引用本文:汪丽.ICT供应链安全标准化体系及实践应用[J].信息安全与通信保密,2020(04):5-13.
摘要
伴随着数字化、全球化的发展,信息通信技术(ICT)供应链已然成为现代供应链的基础。全球ICT供应链的发展,正持续引发数字能力的再构建和数字资源的再分配。ICT供应链安全关系到国家安全稳定、关键基础设施建设、数字经济发展等多个层面。
目前,各国不断强化ICT供应链安全战略,推出安全模型与标准规范,并通过审查和采办等多种方式推进落实。2019 年,我国第一个ICT供应链安全国家标准GB/T 36637-2018《信息安全技术ICT供应链安全风险管理指南》正式实施。
笔者尝试通过梳理ISO国际标准、美国等国家标准,分析研究美国、日本、英国的ICT供应链安全实践,为我国ICT供应链安全建设提供参考。
0 引言
随着全球信息化高速发展,各国对信息通信技术(ICT)的依赖度日益增强。与传统供应链不同,ICT供应链全生命周期、生产全球化、产品服务复杂等特点使其面临更多安全风险。ICT供应链面临的安全风险主要来自安全威胁和安全脆弱性。安全威胁主要包括恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作和其他方面的威胁;安全脆弱性主要包括供应链生命周期的脆弱性和供应链基础设施的脆弱性。
1 ISO国际标准
1.1 ISO 28000
ISO28000供应链安全管理体系虽然并非为ICT领域量身定制,但是它首次为参与到供应链的组织提供了管理框架。标准帮助组织建立、推进、维护并提高供应链的安全管理系统,明确组织需建立最低安全标准,并确保和规定安全管理政策的一致性;建议组织通过第三方认证机构对安全管理系统进行认证或登记,并对供应链中弹性管理系统提出更明确的要求。
1.2 ISO/IEC 27036
ISO/IEC 27036《供应商关系的信息安全》是第一项关于ICT供应链安全的国际标准。标准明确了定义、范围、实施、评估等基本性要素;针对信息安全操作规范和标准实施流程进行了规定,对风险评估及应对进行了相关阐释;并制定了云计算背景下ICT供应链风险识别分析及应对措施。
1.3 ISO/IEC 27034
ISO/IEC27034《应用安全》是第一个关注建立安全软件程序流程和框架的标准。标准从软件开发组织和应用程序两个层面来定义框架和流程,以增强ICT供应链对抗威胁的能力。在组织层面,以组织标准框架(ONF)为所有软件安全信息的中央存储点,以组织管理流程来维护和改进ONF。在应用层面,应用安全管理流程采用应用规范框架(ANF)建立应用安全生命周期模型,并提供应用安全控制库。
1.4 ISO/IEC15288
ISO/IEC/IEEE 15288:2015《系统生命周期过程》是首个用于规范全生命周期过程中硬件、软件及人员之间交互作用的国际标准,为多方协作提供了基于过程的依据。标准使得采购方、供应商等相关利益方可共同参与、构建模型、执行推进,对系统全生命周期达成共识。同时, 在风险管理进程中,通过管理策略、过程控制等举措对风险进行确认和分类,量化风险概率, 降低风险威胁。
1.5 ISO 其他标准
ICT供应链安全保障过程中,产品及服务供给的全生命周期长,供应商数量在不断增加,技术和环境的发展也使得整体供应链结构日趋复杂。因此,可以参考国际组织相关配套标准及模型(如表1所示),从环境、风险管理、系统工程等多个维度展开综合考虑,在ICT全生命周期中提高供应链安全能力。
表1 部分国际ICT供应链安全相关标准
从传统的供应链风险管理到独立的ICT供应链安全的国际标准,结合云、应用安全等对供应链安全的影响,并量化系统全生命周期过程 ,ISO体现出对ICT供应链安全的高度重视。
2 国外ICT供应链风险管理标准及管理政策
2.1 美国
美国最早提出供应链安全问题,并陆续制定相关安全标准。以下分别就联邦信息处理标准 (Federal Information Processing Standard,FIPS)和800系列特别出版物 (Special Publications800,SP800) 展开介绍。
