ICT供應(yīng)鏈安全管理模型研究

摘 要 近些年，我國(guó)的信息和通信技術(shù)（ICT）發(fā)展迅速，并在各行各業(yè)中所承擔(dān)越來(lái)越重要的角色。然而，在全球技術(shù)合作的大背景下，攻擊者利用ICT供應(yīng)鏈的薄弱環(huán)節(jié)發(fā)起大量攻擊，并造成了大范圍的影響。故各國(guó)政府相繼出臺(tái)了ICT供應(yīng)鏈的安全管理規(guī)定，來(lái)保障國(guó)家關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)鏈的安全。本文基于系統(tǒng)管理、技術(shù)開(kāi)發(fā)以及風(fēng)險(xiǎn)監(jiān)控三方面，提出一種面向企業(yè)或組織的ICT供應(yīng)鏈安全管理模型。

關(guān)鍵詞 ICT;供應(yīng)鏈安全;管理模型

The Security Management Model of ICT Supply Chain

Qiao Feng

Shanghai Information Security Testing Evaluation and Certification Center， Shanghai? ?200011

Abstract Nowadays，as the rapid development of information and communication technology（ICT） in our country，ICT plays an important role in all walks of life. However， accompanied by technological globalization，More and more attackers have launched a massive attack on the weaknesses of the ICT supply chain， which created a lot of bad influence. In order to keep the national critical infrastructure safe， the various countries have introduced a series of regulatory policies that about ICT supply chain. In this paper， a new security management model of ICT supply chain is presented from the perspectives of systems management， technology development and risk management.

Keywords ICT; Supply chain; Management model

引言

一般傳統(tǒng)供應(yīng)鏈?zhǔn)侵笍淖匀毁Y源、原材料開(kāi)始，到根據(jù)需求將其加工制作成終端消費(fèi)者手中的最終產(chǎn)品，其間整條生產(chǎn)鏈上的業(yè)務(wù)關(guān)系的集成，參與方一般包括供應(yīng)商、制造商、經(jīng)銷商以及最終用戶。傳統(tǒng)供應(yīng)鏈多關(guān)注于原材料供應(yīng)、物流、成本以及用戶的滿意度[1]。在信息和通信技術(shù)的領(lǐng)域中，《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》提出ICT供應(yīng)鏈?zhǔn)侵浮盀闈M足供應(yīng)關(guān)系通過(guò)資源和過(guò)程將需方、供方相互連接的網(wǎng)鏈結(jié)構(gòu)，可用于將ICT的產(chǎn)品和服務(wù)提供給需方”[2]。隨著ICT的迅速發(fā)展，以及全球化的進(jìn)一步加深，供應(yīng)鏈網(wǎng)狀結(jié)構(gòu)日益復(fù)雜、涉及領(lǐng)域范圍更廣，故其所面臨的安全風(fēng)險(xiǎn)不斷攀升。攻擊者利用ICT供應(yīng)鏈特性，制造出更為隱蔽，風(fēng)險(xiǎn)波及范圍更大的安全漏洞[3]。

1 國(guó)內(nèi)外ICT供應(yīng)鏈安全研究

1.1 國(guó)外研究情況

ISO 28000供應(yīng)鏈安全管理體系系列標(biāo)準(zhǔn)是為了建立一個(gè)用于運(yùn)輸和物流行業(yè)供應(yīng)鏈管理體系，適用于涉及采購(gòu)、制造、倉(cāng)儲(chǔ)或運(yùn)輸?shù)裙?yīng)鏈任一環(huán)節(jié)的各類組織。ISO/IEC 27036《供應(yīng)商關(guān)系的信息安全》是第一部針對(duì)ICT供應(yīng)鏈安全的國(guó)際標(biāo)準(zhǔn)，其針對(duì)客戶和供應(yīng)商之間的購(gòu)買與供應(yīng)關(guān)系（即供應(yīng)商關(guān)系），提出了供應(yīng)商管理框架，適用于ICT供應(yīng)商和采購(gòu)方。NIST SP800-161《聯(lián)邦信息系統(tǒng)和組織供應(yīng)鏈風(fēng)險(xiǎn)管理方法》，旨在指導(dǎo)聯(lián)邦部門和機(jī)構(gòu)識(shí)別、評(píng)估和減輕ICT供應(yīng)鏈風(fēng)險(xiǎn)。

