一種云服務商供應鏈安全評估實踐分享
從 2020 年 12 月的太陽風 SolarWinds 供應鏈攻擊,到 2021 年 11 月蘋果、推特和亞馬遜遭受到開源日志組件 Log4j 內重大漏洞引發的供應鏈攻擊,一系列供應鏈安全事件的發生,使全球化信息化趨勢下的供應鏈安全問題日益引發各國關注。為提高我國黨政機關、關鍵信息基礎設施(Critical Information Infrastructure,簡稱 CII)運營者采購使用云計算服務的安全可控水平,國家互聯網信息辦公室等四部委于 2019 年7 月 2 日發布了《云計算服務安全評估辦法》。中國信息安全測評中心(以下簡稱“測評中心”)作為中央賦予職能的國家信息安全專業測評機構,也是云計算服務安全評估工作協調機制辦公室授權的四家專業技術機構之一,在評估云服務商(Cloud Computing Service Provider,簡稱 CSP)供應鏈安全方面積累了豐富的實踐經驗。本文將就云服務商供應鏈安全理念、最佳實踐和相關方法進行簡要介紹,以期能對包括云服務商在內的 CII 運營者有所參考和借鑒。
一、供應鏈安全現狀
1. 供應鏈安全威脅
簡單來說,供應鏈安全威脅和風險存在于信息系統開發生命周期的各階段,是為保持業務連續性必須了解和管理的風險。根據美國政府責任署(GAO)發布的報告,信息通信技術(Information Communication Technology,簡稱 ICT)供應鏈安全風險包括:有意安裝惡意硬件或軟件、安裝假冒硬件或軟件、關鍵產品生產或分銷中斷、依靠惡意或不合格的服務提供商提供技術服務、安裝含有漏洞(如有缺陷的代碼)的硬件或軟件。攻擊者可能利用供應鏈中多個點存在的漏洞產生直接或間接的威脅,從而導致 CII 及其相關信息資產喪失機密性、完整性或可用性。供應商組織架構的復雜性、全球化下商品的自由流動等,都給供應鏈安全帶來威脅和挑戰,對全球供應鏈的依賴又給 CII 帶來了多重風險。
2. 歐美及我國應對舉措
近年來,各國正采取多方面舉措積極應對供應鏈安全風險。2018 年 12 月,美國國會通過了《聯邦采購供應鏈安全法案》;2019 年 5 月,時任美國總統特朗普簽署第 13873 號行政令《確保信息通信技術(ICT)與服務供應鏈安全》;2021 年 2 月,美國總統拜登簽署了第 14017 號《美國供應鏈行政令》,要求聯邦機構對關鍵領域和行業的全球供應鏈進行審查。2021 年,歐盟網絡安全局(European Union Agency for Cybersecurity,簡稱 ENISA)發布了《供應鏈攻擊威脅局勢報告》。在我國,2016 年 11 月通過的《網絡安全法》分別從網絡安全審查、網絡產品和服務安全角度對供應鏈安全提出要求。2016 年 12 月 27 日,國家互聯網信息辦公室發布《國家網絡空間安全戰略》。該戰略明確提出了“保護關鍵信息基礎設施,加強供應鏈安全管理”的戰略任務。2019 年 7 月2 日,《云計算服務安全評估辦法》明確指出:“云平臺技術、產品和服務供應鏈安全情況”是云計算服務安全評估重點評估內容之一。2020 年 4 月,《網絡安全審查辦法》明確提出,為了確保關鍵信息基礎設施供應鏈安全,對 CII 運營者采購網絡產品和服務,應進行網絡安全審查。
3. 相關標準
美國在 ICT 技術供應鏈風險管理領域起步較早,現已形成較為科學完善的供應鏈安全標準體系,為美國聯邦機構認定的 CII 提供了與供應鏈風險管理相關的控制措施和活動指南。如,NIST SP 800-39、NIST SP 800-53(V4)、NIST SP 800-161 等。其中 SP 800-161《供應鏈風險管理實踐》為 CII 運營者有效管理供應鏈安全風險提供了識別與評估風險以及選擇與實施控制措施的方法和流程。
