信息通信技術供應鏈安全政策法規與標準研究
隨著經濟全球化的日益深入和信息通信技術的飛速發展,信息通信技術供應鏈(簡稱“ICT 供應鏈”)已經發展為一個遍布全球的復雜系統。這一復雜系統中任一組件、任一環節出現問題,均可能帶來信息通信產品和服務的安全問題,進而影響信息通信行業安全、經濟社會發展安全,乃至國家安全。作為網絡安全工作的重要一環,如何加強 ICT 供應鏈安全管理,有效保障供應鏈安全已經成為學術和產業領域研究的熱點問題之一。
一、國內外政策法規情況
美歐等發達國家和地區在信息技術供應鏈安全管理領域起步較早,出臺了大量政策法規和標準規范,用于加強 ICT 供應鏈安全管理。我國近年來也不斷出臺相關法律規范,逐步完善 ICT 供應鏈安全管理工作。
(一)美國
2018 年 9 月,特朗普政府發布《國家網絡戰略》,要求改進聯邦供應鏈風險管理。為確保聯邦政府部署應用的技術安全可靠,該戰略提出在聯邦機構采購和風險管理流程中整合供應鏈風險管理的要求。同時,要求各部門和機構之間要更好地共享供應鏈安全風險信息,通過建立供應鏈安全風險評估共享服務等方式,提高對供應鏈威脅的認識,減少政府內部重復的供應鏈活動。
2018 年 12 月,美國國會通過了《聯邦采購供應鏈安全法案》。該法案設立了新的聯邦采購安全理事會,授權其為聯邦供應鏈安全制定規則,以增強聯邦采購和采購規則的網絡安全彈性。同年 12 月,美國國土安全部正式組建 ICT 供應鏈風險管理特別任務組。該任務組主要職責時識別全球 ICT 供應鏈安全風險挑戰,并提供可操作的解決方案。
2019 年 5 月,特朗普簽署第 13873 號《確保信息通信技術與服務供應鏈安全行政令》,要求商務部長、國務卿、國土安全部、國家情報總監分別根據自身職責開展持續性評估工作,每年均需發布相關評估報告。其中,國家情報總監負責對外國擁有、控制、管轄的信息通信技術或服務,以及由國外設計、開發、制造的信息通信技術或服務可能給美國帶來的威脅進行評估。國土安全部負責對存在安全漏洞并對美國國家安全造成重大潛在威脅的實體、硬件、軟件和服務進行評估。
2021 年 2 月,拜登簽署了第 14017 號《美國供應鏈行政令》,要求聯邦機構對關鍵領域和行業的全球供應鏈進行審查,包括在行政令發布后的 100天內針對包括半導體芯片的四個關鍵領域的供應鏈進行審查;在行政令發布后的一年之內對國防、醫療衛生、通信技術、能源、交通和食品生產六個行業進行供應鏈審查。
(二)歐盟
2015 年 8 月,歐洲網絡與信息安全局(ENISA)發布《供應鏈完整性:ICT 供應鏈風險和挑戰概述,以及發展方向愿景》報告,指出 ICT 供應鏈完整性是國家經濟發展的關鍵因素,提高供應鏈完整度對公共和私營部門意義重大,并建議供應鏈安全管理應遵循同一套實踐,為評估和管理提供共同的基礎,政府應與企業合作建立 ICT 供應鏈安全風險評估框架。
2021 年 7 月,ENISA 發布了《ENISA 的供應鏈攻擊威脅情景》,對供應鏈攻擊進行了分類,并對從 2020 年 1 月到 7 月初的 24 起供應鏈攻擊事件進行了研究,對供應鏈攻擊者來源、攻擊手段、攻擊目標以及應對措施進行了分析。
(三)俄羅斯
2012 年,俄羅斯推出了《工業發展及其競爭力提升國家綱要》,針對產品生命周期,研究制定一系列綜合性保障措施,其主旨就是要盡快形成和完善俄羅斯的產業體系,減少對國外技術和產品依賴。
(四)我國相關政策法規
《網絡安全法》第三十五條“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查”和第三十六條“關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任”,分別從網絡安全審查、網絡產品和服務安全角度對供應鏈安全提出要求。