1.2 國(guó)內(nèi)研究情況

我國(guó)同樣重視ICT供應(yīng)鏈安全管理，出臺(tái)了有關(guān)ICT的國(guó)家標(biāo)準(zhǔn)。GB/T 29245-2012《信息安全技術(shù) 政府部門信息安全管理基本要求》中針對(duì)各政府部門的信息安全管理工作，規(guī)定了“采購(gòu)管理”和“外包管理”要求。GB/T 32921-2016《信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》規(guī)定了ICT供應(yīng)商所需遵守的行為準(zhǔn)則。GB/T 22239-2019《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在通用要求里提出了產(chǎn)品采購(gòu)與使用、外包軟件開(kāi)發(fā)、服務(wù)供應(yīng)商選擇等供應(yīng)鏈安全要求。GB/T 36637-2018《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》針對(duì)產(chǎn)品生命周期各個(gè)環(huán)節(jié)開(kāi)展風(fēng)險(xiǎn)評(píng)估，以應(yīng)對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)，保障系統(tǒng)安全可靠的運(yùn)行。

2 ICT供應(yīng)鏈安全風(fēng)險(xiǎn)

基于ICT供應(yīng)鏈的特性，針對(duì)ICT供應(yīng)鏈的攻擊更為隱蔽，并且影響范圍相對(duì)于傳統(tǒng)的安全漏洞更廣，故越來(lái)越多的攻擊者開(kāi)始挖掘和利用ICT供應(yīng)鏈漏洞發(fā)起大規(guī)模攻擊。ICT供應(yīng)鏈攻擊主要體現(xiàn)在系統(tǒng)開(kāi)發(fā)過(guò)程中的設(shè)計(jì)開(kāi)發(fā)、交付使用環(huán)節(jié)。

2.1 在設(shè)計(jì)開(kāi)發(fā)環(huán)節(jié)的攻擊

在系統(tǒng)設(shè)計(jì)開(kāi)發(fā)環(huán)節(jié)會(huì)涉及開(kāi)發(fā)環(huán)境、開(kāi)發(fā)語(yǔ)言、開(kāi)發(fā)工具、代碼函數(shù)庫(kù)等，這些方面的出現(xiàn)的安全漏洞，均會(huì)延伸至最終產(chǎn)品。如XcodeGhost開(kāi)發(fā)工具污染事件，大量開(kāi)發(fā)用戶無(wú)法在及時(shí)獲取官方Xcode版本的情況下，在非官方渠道下載被攻擊者注入惡意代碼的Xconde，導(dǎo)致編譯出的APP均帶有病毒，致使最終用戶在使用受感染APP時(shí)，會(huì)將隱私數(shù)據(jù)發(fā)送至特定IP地址，攻擊者則可非法使用獲取的隱私數(shù)據(jù)。

2.2 在交付使用環(huán)節(jié)的攻擊

終端用戶在獲取和使用最終形態(tài)產(chǎn)品時(shí)，也會(huì)遭受供應(yīng)鏈攻擊。如漢化版PuTTY后門事件，PuTTY是一個(gè)廣泛用于設(shè)備遠(yuǎn)程維護(hù)的開(kāi)源軟件，由于該軟件為英文版，攻擊者將木馬植入到漢化版的PuTTY，眾多使用者在第三方網(wǎng)站下載該軟件，并利用它來(lái)遠(yuǎn)程管理設(shè)備，導(dǎo)致設(shè)備的身份鑒別信息被攻擊者獲取。同時(shí)，攻擊者利用系統(tǒng)的升級(jí)和維護(hù)過(guò)程，下載惡意軟件對(duì)系統(tǒng)造成損害。表1總結(jié)了近些年的ICT供應(yīng)鏈安全事件。

3 ICT供應(yīng)鏈安全管理模型

本文基于國(guó)內(nèi)外的安全指標(biāo)，系統(tǒng)開(kāi)發(fā)所面臨的供應(yīng)鏈風(fēng)險(xiǎn)，建立一種ICT供應(yīng)鏈安全管理模型，用于企業(yè)或組織實(shí)施ICT供應(yīng)鏈的安全管理。首先將ICT的內(nèi)容劃分為系統(tǒng)管理和技術(shù)開(kāi)發(fā)兩大類，同時(shí)增加供應(yīng)鏈風(fēng)險(xiǎn)監(jiān)控，三者相互協(xié)同作用，保證供應(yīng)鏈安全。該模型如圖1所示。

圖1 ICT供應(yīng)鏈的安全管理模型

3.1 系統(tǒng)管理

根據(jù)企業(yè)或組織內(nèi)部關(guān)于信息系統(tǒng)管理，可根據(jù)劃分為：內(nèi)部管理和外部監(jiān)管，外部監(jiān)管分為：行業(yè)規(guī)范、政府監(jiān)管、法律法規(guī)、國(guó)家安全。在圖2中，可以清楚地看出系統(tǒng)管理中不同管理類別所覆蓋的范圍。首先，供應(yīng)鏈安全管理建立在不違反國(guó)家安全、法律法規(guī)、政府監(jiān)管以及行業(yè)規(guī)范的前提下。其次，在企業(yè)或組織的內(nèi)部管理應(yīng)包含供應(yīng)鏈安全管理。

