《一、前言》

一、前言

信息通信技术(ICT)供应链包括硬件供应链 和软件供应链,通常涵盖采购、开发、外包、集成 等环节。其最终的安全很大程度上取决于这些中间环节,涉及到采购方、系统集成方、网络提供方以 及软硬件供应商等 [1]。ICT 供应链是所有其他供应 链的基础,是“供应链的供应链”[2]。在 ICT 采购 全球化的态势下,ICT 供应链安全与国家安全间的 关系愈发密切。ICT 产品在原料采购、生产、运输直至交付给最终客户的过程中,任何一个环节都有 可能存在影响 ICT 产品安全性的因素。如果考虑到 信息安全的对抗性质,来自国外的 ICT 产品供应商 完全有可能、有条件在产品中设置恶意功能,如在 软硬件中嵌入恶意程序、突然中断关键 ICT 产品或 后续服务等。

鉴于国家关键基础设施和关键资源(CIKR) 对 ICT 技术的依赖,识别和控制 ICT 供应链风险, 加强 ICT 供应链安全管理已经成为保障国家安全的 重要手段。在国家战略以及标准制定层面,美国、 欧盟、俄罗斯等都提升了 ICT 供应链安全管理的地 位,本文将从上述两方面深入研究国外的相关政策 制度。在管理活动层面,本文将对国际现行的 ICT 硬件安全管理和软件安全管理进行探讨;并进一步 以美国为例,对软硬件安全中涉及的采购环节的安 全管理进行分析。本文旨在参考各国经验,为加强 我国 ICT 供应链安全管理、建立我国 ICT 供应链安 全评估制度提供建议。

《二、国外 ICT 供应链安全管理政策》

二、国外 ICT 供应链安全管理政策

《(一)ICT 供应链安全战略定位》

(一)ICT 供应链安全战略定位

长期以来,美国非常注重 ICT 供应链安全。2008 年布什政府提出国家网络安全综合计划(CNCI), 提出建立全方位的措施来实施全球供应链风险管 理 [3]。在此基础上,2009 年奥巴马政府指出不应局 限于仅谴责国外产品和服务供应商,同时提出了新 的供应链风险管理方法已经势在必行。2011 年美国 在发布的《网络空间国际战略》中将“与工业部门 磋商,加强高科技供应链的安全性”作为保护网络 空间安全的优先政策,该项政策将 ICT 供应链安全 提升至保障网络空间安全的高度 [4]

欧盟、俄罗斯和中国同样将 ICT 供应链安全 上升到国家安全的战略高度。欧盟《供应链完整性》 报告指出,ICT 供应链完整性是国家经济发展的 关键因素,提高供应链完整度对公共和私营部门 意义重大 [5]。中俄共同提交联合国的《信息安全 国际行为准则》强调,应当努力确保信息技术产 品和服务供应链的安全,防止他国利用自身资源、 关键设施、核心技术及其他优势,削弱落后国家 对信息技术的自主控制权,或威胁落后国家的政 治、经济和社会安全 [6]

《(二)ICT 供应链风险管理》

(二)ICT 供应链风险管理

1. 美国国家标准与技术研究院(NIST)

NIST 为保护非国家安全的联邦信息和通信基 础设施,负责开发标准、指南、测试和度量指标。 NIST 已经与公共和私营部门的利益相关者合作, 研究和开发 ICT 供应链风险管理(SCRM)的工具 与指标,以及有关 ICT 供应链风险的缓解措施和实 施方法的指南。

2. ICT SCRM 项目及相关资源

(1)CNCI#11

2008 年,为响应 CNCI#11“建立全方位的方 法来实施全球供应链风险管理”,布什政府启动了 非国家安全信息系统供应链风险管理实践开发计 划,即 ICT SCRM。

CNCI#11 为美国联邦机构信息系统的供应链 风险管理提供了全面的方法。CNCI#11 第二工作组 (WG2)通过提供与采购决策相关的威胁、漏洞和后 果的高度评估,同时识别并减轻整个产品和服务生 命周期中资源的风险,来促进 SCRM 的提升。

(2)NIST SP800-161

NIST SP800-161《联邦信息系统和组织供应链 风险管理实践》为联邦机构制定相应的政策、程序, 为有效管理 ICT 供应链风险提供指导 [7]。针对 ICT 产品的整个系统开发生命周期,NIST SP 800-161 可 为其提供开发 ICT SCRM 计划的模板。该模板详细 介绍了一套评估和管理供应链风险的程序,并列出 了适用的威胁事件和可供参考的风险框架,用于评 估威胁和确定缓解对策(即评价事件的相关性和潜 在影响的方法)。这些程序被集成到 NIST SP800-39 的风险管理过程(架构、评估、响应和监控)中, 作为联邦机构整体风险管理活动的一部分来实施 [8]

