资源描述
2022-2023软件供应链安全技术研究报告CONTENTS执行摘要 0011 软件供应链安全威胁与趋势 0031.1软件供应链面临的安全威胁 0041.2软件供应链攻击的发展趋势 0072 供应链安全国内外形势 0102.1国内外供应链安全政策与发展 0112.2国内外供应链安全标准与实践 0153 软件供应链安全技术框架 0193.1软件供应链安全 0203.2软件供应链安全理念 0213.3软件供应链安全技术框架 0274 软件供应链安全关键技术0284.1软件成分清单生成及使用技术 0294.2软件供应链安全检测技术 0394.3软件供应链数据安全技术 0545 软件供应链安全解决方案0585.1供应链安全监督 0595.2供应链安全管控 0676行业、企业最佳实践 0806.1银行业金融机构信息科技外包安全实践 0816.2交通运输企业供应链安全监督检查实践 0827 典型供应链攻击案例复盘 0857.1IT 管理供应商 SolarWinds 供应链攻击事件 0867.2开源软件安全风险 L og4j2 漏洞事件 0888 软件供应链安全总结与展望 091附表:软件供应链安全风险表 093001执行摘要习近平总书记在二十国集团领导人第十六次峰会第一阶段会议发表的重要讲话中强调:“要维护产业链供应链安全稳定,畅通世界经济运行脉络。”作为世界第二大经济体,我国在世界局势不断变化的今天依靠自身供应链韧性保持了强有力的经济增长与制造业产业转型升级持续稳步推进。信息和通信技术(Information and Communications Technology,简称 ICT)供应商、第三方供应商、集成服务企业和服务提供商共同组成的 ICT 产业链承担着我国产业从工业化向数字化转型升级的重要任务。2018 年以来,中兴、华为、大疆等一系列事件,暴露出我国 ICT 产业链上游核心技术受制于人的问题,缺乏核心技术使我国网络安全与信息化建设存在巨大的风险与阻碍。尤其在近期俄乌冲突期间,西方社会对俄罗斯进行了全方位的制裁,同时将 ICT 供应链制裁上升到了战略层面对俄罗斯进行打击,这一行为也为我国敲响了警钟。软件供应链作为 ICT 供应链的重要组成部分,是各类关键信息基础设施平稳运行的重要基础,其关键组件的设计、开发、部署、监控和持续运营等生命周期核心环节供给过程的安全可控成为网络安全的关键考量因素。绿盟科技推出软件供应链安全技术白皮书,旨在从软件供应链安全威胁与国内外形势来梳理软件供应链中存在的安全问题,提炼出软件供应链安全治理的核心理念、技术框架、关键技术,并从供应链安全监管和控制方面给出解决方案和最佳实践,期望为读者带来全新的技术思考,助力我国软件产业发展。本技术白皮书的主要观点如下:观点 1:软件供应链威胁存在于软件供应链的全生命周期中,攻击的手段和实施的途径相较其他攻击技术手段更加多元化,且难以防范。近几年软件供应链攻击安全事件激增,软件供应链攻击已经成为重要的突破手段,其中利用开源社区、公共开源存储仓库这类开源软件生态入侵事件尤为严重。开源软件供应链安全不可忽视,其重要性日渐凸显。观点 2:近年来,政府在供应链安全领域发挥着越来越重要的影响,但除积极方面之外,以美国为首的部分发达国家政府在其中注入了过多地缘政治因素的考量,甚至将其制定相关法规的权力作为国际竞争的工具,使其风险从通常意义上的网络安全风险上升为供应链断供风险。另一方面,面对发达国家以法令出台、贸易制裁、技术出口等手段带来的供应链跨境安全管控风险,中国、俄罗斯等国家立足国情,集中优势资源开展核心技术攻关,提升自研自制能力,补齐短板、发展优势能力,加强对供应链产品和服务的安全审查,逐步建立和完善供应链安全风险管理体系。002观点 3:为应对软件供应链的威胁,上游企业需要构建自身产品的软件成分清单来梳理软件供应链信息,向下游企业和用户清晰、透明的提供管理软件供应链所需要的基础条件。软件成分清单依据识别成分的粒度,可以分为不透明、微透明、半透明和透明几个阶段。透明程度高的软件成分清单,能显著提升最终用户进行软件供应链安全评估的准确性。观点 4:软件供应链安全包括整个软件的开发生命周期,在开发阶段漏洞的引入不止在代码编写阶段,还有所依赖的开源组件、开发和构建工具等,依照软件的开发和构建过程,企业需要建设开发过程安全评估能力。在软件交付阶段,作为供应商,除保证交付软件安全外,也应将软件成分清单一并交付给下游企业,促使整个软件供应链的上下游都具备依据安全通报、威胁情报监控等第三方信息能够分析、评估软件供应链安全的基本条件。