從美國“國家網絡安全的總統行政命令”，談供應鏈安全風險應對

美國于2021年5月12日發布了《關于改善國家網絡安全》的第14028號行政命令（以下簡稱“EO”），明確要求美國聯邦政府加強軟件供應鏈安全管控。EO的第4節指示美國國家標準與技術研究所(以下簡稱“NIST”)征求私營部門、學術界、政府機構等多方面的意見之后提供用于增強軟件供應鏈安全性的相關標準、最佳實踐與指南等內容。現有的行業標準、工具和推薦的做法源自NIST的SP 800-161。 在EO發布之前，該指南的公共草案最初版本已經發布，經過意見征集與修改后于2022年5月5日發布最終版本。

SP 800-161名稱確定為《系統和組織的網絡安全供應鏈風險管理實踐》（Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations），為組織提供了在建立供應鏈內外部網絡安全風險管理能力的實踐參考。指南建議組織不僅要考慮正在使用的產品的漏洞，還要考慮其各個組件及使用過程中的漏洞，并且強調在采購流程中要考慮供應鏈網絡安全風險。本文對該指南做內容概述，為國內網絡安全從業人員及關注者提供參考。

1

//  生態復雜，風險與收益共存

ICT供應鏈是一個全球分布的復雜生態系統，這個生態系統中包括采購方、供應商、開發商、系統集成商、外部系統服務提供商和其他ICT/OT相關服務提供商等多種實體角色。供應商可以提供系統及其組件、開源/定制軟件、運營支持服務、托管系統與服務等多種產品和服務。ICT供應鏈的發展可以帶來節省成本、快速創新、產品功能多樣化以及供應商的可選擇性等多種好處，但同時也可能在整個供應鏈中引入新的網絡安全風險。由于網絡安全風險可能出現在軟件產品生命周期中的任何階段或供應鏈中的任何環節，因此軟件產品中的代碼或與產品有關的供應商都可能是潛在的安全風險來源。

2 融入企業風險管理，采用多級管理

ICT供應鏈網絡安全風險管理（C-SCRM）是一個幫助企業管理整個供應鏈網絡安全風險的系統流程，是企業整體風險管理的一部分。通過相關風險管理活動可以識別業務中的關鍵系統、降低供應鏈受損的可能性、提高運營效率、減少產品安全問題以及為客戶提供更可靠的服務。供應鏈中的網絡安全風險來源于供應商、供應商的供應鏈、以及供應商提供的產品或服務。為了在企業中執行風險管理，建議采用NIST SP 800-39中的多級風險管理方法，每個級別的風險管理活動都包含來自多個學科（例如信息安全、采購、企業風險管理、工程、軟件開發、IT等）的相關人員共同參與執行，以便更好地持續改進 C-SCRM。此外，還可以設置專門的C-SCRM 項目管理辦公室，用于提供支持并推動落實。

3 加強安全意識，建立共享機制

為了成功應對整個供應鏈中不斷演變的網絡安全風險，企業需要確定如何實施以及監控其供應鏈網絡安全的有效性。與此同時，需要進一步確保內部人員了解其在整個供應鏈中管理網絡安全風險的作用。通過培訓讓員工意識到整個供應鏈中的網絡安全風險可能對業務產生的潛在影響，以及如何采用最佳實踐來緩解風險。

建立信息共享機制有助于評估自身做法并改進風險管理。在內部共享供應鏈風險管理相關信息，加強與外部同行關于C-SCRM的交流，并納入到C-SCRM 計劃中，有助于更好地理解供應鏈網絡風險，在交流中學習改進，獲得減輕整個安全風險相關的重要信息。此外，在采購流程中要考慮C-SCRM因素，增加對產品、服務及供應商進行風險評估、識別相關的C-SCRM 控制、進行盡職調查，并持續監控供應商。指南在關鍵實踐部分給出了基礎、持續和加強三個級別的實踐參考，并且強調應優先實現基本的成熟度，然后再提升額外的C-SCRM能力。

4 自主可控，降低供應鏈安全風險

指南中在列舉供應鏈網絡安全風險時，提到代表民族或國家工作的代理商將惡意軟件插入供應商提供的產品組件中，這些組件用于出售給政府機構的系統中；或者代表機構?作的系統集成商重復使用易受攻擊的代碼，導致關鍵數據遭到破壞，對國家安全造成影響。供應鏈網絡安全風險可以影響企業的產品交付，導致客戶失去信任和信心；可以導致企業機密信息別竊取，失去競爭優勢；甚至可以破壞關鍵信息基礎設施，影響國家安全。

黨中央和國務院高度重視關鍵信息基礎設施的供應鏈安全。習近平總書記曾經指出，“供應鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊”。

網絡安全產品自主可控是保障關鍵信息基礎設施安全的重要手段。天融信基于在網絡安全核心技術領域的深厚積累，以及與國產 CPU、操作系統、數據庫、瀏覽器、中間件等信創產業鏈上下游廠商的深度合作，推動了國產化網絡安全生態體系建設。天融信持續推進基于國產軟、硬件架構的產品研發與適配工作，已取得970+項兼容性適配認證。

基于國產軟硬件的天融信昆侖系列國產化產品已有 57類 196款型號，可以覆蓋云計算、大數據、工業互聯網、移動互聯等場景，在信創產品入圍中保持品類與型號數量領先，形成了國產網絡安全體系。目前產品與解決方案已在黨政、金融、能源、交通等 23 個行業實現規模化應用，滿足了各行業客戶內外網建設、國產化替代的項目建設需求，保障了客戶業務系統的安全可靠和穩定運行。

TOPSEC

當今世界大國間戰略博弈日趨激烈，圍繞關鍵信息基礎設施的網絡攻防已成為網絡空間高烈度對抗的主戰場。天融信作為國內首家網絡安全企業，將始終以捍衛國家網絡空間安全為己任，創新超越，致力于成為民族安全產業的領導者、領先安全技術的創造者、數字時代安全的賦能者。