ICT供應鏈安全管理模型研究

摘 要 近些年，我國的信息和通信技術（ICT）發(fā)展迅速，并在各行各業(yè)中所承擔越來越重要的角色。然而，在全球技術合作的大背景下，攻擊者利用ICT供應鏈的薄弱環(huán)節(jié)發(fā)起大量攻擊，并造成了大范圍的影響。故各國政府相繼出臺了ICT供應鏈的安全管理規(guī)定，來保障國家關鍵基礎設施供應鏈的安全。本文基于系統(tǒng)管理、技術開發(fā)以及風險監(jiān)控三方面，提出一種面向企業(yè)或組織的ICT供應鏈安全管理模型。

關鍵詞 ICT;供應鏈安全;管理模型

The Security Management Model of ICT Supply Chain

Qiao Feng

Shanghai Information Security Testing Evaluation and Certification Center， Shanghai? ?200011

Abstract Nowadays，as the rapid development of information and communication technology（ICT） in our country，ICT plays an important role in all walks of life. However， accompanied by technological globalization，More and more attackers have launched a massive attack on the weaknesses of the ICT supply chain， which created a lot of bad influence. In order to keep the national critical infrastructure safe， the various countries have introduced a series of regulatory policies that about ICT supply chain. In this paper， a new security management model of ICT supply chain is presented from the perspectives of systems management， technology development and risk management.

Keywords ICT; Supply chain; Management model

引言

一般傳統(tǒng)供應鏈是指從自然資源、原材料開始，到根據需求將其加工制作成終端消費者手中的最終產品，其間整條生產鏈上的業(yè)務關系的集成，參與方一般包括供應商、制造商、經銷商以及最終用戶。傳統(tǒng)供應鏈多關注于原材料供應、物流、成本以及用戶的滿意度[1]。在信息和通信技術的領域中，《信息安全技術ICT供應鏈安全風險管理指南》提出ICT供應鏈是指“為滿足供應關系通過資源和過程將需方、供方相互連接的網鏈結構，可用于將ICT的產品和服務提供給需方”[2]。隨著ICT的迅速發(fā)展，以及全球化的進一步加深，供應鏈網狀結構日益復雜、涉及領域范圍更廣，故其所面臨的安全風險不斷攀升。攻擊者利用ICT供應鏈特性，制造出更為隱蔽，風險波及范圍更大的安全漏洞[3]。

1 國內外ICT供應鏈安全研究

1.1 國外研究情況

ISO 28000供應鏈安全管理體系系列標準是為了建立一個用于運輸和物流行業(yè)供應鏈管理體系，適用于涉及采購、制造、倉儲或運輸?shù)裙溔我画h(huán)節(jié)的各類組織。ISO/IEC 27036《供應商關系的信息安全》是第一部針對ICT供應鏈安全的國際標準，其針對客戶和供應商之間的購買與供應關系（即供應商關系），提出了供應商管理框架，適用于ICT供應商和采購方。NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織供應鏈風險管理方法》，旨在指導聯(lián)邦部門和機構識別、評估和減輕ICT供應鏈風險。

1.2 國內研究情況

我國同樣重視ICT供應鏈安全管理，出臺了有關ICT的國家標準。GB/T 29245-2012《信息安全技術 政府部門信息安全管理基本要求》中針對各政府部門的信息安全管理工作，規(guī)定了“采購管理”和“外包管理”要求。GB/T 32921-2016《信息安全技術 信息技術產品供應方行為安全準則》規(guī)定了ICT供應商所需遵守的行為準則。GB/T 22239-2019《信息安全技術 信息系統(tǒng)安全等級保護基本要求》在通用要求里提出了產品采購與使用、外包軟件開發(fā)、服務供應商選擇等供應鏈安全要求。GB/T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》針對產品生命周期各個環(huán)節(jié)開展風險評估，以應對供應鏈安全風險，保障系統(tǒng)安全可靠的運行。

2 ICT供應鏈安全風險

基于ICT供應鏈的特性，針對ICT供應鏈的攻擊更為隱蔽，并且影響范圍相對于傳統(tǒng)的安全漏洞更廣，故越來越多的攻擊者開始挖掘和利用ICT供應鏈漏洞發(fā)起大規(guī)模攻擊。ICT供應鏈攻擊主要體現(xiàn)在系統(tǒng)開發(fā)過程中的設計開發(fā)、交付使用環(huán)節(jié)。