供应链软件产品交付运行后,供应商应在产品的生命周期内提供安全保障服务,对产品漏洞及时修复,最终用户也应根据供应商所提供的软件成分清单纳入企业资产管理范围,定期对资产进行安全评估,结合漏洞预警,对受影响的产品进行加固和修复。观点 5:软件供应链风险贯穿了产品的整个生命周期,结合近年来所发生的供应链攻击和入侵事件,我们需要从监管层面加强供应链产品安全认证管理,提供企业软件 SBOM托管和可信认证服务,企业也需要完善供应链资产管理和安全检查,可借助 SBOM知识图谱理清企业供应链依赖关系,从而在监测到预警时能够从容应对。观点 6:软件供应链在不断的技术迭代与产业发展中逐渐形成了包含复杂技术体系、多元产品组件及各路开发者、供应者与消费者为一体的庞大产业生态,大量新技术的引入令软件风险防护范围从个体层面提升至供应链层面,安全视角发生了重大变化。整个软件供应链缺乏有效的统筹与管理,将安全建设寄托于技术人员的自我道德约束无疑是一种“赌博”。我们急需建立供应链安全管理机制,杜绝“自我约束”的无监管行为。通过政策引导与配套法律建设保证软件供应链安全能够牢牢的把握在中国人自己手中,形成可信的软件供应链体系,真正造福社会。1软件供应链安全威胁与趋势0041.1 软件供应链面临的安全威胁经济全球化发展给企业发展带来了更多机遇和成长,基于价值链的实现,促进了供应链的全球化,多样化和复杂化,同时如何管理供应链的问题给企业带来了更大的挑战和威胁。软件供应链涉及环节复杂,流程和链条长,供应商众多,暴露给攻击者的攻击面越来越多,攻击者利用供应链环节的薄弱点作为攻击窗口,供应链的各个环节都有可能成为攻击者的攻击入口。既有传统意义上供应商到消费者之间供应链条中信息流的问题,也有系统和业务漏洞、非后门植入、软件预装,甚至是更高级的供应链预制问题。从软件供应链全生命周期考虑,可以简单分为上游安全、开发安全、交付安全、使用安全和下游安全,安全威胁存在于软件供应链的全生命周期中。一、软件供应链上游安全为实现业务需求的独特性,很多公司需要根据业务需求开发定制化软件或者使用云服务产品,可能会使用软件供应商或者云服务提供商的产品,那么公司对于上游企业面临的风险是否有考虑到呢?比如采购上游企业的软件产品,软件供应商是否能保证对软件使用的核心组件可信且组成清晰,在爆发软件内部漏洞的事情下,具备快速的定位组件风险的能力。软件在面临外部攻击风险时,是否具备一定的抗攻击能力,至少不会漏洞百出。不管是内部漏洞还是外部攻击,软件供应商是否有能力快速定位到漏洞,及时评估漏洞、代码的风险,能提供持续的更新能力。上游企业安全评估能力强,那么将更好的预防风险发生,安全评估能力弱,随之而来的存在脆弱性风险的可能也将增加。尤其关键数据泄露是重中之重,关注上游软件评估中关键数据的权限范围、证书管理等能力,成为企业选择上游企业的关键因素。当然也应当保证软件供应链的持续性,不能因为软件产品中组件或者环境因素,影响业务,比如云服务商的 SaaS、PaaS 等服务的中断可能性。在上游软件供应链安全中,另一大安全风险是开源安全。开源软件的使用,一定程度上推动了技术的发展,提高了创新的可能性,但是另一方面,国际环境的复杂性,开源软件又具备代码公开、易获取和可重用的特点,使开源软件面临更大的风险,比如开源组件、框架的漏洞、缺陷逐渐增加,且开源软件分布在各大社区,使用范围略广,然而漏洞信息却不能及时被官方收录,使得漏洞的跟踪能力和整改能力降低,上游企业是否具备管控开源软件的能力呢?除此之外,开源软件隐形依赖关系使不同开源软件之间存在合规性和兼容性风险,从而引发知识产权风险,且隐形依赖关系增加了漏洞发现、修复的难度,为保障开源组件、005框架的稳健性,将提高其维护、修复和应对能力。如果没有提前考虑到采购前的风险点以及应对能力,那么很可能,在爆发软件攻击或者漏洞的情况下,不能快速定位软件风险点,及时遏制住风险的扩散,快速的更新软件问题,那么影响的将会是使用此软件的所有客户企业群体,带来的更加直观的损失将会是小到影响业务正常运行,大到财务损失,更甚者是客户企业的存亡问题。二、软件供应链开发安全在软件开发过程中,如果开发者为了提高工作效率,并没有在设计之初将安全考虑在内,将导致后期安全问题的出现,增加整改的成本和难度。从安全角度考虑软件开发阶段简单分为开发环境安全、开发过程安全和编译构建安全三个阶段。