2019 年 7 月,國家互聯網信息辦公室等四部門發布《云計算服務安全評估辦法》,要求云計算服務安全評估工作中,應重點評估“云平臺技術、產品和服務供應鏈安全情況”。申請安全評估的云服務商應提交“業務連續性和供應鏈安全報告”。
2020 年 4 月,《網絡安全審查辦法》明確提出,為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,對關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全的,應進行網絡安全審查。
2021 年 7 月 30 日正式公布的《關鍵信息基礎設施安全保護條例》第十九條明確指出:“運營者應當優先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查”。
二、國外標準情況
(一)ISO/IEC 27036《信息技術 安全技術供應商關系的信息安全》系列標準
該系列標準由 ISO/IEC JTC1/SC27 研制,旨在確保組織戰略目標和商業需求實現的同時,降低采購方和供應方在供應關系中存在的信息安全風險。ISO/IEC JTC1/SC27 是國際標準化組織(ISO)和國際電工委員會(IEC)第一聯合技術委員會(JTC1)下的“信息安全、網絡安全和隱私保護分技術委員會”,負責網絡安全領域國際標準化工作。
該系列標準包括四個部分,分別是 ISO/IEC27036-1:2021《第 1 部分:概述和相關概念》,提供了 27036 系列標準的總體介紹,對供應商關系的類型、相關安全風險以及風險管理相關概念進行了描述;ISO/IEC 27036-2:2014《第 2 部分:通用要求》,對供應關系中的信息安全進行定義,并對實施、操作、評估、應對措施等提出了通用要求;ISO/IEC 27036-3:2013《第 3 部分:供應鏈安全指南》,對 ICT 供應鏈中產品和服務的安全風險進行描述和分析,給出了應對相應風險的措施;ISO/IEC 27036-4:2016《第 4 部分:云服務安全指南》,提出了云計算服務在 ICT 供應鏈方面存在的安全風險及相關應對措施。
(二)ISO/IEC 20243《信息技術 開放可信技術提供商標準 減少惡意和仿冒組件》系列標準
該系列標準包括 ISO/IEC 20243-1:2018《要求和建議》、ISO/IEC 20243-2:2018《O-TTPS 和ISO/IEC 20243-1:2018 的評估流程》兩個部分,針對信息通信技術硬件和軟件在產品生命周期內面臨的完整性威脅,特別是惡意和仿冒組件帶來的安全風險,提供了一套應對準則、方針和建議。
(三)ISO 28000《供應鏈安全管理體系規范》
該標準作為一套供應鏈安全管理規范,說明了組織建立、實施供應鏈安全管理體系的要求,保障供應鏈安全的重要內容,為各類組織開展供應鏈安全管理提供了一個較為系統的管理模式。
(四)NIST SP 800-161《聯邦信息系統和組織的供應鏈風險管理實踐》
該標準是美國國家標準技術研究院在 NIST SP800-39《管理信息安全風險:組織、任務和信息系統視角》、NIST SP 800-53《信息系統和組織的安全和隱私控制措施》基礎上,針對為聯邦信息系統和機構供應鏈方面面臨的安全風險,提出的 ICT 供應鏈安全風險控制流程和措施。該標準通過提出將供應鏈安全風險納入組織整體的風險管理過程,并給出 19 類 ICT 供應鏈安全控制措施,以減少聯邦信息系統和組織面臨的供應鏈安全風險。
三、我國相關標準
(一) GB/T 36637—2018《信息安全技術ICT 供應鏈安全風險管理指南》
