ICT 供應鏈的網絡安全威脅不容小覷

王超

目前ICT供應鏈的網絡安全風險不斷攀升。潛藏安全缺陷的開源代碼被廣泛使用，針對ICT供應鏈薄弱環(huán)節(jié)的網絡攻擊不斷增加，合作第三方供應商引發(fā)的網絡安全事件層出不窮。賽迪智庫網絡安全研究所認為，ICT供應鏈薄弱環(huán)節(jié)是網絡安全的防控重點，應從四個方面著手：針對關鍵軟硬件產品開展安全審查，管控供應鏈網絡安全風險;統(tǒng)籌推進開源代碼安全檢測工作，提升對ICT供應鏈安全威脅的檢測能力;督促供應商營造安全的供應環(huán)境，強化對ICT供應鏈網絡安全威脅的源頭 管控;引導用戶企業(yè)加強安全管理，補齊ICT供應鏈管理短板。

信息通信技術（ICT）供應鏈包括硬件供應鏈和軟件供應鏈，通常涵蓋了采購、開發(fā)、外包、集成、交付、使用和服務等環(huán)節(jié)。近年來，隨著新一代信息技術及相關產業(yè)的爆發(fā)式增長，ICT供應鏈面臨的網絡安全風險不斷攀升。潛藏安全缺陷的開源代碼應用逐漸普及，針對軟件供應鏈的網絡攻擊持續(xù)增加，合作第三方供應商引發(fā)的網絡安全事件層出不窮。深入分析ICT供應鏈面臨的網絡安全風險，針對我國ICT供應鏈存在的諸多安全薄弱環(huán)節(jié)提出有效的應對措施，是防范網絡安全風險的關鍵環(huán)節(jié)和重要手段。

ICT 供應鏈面臨的網絡安全挑戰(zhàn)日益嚴峻

開源軟件應用數量大幅增長，潛藏的代碼安全缺陷對ICT供應鏈的影響不容忽視。開源軟件具有開放、共享、自由等特性，已逐步成為軟件開發(fā)的核心基礎設施、軟件供應鏈的重要組成部分。Sonatype報告顯示，2017年，獨立的Java開源組件數量由年初的200萬增加至年末的 350萬，JavaScript開源組件數量由300萬增加至550萬，Python組件數量由87萬增加至140萬。Gartner調查顯示，99%的組織在其IT系統(tǒng)中使用了開源組件。美國 Forrester Research的研究表明，2017年應用軟件80%～90%的代碼來自開源組件。伴隨著開源代碼應用數量的增長，開源代碼安全缺陷密度一直居高不下。據NVD統(tǒng)計，截至2017年2月，全球開源軟件相關已知安全漏洞已超過28000個。Synopsys公司發(fā)布的《2018年開源代碼安全和風險分析》顯示，78%的開源代碼庫至少包含一個漏洞，平均每個代碼庫有64個漏洞。考慮到開源代碼的普遍使用，一旦其安全缺陷被不法分子惡意使用，勢必會造成廣泛、嚴重的安全影響。

軟件供應鏈攻擊成本小、門檻低、危害廣，已逐步成為 ICT供應鏈安全的重要威脅。近年來，針對軟件供應鏈的網絡攻擊日漸增多，攻擊深度和廣度不斷延伸，已遍布軟件開發(fā)、交付和使用等上中下游各環(huán)節(jié)，影響用戶量級從十萬到上千萬不等。在軟件開發(fā)環(huán)節(jié)，針對源代碼、開發(fā)工具的網絡攻擊滲透性強，識別、檢測難度大，影響范圍廣。2017 年 8 月，NetSarang的遠程終端Xshell被植入后門代碼，官方版本也受到影響，導致近十萬用戶中招。2015年9月，蘋果集成開發(fā)工具 Xcode被注入病毒Xcode Ghost，導致超過4000個不同版本的蘋果應用被感染，上億蘋果手機用戶受到影響。在軟件交付環(huán)節(jié)，針對網絡下載、廠商預裝和ROM 內置等重要渠道實施攻擊，具有低投入、高回報等特點。眾多未授權的第三方下載站點、云服務、共享資源、破解盜版軟件等灰色軟件供應鏈，極易被植入惡意代碼，成為網絡攻擊的發(fā)起點和擴散源。應用商店等正規(guī)渠道審核不嚴，也往往會成為惡意軟件肆意傳播的“幫兇”。

合作第三方成為影響 ICT供應鏈網絡安全的新變量，由其引發(fā)的網絡安全事件層出不窮。隨著數字技術的迅猛發(fā)展，供應鏈的數字化趨勢逐漸衍生出“第三方數字合作伙伴”的新角色。它們在帶來商業(yè)價值的同時，也進一步推高了ICT供應鏈的網絡安全風險。波耐蒙研究所（Ponemon Institute）2018年的調查研究顯示，56%的組織機構遭遇過由其供應商造成的網絡入侵。在國際方面，2017年 7月，Verizon公司有超過1400萬的用戶個人資料因第三方供應商NICE Systems云服務器安全配置不當遭到外泄。

ICT供應鏈薄弱環(huán)節(jié)