在软件开发阶段,需要借助提前准备的工具进行编程实现业务功能,作为开发过程的一个重要环境,如何选择开发工具将尤为重要,一旦开发工具遭到污染,使用了不安全的开发工具,那么开发完成的软件很大可能性同样存在安全风险。此外,开发环境以及 CI/CD 集成环境遭到污染,都有可能导致代码存在被篡改、恶意植入等风险问题,甚至可能导致整个编程环境存在安全风险。即使开发工具和环境不存在污染,那么完成开发部分的源代码同样需要确保其托管平台和代码存储平台未受到污染,否则恶意人员很可能通过托管平台或者代码存储平台对代码进行篡改以及恶意植入。在确保开发环境安全的情况下,开发过程也可能引入安全威胁,开发者由于工期紧、任务重等原因,更偏重于功能开发,不规范的安全开发引入不可预测的安全风险。开发人员在开发过程中,不可避免的会借用网上现成的代码,既是学习成长的过程,也是提高工作效率的一种方式,但是对于开发功底不深厚、经验不够丰富的学习者来说,如果更注重功能的实现,而不具备识别和判定代码安全性问题的能力,就会在代码来源的安全性,代码内部逻辑的安全性以及在版本修订、剪裁和迭代中引入更多安全问题,内部漏洞、缺陷也将增加,这种行为会在后续软件实现中埋下一个定时炸弹,同时在开发过程中也将涉及到开源组件引入风险问题。完成开发后,进入编译构建阶段,编译工具的不安全将导致可能植入后门。各大互联网公司在企业内部自建包管理工具用于存放自研软件包,若员工安装自研软件包时没有制定仅企业内部下载,就可能遭到包抢注攻击,以及开发者在使用过程中,生产配置文件引用了官方源不存在的包等问题。006三、软件供应链交付安全目前很多企业软件开发大多数采用第三方供应商软件再开发方式,购买第三方软件的基础架构,再根据企业情况进行定制化的开发调整。源代码共享的情况下,源代码安全成为了双方共同的安全责任。但是一般情况下,企业更加注重本身对于源代码的保管安全,考虑到源代码的访问安全、物理环境安全、网络安全等因素,并做好充分的保护措施。但企业很少会对第三方保管的源代码提出管理要求。而软件供应商相对注重代码功能的交付,对于源代码的保管安全意识较为薄弱。比如办公环境和源代码存在于同一区域,网络环境内缺乏安全防护设备,未严格限制源代码的访问控制等问题普遍存在。不管是监管机构还是企业客户,均未对第三方源代码安全提出管理要求,导致第三方源代码安全成为盲区。交付过程中,除了源代码安全,也应扩大交付范围管控,如果交付的软件未经过编译或者编译信息泄露,那么也将导致源代码不安全性增加,使攻击者能更轻松的获取源代码,通过篡改、植入等技术手段破坏软件的安全性,达到获利的目的。软件的正常使用,还涉及到证书、私钥的管理泄露风险。如果不能确保基础环境的可信,证书、密钥的泄露将更加便利攻击者的入侵。完成基础交付准备工作,需要将软件安全以及维护后续安全更新途径传递到企业手中。2022 年央视“315”晚会对软件捆绑的互联网乱象进行了曝光,发现软件捆绑下载情况相当严重,一旦用户在这些网站下载安装软件就会“中招”,用户下载一个软件,实际上明里暗里的却被安装了数个捆绑软件,导致电脑运行速度明显下降,电脑安全风险大大增加。另外除了捆绑下载问题,安全问题也频繁出现,需要对维护软件进行频繁的升级、更新。升级、更新途径可能存在劫持风险,导致更新包早已被篡改、恶意植入。四、软件供应链使用安全软件在使用过程中,不可避免的会发生突发信息安全事件问题,比如 0DAY 的出现,或者其他软件病毒类安全事件,如不能快速发现、应对和处置,将会给企业带来严重的威胁,甚至带来财务损失。软件供应商是否能及时配合企业完成信息安全事件的排查和修复过程至关重要。软件使用过程中,依赖于网络基础设施安全或者云平台安全,基础设施面临恶意攻击、自然灾害破坏引发的连锁反应可能造成跨部门大面积基础设施受损,并引发服务中断,给业务正常运行带来威胁。企业应确保网络基础设施符合国家监管政策要求,履行网络基础设施建设和维护职责。007五、软件供应链下游安全供应链下游主要为营销、服务、品牌等活动,供应链下游的信息将成为上游信息的重要输入信息,但是供应链的各阶段环节由多家供应商参与,企业之间需求信息相对保守,信息从下游向上游需求放大传递时,就出现了“牛鞭效应”。“牛鞭效应”使得信息被扭曲、放大,无法实时有效的传递,而企业的需求信息决策取决于相关反馈数据输入,供应链环节越多,供应链越长,那么传递信息的失真性越严重,供应链效率就越低。