作者:大柳树防务 杨兴 李斌 ;安天科技 赵超
引文
自从2020年1月新冠疫情爆发开始,多个国家级APT(高级可持续威胁攻击)组织和网络黑产团伙便率先借疫情信息对我展开网络攻击活动。“海莲花”、“摩诃草”、“蔓灵花”、“毒云藤”、“黑旅店”等网络攻击组织向多个中国政府机构、驻外机构邮箱发送恶意文档,诱骗用户点击下载,从而将恶意代码注入用户计算机;使用钓鱼攻击方式对中国的政府组织、企业和个人展开攻击和诈骗,企图窃取敏感信息和重要文件。
近日,360安全大脑捕获到一起半岛APT组织Darkhotel(APT-C-06)劫持深信服科技股份有限公司VPN的安全服务,从而下发恶意文件的APT攻击活动。通过进一步溯源分析,今年3月开始已失陷的VPN服务器超200台, 中国多处驻外机构遭到攻击,4月初攻击态势又再向北京、上海相关政府机构蔓延。根据监测分析发现,攻击者已控制了大量相关单位的VPN服务器并控制了大量相关单位的计算机终端设备。
疫情期间,美国公共卫生服务部(HHS)遭遇严重网络攻击,黑客企图在几小时内通过数百万次访问使HHS服务器超负荷运行,从而瘫痪HHS系统,但此次攻击并未得逞,黑客也未从HHS系统获取任何数据。捷克共和国布尔诺大学医院在新型冠状病毒爆发期间遭到网络攻击,医疗系统严重受损,而该医院具有捷克共和国最大的新型冠状病毒测试实验室。
随着供应链的全球化和信息技术的广泛应用,针对关键信息基础设施供应链薄弱环节的网络攻击不断增加,由合作第三方供应商引发的网络安全事件层出不穷,供应链网络安全重要性日益凸显,并逐步上升到国家安全层面。特别是疫情期间网络安全攻击事件频发,更加警醒我们在战争及大灾大难等紧急状态时,平时没有暴露的供应链条中的薄弱环节和系统漏洞可能被或明或暗的对手攻击造成致命伤害,特别是一些涉及国计民生的重大生产基地、重大基础设施、重大科技平台等等,一旦陷入瘫痪损失难以估量。作为供应链安全管理的先行者,美国对关键领域,尤其是关乎国家安全的国防工业领域供应链网络安全十分重视,在提升战略地位、协调多部门力量、完善相关政策法规体系、构建重要领域供应链审查评估机制、注重供应链安全技术手段研发等方面为各国提供了丰富经验、树立了标杆。
供应链网络安全的概念
传统供应链的概念最初起源于物流领域,具体可划分为产品供应链和服务供应链两部分。2001年制定、2006年修订的国家标准GB/T 18354-2006《物流术语》中,对供应链进行了如下定义:“供应链是生产及流通过程中,涉及将产品或服务提供给最终用户活动的上游与下游组织所形成的网链结构。”MITRE公司向美国防部(DoD)提出的供应链安全战略咨询的定义是指“从开发到将产品或服务从供应商交付给客户所涉及的组织、人员、活动、信息和资源系统。供应链‘活动’或‘运营’涉及:将原材料、组件和知识产权转化为产品,交付给最终客户;与供应商、中间人和第三方服务提供商进行必要的协调和协作。”李大光教授在《国家安全》一书中指出信息安全的含义是指“信息的完整性、可用性、保密性和可靠性,实质就是保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全可靠。”基于以上,我们认为供应链网络安全是指供应链中从开发到将产品或服务从供应商交付给客户所涉及的各环节中不同角色主体企业(包括原料供应商、制造商、分销商、零售商以及各环节的服务商等)的信息网络系统、基础设施、软硬件、元器件、数据和内容等免于内外各种因素损害、泄露和威胁而不面临任何风险的状态。
美国国防工业供应链网络安全管理经验
1.从战略高度统筹引领国防工业供应链网络安全
长期以来,美国非常注重国防工业供应链网络安全,将其提升至国家战略高度,制定专项战略提供顶层指引,同时在更高层面的国家安全战略中予以重点明确。2012年1月,美国国土安全部发布《全球供应链安全国家战略》,该战略清楚表达了美国加强全球供应链的战略目标,明确了供应链对经济、国防、军事活动的关键支撑作用。2017年12月,特朗普政府发布《国家安全战略》,将供应链安全纳入国家安全框架,同时对网络安全做出了战略规划,囊括了用于改善美国国家网络安全方法的行动纲要清单。2018年9月,特朗普政府发布《国家网络战略》,强调保护联邦政府与关键基础设施网络安全,提升国家信息与信息系统的安全与韧性,提高供应链威胁意识,创建供应链风险评估共享服务。2019年8月美国防后勤局发布《供应链安全战略》,提出保护供应链网络安全的路线图,旨在为应对假冒伪劣产品泛滥、供应商代码被盗用等供应链网络安全问题,为加强美军作战能力的弹性提供保障。
2.构建完善政策法规体系保障国防工业供应链网络安全
美国政府先后出台多项政策法规规范国防工业供应链网络安全。《国家安全法》、《国防生产法》等国家安全和国防采办、生产、储备法律为保障国防工业供应链安全提供了重要法律依据。2017年6月,特朗普签署行政令《增强联邦政府网络与关键性基础设施网络安全》,要求在联邦政府之内建立多项网络安全评估指标,全面推进政府网络安全的现代化转型。《2019财年国防授权法案》和《2020财年国防授权法案》强调了信息通信技术系统、卫星通信和红外系统、微电子产业、稀土产业等重点领域的供应链安全保障,并格外重视对电信和视频监控服务或设备供应链的安全评估。2019年5月,特朗普签署行政令《确保信息通信技术与服务供应链安全》,强调禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务,加强美国供应链安全监管力度,从而减少信息通信领域供应链的安全风险,提高美国供应链安全性与稳定性,确保通信技术关键基础设施的供应链安全。联邦政府各部门制定了相应的规章、文件,如国防部制定了指令、指示、手册等逐步细化的国防部文件体系,为保障供应链网络提供了具体指引和操作指南。国防工业供应链网络安全相关政策法规具体见图1。
