國外 ICT 供應鏈安全管理研究及建議
一、前言
信息通信技術(ICT)供應鏈包括硬件供應鏈和軟件供應鏈,通常涵蓋采購、開發、外包、集成等環節。其最終的安全很大程度上取決于這些中間環節,涉及到采購方、系統集成方、網絡提供方以 及軟硬件供應商等【1】。ICT 供應鏈是所有其他供應鏈的基礎,是“供應鏈的供應鏈”【2】。在 ICT 采購全球化的態勢下,ICT 供應鏈安全與國家安全間的關系愈發密切。ICT 產品在原料采購、生產、運輸直至交付給最終客戶的過程中,任何一個環節都有可能存在影響 ICT 產品安全性的因素。如果考慮到信息安全的對抗性質,來自國外的 ICT 產品供應商 完全有可能、有條件在產品中設置惡意功能,如在軟硬件中嵌入惡意程序、突然中斷關鍵 ICT 產品或 后續服務等。
鑒于國家關鍵基礎設施和關鍵資源(CIKR)對 ICT 技術的依賴,識別和控制 ICT 供應鏈風險, 加強 ICT 供應鏈安全管理已經成為保障國家安全的重要手段。在國家戰略以及標準制定層面,美國、歐盟、俄羅斯等都提升了 ICT 供應鏈安全管理的地位,本文將從上述兩方面深入研究國外的相關政策制度。在管理活動層面,本文將對國際現行的 ICT 硬件安全管理和軟件安全管理進行探討;并進一步以美國為例,對軟硬件安全中涉及的采購環節的安全管理進行分析。本文旨在參考各國經驗,為加強我國 ICT 供應鏈安全管理、建立我國 ICT 供應鏈安全評估制度提供建議。
二、國外 ICT 供應鏈安全管理政策
(一)ICT 供應鏈安全戰略定位
長期以來,美國非常注重 ICT 供應鏈安全。2008 年布什政府提出國家網絡安全綜合計劃(CNCI),提出建立全方位的措施來實施全球供應鏈風險管理【3】。在此基礎上,2009 年奧巴馬政府指出不應局限于僅譴責國外產品和服務供應商,同時提出了新 的供應鏈風險管理方法已經勢在必行。2011 年美國在發布的《網絡空間國際戰略》中將“與工業部門磋商,加強高科技供應鏈的安全性”作為保護網絡空間安全的優先政策,該項政策將 ICT 供應鏈安全 提升至保障網絡空間安全的高度【4】。
歐盟、俄羅斯和中國同樣將 ICT 供應鏈安全上升到國家安全的戰略高度。歐盟《供應鏈完整性》報告指出,ICT 供應鏈完整性是國家經濟發展的 鍵因素,提高供應鏈完整度對公共和私營部門意義重大【5】。
中俄共同提交聯合國的《信息安全國際行為準則》強調,應當努力確保信息技術產 品和服務供應鏈的安全,防止他國利用自身資源、關鍵設施、核心技術及其他優勢,削弱落后國家對信息技術的自主控制權,或威脅落后國家的政治、經濟和社會安全【6】。
(二)ICT 供應鏈風險管理
1. 美國國家標準與技術研究院(NIST)
NIST 為保護非國家安全的聯邦信息和通信基礎設施,負責開發標準、指南、測試和度量指標。NIST 已經與公共和私營部門的利益相關者合作,研究和開發 ICT 供應鏈風險管理(SCRM)的工具與指標,以及有關 ICT 供應鏈風險的緩解措施和實施方法的指南。
2. ICT SCRM 項目及相關資源
(1)CNCI#11
2008年,為響應 CNCI#11“建立全方位的方法來實施全球供應鏈風險管理”,布什政府啟動了非國家安全信息系統供應鏈風險管理實踐開發計劃,即 ICT SCRM。CNCI#11 為美國聯邦機構信息系統的供應鏈 風險管理提供了全面的方法。
CNCI#11 第二工作組(WG2)通過提供與采購決策相關的威脅、漏洞和后 果的高度評估,同時識別并減輕整個產品和服務生命周期中資源的風險,來促進 SCRM 的提升。
(2)NIST SP800-161
NIST SP800-161《聯邦信息系統和組織供應鏈 風險管理實踐》為聯邦機構制定相應的政策、程序,為有效管理 ICT 供應鏈風險提供指導【7】。針對 ICT 產品的整個系統開發生命周期,NIST SP 800-161 可 為其提供開發 ICT SCRM 計劃的模板。該模板詳細 介紹了一套評估和管理供應鏈風險的程序,并列出了適用的威脅事件和可供參考的風險框架,用于評估威脅和確定緩解對策(即評價事件的相關性和潛在影響的方法)。這些程序被集成到 NIST SP800-39 的風險管理過程(架構、評估、響應和監控)中,作為聯邦機構整體風險管理活動的一部分來實施【8】。