在供应链下游也同样存在上游的问题,比如下游采用独家供应商,下游对接的供应商自身管理水平、企业文化、经营模式和财务状况等存在差异性。企业对上游和下游的管理同样重要。1.2 软件供应链攻击的发展趋势1.2.1 软件供应链攻击事件持续高发相较于传统安全威胁,供应链威胁的影响力具有扩散性,上游产品的漏洞会影响下游所有角色,引起安全风险的连锁传递,导致受攻击面不断扩大。近年来发生了多起影响力较大的供应链攻击事件,涉及开源组件、公开代码存储库、云安全 CI/CD 平台等方面。表 1.1 软件供应链攻击事件时间 关键词 备注2022.05 开源组件以依赖混淆的攻击方式在一系列恶意 NPM 软件包插入后门代码,针对德国的重要媒体、物流和工业公司发起攻击。研究者认为本次攻击有很强的针对性,并且依赖难于取得的内幕信息。一家名为 Code White 的德国渗透测试公司申请为此事件负责,并补充说这是“为专门的客户模仿现实的威胁行为者”的尝试。2022.03 开源组件继百万周下载量的 npm 包“node-ipc”以反战为名进行供应链投毒后,又一位开发者在代码中加入反战元素。3 月 17 日,俄罗斯开发人员 Viktor Mukhachev 在其流行的 npm 库“event-source-polyfill”中添加了一段反战代码。这段在 1.0.26 版本中引入的代码意味着:使用该库构建的应用程序,将在启动 15 秒后向俄罗斯用户显示反战消息。2022.03 开源组件攻击者在 npm 仓库中利用 typosquatting 的方式,注册一系列包含恶意代码的重名组件包,对 azure 开发者进行供应链攻击。2022.03 开源组件、代码注入node-ipc 是使用广泛的 npm 开源组件,其作者出于其个人政治立场在该项目的代码仓库中进行投毒,添加的恶意 js 文件会在用户桌面创建反战标语。根据进一步的深挖,该作者还曾加入将俄罗斯与白俄罗斯区域用户数据抹除的恶意代码。Unity Hub、vue-cli 等应用广泛的第三方软件受到该事件影响。2022.01 开源组件、代码注入使用众多的 npm 软件包 faker.js 与 color.js 的主要开发者 Marak Squires 因生活窘迫,维护项目不得回报等原因,删除所有 github 代码,并向 npm 仓库推送包含恶搞功能的更新(打印乱码),包括 aws-cdk 在内的众多应用受到影响引发对开源生态,开源项目维护者角色回报的激烈讨论。008时间 关键词 备注2021.12 开源组件、软件漏洞Apache Log4j2 是一个开源基础日志库,是对 Log4j 组件的升级,被广泛用于开发、测试和生产。该开源项目支持属性查找,并能够将各种属性替换到日志中。用户可以通过 JNDI 检索变量,但是由于未对查询地址做好过滤,存在 JNDI 注入漏洞。Log4j2 应用极其广泛,影响范围极大,同时随着供应链环节增多、软件结构愈加复杂,上述漏洞也更加难以发现、修复(尤其是间接使用到该组件的项目)。目前常见攻击形式有勒索、挖矿、僵尸网络(以及 DDOS)。2021.09 云安全Microsoft 的 Azure 容器服务存在跨账户接管漏洞,原因是使用了过时的 RunC 工具(v1.0.0-rc2)。攻击者可攻陷托管 ACI 的 k8s 集群,接管平台上其他客户的容器,执行代码并访问平台上的数据。2021.09 公开代码存储库攻击者提交恶意代码到 GitHub 私有库,更改公司拍卖网站的前端并将钱包地址替换为自己的钱包地址。原因在于仓库没有强制执行分支保护设置。2021.08 开发工具Realtek 旗下 WiFi 模块的开发包(SDK)中存在多个漏洞,包括命令注入、HTTP 的内存损坏、自定义网络服务等。攻击者可利用这些漏洞破坏目标设备并以最高权限执行任意代码。2021.07代码注入、IT 管理平台、下游影响与 REvil 勒索软件团伙相关的犯罪团伙发起了针对多家管理服务提供商(MSP)的大型勒索软件攻击。经调查这些厂商均使用了来自 Kaseya 的 VSA 产品服务,该服务提供对客户终端的统一远程监控与管理。由于 Kaseya 被攻陷,导致产品中被植入恶意代码,超过 1500 多家下游用户企业被感染。2021.06 开源组件Linux 平台基于 Pling 的各个免费开源软件市场存在漏洞,浏览器没有为本地WebSocket 服务器链接实现同源策略。攻击者可利用该漏洞,进行 XSS 蠕虫攻击或者远程代码执行攻击。