圖2 系統(tǒng)管理類別

（1） 內(nèi)部管理

根據(jù)企業(yè)或組織的基礎(chǔ)設(shè)施情況，建立與之相關(guān)聯(lián)的設(shè)備廠商可信度管理表。同時(shí)，建立起從可靠性、完整性、可用性三方面為緯度的評(píng)價(jià)體系，來(lái)標(biāo)度各設(shè)備廠商的可信度。該表可以為企業(yè)或組織的產(chǎn)品選型作為重要的參考依據(jù)。

表2 設(shè)備廠商可信度管理表

例如，很多企業(yè)使用開(kāi)源項(xiàng)目Strusts應(yīng)用框架構(gòu)建自己的WEB系統(tǒng)，該產(chǎn)品在搭建WEB項(xiàng)目時(shí)采用MVC模式，開(kāi)發(fā)者只需關(guān)注業(yè)務(wù)邏輯的實(shí)現(xiàn)，大大加快了開(kāi)發(fā)進(jìn)度。但是，近年來(lái)Struts2曝出多個(gè)高危安全漏洞，攻擊者可利用這些漏洞執(zhí)行遠(yuǎn)程代碼執(zhí)行漏洞，取得服務(wù)器的“最高權(quán)限”，從而控制服務(wù)器，故開(kāi)源項(xiàng)目Strusts應(yīng)用框架可靠性和完整性就會(huì)較低。

（2） 外部監(jiān)管

外部監(jiān)管包括了行業(yè)規(guī)范、政府監(jiān)管、法律法規(guī)、國(guó)家安全。這些監(jiān)管手段為企業(yè)或組織在構(gòu)建自身ICT供應(yīng)鏈安全管理起到了指引作用。

1）在企業(yè)或組織所在的行業(yè)中，具有行業(yè)相關(guān)的供應(yīng)鏈管理規(guī)范。如，我國(guó)工業(yè)高度重視信息安全，2011年工信部發(fā)布了“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”，其中針對(duì)設(shè)備選擇與升級(jí)做了明確要求。同時(shí)，國(guó)家出臺(tái)了《GB/T 36323-2018信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求》、《GB/T 36466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》、《GB/T 36470-2018信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備通用安全功能要求》等推薦標(biāo)準(zhǔn)，其中均有對(duì)工業(yè)控制供應(yīng)鏈的安全要求。

2）國(guó)家法律法規(guī)中提出了對(duì)ICT供應(yīng)鏈的管理要求。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，明確了ICT產(chǎn)業(yè)應(yīng)朝著安全可信的方向發(fā)展。同時(shí)，國(guó)家網(wǎng)信辦發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》，提出為保障國(guó)家安全，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)在采購(gòu)等環(huán)節(jié)落實(shí)國(guó)家網(wǎng)絡(luò)安全審查政策，將供應(yīng)鏈的安全性和可控性作為采購(gòu)環(huán)節(jié)的重要參考點(diǎn)，提高信息通信產(chǎn)業(yè)安全可控水平，滿足網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可信的需求。2020年4月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室等12個(gè)部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》，該辦法將重點(diǎn)關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。

3.2 技術(shù)開(kāi)發(fā)

在本文的ICT供應(yīng)鏈安全管理模型中，將技術(shù)開(kāi)發(fā)分為基礎(chǔ)服務(wù)和系統(tǒng)開(kāi)發(fā)，其中基礎(chǔ)服務(wù)的安全是系統(tǒng)高效安全開(kāi)發(fā)的前提條件。

（1） 基礎(chǔ)服務(wù)

系統(tǒng)基礎(chǔ)服務(wù)包括系統(tǒng)開(kāi)發(fā)所需要的硬件和軟件，具體如表3所示。

表3 基礎(chǔ)服務(wù)表

（2）系統(tǒng)開(kāi)發(fā)

