017 年，獨(dú)立的Java開源組件數(shù)量由年初的200萬增加至年末的 350萬，JavaScript開源組件數(shù)量由 300 萬增加至 550萬，Python組件數(shù)量由 87萬增加至 140 萬。Gartner 調(diào)查顯示，99%的組織在其IT系統(tǒng)中使用了開源組件。美國(guó)Forrester Research 的研究表明，2017年應(yīng)用軟件 80%—90%的代碼來自開源組件。伴隨著開源代碼應(yīng)用數(shù)量的增長(zhǎng)，開源代碼安全缺陷密度一直居高不下。據(jù)NVD 統(tǒng)計(jì)，截至2017年2月，全球開源軟件相關(guān)已知安全漏洞已超過 28000個(gè)。Synopsys公司發(fā)布的《2018 年開源代碼安全和風(fēng)險(xiǎn)分析》顯示，78%的開源代碼庫(kù)至少包含一個(gè)漏洞，平均每個(gè)代碼庫(kù)有64個(gè)漏洞。考慮到開源代碼的普遍使用，一旦其安全缺陷被不法分子惡意使用，勢(shì)必會(huì)造成廣泛、嚴(yán)重的安全影響。

軟件供應(yīng)鏈攻擊成本小、門檻低、危害廣，已逐步成為ICT供應(yīng)鏈安全的重要威脅。近年來，針對(duì)軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊日漸增多，攻擊深度和廣度不斷延伸，已遍布軟件開發(fā)、交付和使用等上中下游各環(huán)節(jié)，影響用戶量級(jí)從十萬到上千萬不等。在軟件開發(fā)環(huán)節(jié)，針對(duì)源代碼、開發(fā)工具的網(wǎng)絡(luò)攻擊滲透性強(qiáng)，識(shí)別、檢測(cè)難度大，影響范圍廣。2017 年 8 月，NetSarang的遠(yuǎn)程終端 Xshell 被植入后門代碼，官方版本也受到影響，導(dǎo)致近十萬用戶中招。

2015年9月，蘋果集成開發(fā)工具 Xcode被注入病毒 Xcode Ghost，導(dǎo)致超過4000個(gè)不同版本的蘋果應(yīng)用被感染，上億蘋果手機(jī)用戶受到影響。在軟件交付環(huán)節(jié)，針對(duì)網(wǎng)絡(luò)下載、廠商預(yù)裝和ROM內(nèi)置等重要渠道實(shí)施攻擊，具有低投入、高回報(bào)等特點(diǎn)。眾多未授權(quán)的第三方下載站點(diǎn)、云服務(wù)、共享資源、破解盜版軟件等灰色軟件供應(yīng)鏈，極易被植入惡意代碼，成為網(wǎng)絡(luò)攻擊的發(fā)起點(diǎn)和擴(kuò)散源。應(yīng)用商店等正規(guī)渠道審核不嚴(yán)，也往往會(huì)成為惡意軟件肆意傳播的“幫兇”。比如，2017年的“異鬼Ⅱ”Bootkit 木馬，正是隱藏在正規(guī)軟件中，通過高速下載器傳播，影響了國(guó)內(nèi)上百萬臺(tái)設(shè)備。在軟件使用環(huán)節(jié)，劫持軟件更新渠道、實(shí)施針對(duì)性攻擊是重要的攻擊方式。2017 年 6 月，惡意攻擊者劫持了烏克蘭專用會(huì)計(jì)軟件M.E.Doc 的升級(jí)程序，使得用戶在更新軟件時(shí)感染 NotPetya 病毒，導(dǎo)致烏克蘭首都基輔的鮑里斯波爾國(guó)際機(jī)場(chǎng)、烏克蘭國(guó)家儲(chǔ)蓄銀行，以及俄羅斯、西班牙、法國(guó)和英國(guó)等歐洲多國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施遭受攻擊。