美国联邦信息处理标准(FIPS)是一套描述文件处理、加密算法和其他信息技术标准(在非军用政府机构和与这些机构合作的政府承包商和供应商中应用的标准 )的标准,美国联邦政府机关必须遵从FIPS标准。
其中,FIPS199《联邦信息和信息系统的安全分类标准》用以指导联邦机构对信息和信息系统进行分类,并根据对机密性、完整性、可用性的潜在影响定义了三个等级。FIPS200《联邦信息和信息系统的最 小安全需求》则为17个安全相关领域的联邦信息系统规定了最低安全要求,提高联邦政府信息系统的安全性。
特别出版物SP800是一系列关于信息安全的技术指南文件,只提供方法或者经验供参考,对联邦政府部门不具有强制性。2015年的SP800-161《联邦信息系统供应链风险管理指南》更新版认为在ICT供应链风险管理中,安全、整合、弹性和质量是四个重要支柱且相互有交集。指南用于指导美国联邦政府机构管理ICT供应链的安全风险,帮助联邦机构建立ICT安全风险控制流程,指导联邦部门和机构识别、评估和减轻ICT供应链风险。
2008年,美国国家网络安全综合计划(CNCI)强调建立全方位措施以进行全球供应链风险管理,将ICT供应链安全问题上升到国家威胁和对抗的层面。美国成立了ICT供应链安全管理的4个专职机构:高级指导机构、采购政策管理机构、安全风险标准机构和安全威胁信息共享机构。
这些机构的主要工作内容为风险信息分析与共享、标准体系文件的制定、法律法规的出台以及相关工作的协调处置。负责上述专职机构工作的国家部门涉及美联邦政府、国土安全部、国防部、国家审计局、总务局、标准技术研究院、国家情报总监办公室等。
除了联邦政府信息系统之外,美国也高度关注电信、能源等关键基础设施领域。美国《确保关键基础设施的连续性和可行性的政策》中强调了电信网络的ICT供应链风险管理。2019年,负责制定并强制执行包括信息安全标准在内的大电力系统可靠性标准的北美电力可靠性公司NERC(North American Electric Reliability Corporation)发布《网络安全供应链风险》报告,报告对电力领域ICT供应链安全实践给予相关标准的指导,如表2所示。
表2 NERC 报告中指出的问题及对应标准
为提高国防体系的网络安全保障,美国防部于2020年1月发布《网络安全成熟度模型认证1.0版》,通过构建五个等级的网络安全成熟度标准,对向美国防部提供产品和服务的企业提出强制性网络安全要求,以增强供应链安全。
总体而言,美国一是把供应链安全列为战略高度,其《全球供应链安全国家战略》明确将培养有弹性的供应链作为美国国家安全战略;二是联邦政府、国防新系统的安全保障是重中之中;三是对通讯、能源等关键基础设施行业,美国政府也不断加大对其ICT供应链的管理力度,持续细化政策指导并提供辅导支持。
2.2 日本
日本在2018年版的《网络安全战略》中,强调了“加强组织的能力”,呼吁供应链各相关方积极协作,通过组织间多样化的连接,创造有价值的供应链。具体举措有二:一是明确供应链中存在的威胁,制定并推广相关保护框架;二是充分调动中小企业的积极性,推动其创新。
在风险管理方面,日本政府帮助企业构建符合企业目标价值的网络安全管理框架,并通过第三方认证等方式提高效率,增强企业网络安全整体水平。同时日本积极展开国际方面的“互认”,目前,日本和美国、东盟等国家建立起一定领域内的互认。日本《关键信息基础设施保护基本政策》中明确,日本政府将推动国际认可的第三方认证进程,使得市场价值可以建立在令人满意的安全基础上。特别要考虑到在工业控制系统及相关组织中专业人才的培养。
日本政府定在2020年提交一项关于网络技术安全的法案——《特定高度电信普及促进法》。这将是一项永久性立法,旨在维护日本的网络信息安全,目的是确保日本企业慎重应用新一代网络技术,5G和无人机将是新法的首批适用对象。新法要求日本相关企业在采购高级科技产品及精密器材时,必须遵守三个安全准则:第一,确保系统的安全与可信度;第二,确保系统供货安全;第三,系统要能够与国际接轨。