(3)NIST IR7622

NIST IR7622《联邦信息系统供应链风险管理 实践理论》是 NIST 发布的网络供应链风险管理指 南,旨在消除购买、开发和运营过程中高影响联合 信息系统面临的生命周期供应链风险 [9];该标准同 时介绍了 ICT SCRM 的方法和做法。

NIST IR7622(NIST 7622-2)第二版阐述了供 应链风险管理在 ICT 领域中的应用,提供了一套 实例可直接应用于那些级别达到联邦信息处理标准 (FIPS)的采购或合同中。其涉及到信息系统采购方、 采购团队、信息系统安全负责人和负责信息系统交付的相关工程师,涵盖为政府和商业机构提供产品 和信息安全服务的所有环节。

NIST IR7622-2 还给出了供应链风险管理的实施 流程(见图 1)。对于 FIPS199 这样高影响的系统, ICT 供应链风险管理被明确嵌入到采购进程中来分 析潜在的供应链风险,实施额外的安全控制以及 供应链风险管理的实践;对中度影响的系统,授 权机构应该做出是否实施 ICT 供应链风险管理的 决策;低影响系统不需要实施大量的 ICT 供应链 风险管理。

《图 1》

图 1  ICT SCRM 实施进程

 

《三、国外 ICT 供应链安全管理活动》

三、国外 ICT 供应链安全管理活动

《(一)软 / 硬件供应链安全管理》

(一)软 / 硬件供应链安全管理

1. 硬件供应链安全管理

ICT 硬件供应链是指 ICT 硬件采购、设计、制 造、组装、维护到处理的一系列过程。

近年来 ICT 硬件供应链的长度、复杂性和脆 弱性逐渐增加。全球范围内的政府部门都开始考虑 ICT 硬件供应链对 ICT 系统产生的威胁。在 ICT 硬 件供应链系统与外部环境发生资源交换,以及在与 供应链成员进行协调与合作的过程中,存在着各种 内部或外部的不确定性风险因素。外部风险包括: 自然灾害、恐怖事件、突发事件等;内部风险包括: 供应中断,如攻击者中断制造和交付、错误的运输 路线或延误交货、错误的订单(如数量或项目错误)、 制造质量问题(如以硬件为基础引发的威胁)。

目前硬件供应链的风险管理主要针对三大硬件风险:硬件木马、恶意固件和硬件伪造。

2. 软件供应链安全管理

在关注硬件供应链安全的同时,切不可忽视软 件供应链安全,因为任何一条供应链都不会脱离软 件的使用。软件供应链可影响已交付系统的所有 方面,只要供应链参与者能接触最终的软件代码 或系统,那么危及软件供应链安全的风险就存在。 参与者包括编写、加强和改变产品或系统内容的 供应商、分销商、运输者和储存设施 [10]

确保软件供应链安全的重要方法是软件供应 链风险评估。风险评估是风险管理的一个基本方 面,软件供应链风险评估是从风险管理角度,运 用科学的方法和手段,系统分析软件供应链所面 临的威胁及其存在的脆弱性,评估风险事件发生 可能给整条供应链带来的影响或人们可能受到的 损失程度,提出有针对性地抵御威胁的防护对策 和更改措施。目前针对软件供应链的风险评估并 不多,其中常用的是基于卡内基梅隆大学软件工 程研究所(SEI)的风险评估方法。图 2 是 SEI 采 用基于风险驱动的方法来评价系统化的软件供应 链风险的原型。

《图 2》

图 2 软件供应链风险评估

 

《(二)ICT 采购安全管理》

(二)ICT 采购安全管理

1. 政府规章

20 世纪 90 年代末,美国已经意识到政府信息 采购的安全性问题。1998 年 5 月 22 日,克林顿发 布的第 63 号总统令中指出要确定大型采购任务中 与其相关的信息安全。在布什执政期间,政府采购 安全性被进一步明确,2002 年起草的国家安全战略 中详细阐述了采购的步骤和过程,以及相关的标准。 2008 年 12 月,在奥巴马上台之前,美国智库战略 与国际研究中心(CSIS)发布了《在第 44 任总统 任期内保护网络空间安全》的咨询报告,向新总统 提出了若干重要建议,其中包括“通过采购规则提 高安全性”,该条建议希望政府能与工业界合作, 共同制定和执行 ICT 产品(软件居首要位置)采购 安全指南 [11]