合作第三方成為影響ICT供應(yīng)鏈網(wǎng)絡(luò)安全的新變量，由其引發(fā)的網(wǎng)絡(luò)安全事件層出不窮。隨著數(shù)字技術(shù)的迅猛發(fā)展，供應(yīng)鏈的數(shù)字化趨勢(shì)逐漸衍生出“第三方數(shù)字合作伙伴”的新角色。它們?cè)趲砩虡I(yè)價(jià)值的同時(shí)，也進(jìn)一步推高了ICT供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。波耐蒙研究所（Ponemon Institute）2018 年的調(diào)查研究顯示，56%的組織機(jī)構(gòu)遭遇過由其供應(yīng)商造成的網(wǎng)絡(luò)入侵。在國(guó)際方面，2017年7月，Verizon 公司有超過 1400萬的用戶個(gè)人資料因第三方供應(yīng)商N(yùn)ICE Systems云服務(wù)器安全配置不當(dāng)遭到外泄。2014 年，因合作的第三方供應(yīng)商網(wǎng)絡(luò)被入侵，美國(guó)最大的家庭裝飾品與建材零售商家得寶 HomeDepot被植入惡意代碼，導(dǎo)致數(shù)據(jù)泄露，損失近2億美元。國(guó)內(nèi)方面，2014—2018 年間，瑞智華勝公司借助為國(guó)內(nèi)電信運(yùn)營(yíng)商提供精準(zhǔn)廣告投放系統(tǒng)的開發(fā)和維護(hù)的機(jī)會(huì)，在運(yùn)營(yíng)商服務(wù)器嵌入惡意程序，非法竊取了用戶出行記錄、開房記錄、交易記錄、搜索記錄等 30 億條數(shù)據(jù)，波及騰訊、百度、阿里、新浪等96家、互聯(lián)網(wǎng)公司。

ICT供應(yīng)鏈薄弱環(huán)節(jié)是網(wǎng)絡(luò)安全防控重點(diǎn)

關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈管控體系尚不完善。盡管我國(guó)已于2017年6月發(fā)布實(shí)施了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查 辦法（試行）》，明確要求關(guān)系國(guó)家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購(gòu)的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查，并將產(chǎn)品及關(guān)鍵部件生產(chǎn)、測(cè)試、交付和技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險(xiǎn)作為重點(diǎn)審查內(nèi)容，還推動(dòng)開展了云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查。但金融、電信等重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全審查仍處于起步階段，相關(guān)配套標(biāo)準(zhǔn)仍需完善，ICT供應(yīng)鏈網(wǎng)絡(luò)安全管控能力有待提升。

針對(duì)開源代碼的安全檢測(cè)有待加強(qiáng)。我國(guó)對(duì)開源代碼安全性的重視程度不夠。早在2006年，美國(guó)國(guó)土安全部就資助Coverity公司開展“開源軟件代碼測(cè)試計(jì)劃”，對(duì)大量開源軟件進(jìn)行安全隱患篩查;2013 年，美國(guó)國(guó)防部 DARPA 又啟動(dòng)VET 項(xiàng)目，對(duì)商用信息技術(shù)軟硬件、固件進(jìn)行審查，檢測(cè)其是否存在隱蔽行為。盡管我國(guó)阿里、360 等企業(yè)也積極推進(jìn)軟件供應(yīng)鏈安全大賽、開展開源代碼安全檢測(cè)，但國(guó)家層面還缺乏統(tǒng)籌謀劃，對(duì)開源代碼的安全檢測(cè)未成體系。此外，我國(guó)惡意代碼檢測(cè)、漏洞分析、協(xié)議分析等技術(shù)能力嚴(yán)重不足，致使軟硬件中的安全缺陷難以被及時(shí)發(fā)現(xiàn)。

企業(yè)ICT供應(yīng)鏈安全管理存在漏洞。一是企業(yè)ICT供應(yīng)鏈管理制度尚不完備，缺乏針對(duì)軟硬件交付和更新等重要環(huán)節(jié)的管控措施。二是企業(yè)ICT供應(yīng)鏈透明度不高，供應(yīng)鏈安全評(píng)估缺失，難以依據(jù)安全風(fēng)險(xiǎn)劃分供應(yīng)商的安全等級(jí)，進(jìn)行有針對(duì)性的管理。三是企業(yè)對(duì)第三方供應(yīng)商的管控不夠，難以有效落實(shí)約束第三方供應(yīng)商的各項(xiàng)要求。四是部分企業(yè)的開源代碼管理機(jī)制尚不健全，在軟件開發(fā)過程中，隨意使用開源組件的現(xiàn)象屢見不鮮，管理者甚至程序員都無法列出完整的開源組件使用列表，給ICT 供應(yīng)鏈安全帶來極大風(fēng)險(xiǎn)。

應(yīng)對(duì)策略

針對(duì)關(guān)鍵軟硬件產(chǎn)品開展安全審查，管控ICT供應(yīng)鏈安全風(fēng)險(xiǎn)。一是統(tǒng)籌協(xié)調(diào)金融、電信、交通等行業(yè)主管部門，盡快啟動(dòng)針對(duì)關(guān)鍵軟硬件產(chǎn)品的網(wǎng)絡(luò)安全審查工作，對(duì)進(jìn)入我國(guó)重要行業(yè)、領(lǐng)域的關(guān)鍵軟硬件產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全審查，將產(chǎn)品研發(fā)、測(cè)試、交付和技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險(xiǎn)作為審查重點(diǎn)，強(qiáng)制提高我國(guó)ICT供應(yīng)鏈的透明度。二是盡快制定出臺(tái)網(wǎng)絡(luò)安全審查、評(píng)估配套方面的標(biāo)準(zhǔn)規(guī)范，加快推廣實(shí)施ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南、信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)系列國(guó)家標(biāo)準(zhǔn)，為開展網(wǎng)絡(luò)安全審查提供支撐。

