李祥兵,王光林,孙志伟,李科,权晓文,黄锐
(1. 河南省安阳市公安局网安支队,河南 安阳455001;2. 远江盛邦(北京)网络安全科技股份有限公司,北京 100084)
信息通信技术(Information and Communications Technology, ICT)供应链安全是一个涉及面广、影响范围大的全球性的问题,其安全性需要综合考虑供应商多样性、产品服务复杂性、全生命周期覆盖性三个维度的特性。任何一个维度的任一环节出现问题,例如供应链中的任一供应商、产品/服务中的任一组件、信息系统生命周期的任一阶段出现安全隐患,都可能造成ICT产品、系统或服务不安全,进而导致ICT 供应链安全风险。因此,与传统领域的实体供应链相比,ICT供应链面临的安全风险更为复杂多变,更为多样化。
本文首先系统梳理了美国、欧盟、俄罗斯、韩国等信息发达国家在ICT供应链安全方面的工作,进而分析了ICT供应链安全可能面临的风险,并结合我国的相关工作现状提出了工作建议。
美国一直非常关注供应链安全,从2000年起就一直在颁布各类政策来保障安全[1],见表1。
表1 2000年-2017年的关注点
年份 关注点2007年 国土安全部出台了《增强国际供应链安全的国家战略》2008年发布了国家网络安全综合计划(CNCI),强调建立全方位措施以进行全球供应链风险管理,将IT供应链安全问题上升到了国家威胁和国家对抗的层面2009年奥巴马政府发布《美国网络安全空间安全政策评估报告》,将IT供应链安全纳入国家安全的范畴2011年美国政府发布《联邦风险及授权管理计划》,强化了云计算服务商的供应链安全管理2016年奥巴马总统直属的美国国家网络安全促进委员会发布《加强国家网络安全——促进数字经济的安全与发展》报告,提出了维护数字经济安全与发展的十大原则,其中第9条强调了供应链安全的重要性2017年美国国土安全部提出了新供应链风险管理计划—持续诊断与缓解项目CDM,该项目重视物理安全,且旨在通过产品、服务等认证认可的方式强化供应链安全
欧盟从其自身利益出发,高度重视供应链安全问题,他们通过制定欧盟内部通用的供应链产品和服务安全要求的方式,加强供应链安全管理,强化市场手段和企业力量的利用。
2012年4月,欧盟出台了《云计算合同安全服务水平监测指南》,针对云计算服务这一新技术新应用,通过检测、核查等技术手段加强云计算合同的安全管理。2016年7月,欧洲议会通过了《网络与信息安全指令》,该指令从欧盟层面提出了供应链安全管理方面统一的安全保障要求,利用该指令可以促进欧盟成员国间安全战略协作和信息共享,基于风险管理的理念提升欧盟整体的网络安全保障水平。
俄罗斯在ICT供应链安全方面一直强调国产化应用和替代。
2013年11月,俄罗斯发布《俄罗斯联邦2014-2020年信息技术产业发展战略和2025年前景展望》,提出了他们保障国家信息安全的政策战略和手段,其中重点强调了研发自主可控高水平的信息安全产品,用来替代进口产品的战略。综上所述,美、欧、俄等信息技术发达国家均十分重视ICT供应链安全,从国家层面发布了一系列政策战略,用以提高认识、保障国家网络安全。
在亚洲经济发展属于前列的韩国也非常注重供应链安全,韩国一直支持发展开源技术,坚持以公共需求带动国产化应用,降低国际依赖。
2011年5月,韩国发布“云计算推广及竞争力强化战略”,旨在通过打造安全的使用环境,在五年内使韩国国内云计算的使用率达到15%。2012年6月,韩国政府表示未来五年,在国防软件国产化项目上投入430亿韩元,实现韩国武器体系核心软件的国产化。2014年6月,韩国政府声明为了降低对微软软件的依赖性,将与开源软件界进行谈判,在2020年之前全部换用开源软件。
我国政府高度重视信息技术产品安全可控,2016年11月通过的《网络安全法》明确要求“支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务”。2016年12月发布的《国家网络空间安全战略》明确提出“加强供应链安全管理”、“提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益”。