2.1 在設計開發(fā)環(huán)節(jié)的攻擊

在系統(tǒng)設計開發(fā)環(huán)節(jié)會涉及開發(fā)環(huán)境、開發(fā)語言、開發(fā)工具、代碼函數(shù)庫等，這些方面的出現(xiàn)的安全漏洞，均會延伸至最終產品。如XcodeGhost開發(fā)工具污染事件，大量開發(fā)用戶無法在及時獲取官方Xcode版本的情況下，在非官方渠道下載被攻擊者注入惡意代碼的Xconde，導致編譯出的APP均帶有病毒，致使最終用戶在使用受感染APP時，會將隱私數(shù)據發(fā)送至特定IP地址，攻擊者則可非法使用獲取的隱私數(shù)據。

2.2 在交付使用環(huán)節(jié)的攻擊

終端用戶在獲取和使用最終形態(tài)產品時，也會遭受供應鏈攻擊。如漢化版PuTTY后門事件，PuTTY是一個廣泛用于設備遠程維護的開源軟件，由于該軟件為英文版，攻擊者將木馬植入到漢化版的PuTTY，眾多使用者在第三方網站下載該軟件，并利用它來遠程管理設備，導致設備的身份鑒別信息被攻擊者獲取。同時，攻擊者利用系統(tǒng)的升級和維護過程，下載惡意軟件對系統(tǒng)造成損害。表1總結了近些年的ICT供應鏈安全事件。

3 ICT供應鏈安全管理模型

本文基于國內外的安全指標，系統(tǒng)開發(fā)所面臨的供應鏈風險，建立一種ICT供應鏈安全管理模型，用于企業(yè)或組織實施ICT供應鏈的安全管理。首先將ICT的內容劃分為系統(tǒng)管理和技術開發(fā)兩大類，同時增加供應鏈風險監(jiān)控，三者相互協(xié)同作用，保證供應鏈安全。該模型如圖1所示。

圖1 ICT供應鏈的安全管理模型

3.1 系統(tǒng)管理

根據企業(yè)或組織內部關于信息系統(tǒng)管理，可根據劃分為：內部管理和外部監(jiān)管，外部監(jiān)管分為：行業(yè)規(guī)范、政府監(jiān)管、法律法規(guī)、國家安全。在圖2中，可以清楚地看出系統(tǒng)管理中不同管理類別所覆蓋的范圍。首先，供應鏈安全管理建立在不違反國家安全、法律法規(guī)、政府監(jiān)管以及行業(yè)規(guī)范的前提下。其次，在企業(yè)或組織的內部管理應包含供應鏈安全管理。

圖2 系統(tǒng)管理類別

（1） 內部管理

根據企業(yè)或組織的基礎設施情況，建立與之相關聯(lián)的設備廠商可信度管理表。同時，建立起從可靠性、完整性、可用性三方面為緯度的評價體系，來標度各設備廠商的可信度。該表可以為企業(yè)或組織的產品選型作為重要的參考依據。

表2 設備廠商可信度管理表

例如，很多企業(yè)使用開源項目Strusts應用框架構建自己的WEB系統(tǒng)，該產品在搭建WEB項目時采用MVC模式，開發(fā)者只需關注業(yè)務邏輯的實現(xiàn)，大大加快了開發(fā)進度。但是，近年來Struts2曝出多個高危安全漏洞，攻擊者可利用這些漏洞執(zhí)行遠程代碼執(zhí)行漏洞，取得服務器的“最高權限”，從而控制服務器，故開源項目Strusts應用框架可靠性和完整性就會較低。

（2） 外部監(jiān)管

外部監(jiān)管包括了行業(yè)規(guī)范、政府監(jiān)管、法律法規(guī)、國家安全。這些監(jiān)管手段為企業(yè)或組織在構建自身ICT供應鏈安全管理起到了指引作用。

1）在企業(yè)或組織所在的行業(yè)中，具有行業(yè)相關的供應鏈管理規(guī)范。如，我國工業(yè)高度重視信息安全，2011年工信部發(fā)布了“關于加強工業(yè)控制系統(tǒng)信息安全管理的通知”，其中針對設備選擇與升級做了明確要求。同時，國家出臺了《GB/T 36323-2018信息安全技術工業(yè)控制系統(tǒng)安全管理基本要求》、《GB/T 36466-2018信息安全技術工業(yè)控制系統(tǒng)風險評估實施指南》、《GB/T 36470-2018信息安全技術工業(yè)控制系統(tǒng)現(xiàn)場測控設備通用安全功能要求》等推薦標準，其中均有對工業(yè)控制供應鏈的安全要求。