图1. 国防供应链网络安全相关政策法规
3.多部门协同推动国防工业供应链网络安全保障工作
美国注重通过多部门协作来推进国防工业供应链网络安全保障工作,涉及国防部、国土安全部、商务部、能源部、国家情报总监办公室、 NASA、国家标准与技术研究院(NIST)等。其中,国防部是国防工业供应链网络安全主要负责部门。为更好地保护供应链安全,加强有关涉密信息的反情报能力,2019年6月,美国防部对内部安全机构进行了改组,成立国防反情报与安全局。国防部中参与保障供应链网络安全的机构还有国家安全局、情报机构等,具体如图2所示。此外,NIST加强与私营部门合作,制定高质量、可实施的标准,以改善供应链安全和信息与通信技术系统的网络安全,包括广泛采用的 NIST 网络安全框架。美国土安全部成立信息和通信技术供应链风险管理工作组,集合政府和产业界的力量,目标是为识别和管理全球信息通信技术供应链中的风险提出建议。
图2. 国防部供应链网络安全机构
4.不断完善网络安全审查和外商投资安全审查制度
美国重视识别供应链网络安全风险,对国防供应商实施严格的网络安全评估认证。为确保国防工业供应链免受网络安全威胁,美国对国防供应商提出更高的网络安全要求。2020年1月,国防部发布《网络安全成熟度模型认证1.0版》,根据国防工业供应商所提供产品和服务的敏感程度划分认证等级,由国防部认证的第三方机构对国防供应商网络安全情况实施严格评估认证。美国早在二战后就实施外商投资安全审查制度,数十年来不断完善改进。2014年,美国《综合持续拨款法案》明确规定商务部、司法部、国家宇航局和国家科学基金会采购高影响度或中影响度的信息技术系统之前,必须根据NIST制定的有关标准进行供应链风险评估,必须通过由联邦调查局或其他相关机构提供的威胁信息审查供应链风险。近年来,美以网络安全为由,对外商赴美投资安全审查越来越严格,波及面越来越宽。
启示建议
近年来,我国日益重视供应链网络安全,出台了相应法规制度保障供应链安全,也已启动供应链安全标准工作,但相比于美国,我国尚缺乏有效的供应链安全风险评估机制和手段,特别是针对国防工业供应链网络安全,在专项政策法规和配套措施、组织实施、技术研发等方面亟需提升。
1.构建国防工业供应链网络安全防御体系
在中央统一领导下,构建由国家网信部门、工业和信息化管理部门、国防科技工业管理部门、国安部门、公安部门、军工集团、民口配套企业等协同参与的国防工业供应链网络安全组织管理体系。尽快制定专门的供应链网络安全相关法律法规,明确各部门在供应链网络安全管理中应当承担的责任和义务。《网络安全法》增加对供应链网络安全管理的条款,通过与进出口许可管理制度、负面清单、不可靠实体清单等制度配合,在保障我国军事、外交以及经济安全等方面更大的作用。
2.推进国防工业重要领域供应链审查评估机制
对国防工业供应链进行分级分类,系统梳理国防工业供应链的薄弱环节和主要风险点,推进国防工业供应链网络安全审查评估,逐步规范审查流程,尤其在网络安全方面对其提出较普通制造行业供应商更高的要求,对党政机关、重点行业、重点企业采购使用的重要信息技术产品和服务开展安全审查,将产品研发、测试、交付和技术支持过程中的供应链安全风险作为审查重点,提高产品和服务的安全性和可控性。尽快制定网络安全审查制度,加快推广实施相应的配套管理指南和标准规范,支撑网络安全审查顺利开展。
3.引导军工企业和民口配套企业加强自身安全管控
推动军工企业和民口配套企业建立和完善供应链安全管理制度,引导企业建立供应商审核制度,从行业资质、管理体系、技术能力、产品质量、网络安全防护能力等多个角度,对供应商进行安全评估,并采取针对性的管控措施,及时淘汰不符合要求的供应商。加强对合作第三方的安全管理,在合同中明确双方的安全责任,要求合作第三方定期进行自评估,并及时反馈评估结果。加强员工网络安全培训,推动提升企业内部人员安全意识,建立安全操作及运维管理制度,降低违规及异常操作带来的风险。
4.加强国防工业供应链网络安全技术创新
围绕国防工业供应链网络安全重大需求,充分发挥技术创新在供应链网络安全保障中的作用,加大开源代码安全检测、漏洞挖掘、大数据分析、智能情报、动态预警等研发投入,开发出适用于供应链网络安全审查、产品溯源、假冒产品排查等供应链网络安全保障工作的技术手段,开展网络安全对抗演练,着力提升威胁监测、态势感知和防御对抗能力,构建动态综合安全防御体系,提出融终端防护、流量监测、边界防御、威胁捕获、深度分析、应急处理等在内的一体化网络安全解决方案,最大程度保证供应链网络安全。
参考文献
1.王超.ICT供应链的网络安全威胁不容小觑。中国计算机报,2019年27期
2.唐乾琛 李鹏飞.疫情下全球网络空间态势的新变化和新机遇.全球技术地图
声明:本文来自大柳树防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
