随着经济全球化和信息技术的快速发展,网络产品和服务供应链已发展为遍布全球的复杂系统,任一产品组件、任一供应链环节出现问题,都可能影响网络产品和服务的安全,这让世界很多国家都深刻地认识到,建立安全可靠的关键信息基础设施供应链事关国家产业安全、经济安全和社会长治久安。近年来各国政府都陆续制定了相应法律、政策和标准要求,以指导和促进供应链安全市场的发展。
我们通过调研,从政府政策及业界标准,以及客户需求两个维度,梳理和归纳了通用ICT领域关注的供应链网络安全要求,为供应商和需求方就如何构建供应链网络安全体系提供参考。
政府政策和业界标准动向
从全球范围来看,目前欧盟、美国、韩国以及中国对供应链网络安全比较重视,且已经建立了比较完善的ICT供应链安全框架和环境。
欧盟:建立ICT产品和服务统一认证框架
欧盟通过网络安全法建立欧盟范围内的ICT产品和服务统一认证框架,确保欧盟所销售ICT产品和服务的完整性和真实性,软硬件中不存在已知的漏洞。该认证主要基于通用标准(CC)以及相应ISO/IEC 15408和ISO/IEC 18045标准进行制定。
美国:加大供应链安全风险审查,限制外国对手
美国通过发布行政令,禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务。白宫协同多个政府部门成立了联邦采购安全委员会、CISA供应链风险管理特别工作组等专门组织,以加大对供应链安全风险的审查,自上而下地对供应链安全进行集中管理。
中国:对网络产品和服务开展网络安全审查
中国的《网络安全审查办法》要求关键信息基础设施运营者所采购网络产品和服务应当进行网络安全审查,以确保关键基础设施供应链安全。根据条款要求,相关审查会关注产品是否存在恶意篡改漏洞、违规远程控制功能(如采用隐蔽接口、未明示功能模块、加载禁用或绕过安全机制的组件)等非法控制、干扰或破坏关键基础设施的风险。
韩国:授权专门机构对ICT产品开展安全认证
韩国的《促进信息和通信网络使用和信息保护》法案表明,科学和信息通信技术部可授权专门的机构对与信息和通信技术网络相关的产品进行认证。目前,科学和信息通信技术部已建立IT安全评估与认证计划,该计划以CC为评估标准,授权国家安全研究机构中的IT安全认证中心(ITSCC)为认证机构。经过认证的产品可贴上ITSCC认证标志,表明其已通过ITSCC认证。
在政府相关政策的驱动下,相关部门、机构和研究所陆续发布了ICT供应链网络安全标准和实践指南。例如,在美国国土安全部发布的ICT供应链威胁报告中详细分析ICT供应商存在的典型风险,并就如何应对这些风险提出相应的缓解措施。
美国东西方研究所提出了化解技术民族主义的框架,其中“管理网络供应链风险的安全与信任方案”为ICT需求方和供应方提供了实现保障、透明度和问责制的措施。
美国国家标准与技术研究院(NIST)基于其五年的实践调研,总结了供应链网络安全关键实践供组织参考,其中一个核心实践是提升外包制造商生产过程透明性,降低伪造风险,即企业可通过物料清单及在供应链中任何位置审核来源声明的工具和方法,实时了解其外包制造商的生产过程,以捕获缺陷率以及故障原因,从而阻止供应商在装运前绕过测试要求。另外,NIST在NIST SP 800-53第五版中也将供应链风险管理(SCRM)作为一个新增的控制领域,可见供应链网络安全的重要程度。
中国在2019年正式实施了第一个ICT供应链安全国家标准GB/T 36637-2018,重点要求如下所示:
此外中国最新的《信息技术产品供应链安全要求(征求意见稿)》也规定了ICT供方和需方应满足的要求,与上述标准类似,重点要求包括可追溯性、确保产品无后门、生产过程安全、物流和仓储安全。
客户对供应链网络安全的需求
除了回应政府政策的督促,满足客户的需求也一直是供应链安全不断发展和进步的动力和目标之一。我们通过对国内外8家运营商进行问卷调研和数据分析,发现运营商对供应链网络安全要求主要集中在完整性、可追溯性和真实性、透明性等6个方面,为ICT产品和服务供应商构建供应链网络安全体系提供参考。
通过解读政府政策、业界标准,并分析客户的实际需求,我们建议企业或组织可以从保障产品和服务在供应链中的安全性,以及提高产品和服务安全可信能力的可感知性这2个方面来努力。
结语
党中央和国务院高度重视关键信息基础设施的供应链安全。“供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”供应链网络安全问题错综复杂,形势也日益严峻,需要引起企业更多的重视。
参考资源:
1. 中国网,《网络安全审查视角下的供应链安全风险分析》
声明:本文来自安永EY,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