2021.05 信息泄露Colonial Pipeline 是美国最大的燃油管道运营商之一。犯罪组织 Darkside 利用该公司泄露到暗网上的虚拟专用网络账户密码,成功入侵后窃取大量数据并安装了勒索软件,最终索取了约 440 万美金的赎金。2021.04 CI/CD、基础镜像由于 Docker 映像创建中的错误,代码测试公司 Codecov 产品中的 bash uploader 脚本被修改,导致产品会向攻击者的服务器发送客户在持续集成(CI)中的软件源代码、凭据、令牌等敏感、机密信息。2021.03 信息泄露、下游影响硅谷初创公司 Verkeda 的摄像头数据库被攻破,约 15000 个监控摄像头的实时画面被泄露。根源在于该公司的一个管理员账户的用户名和密码被公开。2021.03公开代码存储库、代码植入PHP 的独立 git 基础设施 服务器被攻击,攻击者冒充两名维护人员向服务器上的存储库推送了恶意提交,并成功植入后门。该后门能获得网站系统的 HTTP 请求远程代码执行权限。2021.02 开源组件、依赖混淆安全研究人员 Alex Birsan 通过利用开源生态安全机制上的漏洞(即依赖混淆),成功侵入了微软、苹果、PayPal、特斯拉、优步等 35 家国际大型科技公司的内网。2021.01 云安全、下游影响Mimecast 是一家为电子邮件和企业信息提供云安全和风险管理服务的供应商。2021年 1 月发现,有攻击者成功攻击 Mimecast 服务并获得了 Mimecast 为微软 365 用户颁发的证书,使其能够干涉链接并从服务器窃取信息。2020.12软件供应商、下游影响SolarWinds 遭遇国家级 APT 团伙的供应链攻击,对美国各个行业的大量客户产生了严重影响。攻击流程为:首先入侵 SolarWinds 达成初始妥协;此后将篡改软件部署后门,再使用合法证书为植入了后门的组件签名;最后,监视技术环境,识别漏洞后进行提权、横向移动等一系列操作,实现对 SolarWinds 的渗透,并获取用户数据。可能应用到的攻击技术有:社会工程学攻击、暴力攻击以及零日漏洞利用。2020.12 代码注入、下游影响黑客攻击了越南政府证书颁发机构(VGCA),并在提供的客户端应用程序中植入后门。该后门可以接收插件,也可以检索受害者的代理配置,并使用它来联系 C&C 服务器并执行命令。它的旧版本 PhantomNet 曾在菲律宾被发现。2020.11软件漏洞、密保软件、数字证书WIZVERA VeraPort 是一款韩国集成安装工具,帮助用户在访问政府、银行网站时管理所需安全软件。该软件在使用中仅验证下载的二进制文件数字签名是否有效,却不验证其所属来源。Lazarus 网络犯罪组织利用该漏洞,针对支持 VeraPort 的网站,利用盗取的数字证书对恶意软件进行签名并替换,使得用户下载到恶意软件。2019.01升级程序、硬件供应商、下游影响黑客更改了旧版本的华硕 Live Update Utility 软件,在其中植入了后门程序,并通过更新的方式将该版本分发给全球的华硕设备。该软件使用合法的华硕证书签名,存储在官方服务器上。攻击者可以通过远程服务器控制目标计算机,安装额外的恶意软件。0091.2.2 软件供应链攻击技术复杂多样区别于孤立产品的安全漏洞利用,现实环境中的供应链攻击手法更加多样,实施途径更加多元化。由于开发成本的优势,在项目中广泛使用开源组件已成为主流的开发方式。低门槛的开放社区与有限的维护资源的矛盾,给攻击者提供了可乘之机。在开源代码中插入恶意代码是造成影响最为直接的攻击形式,但常规的恶意代码插入手段会受到人工代码审核等方式的遏制。攻击者开始另辟蹊径,寻求人工代码审查存在的脆弱性。剑桥大学的研究员提出了一种名为 Trojan Source1的新型攻击技术,该技术利用 Unicode 中的不可见字符构造肉眼难以识别的恶意隐藏代码,达到逃逸人工审查的效果。除此之外,明尼苏达大学的研究者提出向开源项目提交隐藏漏洞的攻击方式,并实践于 Linux 内核项目2。虽然这种做法因开源社区的强烈谴责而被叫停,但仍然为安全社区警示了该攻击手段的隐蔽性和潜在的破坏性。公共代码存储仓库是开源软件代码的载体,企业在产品的开发构建过程从中拉取第三方依赖。但有效的安全控制与自动化的反制措施的缺失,会使公开代码仓库成为恶意代码的潜在传播平台。2021 年初,安全研究员 Alex Birsan 提出名为依赖混淆(Dependency Confusion)的新供应链攻击方式3。