《中國信息安全》丨黃敏：加強軟件供應鏈安全 護航數字中國

為慶祝中國共產黨成立100周年，貫徹習近平總書記總體國家安全觀和網絡強國思想，《中國信息安全》雜志刊印了“網絡安全百人 獻禮建黨百年”的主題增刊，旨在宣傳和展示國家網絡安全與信息化工作國家頂層設計、法律法規等建設成果，為建黨100周年獻禮。威努特黨支部書記黃敏作為網絡安全行業優秀黨員和優秀人才代表，受邀為增刊撰寫文章《加強軟件供應鏈安全 護航數字中國》。以下為文章全文：

“ 十四五” 規劃綱要第五篇提出“加快數字化發展，建設數字中國”，而“數字化”離不開網絡安全，所以，規劃綱要第十八章第三節明確提出“加強網絡安全保護”。隨著等級保護、關基保護工作的持續推進，我國網絡安全防護水平持續提高，但我國網絡安全防護體系尚存在較大的盲區，“建設數字中國”尚存在較大隱患。

當前，我國供應鏈安全政策或標準主要有網絡安全等級保護 2.0 標準和《網絡安全審查辦法》，以及 GB/T36637-2018《信息安全技術 - ICT 供應鏈安全風險管理指南》。

另外，還有在編的國家標準《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》《信息安全技術 信息技術產品供應鏈安全要求》等。這些法規和標準對服務供應商的選擇和安全管理、安全性檢測、供應鏈的管理和審查、產品采購和使用等都做出了指導以及規定。

等級保護 2.0 主要從管理和技術兩個方面保證供應鏈安全。但是，管理上怎么監督檢查供應商是否履行了網絡安全義務，尤其是供應商的開發、生產網絡的安全防護義務，往往超出了甲方的能力范圍。技術上的安全檢測，受限于檢測技術的能力，不可能發現所有的安全隱患，尤其是“太陽風”（SolarWinds）攻擊事件中帶有供應商官方簽名的程序通常是被信任的。所以，當前的等級保護要求，難以避免 SolarWinds 攻擊事件的發生。

《網絡安全審查辦法》是針對關鍵信息基礎設施（CII）運營者的。其中第五條規定：運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。

但是，當前網絡安全審查的具體執行方法，尤其是技術檢測如何執行還不明確。同樣受限于檢測技術的能力，對受信任的供應商的產品中隱藏的高級后門（類似 SolarWinds 攻擊事件中來自供應商官方、帶有供應商官方簽名的程序），安全審查也不一定都能發現。

《信息安全技術 - ICT 供應鏈安全風險管理指南》規定了 ICT 供應鏈的安全風險管理過程和控制措施。技術安全措施包括物理與環境安全、系統與通信安全、訪問控制、標識與鑒別、供應鏈完整性保護和可追溯性幾個方面；管理安全措施涉及制度和人員管理、供應鏈生命周期管理、采購外包和供應商管理。該指南內容比較全面，但沒有和網絡安全等級保護 2.0標準等強監管標準銜接上，落地難度比較大。此外，自主可控不能有效解決 SolarWinds 類攻擊。

SolarWinds 是一家美國 IT 基礎設施管理軟件公司，SolarWinds Orion IT 管理軟件對美國來說是一款自主可控的產品，攻擊者正是利用了美國政府和企業對SolarWinds Orion IT 管理軟件的信任，得以順利實施攻擊。

隨著等級保護、關基保護工作的持續推進，我國關鍵信息基礎設施的安全防護能力將得到顯著提升，攻擊者直接攻擊關鍵信息基礎設施的難度將越來越大，那么，關鍵信息基礎設施的供應商（包括一級供應商到 N 級供應商）將很可能成為網絡安全“木桶理論”中的短板，受到攻擊者越來越多的重視。

所以，加強對關鍵信息基礎設施的供應商的網絡安全要求非常有必要。例如，對關鍵信息基礎設施的供應商，必須也按照關保要求進行自身網絡的安全防護；對等保三級 / 四級的供應商，必須也按照等保三級 / 四級要求進行自身網絡的安全防護。