华为作为中国IT行业的领军企业,它将供应链安全管理纳入其端到端全球网络安全保障体系,建立了一个符合ISO28000的全面供应链安全管理体系,从来料到客户交付的端到端流程中识别安全风险,并使其最小化。华为根据供应商的体系、流程和产品来选择和认证供应商,并持续监控、定期评估供应商的交付绩效,选择那些对华为所采购的产品和服务的质量和安全做出贡献的供应商。华为建立了一个全流程可视的可追溯系统,对于第三方部件,会在来料、生产和交付流程中检查其完整性,记录其表现。
该部分针对多个国内外标准化组织在ICT供应链安全方面的工作进行了梳理,从而为我国相关工作的开展提供参考和借鉴。
国家化标准组织(International Organization for Standardization,ISO)将供应链风险管理分为了两类:传统供应链安全管理和传统供应链信息安全管理。其中,后者更为重视网络安全。
表2 2005年-2015年的标准规范和关注点
年份 标准规范 关注点2006年I S O/P A S 28001《供应链安全管理体系供应链安全的最佳实践规范评估和计划》与上面标准配套使用,提供了实用的指导,为独立第三方的审核活动提供选项2009年《IT供应链安全风险管理标准草案》美国向ISO下属的JTC1提出了IT供应链安全风险管理标准草案,SC27对此作了专门研究,英国、日本等国提出了补充建议2010年I S O/ I E C 27036《信息技术 安全技术供应商关系信息安全》ISO决定重新调整ISO/IEC 27036《信息技术安全技术供应商关系的信息安全》的结构,增加对供应链安全管理的要求2013年I S O/ I E C 27036 -3《信息技术安全技术供应商关系信息安全 第3部分ICT供应链安全管理指南》ISO于2013年10月完成相关修订工作,发布27036-3,添加了对供应链安全管理的内容,2015年ISO/TS《社会安全 业务连续性管理体系供应链连续性指南》该标准为企业建立合适的供应链连续性管理提供了指南,通过建立业务连续性管理体系,保持相关业务的连续性
美国国家标准技术研究院NIST于2008年启动了非国家安全信息系统供应链风险管理实践开发计划,即ICT SCRM。
该计划推荐使用已有的标准SP 800-37《风险管理框架应用到联邦信息系统中指南:一种安全生命周期方法》和SP 800-39《管理信息安全风险:组织、任务和信息系统视角》来加强ICT供应链安全风险的管理程序,包括识别和评估可能的风险、确定可能的应对措施,选定应对措施并实施、措施效果监督评估等。
同时,NIST积极制定新的标准规范,以强化ICT供应链安全管理。2012年,发布了NIST IR7622《联邦信息系统供应链风险管理实践》,该标准提供了一种可以在联邦信息系统供应链中使用的具体实践,旨在消除购买、开发和运营过程等供应链全生命周期中可能影响联邦信息系统的高风险。2015年,发布了SP 800-161《联邦信息系统和组织供应链风险管理实践》,该指南为联邦机构指定ICT供应链相关政策和程序、管理供应链安全风险提供了其实有效的指导。该指南还提供了一整套的评估和管理供应链风险的程序模板,列出了可能的威胁事件和可供参考的风险框架,指导性作用极强。
欧盟委员会方面于2017年10月4日公布了关于“修改ENISA授权立法和建立信息通信技术产品和服务网络安全认证制度”的立法草案。该法案自称“网络安全法”(Cybersecurity Act,以下称“欧盟网络安全法”)。欧盟网络安全法的实质是欧盟网络和信息安全局(ENISA)的授权法,为2004年成立的ENISA赋予新职能,将其改建为欧盟的“网络安全局”,负责在欧盟层面制定和执行网络安全政策、提升网络安全能力、搜集网络安全信息、构建统一网络安全产品和服务市场,以及研发和创新等工作。根据该法授权,ENISA的一项重要任务就是建立欧盟层面的信息通信技术产品和服务(ICT产品和服务)网络安全认证制度。目前,欧盟没有欧盟层面统一的ICT产品和服务网络安全认证制度,主要依靠各成员国自行组织认证。有的成员国有相关认证制度,有的成员国没有,并且认证所依据的技术标准也不完全统一,企业同一件产品或服务在不同国家需要重复认证。此次欧盟建立ICT产品和服务网络安全认证制度,一方面是为了提高欧盟域内的网络安全水平,另一方面也是为了建立统一市场,实现“一次认证,全域通行”,取代各成员国现有认证体系。