我國在 2014 年發布《信息安全技術 云計算服務安全能力要求》(GB/T 31168-2014)。它描述了云服務商以社會化方式為特定客戶提供云計算服務時,云服務商應具備的信息安全技術和管理能力。該標準提出的安全要求分為 10 類,其中“系統開發與供應鏈安全”類要求是:云服務商應在開發云計算平臺時對其提供充分保護,對為其開發信息系統、組件和服務的開發商提出相應要求,為云計算平臺配置足夠的資源,并充分考慮信息安全需求。云服務商應確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供與安全措施有關的文檔和信息,配合客戶完成對信息系統和業務的管理。2018 年,全國信息安全標準化技術委員會發布了《信息安全技術—ICT 供應鏈安全風險管理指南》(GB/T 36637-2018)。它在通用風險管理模型基礎上,提出了針對 ICT 供應鏈風險管理的流程。該標準分析了 ICT 供應鏈的特點,梳理了 ICT 供應鏈面臨的典型安全威脅和安全脆弱性。在通用風險管理模型基礎上,提出了 ICT 供應鏈風險管理過程,細化風險管理的步驟和實施細則,提出了供應鏈完整性保護、可追溯性等技術安全措施,以及供應鏈生命周期管理、采購外包與供應商管理等管理安全措施。
二、使用通用準則(Common Criteria,簡稱 CC)評估供應鏈安全風險
2019 年以來,測評中心受國家網信辦委托,已對數十個省市級的云平臺進行了安全評估,供應鏈安全風險是重點評估內容。評估工作參照了《云計算服務安全能力要求》等國內有關安全標準,但這些標準并未針對安全控制措施的實施給出明確指導,準確、客觀評價 ICT 供應鏈安全風險水平存在一定難度。針對這些問題,測評中心使用國際通用的 CC 標準對評估內容、方法和流程進行了合理化規范化。
CC 準則可用于評估 CSP 供應鏈安全的風險(Common Criteria for Assessing Risk,簡稱 CCAR),并將其分為“高”“中”和“低”風險。CCAR應作為 CSP 采購周期或年度供應商安全保證審核工作的一項重要內容,并用來驗證評估的有效性。服務或產品所承擔的風險水平體現了 CSP 對供應商如何管理風險所要求的安全保證水平。例如,CSP 可以接受低風險服務或產品供應商提供的年度自我評估,但需要高風險服務或產品供應商提供更多信息。
CCAR 提供了一種靈活的評估工具,風險評估人員必須從專業領域(如采購、安全、IA、認證機構、法律等)為 CCAR 提供一系列必要的信息。CCAR 模板是一個動態的文檔,它需要反映新出現的風險,如云服務類別的增加,以保持相關性。完整的 CCAR 是對服務或產品進行評估的記錄,可以與任何未來評估的結果進行比較。CC 準則也提供了支持 CSP 管理第三方供應商風險的一致性方法。
在安全評估中,我們重點審查了云服務商的安全管理情況,以及優先采購安全可信的軟硬件產品和服務方面的執行情況,有效提高了云服務商對供應鏈安全管理的重視程度,降低了云服務商供應鏈安全風險,提高 CII 基礎設施運營者采購使用云計算服務的安全可控水平。CCAR 評估主要針對供應鏈安全管理的關鍵要素,這些關鍵要素包括六個方面:建立供應鏈安全管理部門協同機制,管理關鍵產品或服務供應商,增強供應鏈的透明性,與關鍵供應商密切合作,共同努力提升供應鏈彈性以及全周期評估和密切關注供應商。