日本政府采购已经将华为和中兴排除在外,并考虑在水电和交通等基础设施领域只运用本国数据库,并要彻底防止使用有中国科技产品的其他国家数据库。同时,政府将通过税制优惠措施在内的审批手段,优先批准购买日本产品。
总体而言,日本在ICT供应链管理方面体现出五方面特点:一是加强顶层设计,从供应链起点开始,高度重视供应链风险管理;二是积极推动双边、区域间“互认”,追求高水平、高效率的供应链管理;三是保护本国产业发展,对中国科技产品具有高度戒备;四是关注网络安全人才的培养,特别是在工控等专业领域;五是鼓励创新,调动中小企业参与供应链价值塑造的积极性。
2.3 英国
英国政府高度重视信息安全和保障(Information Security and Assurance,ISA),着力构建一个安全和可靠的ICT体系所需的过程和机制。国家基础设施保护中心(The Centre for the Protection of National Infrastructure,CPNI)是保护国家基础设施的权威政府部门,在ICT供应链领域发挥着重要作用。
CPNI告知社会各组织,潜在的恐怖主义、国家发起的网络威胁、以及大规模的网络犯罪都可能把ICT供应链当做攻击目标,各组织应该建立相关风险防范计划,其中包括:一是通过合同管理复杂的供应链关系,实施审计管理及合规监管;二是通过对合同进行评分,将其纳入整体的安全风险评估中;三是对供应商、潜在供应商进行尽职调查、认证和评估。同时,CPNI还提供物理安全、人员安全、网络安全和信息安全保障方面的相关建议,加强ICT供应链安全管理。
结合ICT供应链的复杂程度,CPNI对多级供应商可能访问到客户信息和资产的情形提示关注:一是云提供商;二是员工参与到客户建设部署中的IT承包商;三是通过远程(通常是海外)提供数据存储或者安全运营的网络服务提供商;四是海外呼叫中心;五是向敏感场所提供物理安全、维护安全(例如警报)的供应商;六是代表客户的第三方员工招聘和雇佣。
2013年,英国可信软件倡议(Trustworthy Software Initiative,TSI)在英国政府的国家网络安 全项目 (National Cyber Security Programme,NCSP) 资助下成立发起。“让软件变得更好”,TSI通过解决软件可信性中的安全性、可靠性、可用性、弹性和安全性问题,提升软件应用的规范、实施和使用水平,在ICT供应链中软件领域建立起基于风险的全生命周期管理。由TSI发布的可信软件框架 (Trustworthy Software Framework,TSF) 为不同领域的特点术语、引用、方法以及数据共享技术提供互通的可能,为软件可信提供最佳实践及相关标准。
2014年,在TSI及其他机构的努力下,PAS754:2014“软件可信度-治理与管理-规范”(下简称“规范”)发布。规范在英国软件工程上具有里程碑的意义,涵盖了技术、物理环境、行为管理等多个方面,并规定了申请流程,为采购、供应或使用可信赖软件提供帮助,提高业务水平, 降低安全风险。
英国还建立了公共部门采购商在线平台SID4GOV。采购方可以通过单一在线系统,查看关键供应商和其他供应商的最新数据,访问聚合信息及信息安全报告,促进业务的健康可持续发展。
2019年,《英国电信供应链回顾报告》发布,报告结合英国5G发展目标,以及5G在经济和社会发展中的作用,强调了安全在电信这一关键基础设施领域的重要意义,并为电信供应链管理展开综合评估。
总体而言,英国在ICT供应链管理上体现出三方面特点:一是政府高度重视,在标准、政策、实践方面为各组织提供颗粒细化的指导和支持;二是结合数字经济的发展,对新技术、新业务形态可能对供应链带来的风险予以积极思考探索;三是通过平台、合同等具体载体确保 ICT 供应链风险管理落到实处。