攻击者在公开存储库中创建私有依赖项的更高版本的同名项目,使得恶意代码在构建的过程中被拉取。该技术巧妙的利用了主流包管理器存在的设计缺陷,利用包名的模糊性在众多产品实现 RCE,被 PortSwigger 列为 2021 年度 Web 攻击技术之首4。在 DevOps 理念深入人心、IT 云化服务登堂入室的今天,自动化构建、测试与部署等自动化流水工具成为现代产品软件开发的选择。CI/CD 平台作为 DevOps 理念的落地实践,起着保证持续集成和持续部署的关键作用,瞄准此类平台的攻击事件也逐渐涌现。在 2020 年末的 SolarWinds 供应链攻击事件中攻击者在 IT 管理软件的代码仓库中插入恶意代码,编译部署后分发至全球政府与跨国商业机构,影响重大。在 2021 年 4 月,由于 Docker 镜像创建过程中的问题,代码测试公司 Codecov 产品中的 Bash Uploader 被修改,允许攻击者获取软件源代码、凭据令牌等敏感信息5。1 Boucher,N.and R.Anderson,Trojan Source:Invisible Vulnerabilities.arXiv preprint arXiv:2111.00169,2021.2 Open Source Insecurity:The Silent Introduction of Weaknesses through the Hypocrite Commit3 2供应链安全国内外形势0112.1 国内外供应链安全政策与发展2.1.1 美国2002 年,美国布什政府提出强调关注 ICT 供应链安全问题的信息安全战略,美国将 ICT供应链安全问题提到了国家战略的高度予以重视。2008 年,美国布什政府发布的 54 号国家安全总统令(NSPD54)提出国家网络安全综合计划(CNCI),其部署的一项重要工作就是建立全方位的措施来实施全球供应链风险管理。为落实该计划对 ICT 供应链安全问题的部署,2008 年美国国家标准和技术研究院(NIST)启动了 ICT 供应链风险管理项目(SCRM),在原 信息保障技术框架(IATF)提出的“纵深防御”战略的基础上,提出了“广度防御”的战略,开发全生命周期的风险管理标准。NIST 认为,“纵深防御”战略侧重于通过分层的防御体系对网络和系统进行保护,其关注的是产品在运行中的安全,因而不能解决供应链安全问题,而“广度防御”战略的核心是在系统的完整生命周期内减少风险,这一认识的变化也奠定了当前 ICT 供应链安全风险管理方法的基础。2009 年,美国奥巴马政府在 网络空间安全政策评估报告中指出,应对供应链风险除了对国外产品服务供应商进行谴责外,更需要创建一套新的供应链风险管理方法。2011 年,美国奥巴马政府发布的 网络空间国际战略中将“与工业部门磋商,加强高科技供应链的安全性”作为保护美国网络空间安全的优先政策。2014 年,美国国会提议了 网络供应链管理和透明度法案,意在确保为美国政府开发或购买的使用第三方或开源组件以及用于其他目的的任何软件、固件或产品的完整性。该法案要求制作物料清单(BOM)由“为美国政府开发或购买的软件、固件或产品的所有供应商”提供的所有第三方和开源组件。法案中的措辞承认开源是一种关键资源,并清楚地表示其在政府 IT 运营中持续发挥着关键作用。该法案是建立透明度的积极的第一步,这是一个非常有价值和可以实现的目标。通过遵守新立法,联邦政府供应商将准确了解他们的代码中的内容,并能够在发现任何问题时主动解决。2018 年 12 月,美国国会通过了 安全技术法案,联邦采购供应链安全法案 2018 作为该法案的第二部分一并签发。联邦采购供应链安全法案 2018 创建了一个新的联邦采购供应链安全理事会并授予其广泛权利,为联邦供应链安全制定规则,以增强联邦采购和采购规则的网络安全弹性。0122019 年 5 月,美国特朗普政府签署了名为 确保信息和通信技术及服务供应链安全的行政令,宣布美国进入受信息威胁的国家紧急状态,禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的 ICT 技术设备和服务。2021 年 1 月,美国商务部发布 确保信息和通信技术及服务供应链安全的最新规则,旨在落实 2019 年 5 月 15 日特朗普政府的 确保信息和通信技术及服务供应链安全的总统令的相关要求,建立审查外国对手的 ICT 服务的交易流程和程序,禁止任何受美国管辖的人获取、进口、转让、安装、买卖或使用可能对美国国家安全、外交政策和经济构成威胁的外国ICT 技术与服务。