文│中国信息安全测评中心 李淼 刘孝男 徐岩
从 2020 年 12 月的太阳风 SolarWinds 供应链攻击,到 2021 年 11 月苹果、推特和亚马逊遭受到开源日志组件 Log4j 内重大漏洞引发的供应链攻击,一系列供应链安全事件的发生,使全球化信息化趋势下的供应链安全问题日益引发各国关注。为提高我国党政机关、关键信息基础设施(Critical Information Infrastructure,简称 CII)运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室等四部委于 2019 年7 月 2 日发布了《云计算服务安全评估办法》。中国信息安全测评中心(以下简称“测评中心”)作为中央赋予职能的国家信息安全专业测评机构,也是云计算服务安全评估工作协调机制办公室授权的四家专业技术机构之一,在评估云服务商(Cloud Computing Service Provider,简称 CSP)供应链安全方面积累了丰富的实践经验。本文将就云服务商供应链安全理念、最佳实践和相关方法进行简要介绍,以期能对包括云服务商在内的 CII 运营者有所参考和借鉴。
一、供应链安全现状
1. 供应链安全威胁
简单来说,供应链安全威胁和风险存在于信息系统开发生命周期的各阶段,是为保持业务连续性必须了解和管理的风险。根据美国政府责任署(GAO)发布的报告,信息通信技术(Information Communication Technology,简称 ICT)供应链安全风险包括:有意安装恶意硬件或软件、安装假冒硬件或软件、关键产品生产或分销中断、依靠恶意或不合格的服务提供商提供技术服务、安装含有漏洞(如有缺陷的代码)的硬件或软件。攻击者可能利用供应链中多个点存在的漏洞产生直接或间接的威胁,从而导致 CII 及其相关信息资产丧失机密性、完整性或可用性。供应商组织架构的复杂性、全球化下商品的自由流动等,都给供应链安全带来威胁和挑战,对全球供应链的依赖又给 CII 带来了多重风险。
2. 欧美及我国应对举措
近年来,各国正采取多方面举措积极应对供应链安全风险。2018 年 12 月,美国国会通过了《联邦采购供应链安全法案》;2019 年 5 月,时任美国总统特朗普签署第 13873 号行政令《确保信息通信技术(ICT)与服务供应链安全》;2021 年 2 月,美国总统拜登签署了第 14017 号《美国供应链行政令》,要求联邦机构对关键领域和行业的全球供应链进行审查。2021 年,欧盟网络安全局(European Union Agency for Cybersecurity,简称 ENISA)发布了《供应链攻击威胁局势报告》。在我国,2016 年 11 月通过的《网络安全法》分别从网络安全审查、网络产品和服务安全角度对供应链安全提出要求。2016 年 12 月 27 日,国家互联网信息办公室发布《国家网络空间安全战略》。该战略明确提出了“保护关键信息基础设施,加强供应链安全管理”的战略任务。2019 年 7 月2 日,《云计算服务安全评估办法》明确指出:“云平台技术、产品和服务供应链安全情况”是云计算服务安全评估重点评估内容之一。2020 年 4 月,《网络安全审查办法》明确提出,为了确保关键信息基础设施供应链安全,对 CII 运营者采购网络产品和服务,应进行网络安全审查。
3. 相关标准
美国在 ICT 技术供应链风险管理领域起步较早,现已形成较为科学完善的供应链安全标准体系,为美国联邦机构认定的 CII 提供了与供应链风险管理相关的控制措施和活动指南。如,NIST SP 800-39、NIST SP 800-53(V4)、NIST SP 800-161 等。其中 SP 800-161《供应链风险管理实践》为 CII 运营者有效管理供应链安全风险提供了识别与评估风险以及选择与实施控制措施的方法和流程。
我国在 2014 年发布《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)。它描述了云服务商以社会化方式为特定客户提供云计算服务时,云服务商应具备的信息安全技术和管理能力。该标准提出的安全要求分为 10 类,其中“系统开发与供应链安全”类要求是:云服务商应在开发云计算平台时对其提供充分保护,对为其开发信息系统、组件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑信息安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供与安全措施有关的文档和信息,配合客户完成对信息系统和业务的管理。2018 年,全国信息安全标准化技术委员会发布了《信息安全技术—ICT 供应链安全风险管理指南》(GB/T 36637-2018)。它在通用风险管理模型基础上,提出了针对 ICT 供应链风险管理的流程。该标准分析了 ICT 供应链的特点,梳理了 ICT 供应链面临的典型安全威胁和安全脆弱性。在通用风险管理模型基础上,提出了 ICT 供应链风险管理过程,细化风险管理的步骤和实施细则,提出了供应链完整性保护、可追溯性等技术安全措施,以及供应链生命周期管理、采购外包与供应商管理等管理安全措施。