欧盟网络安全法草案并未规定ICT产品和服务网络安全认证制度的具体细节,而是建立了一个框架性制度,规定了认证制度要实现的目标和应包含的要素,并授权ENISA具体负责建立认证制度。
我国的标准化委员会针对ICT供应链安全方面开展了一系列工作,包括发布了GB/T 31722《信息技术 安全技术 信息安全风险管理》(采标于ISO相关标准,强调安全风险管理)和GB/T 24420《供应链风险管理指南》(通过明确供应链环境信息,充分识别供应链风险,属于大安全领域)。
此外,信息安全标准化委员会正在制定《信息安全技术 ICT供应链安全风险管理指南》,该标准梳理了ICT供应链与传统供应链安全管理的不同特点,进而系统呈现了ICT供应链的安全威胁、脆弱性和可能存在的风险,目前该标准已经推进到征求意见稿阶段。
综上所述,标准规范作为一项强化ICT供应链安全评价的重要抓手,受到了各方的密切关注和重视,均结合各自的实际情况,开展了一系列标准规范制定工作。
信息技术产品由于其多样的产品和服务形态,复杂的产品实现功能、异构的应用场景,导致ICT供应链面临着各种安全威胁,轻则导致产品和服务出现异常,重则导致重要信息泄露、重要服务中止等安全风险。ICT供应链面临的主要安全威胁可以分为恶意篡改、假冒伪劣、供应中断、信息泄露或违规操作、其他威胁等五类,均可能严重破坏ICT供应链的完整性、可用性和保密性。
恶意篡改可能是外在原因(如恶意程序、高级木马、外部组件、非授权部件等)、也可能是内在原因(如非授权配置、供应链信息篡改等)导致的。恶意篡改可能存在于在ICT供应链的设计、开发、采购、生产、仓储、物流、销售、维护、返回等任何一个环节,也可能是多发性的存在于上述多个环节,从而导致信息技术产品和服务机密性、完整性和可用性的破坏。
假冒伪劣属于信息技术产品和服务本身可能存在的问题,也可能是由于供应过程中缺乏严格管理导致的外在产品和服务混杂其中引发的安全威胁问题。按照产品和服务本身特性来分,又可以分为假冒产品和服务、不合格产品和服务、未经授权生产的产品和服务。
供应中断则是更为严重的问题,它是由于人为或者不可抗力的原因,导致ICT供应链的中断或终止。按照引发供应中断的因素来划分,可以分为人为引发的中断、基础设施故障引发的中断、国际国内环境引发的中断、不正当竞争导致的中断等类别。
信息泄露是指ICT供应链上产生和传递的信息被未授权泄露,这些信息可能是个人隐私信息、商业机密信息、国家重要信息。在欧盟通用数据保护条例正式颁布实施以及我国网络安全法及其配套标准规范不断强化数据保护的今天,由于供应链安全引发的数据泄露威胁亟需受到重视。
违规操作是ICT供应方内部可能产生的违规操作行为。比如,违规收集和使用个人隐私数据、违规访问内部数据和/或组件、大数据滥用、产品和服务违规配置等。从某种意义上讲,违规操作导致的后果可能比外部的安全威胁更为严重。
除上述安全威胁外,ICT 供应链还存在许多其他威胁或挑战,如合规差异性挑战,即当前全球各区域的网络安全法规标准可能存在差异,导致在各个国家和地区提供的产品和服务由于不满足生产、销售、使用区域的法律法规、标准规范,从而无法在当地生产、销售、使用。
正是由于上述纷繁复杂的ICT供应链安全威胁,才导致ICT供应链可能存在着诸多的安全风险。信息技术产品生命周期十分复杂,涉及到产品供应方、产品应用方、产品供应链各环节供应方,如知识产权供应方、设计生产工具供应方、核心部件供应方等,因而其安全风险可能存在于各个环节,具体如图1所示。
图1 ICT产品和服务生命周期示意图
“中兴事件”后,我国亟需重视自主可控,从源头上提高ICT产品和服务的供给能力,打造完整、可控、优质的ICT产品和服务供应链。然而,从自主可控的角度出发,ICT产品和服务可能面临的风险如下图所示的安全风险。
通过图2可以看出,ICT供应链安全风险可能存在于ICT产品和服务的全生命周期中,比如研发生产评价、供应链评价、运维服务评价等[3]。同时ICT供应链安全风险可能是由于上述各种安全威胁引发的,同时还可能是由于上述多种威胁复合引发,从而产生更为严重的后果。
图2 ICT产品和服务可能面临的风险