2.1.2 欧盟2012 年,欧盟网络和信息安全局(ENISA)发布了 供应链完整性 ICT 供应链风险和挑战概览,以及未来的愿景报告,并于 2015 年更新。除了提供可供 ICT 供应链相关参与者借鉴的实践做法外,还建议设立国际评估框架,以有效评估 ICT 供应链风险管理。2016 年上半年,欧洲标准化委员会(CEN)、欧洲电工委员会(CENELEC)与欧洲电信标准协会(ETSI)对欧洲 ICT 产品和服务的政府采购所适用的可接入性提出了新的标准,即通信技术产品和服务政府采购所适用的可接入性规定(EN 301 549)。该标准是欧洲首次对通信技术产品和服务的政府采购所适用的可接入性标准,并以法规的形式加以强调。该标准指出,政府部门与其他公共机构在采购通信技术产品和服务的时候,要确保网站服务、软件、电子设备与其他产品具有更好的可接入性,即:上述产品与服务的采购要本着让更多人使用的理念出发,即体现“以人为本”的原则进行。2017 年 9 月,欧洲委员会主席 Jean-Claude Juncker 在其盟情咨文中提出了 欧盟网络安全法案。2019 年 6 月,新版 网络安全法 正式施行,取代了旧版网络安全法案,该法案表现出了欧盟对中国 IT 供应商在欧洲市场日益增长的影响力的担忧和关切。2019 年 4 月,欧盟外国直接投资审查条例生效。该条例指出,欧盟有权对参与5G 网络等关键基础设施投资的外商进行审查和定期监控,以保障 5G 网络等关键基础设施的安全性,同时避免关键资产对外商的过度依赖。这也是欧盟保障 5G 供应链安全的有效工具。2021 年 7 月,欧盟网络和信息安全局(ENISA)发布了 供应链攻击威胁全景图,该报告旨在描绘并研究从 2020 年 1 月至 2021 年 7 月初发现的供应链攻击活动。该报告通过分类系统对供应链攻击进行分类,以系统化方式更好地进行分析,并说明了各类攻击的展现013方式。报告指出,组织机构更新网络安全方法时应重点关注供应链攻击,并将供应商纳入防护和安全验证机制中。2.1.3 英国2013 年,英 国 可 信 软 件 倡 议(Trustworthy Software Initiative,TSI)通过解决软件可信性中的安全性、可靠性、可用性、弹性和安全性问题,提升软件应用的规范、实施和使用水平,在 ICT 供应链的软件领域建立起基于风险的全生命周期管理。由 TSI 发布的可信软件框架(Trustworthy Software Framework,TSF)为不同领域的特点术语、引用、方法以及数据共享技术提供互通的可能,为软件可信提供最佳实践及相关标准。2014 年,在 TSI 及其他机构的努力下,“软件可信度-治理与管理-规 范”(PAS754:2014)发布。该规范在英国软件工程上具有里程碑的意义,涵盖了技术、物理环境、行为管理等多个方面,并规定了申请流程,为采购、供应或使用可信赖软件提供帮助,提高业务水平,降低安全风险。2019 年,英国电信供应链回顾报告 发布,报告结合英国 5G 发展目标,以及 5G 在经济和社会发展中的作用,强调了安全在电信这一关键基础设施领域的重要意义,并为电信供应链管理展开综合评估。2.1.4 日本日本在 2018 年版的网络安全战略中,强调了“加强组织的能力”,呼吁供应链各相关方积极协作,通过组织间多样化的连接,创造有价值的供应链。其具体举措一是明确供应链中存在的威胁,制定并推广相关保护框架;二是充分调动中小企业的积极性,推动其创新。日本在 2020 年提交一项关于网络技术安全的法案 特定高度电信普及促进法,旨在维护日本的网络信息安全,确保日本企业慎重应用新一代网络技术,5G 和无人机将是新法的首批适用对象。新法要求日本相关企业在采购高级科技产品及精密器材时,必须遵守三个安全准则:第一,确保系统的安全与可信度;第二,确保系统供货安全;第三,系统要能够与国际接轨。这套准则标明了日本企业应考虑使用的日本或欧美的相关产品。同时,日本政府采购也已将华为和中兴排除在外,并考虑在水电和交通等基础设施领域只运用本国数据库,并要彻底防止使用有中国科技产品的其他国家数据库。同时,政府将通过税制优惠措施在内的审批手段,引导企业重用日本本国研发的新一代通信器材。