ICT供應(yīng)鏈安全管理模型研究

摘 要 近些年，我國的信息和通信技術(shù)（ICT）發(fā)展迅速，并在各行各業(yè)中所承擔越來越重要的角色。然而，在全球技術(shù)合作的大背景下，攻擊者利用ICT供應(yīng)鏈的薄弱環(huán)節(jié)發(fā)起大量攻擊，并造成了大范圍的影響。故各國政府相繼出臺了ICT供應(yīng)鏈的安全管理規(guī)定，來保障國家關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)鏈的安全。本文基于系統(tǒng)管理、技術(shù)開發(fā)以及風險監(jiān)控三方面，提出一種面向企業(yè)或組織的ICT供應(yīng)鏈安全管理模型。

關(guān)鍵詞 ICT;供應(yīng)鏈安全;管理模型

The Security Management Model of ICT Supply Chain

Qiao Feng

Shanghai Information Security Testing Evaluation and Certification Center， Shanghai? ?200011

Abstract Nowadays，as the rapid development of information and communication technology（ICT） in our country，ICT plays an important role in all walks of life. However， accompanied by technological globalization，More and more attackers have launched a massive attack on the weaknesses of the ICT supply chain， which created a lot of bad influence. In order to keep the national critical infrastructure safe， the various countries have introduced a series of regulatory policies that about ICT supply chain. In this paper， a new security management model of ICT supply chain is presented from the perspectives of systems management， technology development and risk management.

Keywords ICT; Supply chain; Management model

引言

一般傳統(tǒng)供應(yīng)鏈是指從自然資源、原材料開始，到根據(jù)需求將其加工制作成終端消費者手中的最終產(chǎn)品，其間整條生產(chǎn)鏈上的業(yè)務(wù)關(guān)系的集成，參與方一般包括供應(yīng)商、制造商、經(jīng)銷商以及最終用戶。傳統(tǒng)供應(yīng)鏈多關(guān)注于原材料供應(yīng)、物流、成本以及用戶的滿意度[1]。在信息和通信技術(shù)的領(lǐng)域中，《信息安全技術(shù)ICT供應(yīng)鏈安全風險管理指南》提出ICT供應(yīng)鏈是指“為滿足供應(yīng)關(guān)系通過資源和過程將需方、供方相互連接的網(wǎng)鏈結(jié)構(gòu)，可用于將ICT的產(chǎn)品和服務(wù)提供給需方”[2]。隨著ICT的迅速發(fā)展，以及全球化的進一步加深，供應(yīng)鏈網(wǎng)狀結(jié)構(gòu)日益復(fù)雜、涉及領(lǐng)域范圍更廣，故其所面臨的安全風險不斷攀升。攻擊者利用ICT供應(yīng)鏈特性，制造出更為隱蔽，風險波及范圍更大的安全漏洞[3]。

1 國內(nèi)外ICT供應(yīng)鏈安全研究

1.1 國外研究情況

ISO 28000供應(yīng)鏈安全管理體系系列標準是為了建立一個用于運輸和物流行業(yè)供應(yīng)鏈管理體系，適用于涉及采購、制造、倉儲或運輸?shù)裙?yīng)鏈任一環(huán)節(jié)的各類組織。ISO/IEC 27036《供應(yīng)商關(guān)系的信息安全》是第一部針對ICT供應(yīng)鏈安全的國際標準，其針對客戶和供應(yīng)商之間的購買與供應(yīng)關(guān)系（即供應(yīng)商關(guān)系），提出了供應(yīng)商管理框架，適用于ICT供應(yīng)商和采購方。NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風險管理方法》，旨在指導(dǎo)聯(lián)邦部門和機構(gòu)識別、評估和減輕ICT供應(yīng)鏈風險。