2）國家法律法規(guī)中提出了對ICT供應鏈的管理要求。2017年6月1日，《中華人民共和國網絡安全法》正式實施，明確了ICT產業(yè)應朝著安全可信的方向發(fā)展。同時，國家網信辦發(fā)布《關鍵信息基礎設施安全保護條例（征求意見稿）》，提出為保障國家安全，關鍵信息基礎設施運營者應當在采購等環(huán)節(jié)落實國家網絡安全審查政策，將供應鏈的安全性和可控性作為采購環(huán)節(jié)的重要參考點，提高信息通信產業(yè)安全可控水平，滿足網絡產品和服務安全可信的需求。2020年4月27日，國家互聯(lián)網信息辦公室等12個部門聯(lián)合發(fā)布了《網絡安全審查辦法》，該辦法將重點關注關鍵信息基礎設施采購網絡產品和服務可能帶來的國家安全風險，確保關鍵信息基礎設施供應鏈安全。

3.2 技術開發(fā)

在本文的ICT供應鏈安全管理模型中，將技術開發(fā)分為基礎服務和系統(tǒng)開發(fā)，其中基礎服務的安全是系統(tǒng)高效安全開發(fā)的前提條件。

（1） 基礎服務

系統(tǒng)基礎服務包括系統(tǒng)開發(fā)所需要的硬件和軟件，具體如表3所示。

表3 基礎服務表

（2）系統(tǒng)開發(fā)

系統(tǒng)開發(fā)過程包括，設計、實施、測試、交付、部署、維護、處置，每個環(huán)節(jié)都可能遭受供應鏈攻擊。故在每個環(huán)節(jié)中，均需建立風險監(jiān)控機制。在系統(tǒng)設計和實施環(huán)節(jié)，需做好源代碼審核，防止源代碼被非授權引入惡意代碼;在系統(tǒng)交付環(huán)節(jié)，需提供正規(guī)發(fā)布渠道，防止攻擊者將被注入病毒的產品推送給終端用戶;在系統(tǒng)維護環(huán)節(jié)，需規(guī)定系統(tǒng)到指定地址升級，并監(jiān)控升級數(shù)據情況，及時發(fā)現(xiàn)異常升級流量。匯總每個環(huán)節(jié)安全隱患，形成系統(tǒng)開發(fā)過程供應鏈風險分析情況表。

表4 系統(tǒng)開發(fā)過程供應鏈風險分析情況表

3.3 ICT供應鏈風險監(jiān)控

ICT供應鏈風險監(jiān)控過程包括：資產識別、威脅識別、脆弱性識別、已有安全措施、風險處理、風險評估。同時，可根據《基礎服務情況表》，在系統(tǒng)內部署態(tài)勢感知檢測系統(tǒng)，對基礎服務內的相關組件進行實時監(jiān)測，并進行集中匯總分析;可根據《設備廠商可信度管理表》，在進行資產風險分析時，綜合判斷資產所受威脅的程度;可根據《系統(tǒng)開發(fā)過程供應鏈風險分析情況表》，全面分析供應鏈所面臨威脅，真實反映供應鏈安全狀態(tài)[6]。

圖3 ICT供應鏈風險監(jiān)控

4 結束語

ICT供應鏈安全管理是一項需要綜合考慮外部因素和內部因素的系統(tǒng)性工作。本文是在深入分析國內外ICT供應鏈安全的情況下，從信息管理和技術開發(fā)兩大方面展開，并結合供應鏈風險監(jiān)控，三者形成動態(tài)循環(huán)機制，建立了一種全方位的ICT供應鏈安全管理模型。希望能夠為企業(yè)或組織進行ICT供應鏈安全管理時提供參考。在后續(xù)工作中，將深入研究ICT供應鏈廠商的評價機制，以及挖掘更多系統(tǒng)開發(fā)過程中供應鏈所面臨的風險點，建立更加完整和有效的ICT供應鏈安全管理模型。

參考文獻

[1] 網絡. 供應鏈系統(tǒng)[EB/OL]. https：//baike.baidu.com/item/供應鏈系統(tǒng)/3151342，2020-6-2.

[2] 信息安全技術ICT供應鏈安全風險管理指南：GB/T 36637-2018[S].北京：中國標準出版社，2018.

[3] 何熙巽，張玉清，劉奇旭. 軟件供應鏈安全綜述[J]. 信息安全學報，2020，5（1）：57-73.

[4] 國家保密科技測評中心.《信息安全技術 ICT供應鏈安全風險管理指南》標準解讀：GB∕T 36637-2018[EB/OL].http：//www.gjbmj.gov.cn/n1/2020/0115/c411145-31550085.html，2020-1-15.

[5] 奇安信威脅情報中心. 軟件供應鏈來源攻擊分析報告[EB/OL]. https：//www.freebuf.com/articles/paper/147403.html， 2017-9-12.

[6] 楊明華，董亮，何炳海.軟件供應商評估體系的構建研究[J]. 營銷界，2019（25）：68-78.

作者簡介

喬楓（1986-），男;職稱：工程師，現(xiàn)就職單位：上海市信息安全測評認證中心，研究方向：復雜網絡、網絡安全。