除美国外,欧盟对 ICT 供应链采购安全也有明 确规定。2016 年上半年,欧洲标准化机构——欧洲 标准化委员会(CEN)、欧洲电工委员会(CENELEC) 与欧洲电信标准协会(ETSI)对欧洲 ICT 产品和 服务的政府采购所适用的可接入性提出了新的标准。新标准是欧洲首次用法规和形式强调 ICT 产 品和服务的政府采购所适用的可接入性,政府部 门与其他公共机构在采购 ICT 产品和服务时,要 确保服务、软件、电子设备与其他产品具有更好 的可接入性。

2. 国防采购安全流程实例

对 ICT 产品和服务的采购主要分为国防采购和 企业采购两类,其中国防采购的要求更高。下面以 美国为例,简要介绍其在 ICT 产品和服务的安全采 购方面的管理体系和采购系统,为我国 ICT 国防采 购提供经验借鉴。

(1)ICT 采购管理

美国国防部的 ICT 采购实行国防部统一领导与军种分散实时结合的管理模式。所谓统一领导,是 指在国防部设置专门负责采办、技术与后勤的副部 长一职,统管全军 ICT 研发及采购事项;而分散实 施,是按 ICT 项目的重要性及费用多少实行分类和 分级管理。对于不同类别的 ICT 采购项目,负责采 办、技术和后勤的副部长指派相应级别的里程碑决 策当局进行监管(见图 3)。

《图 3》

图 3  不同类别的 ICT 采办项目

 

(2)ICT 采购系统

美国国防部共有三个分系统来组织国防 ICT 采购,这三个系统互相配合,来完成军工产品的 ICT 采购。它们分别是规划、计划预算与执行系统 (PPBE),联合能力集成与开发系统(JCIDS),采 购运行系统(DAS)[12]。这三个系统在美国军工产品的 ICT 采购过程中相互支持,相互制约,确保 ICT 采购的安全。

《四、对我国 ICT 供应链安全评估的建议》

四、对我国 ICT 供应链安全评估的建议

在我国 ICT 供应链处于劣势的背景下,根据 《中华人民共和国国家安全法》要求,在国家网络 安全审查工作中,加强 ICT 供应链安全评估管理、 建立供应链安全评估制度是当务之急。在分析国 外相关情况的基础上,给出我国 ICT 供应链安全 管理和评估的几点建议。

《(一)战略层面加强 ICT 供应链安全管理》

(一)战略层面加强 ICT 供应链安全管理

从国家战略层面重视供应链安全管理,促进相 应制度和标准的研究制定,加大探索研究与 ICT 供 应链安全管理相关的核心技术。实施国家 ICT 供应 链安全管理,使之作为国家网络安全保障的正当需 求被国际社会所接受。建立供应链安全管理制度已 成为国际通行做法,应在此基础上,进一步建立我 国国家 ICT 供应链安全评估制度。

《(二)将 ICT 供应链评估纳入网络安全审查》

(二)将 ICT 供应链评估纳入网络安全审查

从加强国家供应链安全管理的角度出发,强化 针对供应链的网络安全审查,对 ICT 产品和服务的 设计、研发、制造、生产、分发、安装、运营、维护、 采购等环节实施有效监督。将 ICT 供应链评估纳入 网络安全审查,有利于澄清网络安全审查制度不是 针对特定的国家或地区,可缓解外方对我国将该项 制度当作贸易壁垒的担心和质疑。

《(三)制定 ICT 供应链安全评估的法律法规》

(三)制定 ICT 供应链安全评估的法律法规

制定与完善国家政策、法律和标准,明确各 方在 ICT 供应链安全评估中应当承担的责任和义 务。ICT 供应链安全评估涉及多项法律的适用和协 调,其中技术进出口管制、商用密码专控和认证 许可都是与评估活动最为密切的法律制度,为了 与网络安全审查的目的更加契合,需要进行适度 调整。

《(四)ICT 供应链安全评估的组织方式》

(四)ICT 供应链安全评估的组织方式

改变分散的 ICT 供应链安全评估方式,设立统 一的评估机构。评估机构可以是现有的与 ICT 供应链安全相关的管理部门,也可以建立专门的评估机 构。评估机构负责统一部署和协调 ICT 供应链的安 全管理与审查工作。

《(五)建立 ICT 供应链安全评估程序》

(五)建立 ICT 供应链安全评估程序

借鉴国际现有的信息安全评估制度,评估机构 可运用供应链安全评估标准对 ICT 产品和服务的安 全性能进行评估,其程序包括评估准备、一次评估、 二次评估、定期评估、再认证评估等阶段。

《五、结语》

五、结语

纵观国际现行 ICT 供应链安全管理的特点,我 国应在以下几个方面做好准备工作:加强 ICT 供应 链安全管理的战略研究;制定通用的 ICT 供应链安 全评估标准;加强 ICT 供应链安全评估与现有信息 安全制度的衔接。