二、使用通用准则(Common Criteria,简称 CC)评估供应链安全风险
2019 年以来,测评中心受国家网信办委托,已对数十个省市级的云平台进行了安全评估,供应链安全风险是重点评估内容。评估工作参照了《云计算服务安全能力要求》等国内有关安全标准,但这些标准并未针对安全控制措施的实施给出明确指导,准确、客观评价 ICT 供应链安全风险水平存在一定难度。针对这些问题,测评中心使用国际通用的 CC 标准对评估内容、方法和流程进行了合理化规范化。
CC 准则可用于评估 CSP 供应链安全的风险(Common Criteria for Assessing Risk,简称 CCAR),并将其分为“高”“中”和“低”风险。CCAR应作为 CSP 采购周期或年度供应商安全保证审核工作的一项重要内容,并用来验证评估的有效性。服务或产品所承担的风险水平体现了 CSP 对供应商如何管理风险所要求的安全保证水平。例如,CSP 可以接受低风险服务或产品供应商提供的年度自我评估,但需要高风险服务或产品供应商提供更多信息。
CCAR 提供了一种灵活的评估工具,风险评估人员必须从专业领域(如采购、安全、IA、认证机构、法律等)为 CCAR 提供一系列必要的信息。CCAR 模板是一个动态的文档,它需要反映新出现的风险,如云服务类别的增加,以保持相关性。完整的 CCAR 是对服务或产品进行评估的记录,可以与任何未来评估的结果进行比较。CC 准则也提供了支持 CSP 管理第三方供应商风险的一致性方法。
在安全评估中,我们重点审查了云服务商的安全管理情况,以及优先采购安全可信的软硬件产品和服务方面的执行情况,有效提高了云服务商对供应链安全管理的重视程度,降低了云服务商供应链安全风险,提高 CII 基础设施运营者采购使用云计算服务的安全可控水平。CCAR 评估主要针对供应链安全管理的关键要素,这些关键要素包括六个方面:建立供应链安全管理部门协同机制,管理关键产品或服务供应商,增强供应链的透明性,与关键供应商密切合作,共同努力提升供应链弹性以及全周期评估和密切关注供应商。
一是建立供应链安全管理部门协同机制。CSP应建立供应链风险管理委员会。该委员会包括来自采购、信息技术、网络安全、法律等部门的高级管理人员,其责任是积极主动地审查供应链相关风险和风险缓解计划,确定优先事项。建立供应链风险管理委员会有利于各部门共同进行风险决策,确保所有风险得到适当地解决。另外,CSP 制定供应链安全策略规划也有利于网络安全、风险控制和采购各部门之间进行更紧密合作。具体而言,各部门一体化程度随着供应链安全实践能力成熟度的提高而提升。这种内部协调有助于在有效管理供应链安全风险的同时提高交付产品和服务的效率。
二是管理关键产品或服务供应商。CSP 应首先确定关键任务、资产、系统、流程和数据的优先级,然后确定能够访问或提供关键资产、系统和数据基础设施的供应商。确定供应商后,CSP就可对供应商进行风险评估,并根据供应商的关键程度对其进行优先排序。CSP 应按照关键程度确定供应商安全要求,并把这些要求写入供应商合同,并在供应商关系生命周期中监控这些要求的遵守情况。
三是增强供应链的透明性。为管理供应链安全风险,CSP 应了解完整的包括多级供应商的供应链。供应链风险可能源于上下游供应商之间的连接、硬件和软件供应商的组件外包、供应链上下游共享的技术以及这些供应链中的流程和人员。CSP 应建立对其外包商生产全过程的管控,第一时间获得缺陷率和缺陷产生原因等信息。CSP 也应了解供应商所使用软件和硬件组件清单以及开发工具和方法。这种可见性和透明度降低了篡改和假冒的风险,提高了产品的安全性,最终提高了产品质量。此外,CSP 应要求供应商进行人员审查,了解供应商及其下游供应商对 CSP 的访问权限。
四是与关键供应商密切合作。CSP 应将关键供应商纳入其生态系统,并以多种方式密切合作,比如在供应链安全方面指导供应商,并积极帮助供应商改进其网络安全和供应链实践;CSP 与供应商采用相同的标准,从而简化有关网络安全风险和缓解措施的沟通,并帮助实现整个生态系统的统一质量水平;对下游供应商开展相关培训等。
五是共同努力提升供应链弹性。除了网络安全,其他不可控的因素,如恶劣天气和与地缘政治动荡等,也持续影响着供应链的安全。因此,CSP 必须在应急计划、事件响应和灾难恢复计划中包含关键供应商以及其提供的产品,并与这些关键供应商一起测试这些计划,以确保所有相关方的准备就绪和计划的有效性。CSP 应持续改进供应链安全的流程,包括收集从供应链事件中吸取的经验教训,将改进措施纳入规划、响应和恢复过程,并在整个生态系统共享这些信息。