系統(tǒng)開(kāi)發(fā)過(guò)程包括，設(shè)計(jì)、實(shí)施、測(cè)試、交付、部署、維護(hù)、處置，每個(gè)環(huán)節(jié)都可能遭受供應(yīng)鏈攻擊。故在每個(gè)環(huán)節(jié)中，均需建立風(fēng)險(xiǎn)監(jiān)控機(jī)制。在系統(tǒng)設(shè)計(jì)和實(shí)施環(huán)節(jié)，需做好源代碼審核，防止源代碼被非授權(quán)引入惡意代碼;在系統(tǒng)交付環(huán)節(jié)，需提供正規(guī)發(fā)布渠道，防止攻擊者將被注入病毒的產(chǎn)品推送給終端用戶;在系統(tǒng)維護(hù)環(huán)節(jié)，需規(guī)定系統(tǒng)到指定地址升級(jí)，并監(jiān)控升級(jí)數(shù)據(jù)情況，及時(shí)發(fā)現(xiàn)異常升級(jí)流量。匯總每個(gè)環(huán)節(jié)安全隱患，形成系統(tǒng)開(kāi)發(fā)過(guò)程供應(yīng)鏈風(fēng)險(xiǎn)分析情況表。

表4 系統(tǒng)開(kāi)發(fā)過(guò)程供應(yīng)鏈風(fēng)險(xiǎn)分析情況表

3.3 ICT供應(yīng)鏈風(fēng)險(xiǎn)監(jiān)控

ICT供應(yīng)鏈風(fēng)險(xiǎn)監(jiān)控過(guò)程包括：資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)評(píng)估。同時(shí)，可根據(jù)《基礎(chǔ)服務(wù)情況表》，在系統(tǒng)內(nèi)部署態(tài)勢(shì)感知檢測(cè)系統(tǒng)，對(duì)基礎(chǔ)服務(wù)內(nèi)的相關(guān)組件進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并進(jìn)行集中匯總分析;可根據(jù)《設(shè)備廠商可信度管理表》，在進(jìn)行資產(chǎn)風(fēng)險(xiǎn)分析時(shí)，綜合判斷資產(chǎn)所受威脅的程度;可根據(jù)《系統(tǒng)開(kāi)發(fā)過(guò)程供應(yīng)鏈風(fēng)險(xiǎn)分析情況表》，全面分析供應(yīng)鏈所面臨威脅，真實(shí)反映供應(yīng)鏈安全狀態(tài)[6]。

圖3 ICT供應(yīng)鏈風(fēng)險(xiǎn)監(jiān)控

4 結(jié)束語(yǔ)

ICT供應(yīng)鏈安全管理是一項(xiàng)需要綜合考慮外部因素和內(nèi)部因素的系統(tǒng)性工作。本文是在深入分析國(guó)內(nèi)外ICT供應(yīng)鏈安全的情況下，從信息管理和技術(shù)開(kāi)發(fā)兩大方面展開(kāi)，并結(jié)合供應(yīng)鏈風(fēng)險(xiǎn)監(jiān)控，三者形成動(dòng)態(tài)循環(huán)機(jī)制，建立了一種全方位的ICT供應(yīng)鏈安全管理模型。希望能夠?yàn)槠髽I(yè)或組織進(jìn)行ICT供應(yīng)鏈安全管理時(shí)提供參考。在后續(xù)工作中，將深入研究ICT供應(yīng)鏈廠商的評(píng)價(jià)機(jī)制，以及挖掘更多系統(tǒng)開(kāi)發(fā)過(guò)程中供應(yīng)鏈所面臨的風(fēng)險(xiǎn)點(diǎn)，建立更加完整和有效的ICT供應(yīng)鏈安全管理模型。

參考文獻(xiàn)

[1] 網(wǎng)絡(luò). 供應(yīng)鏈系統(tǒng)[EB/OL]. https：//baike.baidu.com/item/供應(yīng)鏈系統(tǒng)/3151342，2020-6-2.

[2] 信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南：GB/T 36637-2018[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2018.

[3] 何熙巽，張玉清，劉奇旭. 軟件供應(yīng)鏈安全綜述[J]. 信息安全學(xué)報(bào)，2020，5（1）：57-73.

[4] 國(guó)家保密科技測(cè)評(píng)中心.《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)解讀：GB∕T 36637-2018[EB/OL].http：//www.gjbmj.gov.cn/n1/2020/0115/c411145-31550085.html，2020-1-15.

[5] 奇安信威脅情報(bào)中心. 軟件供應(yīng)鏈來(lái)源攻擊分析報(bào)告[EB/OL]. https：//www.freebuf.com/articles/paper/147403.html， 2017-9-12.

[6] 楊明華，董亮，何炳海.軟件供應(yīng)商評(píng)估體系的構(gòu)建研究[J]. 營(yíng)銷界，2019（25）：68-78.

作者簡(jiǎn)介

喬楓（1986-），男;職稱：工程師，現(xiàn)就職單位：上海市信息安全測(cè)評(píng)認(rèn)證中心，研究方向：復(fù)雜網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。