統(tǒng)籌推進(jìn)開源代碼安全檢測(cè)工作，提升對(duì) ICT 供應(yīng)鏈安全威脅的檢測(cè)能力。一是充分利用國(guó)家網(wǎng)絡(luò)空間安全重大科技項(xiàng)目和網(wǎng)絡(luò)空間安全重點(diǎn)專項(xiàng)，加大對(duì)漏洞挖掘、大數(shù)據(jù)分析等網(wǎng)絡(luò)安全核心技術(shù)的支持力度，著力提升惡意代碼檢測(cè)、漏洞分析、協(xié)議分析等技術(shù)水平，不斷提高軟硬件產(chǎn)品安全缺陷發(fā)現(xiàn)能力。二是指導(dǎo)組織研究機(jī)構(gòu)、安全企業(yè)開展形式多樣的開源代碼安全檢測(cè)服務(wù)和競(jìng)賽，鼓勵(lì)企業(yè)采用通過安全檢測(cè)的開源代碼，整體提升軟硬件產(chǎn)品安全性。三是督促企業(yè)制定開源管理策略，明確使用開源軟件的基本原則，制定開源軟件管理方法，采用工具核查等方式，檢測(cè)并清晰記錄軟件開發(fā)過程中使用的開源代碼，及時(shí)規(guī)避開源代碼的許可證合規(guī)風(fēng)險(xiǎn)和安全漏洞風(fēng)險(xiǎn)。

督促供應(yīng)商營(yíng)造安全供應(yīng)環(huán)境，強(qiáng)化對(duì)ICT供應(yīng)鏈網(wǎng)絡(luò)安全威脅的源頭管控。一是要求供應(yīng)商建立健全產(chǎn)品開發(fā)生命周期安全管理制度，強(qiáng)化產(chǎn)品需求分析、功能設(shè)計(jì)、開發(fā)實(shí)施、測(cè)試驗(yàn)證和上線發(fā)布等環(huán)節(jié)的質(zhì)量和安全把控。二是要求供應(yīng)商定期對(duì)產(chǎn)品進(jìn)行功能和安全性測(cè)試，及時(shí)掌握并消減產(chǎn)品的安全風(fēng)險(xiǎn)。建立安全事件響應(yīng)機(jī)制，及時(shí)處理用戶反饋的安全事件。三是推動(dòng)組織開展針對(duì)性的網(wǎng)絡(luò)安全教育培訓(xùn)，強(qiáng)化員工網(wǎng)絡(luò)安全意識(shí)。

引導(dǎo)用戶企業(yè)加強(qiáng)安全管理，補(bǔ)齊ICT供應(yīng)鏈管理短板。一是推動(dòng)企業(yè)按照“ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南”等國(guó)家標(biāo)準(zhǔn)，建立和完善供應(yīng)鏈安全管理制度，規(guī)范企業(yè)在軟硬件產(chǎn)品采購(gòu)、使用、更新等重點(diǎn)環(huán)節(jié)的安全要求。二是引導(dǎo)企業(yè)建立供應(yīng)商審核制度，從行業(yè)資質(zhì)、技術(shù)能力、產(chǎn)品質(zhì)量、生產(chǎn)環(huán)境、網(wǎng)絡(luò)安全保障能力等多個(gè)角度，對(duì)供應(yīng)商進(jìn)行安全評(píng)估，量化供應(yīng)商的安全級(jí)別，采取有針對(duì)性的管理措施。對(duì)供應(yīng)商進(jìn)行持續(xù)的監(jiān)督管理，及時(shí)清退不符合要求的供應(yīng)商，以規(guī)范和保障ICT供應(yīng)鏈安全。三是加強(qiáng)對(duì)合作第三方的安全管理，通過合同等方式明確雙方的安全責(zé)任。鼓勵(lì)企業(yè)對(duì)所有合作第三方的安全和隱私策略進(jìn)行評(píng)估。要求合作第三方定期進(jìn)行自評(píng)估，并及時(shí)反饋評(píng)估結(jié)果。四是加強(qiáng)員工網(wǎng)絡(luò)安全培訓(xùn)，推動(dòng)提升企業(yè)內(nèi)部人員安全意識(shí)，建立安全操作及運(yùn)維管理制度，降低違規(guī)及異常操作帶來的風(fēng)險(xiǎn)。