0142.1.5 俄罗斯在2025 年前电子工业发展战略 明确提出,俄罗斯首先要解决的是对进口产品的依赖,而为了解决这些问题当务之急是要“尽快实现创新成果的应用”。为此,近年来,俄罗斯加大了对进口信息设备使用的管理和控制。普京曾公开要求俄罗斯仅有的三家具有部分政府管理职能的国家公司之一的俄罗斯技术公司使用国产软件产品,并称如果该公司不使用国产软件将取消其承接国家订货任务的资格。同时,国防部等涉及国家安全的关键及重点部门、领域、行业和个人也被要求必须使用俄制产品。为了保证信息安全,俄加大了国产安全手机的配发,国产操作系统亦开始在俄罗斯军方作战指挥系统终端中广泛应用。2018 年国防部还启动了所有计算机全部换装国产操作系统的工作。不仅如此,为确保重要部门之间能够实现安全的互联和通信传输,俄罗斯着手建设基于国产技术、能够实现安全加密通信的“国家信息通信网”,并计划于 2018 年开始为总统办公厅等机构提供接入服务。总的来说,俄罗斯密集出台了一系列旨在推进俄制产品应用的政策措施,以期从源头上杜绝因使用不安全、留有后门的信息产品所带来的安全隐患,希望通过加大本国产品应用拉升市场需求、促进国内生产,并通过实际应用,不断检验、丰富、完善和提高本国产品的功能、特性及竞争力,形成产业发展的良性互动。此外,在跨国合作上,中、俄等国在 2011 年和 2015 年两度向联合国提交的 信息安全国际行为准则中,也就确保 ICT 供应链安全提出了具体倡议,强调应“努力确保信息技术产品和服务供应链的安全,防止他国利用自身资源、关键设施、核心技术、信息通讯技术产品和服务、信息通讯网络及其他优势,削弱接受上述行为准则国家对信息通讯技术产品和服务的自主控制权,或威胁其政治、经济和社会安全”。2.1.6 中国2014 年 5 月 22 日,国家互联网信息办公室宣布我国即将推出网络安全审查制度,初步界定了网络安全审査的含义。2015 年 7 月 1 日,中华人民共和国国家安全法第 59 条规定了网络安全审査制度由国家建立。2016 年 7 月,国家信息化发展战略纲要明确我国要建立实施网络安全审査制度,对关键信息基础设施中使用的重要信息技术产品和服务开展安全审査。2016 年 11 月 7 日,中华人民共和国网络安全法中明确关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的应通过国家有关部门组织开展的网络安全审查。0152017 年 6 月,我国颁布 网络产品和服务安全审办法(试行)和 网络关键设备和网络安全专用产品目录(第一批)。2020 年 4 月,我国多部门联合发布 网络安全审査办法,进一步细化明确了网络安全审查的范围、机制、流程等相关要求。2021 年 4 月,国务院常务会议正式通过 关键信息基础设施安全保护条例,在该条例中明确了运营者采购产品和服务的安全管理措施。2021 年 11 月,国家互联网信息办公室通过 网络安全审查办法,该办法将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过 100 万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。2.1.7 总结近年来,政府在供应链安全领域发挥着越来越重要的影响,但除积极方面之外,以美国为首的部分发达国家政府在其中注入了过多地缘政治因素的考量,甚至将其制定相关法规的权力作为国际竞争的工具,任由敌视、焦虑情绪主导,人为割裂了原本可以互联、互通、互利的全球供应链,使其风险从通常意义上的网络安全风险上升为供应链断供风险。另一方面,面对发达国家以法令出台、贸易制裁、技术出口等手段带来的供应链跨境安全管控风险,中国、俄罗斯等国家立足国情,集中优势资源开展核心技术攻关,提升自研自制能力,补齐短板、发展优势能力,加强对供应链产品和服务的安全审查,逐步建立和完善供应链安全风险管理体系。2.2 国内外供应链安全标准与实践2.2.1 国际标准供应链安全的标准化工作经历了由传统供应链安全向 ICT 供应链安全的演变,主要标准如下:2.2.1.1 ISO 28000 系列标准“ISO 28000 系列标准”主要针对传统供应链安全,包含:ISO 28000:2007 供应链安全管理体系 规划、ISO 28001:2007 供应链安全管理体系 实施供应链安全、评估和计划的最佳实践-要求和指南、ISO 28003:2007 供应链安全管理体系 供应链安全管理系统机构审
展开阅读全文