1.建立供應鏈安全管理部門協同機制
CSP應建立供應鏈風險管理委員會。該委員會包括來自采購、信息技術、網絡安全、法律等部門的高級管理人員,其責任是積極主動地審查供應鏈相關風險和風險緩解計劃,確定優先事項。建立供應鏈風險管理委員會有利于各部門共同進行風險決策,確保所有風險得到適當地解決。另外,CSP 制定供應鏈安全策略規劃也有利于網絡安全、風險控制和采購各部門之間進行更緊密合作。具體而言,各部門一體化程度隨著供應鏈安全實踐能力成熟度的提高而提升。這種內部協調有助于在有效管理供應鏈安全風險的同時提高交付產品和服務的效率。
2.管理關鍵產品或服務供應商
CSP 應首先確定關鍵任務、資產、系統、流程和數據的優先級,然后確定能夠訪問或提供關鍵資產、系統和數據基礎設施的供應商。確定供應商后,CSP就可對供應商進行風險評估,并根據供應商的關鍵程度對其進行優先排序。CSP 應按照關鍵程度確定供應商安全要求,并把這些要求寫入供應商合同,并在供應商關系生命周期中監控這些要求的遵守情況。
3.增強供應鏈的透明性
為管理供應鏈安全風險,CSP 應了解完整的包括多級供應商的供應鏈。供應鏈風險可能源于上下游供應商之間的連接、硬件和軟件供應商的組件外包、供應鏈上下游共享的技術以及這些供應鏈中的流程和人員。CSP 應建立對其外包商生產全過程的管控,第一時間獲得缺陷率和缺陷產生原因等信息。CSP 也應了解供應商所使用軟件和硬件組件清單以及開發工具和方法。這種可見性和透明度降低了篡改和假冒的風險,提高了產品的安全性,最終提高了產品質量。此外,CSP 應要求供應商進行人員審查,了解供應商及其下游供應商對 CSP 的訪問權限。
4.與關鍵供應商密切合作
CSP 應將關鍵供應商納入其生態系統,并以多種方式密切合作,比如在供應鏈安全方面指導供應商,并積極幫助供應商改進其網絡安全和供應鏈實踐;CSP 與供應商采用相同的標準,從而簡化有關網絡安全風險和緩解措施的溝通,并幫助實現整個生態系統的統一質量水平;對下游供應商開展相關培訓等。
5.共同努力提升供應鏈彈性
除了網絡安全,其他不可控的因素,如惡劣天氣和與地緣政治動蕩等,也持續影響著供應鏈的安全。因此,CSP 必須在應急計劃、事件響應和災難恢復計劃中包含關鍵供應商以及其提供的產品,并與這些關鍵供應商一起測試這些計劃,以確保所有相關方的準備就緒和計劃的有效性。CSP 應持續改進供應鏈安全的流程,包括收集從供應鏈事件中吸取的經驗教訓,將改進措施納入規劃、響應和恢復過程,并在整個生態系統共享這些信息。
6.全周期評估和密切關注供應商
隨著商業環境不斷演變,CSP 應建立覆蓋整個供應商關系生命周期的管理計劃,持續關注包括安全、質量、財務和地緣政治風險等各種風險,同時就驗證供應商是否符合網絡安全和其他關鍵服務等級協議要求,確定供應商狀態的任何變化(例如財務、法律、所有權)等開展管理和評估。CSP 還可以部署管理流程和技術措施來關注供應商風險狀態的變化。CSP 可通過安全運營中心發現供應商與云平臺網絡和系統連接的動態變化,還可以使用各種網絡安全風險評級解決方案,深入了解供應商構成的網絡安全風險。
三、CSP 供應鏈安全實踐建議
我們為 CSP 設計了全生命周期的供應鏈安全路線圖。具體路徑如下:
1. 安全規劃階段:明確責任、制定策略