該標準分析了 ICT 供應鏈的特點,梳理了 ICT 供應鏈面臨的典型安全威脅和安全脆弱性。在通用風險管理模型基礎上,提出了 ICT 供應鏈風險管理過程,細化風險管理的步驟和實施細則,提出了供應鏈完整性保護、可追溯性等技術安全措施,以及制度和人員管理、供應鏈生命周期管理、采購外包與供應商管理等管理安全措施,為 ICT 產品和服務的供應方和需求方加強供應鏈安全管理提供指導。該標準由全國信息安全標準化技術委員會(TC260)提出并歸口。
(二) GB/T 32921—2016《信息安全技術信息技術產品供應方行為安全準則》
該標準規定了信息技術產品供應方在提供信息技術產品過程中,為保護用戶相關信息,維護用戶信息安全應遵守的基本準則,分別從用戶相關信息收集和處理的安全、遠程控制用戶產品的安全和其他行為安全等方面提出相關安全要求,適用于信息技術產品供應、運行或維護過程中的供應方行為管理。該標準由 TC260 提出并歸口。
(三) GB/T 32926—2016《信息安全技術政府部門信息技術服務外包信息安全管理規范》
該標準針對政府部門在使用信息技術服務外包時面臨的外包服務機構背景復雜、服務人員流動性大、內部管理不規范等問題帶來的信息安全風險,建立了政府部門信息技術服務外包信息安全管理模型,明確了服務外包信息安全管理角色和責任,將管理活動劃分為規劃準備、機構和人員選擇、運行監督、改進完成四個階段,提出具體信息安全管理要求,為政府部門信息技術服務外包的安全管理提供參考。該標準由 TC260 提出并歸口。
(四) GB/T 31168—2014《信息安全技術云計算服務安全能力要求》
該標準提出了云服務商應具備的技術能力,適用于對政府部門使用的云計算服務進行安全管理。標準從重要設備安全檢測情況,重要信息系統、組件獲服務的供應鏈保護措施情況,供應商情況等方面對云服務商的供應鏈安全提出要求。該標準由TC260 提出并歸口。
(五) GB/T 24420—2009《供應鏈風險管理指南》
該標準在參考國際航天質量標準、美國機動車工程師協會標準和歐洲航空航天工業協會標準《供應鏈風險管理指南》等標準的基礎上制定。標準給出了供應鏈風險管理的通用指南,包括供應鏈風險管理的步驟,以及識別、分析、評價和應對供應鏈風險的方法和工具,適用于各類組織保護其在供應鏈上進行的產品的采購活動。該標準由全國風險管理標準化技術委員會(TC 310)提出并歸口。
(六) 《信息安全技術 關鍵信息基礎設施信息技術產品供應鏈安全要求(報批稿)》
該標準提出了關鍵信息基礎設施、政務信息系統信息技術產品供應鏈在設計、開發、采購、生產、交付和運維等環節的安全要求,主要從安全漏洞缺陷的防范、安全運營維護、供應商管理、供應來源多樣性等方面提出安全要求,適用于關鍵信息基礎設施、政務信息系統加強信息技術產品供應鏈安全。該標準由 TC260 提出并歸口,目前處于報批稿階段。
(七) 《信息安全技術 軟件供應鏈安全(草案)》
該標準規定了軟件產品和服務供應鏈所涉及相關要素的安全要求,包括軟件供應鏈組織管理要求,以及開發、交付、使用等環節的安全要求。該標準由 TC260 提出并歸口,目前處在草案階段。
四、供應鏈安全標準化工作建議
(一) ICT 供應鏈安全標準分析
目前,已發布和在研的 ICT 供應鏈安全標準主要從 ICT 供應鏈生命周期和安全風險兩個方面提出相應安全要求。
ICT 供應鏈生命周期安全通常從供應方和需求方的不同角度提出安全要求。從供應方角度,與傳統物流供應鏈安全管理聚焦于將產品或服務從供應方安全交付給需求方不同,供應方 ICT 供應鏈安全管理需要覆蓋 ICT 產品和服務的研發設計、生產交付,以及產品和服務的運行維護 3 個主要環節。從需求方角度,需求方通常需要在現有管理制度基礎上進一步明確供應鏈管理制度的要求,建立供應商目錄,開展采購管理。因此,需求方在 ICT 供應鏈安全管理方面主要包括供應商管理、采購外包、管理制度 3個環節。在安全風險方面,ICT 供應鏈主要面臨 6 類安全風險,分別是惡意篡改、仿冒偽造、供應中斷、信息泄露、安全漏洞和其他安全威脅。