是網絡安全防控重點

關鍵信息基礎設施ICT供應鏈管控體系尚不完善。盡管我國已于2017年6月發(fā)布實施了《網絡產品和服務安全審查辦法（試行）》，明確要求關系國家安全的網絡和信息系統(tǒng)采購的重要網絡產品和服務應當經過網絡安全審查，并將產品及關鍵部件生產、測試、交付和技術支持過程中的供應鏈安全風險作為重點審查內容，還推動開展了云計算服務網絡安全審查。但金融、電信等重點領域的網絡安全審查仍處于起步階段，相關配套標準仍需完善，ICT 供應鏈網絡安全管控能力有待提升。

針對開源代碼的安全檢測有待加強。我國對開源代碼安全性的重視程度不夠。早在 2006 年，美國國土安全部就資助Coverity 公司開展“開源軟件代碼測試計劃”，對大量開源軟件進行安全隱患篩查;2013 年，美國國防部 DARPA 又啟動VET 項目，對商用信息技術軟硬件、固件進行審查，檢測其是否存在隱蔽行為。盡管我國阿里、360 等企業(yè)也積極推進軟件供應鏈安全大賽、開展開源代碼安全檢測，但國家層面還缺乏統(tǒng)籌謀劃，對開源代碼的安全檢測未成體系。此外，我國惡意代碼檢測、漏洞分析、協議分析等技術能力嚴重不足，致使軟硬件中的安全缺陷難以被及時發(fā)現。

企業(yè)ICT供應鏈安全管理存在漏洞。一是企業(yè)ICT供應鏈管理制度尚不完備，缺乏針對軟硬件交付和更新等重要環(huán)節(jié)的管控措施。二是企業(yè)ICT供應鏈透明度不高，供應鏈安全評估缺失，難以依據安全風險劃分供應商的安全等級，進行有針對性的管理。三是企業(yè)對第三方供應商的管控不夠，難以有效落實約束第三方供應商的各項要求。四是部分企業(yè)的開源代碼管理機制尚不健全，在軟件開發(fā)過程中，隨意使用開源組件的現象屢見不鮮，管理者甚至程序員都無法列出完整的開源組件使用列表，給 ICT供應鏈安全帶來極大風險。

ICT供應鏈薄弱環(huán)節(jié)

應對策略

針對關鍵軟硬件產品開展安全審查，管控 ICT 供應鏈安全風險。一是統(tǒng)籌協調金融、電信、交通等行業(yè)主管部門，盡快啟動針對關鍵軟硬件產品的網絡安全審查工作，對進入我國重要行業(yè)、領域的關鍵軟硬件產品進行網絡安全審查，將產品研發(fā)、測試、交付和技術支持過程中的供應鏈安全風險作為審查重點，強制提高我國 ICT 供應鏈的透明度。二是盡快制定出臺網絡安全審查、評估配套方面的標準規(guī)范，加快推廣實施 ICT供應鏈安全風險管理指南、信息技術產品安全可控評價指標系列國家標準，為開展網絡安全審查提供支撐。

統(tǒng)籌推進開源代碼安全檢測工作，提升對 ICT 供應鏈安全威脅的檢測能力。一是充分利用國家網絡空間安全重大科技項目和網絡空間安全重點專項，加大對漏洞挖掘、大數據分析等網絡安全核心技術的支持力度，著力提升惡意代碼檢測、漏洞分析、協議分析等技術水平，不斷提高軟硬件產品安全缺陷發(fā)現能力。二是指導組織研究機構、安全企業(yè)開展形式多樣的開源代碼安全檢測服務和競賽，鼓勵企業(yè)采用通過安全檢測的開源代碼，整體提升軟硬件產品安全性。三是督促企業(yè)制定開源管理策略，明確使用開源軟件的基本原則，制定開源軟件管理方法，采用工具核查等方式，檢測并清晰記錄軟件開發(fā)過程中使用的開源代碼，及時規(guī)避開源代碼的許可證合規(guī)風險和安全漏洞風險。

督促供應商營造安全供應環(huán)境，強化對 ICT 供應鏈網絡安全威脅的源頭管控。一是要求供應商建立健全產品開發(fā)生命周期安全管理制度，強化產品需求分析、功能設計、開發(fā)實施、測試驗證和上線發(fā)布等環(huán)節(jié)的質量和安全把控。二是要求供應商定期對產品進行功能和安全性測試，及時掌握并消減產品的安全風險。建立安全事件響應機制，及時處理用戶反饋的安全事件。三是推動組織開展針對性的網絡安全教育培訓，強化員工網絡安全意識。

引導用戶企業(yè)加強安全管理，補齊 ICT 供應鏈管理短板。一是推動企業(yè)按照“ICT 供應鏈安全風險管理指南”等國家標準，建立和完善供應鏈安全管理制度，規(guī)范企業(yè)在軟硬件產品采購、使用、更新等重點環(huán)節(jié)的安全要求。二是引導企業(yè)建立供應商審核制度，從行業(yè)資質、技術能力、產品質量、生產環(huán)境、網絡安全保障能力等多個角度，對供應商進行安全評估，量化供應商的安全級別，采取有針對性的管理措施。對供應商進行持續(xù)的監(jiān)督管理，及時清退不符合要求的供應商，以規(guī)范和保障 ICT 供應鏈安全。三是加強對合作第三方的安全管理，通過合同等方式明確雙方的安全責任。鼓勵企業(yè)對所有合作第三方的安全和隱私策略進行評估。要求合作第三方定期進行自評估，并及時反饋評估結果。四是加強員工網絡安全培訓，推動提升企業(yè)內部人員安全意識，建立安全操作及運維管理制度，降低違規(guī)及異常操作帶來的風險。