近年來(lái),針對(duì)ICT供應(yīng)鏈的安全攻擊事件呈快速增長(zhǎng)態(tài)勢(shì),開(kāi)源軟件頻繁曝出的高危漏洞、軟件廠家為維護(hù)便利而內(nèi)置的默認(rèn)權(quán)限或后門(mén)、源代碼泄露造成的0Day、nDay漏洞攻擊事件等,都給ICT供應(yīng)鏈帶來(lái)了巨大的安全挑戰(zhàn)。
與傳統(tǒng)供應(yīng)鏈相比,ICT供應(yīng)鏈具有許多不同的特點(diǎn):
首先,ICT供應(yīng)鏈涵蓋ICT產(chǎn)品和服務(wù)的全生命周期,包括傳統(tǒng)供應(yīng)鏈的生產(chǎn)、集成、倉(cāng)儲(chǔ)、交付等供應(yīng)階段,也包括產(chǎn)品服務(wù)的設(shè)計(jì)開(kāi)發(fā)階段和售后維護(hù)階段,
其次,ICT產(chǎn)品由全球分布的供應(yīng)商開(kāi)發(fā)、集成或交付,供應(yīng)鏈的全球分布性使得客戶對(duì)供應(yīng)鏈的掌握情況和安全風(fēng)險(xiǎn)控制能力在下降,
最后,傳統(tǒng)供應(yīng)鏈主要關(guān)注產(chǎn)品的交付和供應(yīng)鏈的健壯性,而ICT供應(yīng)鏈安全更關(guān)注是否會(huì)有額外的功能注入產(chǎn)品和服務(wù)中,交付的產(chǎn)品和服務(wù)是否與預(yù)期一致等安全特性。這些特點(diǎn)使得ICT供應(yīng)鏈比傳統(tǒng)供應(yīng)鏈存在更多的安全風(fēng)險(xiǎn)。
為了保障ICT供應(yīng)鏈安全,國(guó)家市場(chǎng)監(jiān)督管理總局和中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了GB/T36637-2018《信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(以下簡(jiǎn)稱《指南》),來(lái)規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)管理。
《指南》規(guī)定了信息通信技術(shù)(以下簡(jiǎn)稱ICT)供應(yīng)鏈的安全風(fēng)險(xiǎn)管理過(guò)程和控制措施,適用于重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的ICT供方和運(yùn)營(yíng)者對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)管理,也適用于指導(dǎo)ICT產(chǎn)品和服務(wù)的供方和需方加強(qiáng)供應(yīng)鏈安全管理,同時(shí)還可供第三方測(cè)評(píng)機(jī)構(gòu)對(duì)ICT供應(yīng)鏈進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)參考。
《指南》分為7個(gè)部分和3個(gè)附錄,主要包括術(shù)語(yǔ)定義、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程、安全控制措施、ICT供應(yīng)鏈概述、ICT供應(yīng)鏈安全威脅、ICT供應(yīng)鏈安全脆弱性等內(nèi)容,具體如下圖所示。
《指南》在第六章中明確了ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的步驟和實(shí)施細(xì)則。針對(duì)ICT供應(yīng)鏈可能面臨的安全風(fēng)險(xiǎn),明確了建立ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程。ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理過(guò)程由背景分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)督和檢查、風(fēng)險(xiǎn)溝通和記錄5個(gè)步驟組成,具體如下圖所示。
根據(jù)《指南》的要求,我們認(rèn)為企業(yè)組織在開(kāi)展ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理時(shí),可以采取以下應(yīng)對(duì)機(jī)制:
一、提升企業(yè)安全可控能力
目前很多企業(yè)普遍存在ICT供應(yīng)鏈安全管理缺失或管控不嚴(yán),供應(yīng)鏈安全管理履職不到位,供應(yīng)商的準(zhǔn)入機(jī)制不健全,盡職調(diào)查和風(fēng)險(xiǎn)評(píng)估不深入等問(wèn)題。為有效解決上述問(wèn)題,組織應(yīng)根據(jù)整體風(fēng)險(xiǎn)管理策略、信息安全策略、科技外包戰(zhàn)略,建立供應(yīng)鏈安全風(fēng)險(xiǎn)管理辦法(如下圖所示),加強(qiáng)供應(yīng)鏈安全政策導(dǎo)向和統(tǒng)籌管理,明確供應(yīng)鏈安全管理的組織架構(gòu)和職責(zé)、管理機(jī)制、技術(shù)要求、風(fēng)險(xiǎn)監(jiān)測(cè)、審計(jì)監(jiān)督等。
二、摸清供應(yīng)鏈安全風(fēng)險(xiǎn)底限