1.2 國內(nèi)研究情況

我國同樣重視ICT供應(yīng)鏈安全管理，出臺了有關(guān)ICT的國家標準。GB/T 29245-2012《信息安全技術(shù) 政府部門信息安全管理基本要求》中針對各政府部門的信息安全管理工作，規(guī)定了“采購管理”和“外包管理”要求。GB/T 32921-2016《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準則》規(guī)定了ICT供應(yīng)商所需遵守的行為準則。GB/T 22239-2019《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》在通用要求里提出了產(chǎn)品采購與使用、外包軟件開發(fā)、服務(wù)供應(yīng)商選擇等供應(yīng)鏈安全要求。GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風險管理指南》針對產(chǎn)品生命周期各個環(huán)節(jié)開展風險評估，以應(yīng)對供應(yīng)鏈安全風險，保障系統(tǒng)安全可靠的運行。

2 ICT供應(yīng)鏈安全風險

基于ICT供應(yīng)鏈的特性，針對ICT供應(yīng)鏈的攻擊更為隱蔽，并且影響范圍相對于傳統(tǒng)的安全漏洞更廣，故越來越多的攻擊者開始挖掘和利用ICT供應(yīng)鏈漏洞發(fā)起大規(guī)模攻擊。ICT供應(yīng)鏈攻擊主要體現(xiàn)在系統(tǒng)開發(fā)過程中的設(shè)計開發(fā)、交付使用環(huán)節(jié)。

2.1 在設(shè)計開發(fā)環(huán)節(jié)的攻擊

在系統(tǒng)設(shè)計開發(fā)環(huán)節(jié)會涉及開發(fā)環(huán)境、開發(fā)語言、開發(fā)工具、代碼函數(shù)庫等，這些方面的出現(xiàn)的安全漏洞，均會延伸至最終產(chǎn)品。如XcodeGhost開發(fā)工具污染事件，大量開發(fā)用戶無法在及時獲取官方Xcode版本的情況下，在非官方渠道下載被攻擊者注入惡意代碼的Xconde，導(dǎo)致編譯出的APP均帶有病毒，致使最終用戶在使用受感染APP時，會將隱私數(shù)據(jù)發(fā)送至特定IP地址，攻擊者則可非法使用獲取的隱私數(shù)據(jù)。

2.2 在交付使用環(huán)節(jié)的攻擊

終端用戶在獲取和使用最終形態(tài)產(chǎn)品時，也會遭受供應(yīng)鏈攻擊。如漢化版PuTTY后門事件，PuTTY是一個廣泛用于設(shè)備遠程維護的開源軟件，由于該軟件為英文版，攻擊者將木馬植入到漢化版的PuTTY，眾多使用者在第三方網(wǎng)站下載該軟件，并利用它來遠程管理設(shè)備，導(dǎo)致設(shè)備的身份鑒別信息被攻擊者獲取。同時，攻擊者利用系統(tǒng)的升級和維護過程，下載惡意軟件對系統(tǒng)造成損害。表1總結(jié)了近些年的ICT供應(yīng)鏈安全事件。

3 ICT供應(yīng)鏈安全管理模型

本文基于國內(nèi)外的安全指標，系統(tǒng)開發(fā)所面臨的供應(yīng)鏈風險，建立一種ICT供應(yīng)鏈安全管理模型，用于企業(yè)或組織實施ICT供應(yīng)鏈的安全管理。首先將ICT的內(nèi)容劃分為系統(tǒng)管理和技術(shù)開發(fā)兩大類，同時增加供應(yīng)鏈風險監(jiān)控，三者相互協(xié)同作用，保證供應(yīng)鏈安全。該模型如圖1所示。

圖1 ICT供應(yīng)鏈的安全管理模型

3.1 系統(tǒng)管理

根據(jù)企業(yè)或組織內(nèi)部關(guān)于信息系統(tǒng)管理，可根據(jù)劃分為：內(nèi)部管理和外部監(jiān)管，外部監(jiān)管分為：行業(yè)規(guī)范、政府監(jiān)管、法律法規(guī)、國家安全。在圖2中，可以清楚地看出系統(tǒng)管理中不同管理類別所覆蓋的范圍。首先，供應(yīng)鏈安全管理建立在不違反國家安全、法律法規(guī)、政府監(jiān)管以及行業(yè)規(guī)范的前提下。其次，在企業(yè)或組織的內(nèi)部管理應(yīng)包含供應(yīng)鏈安全管理。