(3)NIST IR7622 NIST IR7622
《聯邦信息系統供應鏈風險管理 實踐理論》是 NIST 發布的網絡供應鏈風險管理指南,旨在消除購買、開發和運營過程中高影響聯合信息系統面臨的生命周期供應鏈風險【9】;該標準同時介紹了 ICT SCRM 的方法和做法。NIST IR7622(NIST 7622-2)第二版闡述了供應鏈風險管理在 ICT 領域中的應用,提供了一套實例可直接應用于那些級別達到聯邦信息處理標準(FIPS)的采購或合同中。其涉及到信息系統采購方、采購團隊、信息系統安全負責人和負責信息系統交付的相關工程師,涵蓋為政府和商業機構提供產品 和信息安全服務的所有環節。
NIST IR7622-2 還給出了供應鏈風險管理的實施流程(見圖 1)。對于 FIPS199 這樣高影響的系統,ICT 供應鏈風險管理被明確嵌入到采購進程中來分析潛在的供應鏈風險,實施額外的安全控制以及供應鏈風險管理的實踐;對中度影響的系統,授權機構應該做出是否實施 ICT 供應鏈風險管理的決策;低影響系統不需要實施大量的 ICT 供應鏈風險管理。
圖1 ICT SCRM實施進程
三、國外 ICT 供應鏈安全管理活動
(一)軟 / 硬件供應鏈安全管理
1. 硬件供應鏈安全管理
ICT 硬件供應鏈是指 ICT 硬件采購、設計、制造、組裝、維護到處理的一系列過程。
近年來 ICT 硬件供應鏈的長度、復雜性和脆弱性逐漸增加。全球范圍內的政府部門都開始考慮 ICT 硬件供應鏈對 ICT 系統產生的威脅。在 ICT 硬件供應鏈系統與外部環境發生資源交換,以及在與供應鏈成員進行協調與合作的過程中,存在著各種內部或外部的不確定性風險因素。外部風險包括:自然災害、恐怖事件、突發事件等;內部風險包括:供應中斷,如攻擊者中斷制造和交付、錯誤的運輸 路線或延誤交貨、錯誤的訂單(如數量或項目錯誤)、 制造質量問題(如以硬件為基礎引發的威脅)。
目前硬件供應鏈的風險管理主要針對三大硬件風險:硬件木馬、惡意固件和硬件偽造。
2. 軟件供應鏈安全管理
在關注硬件供應鏈安全的同時,切不可忽視軟 件供應鏈安全,因為任何一條供應鏈都不會脫離軟件的使用。軟件供應鏈可影響已交付系統的所有方面,只要供應鏈參與者能接觸最終的軟件代碼或系統,那么危及軟件供應鏈安全的風險就存在。參與者包括編寫、加強和改變產品或系統內容的供應商、分銷商、運輸者和儲存設施【10】。
確保軟件供應鏈安全的重要方法是軟件供應鏈風險評估。風險評估是風險管理的一個基本方面,軟件供應鏈風險評估是從風險管理角度,運用科學的方法和手段,系統分析軟件供應鏈所面臨的威脅及其存在的脆弱性,評估風險事件發生 可能給整條供應鏈帶來的影響或人們可能受到的損失程度,提出有針對性地抵御威脅的防護對策 和更改措施。目前針對軟件供應鏈的風險評估并不多,其中常用的是基于卡內基梅隆大學軟件工程研究所(SEI)的風險評估方法。圖 2 是 SEI 采用基于風險驅動的方法來評價系統化的軟件供應鏈風險的原型。
圖2 軟件供應鏈風險評估
(二)ICT 采購安全管理
1. 政府規章
20 世紀 90 年代末,美國已經意識到政府信息 采購的安全性問題。1998 年 5 月 22 日,克林頓發布的第 63 號總統令中指出要確定大型采購任務中 與其相關的信息安全。在布什執政期間,政府采購安全性被進一步明確,2002 年起草的國家安全戰略中詳細闡述了采購的步驟和過程,以及相關的標準。2008 年 12 月,在奧巴馬上臺之前,美國智庫戰略 與國際研究中心(CSIS)發布了《在第 44 任總統任期內保護網絡空間安全》的咨詢報告,向新總統提出了若干重要建議,其中包括“通過采購規則提 高安全性”,該條建議希望政府能與工業界合作, 共同制定和執行 ICT 產品(軟件居首要位置)采購 安全指南【11】。