3 比较和分析
在整体防护方面:ISO不仅有ISO/IEC 27036《供应商关系的信息安全》这项聚焦于ICT供应链的国际标准,同时以应用安全、云安全、系统全生命周期安全以及风险管理过程的相关标准,不断丰富ICT供应链安全版图。我国已经推出《信息安全技术ICT供应链安全风险管理指南》,但其推进落实与GB/T 31168- 2014《信息安全技术云计算服务安全能力要求》、GB/T 22239-2019《信息安全技术 信息系统安全等级保护基本要求》等现有标准关系密切。同时,也需要和信息安全产品检测认证认可制度、国家网络安全审查制度等密切衔接,进而构建系统防护体系,提升整体防护能力。
在细化管理方面:目前,网络攻击的途径成倍地增加,全球化分工合作下的供应商多层级也加大了ICT供应链被攻击的暴露面。ICT供应链安全的未来面临越发严峻的挑战。美国对国防供应商开展层级评估,英国加强服务商管理,推广可信软件、建立服务平台等可持续跟踪研究。
在核心技术方面:ICT供应链的全球化生产,加大了安全管理的难度。如果有组织或者国家在上游部件或者产品中植入漏洞等威胁,而又难以检测,后期一旦爆发,后果不堪设想。另外,美国用“断供”手段遏制我国高科技发展,华为被断供是供应阶段采购渠道失控的表现。保障ICT供应链安全,核心技术必须自主可控。日本注重加强本国产业保护、发展本国技术的做法,值得参考借鉴。
在关键信息基础设施领域:《信息安全技术ICT供应链安全风险管理指南》对关键信息基础设施的 ICT供应链安全风险管理给出了通用型指导,但是结合行业领域的特点,还需开展持续性的深入研究。在这方面,美国对电信、电力等领域的相关举措可持续关注。
4 ICT 供应链安全风险管理的建议
4.1 战略性地完善ICT供应链安全管理框架
一方面积极推进《ICT供应链安全风险管理指南》和现有其他标准、政策的衔接落实,全方位实施落实 ICT供应链安全风险管理。另一方面要立足长远,统筹建设ICT 供应链安全管理,丰富系统保护框架,提高风险防范技术,培养专业人才,以安全的ICT供应链服务于国家安全和经济社会发展。
4.2 大力推进ICT供应链自主可控建设
努力提高科技水平,通过技术、产品、服务、系统的自主可控,有效规范和保护ICT供应链安全。对现有ICT供应链要有周密的调查和部署,对“卡脖子”的关卡实施突破,对“断供” 等威胁要有备份方案,建立起ICT供应链安全管理的长效机制。
4.3 结合行业应用,为关键信息基础设施提供安全保障
金融、能源、交通、医疗等关键信息基础设施是网络安全的核心组成部分。在其供应链风险管理中,需要结合业务应用,构建法律、监管框架、部门制度、指引标准等“量身定制”的配套制度,打造关键信息基础设施安全、健壮的ICT供应链。
4.4 加强国际交流和合作,助力全球ICT供应链安全生态构建
企业通过国际化舞台既能够积极寻求普遍经验,并针对未来风险展开前瞻性探讨,也能够传递自身对ICT供应链风险管理的认知和能力,提升透明度,增强信任度。标准、认证领域等组织和机构,则能够通过国际交流和合作,一方面积极提升我国在ICT供应链安全国际标准化领域的影响力,另一方面持续构建更大范围的共识,助力全球ICT供应链安全生态的构建。
5 结语
ICT供应链安全正得到广泛的重视。为了实现技术强国的目标,我们需要积极借鉴先进经验,加强对ICT供应链安全风险防范的研究,对外广泛参与国际标准工作,对内积极推进建设落实。我们一定能够通过ICT供应链安全管理,有效应对美国的遏制战略,支持新型基础设施建设,实现经济发展目标,并为世界提供ICT供应链安全的中国方案。
作者简介
汪丽(1976—),女,本科,国家信息中心国信卫士网络空间安全研究院副秘书长,主要研究方向为“一带一路”沿线国家网络安全与信息化。
选自《信息安全与通信保密》2020年第四期 (为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