圖2 系統(tǒng)管理類別

（1） 內(nèi)部管理

根據(jù)企業(yè)或組織的基礎(chǔ)設(shè)施情況，建立與之相關(guān)聯(lián)的設(shè)備廠商可信度管理表。同時，建立起從可靠性、完整性、可用性三方面為緯度的評價體系，來標度各設(shè)備廠商的可信度。該表可以為企業(yè)或組織的產(chǎn)品選型作為重要的參考依據(jù)。

表2 設(shè)備廠商可信度管理表

例如，很多企業(yè)使用開源項目Strusts應(yīng)用框架構(gòu)建自己的WEB系統(tǒng)，該產(chǎn)品在搭建WEB項目時采用MVC模式，開發(fā)者只需關(guān)注業(yè)務(wù)邏輯的實現(xiàn)，大大加快了開發(fā)進度。但是，近年來Struts2曝出多個高危安全漏洞，攻擊者可利用這些漏洞執(zhí)行遠程代碼執(zhí)行漏洞，取得服務(wù)器的“最高權(quán)限”，從而控制服務(wù)器，故開源項目Strusts應(yīng)用框架可靠性和完整性就會較低。

（2） 外部監(jiān)管

外部監(jiān)管包括了行業(yè)規(guī)范、政府監(jiān)管、法律法規(guī)、國家安全。這些監(jiān)管手段為企業(yè)或組織在構(gòu)建自身ICT供應(yīng)鏈安全管理起到了指引作用。

1）在企業(yè)或組織所在的行業(yè)中，具有行業(yè)相關(guān)的供應(yīng)鏈管理規(guī)范。如，我國工業(yè)高度重視信息安全，2011年工信部發(fā)布了“關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知”，其中針對設(shè)備選擇與升級做了明確要求。同時，國家出臺了《GB/T 36323-2018信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求》、《GB/T 36466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風險評估實施指南》、《GB/T 36470-2018信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備通用安全功能要求》等推薦標準，其中均有對工業(yè)控制供應(yīng)鏈的安全要求。

2）國家法律法規(guī)中提出了對ICT供應(yīng)鏈的管理要求。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，明確了ICT產(chǎn)業(yè)應(yīng)朝著安全可信的方向發(fā)展。同時，國家網(wǎng)信辦發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》，提出為保障國家安全，關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當在采購等環(huán)節(jié)落實國家網(wǎng)絡(luò)安全審查政策，將供應(yīng)鏈的安全性和可控性作為采購環(huán)節(jié)的重要參考點，提高信息通信產(chǎn)業(yè)安全可控水平，滿足網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可信的需求。2020年4月27日，國家互聯(lián)網(wǎng)信息辦公室等12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》，該辦法將重點關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風險，確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。

3.2 技術(shù)開發(fā)

在本文的ICT供應(yīng)鏈安全管理模型中，將技術(shù)開發(fā)分為基礎(chǔ)服務(wù)和系統(tǒng)開發(fā)，其中基礎(chǔ)服務(wù)的安全是系統(tǒng)高效安全開發(fā)的前提條件。

（1） 基礎(chǔ)服務(wù)

系統(tǒng)基礎(chǔ)服務(wù)包括系統(tǒng)開發(fā)所需要的硬件和軟件，具體如表3所示。

表3 基礎(chǔ)服務(wù)表

（2）系統(tǒng)開發(fā)