首先,由于ICT产品和服务的不可控,可能会被非法控制、干扰和中断运行。如产品或服务完全依赖美国的因特尔芯片和微软的操作系统,就可能面临着不可控的安全漏洞问题,这些安全漏洞一旦爆发就会引发极为严重的后果。同时,乌克兰核设施面临的“震网病毒”定向攻击,本质上也是由于它们的工控设施不可控导致的。
其次ICT产品和服务可能存在研发、交付、技术支持等环节面临着周期加长、服务质量下降甚至中断的风险。因为产品的关键部件严重依赖于外部提供商,又不存在替代方案,必然导致话语权的丧失。
其次,外部不可控的产品和服务可能存在数据过度收集、非法采集的风险,从而引发侵犯个人信息隐私和泄露重要数据等问题。
最后,由于长期和不可替代的依赖于外部提供的产品和服务,自己不具备自主可控性,就会面临着产品和服务提供商利用其垄断或优势地位实施的不正当竞争或损害用户利益的风险。
综上,ICT产品和服务的安全威胁复杂多样,从而导致安全风险多发频发,亟需引起ICT供应链各方的重视,不断加强风险防控,提高安全防护和应对能力。
通过梳理上述各国针对ICT供应链安全评价的战略政策、标准规范,结合ICT产品和服务可能面临的安全风险,本部分尝试对我国工作提出相关建议。
我国ICT供应链国家安全监管制度应当确立“合作包容”的理念[4-5]。审查过程必须联合有关业务和安全主管部门,打组合拳,共同进行科学的战略规划与统筹布局,把ICT供应链安全监管作为国家网络安全战略的重要组成部分,从顶层设计和战略性高度着力应对。
同时,借鉴信息技术发达国家的有益经验,建立健全我国的ICT供应链安全监管体系。一是加强宏观的国家层面安全监管体系建设,强化立法协调、政策制定和战略规划;二是加强安全监管行业建设,统筹各方力量,制定相应的规章制度,加强行业的建设与管理;三是加强安全监督执行单位的内部管理,加强安全评估单位内部的规范化建设。
NIST SP80-161的制定借鉴了SP 800-39和SP800-53中有关ICT供应链风险管理的方法学,参考了SP 800-39中提出的多层次的风险管理结构及方法,对SP800-53中已有的控制措施进行了补充说明和个性化调整[6]。
建议充分借鉴和参考ISO、NIST等相关工作,结合我国ICT供应链安全评价的实际工作,制定适合我国国情的ICT供应链安全评价标准,
重点涵盖针对大数据、移动互联网、工业互联网、物联网等新技术新应用的供应链风险管理。
同时,标准制定过程中需要注重两方面工作:一方面加强与国家社会的沟通协调,尽量与国家通用标准保持一致;二是保持与我国现有法律法规、标准体系的一致性,比如关键信息基础设施安全保护制度、信息安全产品认证认可制度等。
根据分析对象的不同,ICT供应链安全可以划分为ICT产品供应链安全与ICT服务供应链安全,两者在技术风险控制点、供应链安全管理和法律规制等方面存在着若干的不同特点。
然而在ICT供应链安全风险评价理论、方法、流程、工具等方面又是基本类同的。因此在实际的供应链安全评价工作中,应当统筹分析两者的使用场景、评价对象、评价目的等,兼顾两者的特点,全面客观有效的分析供应链全生命周期中可能存在的风险,进而提出相关的应对措施,并对应对措施的实施效果进行监督评价。
ICT供应链安全风险评价的每个环节,都需要依靠专业人员完成,因此,必须培养和打造一支懂技术、懂管理的ICT供应链安全评价专业力量,推进全国范围内ICT供应链安全评价整体力量建设。
可以参考借鉴美国根据《国家网络安全计划》(NICE)、《网络安全国家行动计划》(CNAP)制定的《联邦网络安全人才战略》的相关内容,制定我国的ICT供应链安全评价与监管人才战略与实施计划,具体从以下3个方面展开工作:一是确定ICT供应链安全评价与监管的专业人才需求;二是通过教育与培训扩充评价与监管专业人才队伍;三是开发、保留与使用好该领域高技能专业人才。
ICT供应链安全风险评价是一项十分重要的工作,事关网络安全与国家安全。本文从战略政策角度系统梳理了美国、欧盟、俄罗斯等信息技术发达国家的研究现状;从标准规范角度梳理了ISO、NIST以及我国标准化委员会的相关工作,并分析了ICT产品和服务供应链可能存在的安全风险点。
结合我国工作实际,从制度建立、标准制定、工作开展和人才培养等维度提出了对我国ICT供应链安全风险评价工作的建议。