除美國外,歐盟對 ICT 供應鏈采購安全也有明確規定。2016 年上半年,歐洲標準化機構——歐洲標準化委員會(CEN)、歐洲電工委員會(CENELEC)與歐洲電信標準協會(ETSI)對歐洲 ICT 產品和 服務的政府采購所適用的可接入性提出了新的標準。新標準是歐洲首次用法規和形式強調 ICT 產品和服務的政府采購所適用的可接入性,政府部門與其他公共機構在采購 ICT 產品和服務時,要確保服務、軟件、電子設備與其他產品具有更好的可接入性可接入性。
2. 國防采購安全流程實例
對 ICT 產品和服務的采購主要分為國防采購和 企業采購兩類,其中國防采購的要求更高。下面以美國為例,簡要介紹其在 ICT 產品和服務的安全采 購方面的管理體系和采購系統,為我國 ICT 國防采購提供經驗借鑒。
(1)ICT 采購管理
美國國防部的 ICT 采購實行國防部統一領導與軍種分散實時結合的管理模式。所謂統一領導,是指在國防部設置專門負責采辦、技術與后勤的副部長一職,統管全軍 ICT 研發及采購事項;而分散實施,是按 ICT 項目的重要性及費用多少實行分類和分級管理。對于不同類別的 ICT 采購項目,負責采辦、技術和后勤的副部長指派相應級別的里程碑決 策當局進行監管(見圖 3)。
圖3 不同類別的 ICT 采辦項目
(2)ICT 采購系統
美國國防部共有三個分系統來組織國防 ICT 采購,這三個系統互相配合,來完成軍工產品的 ICT 采購。它們分別是規劃、計劃預算與執行系統(PPBE),聯合能力集成與開發系統(JCIDS),采購運行系統(DAS)【12】。這三個系統在美國軍工產品的 ICT 采購過程中相互支持,相互制約,確保 ICT 采購的安全。
四、對我國 ICT 供應鏈安全評估的建議
在我國 ICT 供應鏈處于劣勢的背景下,根據《中華人民共和國國家安全法》要求,在國家網絡安全審查工作中,加強 ICT 供應鏈安全評估管理、建立供應鏈安全評估制度是當務之急。在分析國外相關情況的基礎上,給出我國 ICT 供應鏈安全 管理和評估的幾點建議。
(一)戰略層面加強 ICT 供應鏈安全管理
從國家戰略層面重視供應鏈安全管理,促進相應制度和標準的研究制定,加大探索研究與 ICT 供應鏈安全管理相關的核心技術。實施國家 ICT 供應鏈安全管理,使之作為國家網絡安全保障的正當需求被國際社會所接受。建立供應鏈安全管理制度已成為國際通行做法,應在此基礎上,進一步建立我國國家 ICT 供應鏈安全評估制度。
(二)將 ICT 供應鏈評估納入網絡安全審查
從加強國家供應鏈安全管理的角度出發,強化針對供應鏈的網絡安全審查,對 ICT 產品和服務的 設計、研發、制造、生產、分發、安裝、運營、維護、 采購等環節實施有效監督。將 ICT 供應鏈評估納入網絡安全審查,有利于澄清網絡安全審查制度不是針對特定的國家或地區,可緩解外方對我國將該項制度當作貿易壁壘的擔心和質疑。
(三)制定 ICT 供應鏈安全評估的法律法規
制定與完善國家政策、法律和標準,明確各方在 ICT 供應鏈安全評估中應當承擔的責任和義務。ICT 供應鏈安全評估涉及多項法律的適用和協調,其中技術進出口管制、商用密碼專控和認證許可都是與評估活動最為密切的法律制度,為了與網絡安全審查的目的更加契合,需要進行適度調整。
(四)ICT 供應鏈安全評估的組織方式
改變分散的 ICT 供應鏈安全評估方式,設立統 一的評估機構。評估機構可以是現有的與 ICT 供應鏈安全相關的管理部門,也可以建立專門的評估機構。評估機構負責統一部署和協調 ICT 供應鏈的安全管理與審查工作。
(五)建立 ICT 供應鏈安全評估程序
借鑒國際現有的信息安全評估制度,評估機構可運用供應鏈安全評估標準對 ICT 產品和服務的安全性能進行評估,其程序包括評估準備、一次評估、 二次評估、定期評估、再認證評估等階段。
五、結語
縱觀國際現行 ICT 供應鏈安全管理的特點,我國應在以下幾個方面做好準備工作:加強 ICT 供應鏈安全管理的戰略研究;制定通用的 ICT 供應鏈安全評估標準;加強 ICT 供應鏈安全評估與現有信息安全制度的銜接。