ICT供應(yīng)鏈安全涉及信息化產(chǎn)品和服務(wù)的全生命周期,包括設(shè)計(jì)、開(kāi)發(fā)、集成等階段,以及交付后的安裝、運(yùn)維等過(guò)程。目前企業(yè)主要面臨供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)、供應(yīng)鏈中斷風(fēng)險(xiǎn)等ICT供應(yīng)鏈安全風(fēng)險(xiǎn)。針對(duì)上述問(wèn)題,組織應(yīng)定期開(kāi)展ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估,摸清風(fēng)險(xiǎn)底數(shù),及時(shí)開(kāi)展排查整改。
ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估,分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)三個(gè)環(huán)節(jié)。
1、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別
ICT供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別,分為資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、現(xiàn)有處置措施識(shí)別四個(gè)步驟。
首先需要對(duì)ICT供應(yīng)鏈關(guān)鍵資產(chǎn)進(jìn)行識(shí)別,關(guān)鍵資產(chǎn)的可用性對(duì)組織的產(chǎn)品和服務(wù)的功能或質(zhì)量具有直接影響。ICT供應(yīng)鏈資產(chǎn)主要包括物理設(shè)施、硬件設(shè)備、信息系統(tǒng)、數(shù)據(jù)、人員、服務(wù)。具體如表1所示:
表1 ICT供應(yīng)鏈資產(chǎn)分類
完成資產(chǎn)識(shí)別后,需對(duì)ICT供應(yīng)鏈全生命周期所面臨的威脅進(jìn)行識(shí)別,ICT供應(yīng)鏈安全威脅識(shí)別分為威脅來(lái)源識(shí)別、威脅類型識(shí)別。
威脅主要來(lái)源于ICT供應(yīng)鏈的設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)、集成、倉(cāng)儲(chǔ)、交付、運(yùn)維、廢棄等環(huán)節(jié)的環(huán)境因素、供應(yīng)鏈攻擊和人為錯(cuò)誤,具體如表2所示:
表2 ICT供應(yīng)鏈安全威脅來(lái)源
ICT供應(yīng)鏈安全威脅類型主要包括:惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作和其他威脅等,具體如表3所示:
表3 ICT供應(yīng)鏈安全威脅類型
ICT供應(yīng)鏈脆弱性是在產(chǎn)品和服務(wù)的全生命周期各環(huán)節(jié)中能夠被威脅利用的缺陷,應(yīng)圍繞ICT供應(yīng)鏈關(guān)鍵資產(chǎn)展開(kāi),針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的脆弱性,并對(duì)其嚴(yán)重程度進(jìn)行評(píng)估。
安全措施識(shí)別是指對(duì)ICT供應(yīng)鏈現(xiàn)有或已計(jì)劃的安全措施進(jìn)行識(shí)別,并對(duì)安全措施的有效性進(jìn)行確認(rèn)。主要評(píng)估方法包括資料審閱、人員訪談、現(xiàn)場(chǎng)觀察、系統(tǒng)查看、數(shù)據(jù)分析、其他成果利用等,具體如下圖所示。
2、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)分析
針對(duì)每個(gè)安全威脅場(chǎng)景,組織應(yīng)評(píng)估現(xiàn)有的應(yīng)對(duì)措施,確定每個(gè)安全威脅場(chǎng)景發(fā)生的可能性及其后果。風(fēng)險(xiǎn)分析分為可能性分析、后果分析、風(fēng)險(xiǎn)估算三個(gè)步驟。
可能性分析應(yīng)從兩個(gè)角度進(jìn)行:
- ICT供應(yīng)鏈本身受到損害的可能性,例如可能影響關(guān)鍵組件使用或增加知識(shí)產(chǎn)權(quán)被竊取風(fēng)險(xiǎn);
- ICT供應(yīng)鏈內(nèi)的產(chǎn)品、服務(wù)、系統(tǒng)、組件受到損害的可能性,例如系統(tǒng)被植入惡意代碼或設(shè)備被電擊損壞。
后果分析是指針對(duì)已識(shí)別的ICT供應(yīng)鏈安全事件,分析事件的潛在影響。應(yīng)從資產(chǎn)的重要性,引發(fā)安全事件的威脅來(lái)源的特征,已識(shí)別的脆弱性,現(xiàn)有或已計(jì)劃安全措施等方面進(jìn)行分析。
風(fēng)險(xiǎn)估算為ICT供應(yīng)鏈安全風(fēng)險(xiǎn)的可能性和后果賦值,同時(shí),還應(yīng)基于可能性分析和后果分析的結(jié)論進(jìn)行,如表4所示。風(fēng)險(xiǎn)計(jì)算公式:風(fēng)險(xiǎn)值=可能性賦值*后果賦值。
表4 風(fēng)險(xiǎn)估算賦值
3、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)價(jià)
將風(fēng)險(xiǎn)估算結(jié)果與風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則和風(fēng)險(xiǎn)偏好比較,依據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則輸出按優(yōu)先順序排列的風(fēng)險(xiǎn)列表。需要注意的是多個(gè)中低風(fēng)險(xiǎn)的聚合可能導(dǎo)致更高的整體風(fēng)險(xiǎn)。