CSP 高級管理人員應肩負起供應鏈安全的職責,增強供應鏈的可見性。供應鏈安全評估的起點是云服務商應清晰劃分供應鏈安全管理的職責,制定供應鏈安全策略,并形成適合云服務商的安全文化。CSP 應任命一名高級管理人員負責管理采購過程和供應鏈的安全,特別是要識別高風險的供應商以及那些能夠訪問敏感信息或系統的供應商。CSP 可將采購團隊與負責物理安全、人員安全和信息安全的團隊一起納入安全管理體系。并把供應鏈安全風險納入組織整體的風險管理策略中。CSP 應制定明確的策略,幫助員工識別并向高層領導報告高風險供應商和采購活動。CSP 應明確指定負責人定期審查所有供應鏈安全策略和程序。
2. 外包決策階段:評估威脅、分析影響
CSP 應使用威脅評估和影響分析兩種方法來決定是否外包或在內部處理任務或項目。在這個階段,CSP 首先要通過使用威脅和影響評估來確定是否執行內部交付活動。評估過程中,云服務商需就“通過供應鏈面臨哪些威脅?如何減少對這些威脅的暴露面?如何確定供應商的安全級別?”等問題進行思考。針對云服務商供應鏈的安全威脅來源的多樣化,需要從物理、網絡、內部威脅、惡意占用等幾方面進行評估。如果云服務商的供應商受到損害,從以下兩個方面評估可能的損失:一是云服務商發現供應商安全問題的容易程度;安全問題在未被發現的情況下被利用的時間長度。
在進行了威脅和影響評估之后,CSP 為采購確定安全級別。考量安全級別應包括但不限于以下幾個方面:首先供應商是否有權訪問敏感數據或關鍵資產;其次供應商是否可以訪問或連接到 IT 網絡;三是供應商擁有的權限級別;四是供應商違約是否會對云服務商的聲譽、財務、業務運營產生負面影響。
3. 選擇供應商階段:盡職調查、保證評估
CSP 應評估所選供應商的安全潛在供應商的適用性。CSP 對供應商進行盡職調查時,應涵蓋財務風險、聲譽風險、可靠性和安全性。對所有潛在供應商進行安全盡職調查,評估其可信度和易受損害程度。CSP 定期重復進行盡職調查,尤其是在發生安全事件、違約,以及運營或合同發生重大變化后。安全盡職調查應特別關注擁有國際背景的潛在供應商。供應商保證評估是供應商對其安全狀況的自我評估,使 CSP 了解供應商是否能抵御一定強度的攻擊以及供應商能滿足組織指定安全級別的安全期望。
盡職調查和供應商安全保證兩項工作相結合,使 CSP 能夠評估潛在供應商的可信度和安全性,也便于與云服務商確定的安全級別進行對比。
4. 審查合同階段:明確條款,傳導責任
CSP 應通過合同明確要求供應商所承擔的安全責任。供應商還應在其整個供應鏈中制定級聯的安全標準。在任何合同的初始階段包括安全條款都會為云服務商節省成本。對于合同的具體要求,CSP 可以有獨立的法律意見。安全條款應包括標準條款、通知條款、審查條款、終止條款。
5. 考核績效階段:使用審計、壓力測試
CSP 可使用審計工具和壓力測試來檢查供應商的安全措施是否有效并符合預期。CSP 進行審計時,涉及確定審計范圍、制定審計計劃、查驗審計證據、分析評估差距、測試供應鏈完整性等方面的內容。在壓力測試中,CSP 應測試供應商的安全措施是否有效,而供應商應通過桌面演練和現場演練執行壓力測試。
四、結 語
近年來,加強 ICT 供應鏈的安全管理,保障供應鏈安全已經成為政府機構、學術界和 ICT 產業界的共識。特別是,2022 年 11 月 7 日,《關鍵信息基礎設施安全保護要求》(GB/T 39204-2022)國家標準正式發布。該標準針對 CII 供應鏈安全提出了明確要求。本文也為 CII 運營者落實《關鍵信息基礎設施安全保護要求》中的供應鏈安全要求提供了一種路徑選擇。下一步,測評中心將聯合有關科研機構、產業界代表開展 ICT 供應鏈安全測試評估相關標準的研制,通過建立科學化、規范化的測試評估流程和方法,推動 ICT 供應鏈安全要求和控制措施的有效落地。