ISO/IEC 27036《信息技術 安全技術 供應商關系的信息安全》系列標準基于過程模型建立了采購過程(主要是供應商選擇和采購外包)和供應過程(主要是生產交付),并在信息安全管理體系基礎上增加供應鏈的管理制度和措施。
ISO/IEC 20243《信息技術 開放可信技術提供商標準 減少惡意和仿冒組件》系列標準主要針對 ICT產品和服務在研發設計、生產交付、運行維護等環節面臨的惡意篡改、仿冒偽造安全風險提出應對措施。
ISO 28000《供應鏈安全管理體系規范》建立了供應鏈安全的管理體系,用于提高供應鏈在生產交付方面的安全性。
NIST SP 800-161《聯邦信息系統和組織的供應鏈風險管理實踐》建立了聯邦政府部門和機構的供應鏈的風險管理模型,提出了覆蓋 ICT 供應鏈生命周期各環節的安全控制措施。
GB/T 36637—2018《信息安全技術 ICT 供應鏈安全風險管理指南》覆蓋了供應方和需求方在 ICT 供應鏈生命周期中的各環節,并針對各類安全風險提出安全要求和相應安全控制措施。
GB/T 32921—2016《信息安全技術 信息技術產品供應方行為安全準則》主要針對運行維護環節存在的信息泄露風險提出安全要求,規范供應方行為。
GB/T 32926-2016《信息安全技術 政府部門信息技術服務外包信息安全管理規范》主要針對信息泄露、安全漏洞等安全風險,提出采購外包和管理制度等環節的安全要求。
GB/T 31168—2014《信息安全技術 云計算服務安全能力要求》主要針對云計算服務在供應商管理、采購外包等環節可能存在的安全風險提出安全要求。
GB/T 24420—2009《供應鏈風險管理指南》提出了供應鏈安全風險的分析框架,主要針對生產交付環節提出安全要求。
在研標準《信息安全技術 關鍵信息基礎設施信息技術產品供應鏈安全要求(報批稿)》覆蓋了 ICT供應鏈的生命周期,主要針對關鍵信息基礎設施和政務信息系統供應鏈安全提出安全要求。
(二) ICT 供應鏈安全標準建議
為加強我國供應鏈安全管理力度,發揮網絡安全標準對政策法規的支撐作用,推動供應鏈安全標準體系化,結合 ICT 供應鏈安全標準現狀,提出以下三方面建議:
一是梳理分析 ICT 供應鏈監管方面的安全需求,推進相關標準研制。目前,國內外 ICT 供應鏈安全標準主要從供應方、需求方兩個維度,圍繞 ICT 供應鏈的生命周期,以及可能面臨的主要安全風險提出相關安全要求。隨著《網絡安全法》《關鍵信息基礎設施保護條例》等法律法規的出臺,ICT 供應鏈安全在經濟社會安全、國家安全中的作用和影響不斷強化。加強 ICT 供應鏈的安全監管,保障供應鏈安全已經成為政府部門、學術研究領域和 ICT 產業的共識,急需針對 ICT 供應鏈安全監管要求,開展標準化需求分析,推動 ICT 供應鏈安全管理能力提升。
二是加快供應鏈安全測試評估相關標準研制,推動安全要求標準的有效落地實施。已發布和在研的 ICT 供應鏈安全國家標準主要針對各類安全風險提出安全要求和相應控制措施。相關標準明確了安全要求,但并未進一步針對安全控制措施的實施給出明確指導,準確、客觀評價 ICT 供應鏈安全管理水平存在一定難度。針對該問題,急需開展 ICT 供應鏈安全測試評估相關標準的研制,通過建立合理化的測試評估流程,推動 ICT 供應鏈安全要求和控制措施的有效落地。
三是加大需求方供應鏈安全管理問題分析力度,強化對信息泄露、供應鏈中斷等安全風險相關技術措施的研究。目前,已發布和在研標準側重點多集中于供應方角度,安全要求集中在研發設計、生產交付和運行維護等環節。針對需求方供應鏈安全管理,特別是針對供應商管理、采購外包的相關研究有待加強。在安全風險應對方面,已發布和在研標準主要關注于惡意篡改、偽造仿冒、安全漏洞等風險的防范,對于信息泄露、供應鏈中斷等安全風險,針對性的要求和技術措施較少。因此,急需在相關標準研制中予以重點關注。