六是全周期评估和密切关注供应商。随着商业环境不断演变,CSP 应建立覆盖整个供应商关系生命周期的管理计划,持续关注包括安全、质量、财务和地缘政治风险等各种风险,同时就验证供应商是否符合网络安全和其他关键服务等级协议要求,确定供应商状态的任何变化(例如财务、法律、所有权)等开展管理和评估。CSP 还可以部署管理流程和技术措施来关注供应商风险状态的变化。CSP 可通过安全运营中心发现供应商与云平台网络和系统连接的动态变化,还可以使用各种网络安全风险评级解决方案,深入了解供应商构成的网络安全风险。
三、CSP 供应链安全实践建议
我们为 CSP 设计了全生命周期的供应链安全路线图。具体路径如下:
1. 安全规划阶段:明确责任、制定策略
CSP 高级管理人员应肩负起供应链安全的职责,增强供应链的可见性。供应链安全评估的起点是云服务商应清晰划分供应链安全管理的职责,制定供应链安全策略,并形成适合云服务商的安全文化。CSP 应任命一名高级管理人员负责管理采购过程和供应链的安全,特别是要识别高风险的供应商以及那些能够访问敏感信息或系统的供应商。CSP 可将采购团队与负责物理安全、人员安全和信息安全的团队一起纳入安全管理体系。并把供应链安全风险纳入组织整体的风险管理策略中。CSP 应制定明确的策略,帮助员工识别并向高层领导报告高风险供应商和采购活动。CSP 应明确指定负责人定期审查所有供应链安全策略和程序。
2. 外包决策阶段:评估威胁、分析影响
CSP 应使用威胁评估和影响分析两种方法来决定是否外包或在内部处理任务或项目。在这个阶段,CSP 首先要通过使用威胁和影响评估来确定是否执行内部交付活动。评估过程中,云服务商需就“通过供应链面临哪些威胁?如何减少对这些威胁的暴露面?如何确定供应商的安全级别?”等问题进行思考。针对云服务商供应链的安全威胁来源的多样化,需要从物理、网络、内部威胁、恶意占用等几方面进行评估。如果云服务商的供应商受到损害,从以下两个方面评估可能的损失:一是云服务商发现供应商安全问题的容易程度;安全问题在未被发现的情况下被利用的时间长度。
在进行了威胁和影响评估之后,CSP 为采购确定安全级别。考量安全级别应包括但不限于以下几个方面:首先供应商是否有权访问敏感数据或关键资产;其次供应商是否可以访问或连接到 IT 网络;三是供应商拥有的权限级别;四是供应商违约是否会对云服务商的声誉、财务、业务运营产生负面影响。
3. 选择供应商阶段:尽职调查、保证评估
CSP 应评估所选供应商的安全潜在供应商的适用性。CSP 对供应商进行尽职调查时,应涵盖财务风险、声誉风险、可靠性和安全性。对所有潜在供应商进行安全尽职调查,评估其可信度和易受损害程度。CSP 定期重复进行尽职调查,尤其是在发生安全事件、违约,以及运营或合同发生重大变化后。安全尽职调查应特别关注拥有国际背景的潜在供应商。供应商保证评估是供应商对其安全状况的自我评估,使 CSP 了解供应商是否能抵御一定强度的攻击以及供应商能满足组织指定安全级别的安全期望。
尽职调查和供应商安全保证两项工作相结合,使 CSP 能够评估潜在供应商的可信度和安全性,也便于与云服务商确定的安全级别进行对比。
4. 审查合同阶段:明确条款,传导责任
CSP 应通过合同明确要求供应商所承担的安全责任。供应商还应在其整个供应链中制定级联的安全标准。在任何合同的初始阶段包括安全条款都会为云服务商节省成本。对于合同的具体要求,CSP 可以有独立的法律意见。安全条款应包括标准条款、通知条款、审查条款、终止条款。
5. 考核绩效阶段:使用审计、压力测试
CSP 可使用审计工具和压力测试来检查供应商的安全措施是否有效并符合预期。CSP 进行审计时,涉及确定审计范围、制定审计计划、查验审计证据、分析评估差距、测试供应链完整性等方面的内容。在压力测试中,CSP 应测试供应商的安全措施是否有效,而供应商应通过桌面演练和现场演练执行压力测试。
四、结 语
近年来,加强 ICT 供应链的安全管理,保障供应链安全已经成为政府机构、学术界和 ICT 产业界的共识。特别是,2022 年 11 月 7 日,《关键信息基础设施安全保护要求》(GB/T 39204-2022)国家标准正式发布。该标准针对 CII 供应链安全提出了明确要求。本文也为 CII 运营者落实《关键信息基础设施安全保护要求》中的供应链安全要求提供了一种路径选择。下一步,测评中心将联合有关科研机构、产业界代表开展 ICT 供应链安全测试评估相关标准的研制,通过建立科学化、规范化的测试评估流程和方法,推动 ICT 供应链安全要求和控制措施的有效落地。
(本文刊登于《中国信息安全》杂志2022年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。