系統(tǒng)開發(fā)過程包括，設(shè)計、實施、測試、交付、部署、維護、處置，每個環(huán)節(jié)都可能遭受供應(yīng)鏈攻擊。故在每個環(huán)節(jié)中，均需建立風險監(jiān)控機制。在系統(tǒng)設(shè)計和實施環(huán)節(jié)，需做好源代碼審核，防止源代碼被非授權(quán)引入惡意代碼;在系統(tǒng)交付環(huán)節(jié)，需提供正規(guī)發(fā)布渠道，防止攻擊者將被注入病毒的產(chǎn)品推送給終端用戶;在系統(tǒng)維護環(huán)節(jié)，需規(guī)定系統(tǒng)到指定地址升級，并監(jiān)控升級數(shù)據(jù)情況，及時發(fā)現(xiàn)異常升級流量。匯總每個環(huán)節(jié)安全隱患，形成系統(tǒng)開發(fā)過程供應(yīng)鏈風險分析情況表。

表4 系統(tǒng)開發(fā)過程供應(yīng)鏈風險分析情況表

3.3 ICT供應(yīng)鏈風險監(jiān)控

ICT供應(yīng)鏈風險監(jiān)控過程包括：資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施、風險處理、風險評估。同時，可根據(jù)《基礎(chǔ)服務(wù)情況表》，在系統(tǒng)內(nèi)部署態(tài)勢感知檢測系統(tǒng)，對基礎(chǔ)服務(wù)內(nèi)的相關(guān)組件進行實時監(jiān)測，并進行集中匯總分析;可根據(jù)《設(shè)備廠商可信度管理表》，在進行資產(chǎn)風險分析時，綜合判斷資產(chǎn)所受威脅的程度;可根據(jù)《系統(tǒng)開發(fā)過程供應(yīng)鏈風險分析情況表》，全面分析供應(yīng)鏈所面臨威脅，真實反映供應(yīng)鏈安全狀態(tài)[6]。

圖3 ICT供應(yīng)鏈風險監(jiān)控

4 結(jié)束語

ICT供應(yīng)鏈安全管理是一項需要綜合考慮外部因素和內(nèi)部因素的系統(tǒng)性工作。本文是在深入分析國內(nèi)外ICT供應(yīng)鏈安全的情況下，從信息管理和技術(shù)開發(fā)兩大方面展開，并結(jié)合供應(yīng)鏈風險監(jiān)控，三者形成動態(tài)循環(huán)機制，建立了一種全方位的ICT供應(yīng)鏈安全管理模型。希望能夠為企業(yè)或組織進行ICT供應(yīng)鏈安全管理時提供參考。在后續(xù)工作中，將深入研究ICT供應(yīng)鏈廠商的評價機制，以及挖掘更多系統(tǒng)開發(fā)過程中供應(yīng)鏈所面臨的風險點，建立更加完整和有效的ICT供應(yīng)鏈安全管理模型。

參考文獻

[1] 網(wǎng)絡(luò). 供應(yīng)鏈系統(tǒng)[EB/OL]. https：//baike.baidu.com/item/供應(yīng)鏈系統(tǒng)/3151342，2020-6-2.

[2] 信息安全技術(shù)ICT供應(yīng)鏈安全風險管理指南：GB/T 36637-2018[S].北京：中國標準出版社，2018.

[3] 何熙巽，張玉清，劉奇旭. 軟件供應(yīng)鏈安全綜述[J]. 信息安全學(xué)報，2020，5（1）：57-73.

[4] 國家保密科技測評中心.《信息安全技術(shù) ICT供應(yīng)鏈安全風險管理指南》標準解讀：GB∕T 36637-2018[EB/OL].http：//www.gjbmj.gov.cn/n1/2020/0115/c411145-31550085.html，2020-1-15.

[5] 奇安信威脅情報中心. 軟件供應(yīng)鏈來源攻擊分析報告[EB/OL]. https：//www.freebuf.com/articles/paper/147403.html， 2017-9-12.

[6] 楊明華，董亮，何炳海.軟件供應(yīng)商評估體系的構(gòu)建研究[J]. 營銷界，2019（25）：68-78.

作者簡介

喬楓（1986-），男;職稱：工程師，現(xiàn)就職單位：上海市信息安全測評認證中心，研究方向：復(fù)雜網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。