摘自:《网络安全技术和产业动态》2023年第1期,总第31期。

随着信息与通信技术(Information and Communications Technology,ICT)的飞速发展和应用深入,各行业对ICT产品和服务的依赖越来越重。但由于ICT供应链的全球化和复杂性特征,ICT供应链安全管控变得越来越难,近年来针对ICT供应链的安全攻击事件时有发生,ICT供应链安全成为各国关注的焦点。与传统网络攻击直接攻击目标客户信息资产不同,ICT供应链攻击是通过先攻击上游ICT产品供应商来实现对下游ICT产品目标客户的攻击目的,它具有受攻击面大、攻击手法多样和攻击后果严重等特点,这使得ICT供应链安全攻击比传统网络攻击危害更大。

ICT供应链安全问题已经影响到重要网络和信息系统的安全,因此各国都在着手制定ICT供应链安全相关的政策法规和配套标准规范,以推动ICT供应链安全治理工作。

0国外ICT供应链安全治理进展情况

(一)欧美积极出台ICT供应链安全相关政策法规,保障重要系统ICT供应链安全

美国:美国近年来发布了一系列政策法规来确保美国ICT产业供应链、联邦信息系统和关键基础设施的ICT供应链安全。为保障ICT产业供应链安全,美国发布了系列政策法规:2018 年8月,特朗普总统签署《外国投资风险审查现代化法案》,要求对27个关键技术领域的外国投资进行安全审查,重点关注关键基础设施、关键技术和敏感数据相关领域的审查,以确保这些关键技术和相关公司不受国外控制;2021 年,拜登签署第14017号《确保美国供应链安全行政令》,要求对包括半导体芯片在内的ICT产品开展供应链风险审查,以建立更具韧性、安全可靠的美国供应链;2022年2月发布《美国ICT产业的关键供应链评估》报告,对美国ICT产业与关键供应链现状进行评估,提出了加强信通技术供应链韧性的建议与具体措施。为保障联邦信息系统和关键基础设施供应链安全,美国发布了系列政策法规:2018年1月,美国总统签署《2018年网络安全和基础设施安全局法案》,批准在DHS下成立网络安全和基础设施安全局(CISA),旨在保护联邦网络和关键基础设施免受网络威胁;2019年,CISA发布首个战略意图,其中一个重点关注领域就是供应链安全风险;2021年5月,美国发布了《关于改善国家网络安全》的14028号总统行政令,明确要求美国联邦政府加强软件供应链安全管控。

欧盟:欧盟一直就重视ICT供应链安全。虽然欧盟在ICT技术方面处于第一梯队,但欧盟所使用的ICT产品大部分都在欧盟外地区生产,因此确保重要网络和信息系统的ICT供应链安全是重中之重。早在2013年2月,欧盟就颁布了《欧盟网络安全战略》,要求采取措施确保用于关键服务和基础设施的硬件和软件值得信赖和安全可靠。2015年8月,欧洲网络与信息安全局(ENISA)发布《供应链完整性:ICT 供应链风险和挑战概述和未来愿景》报告,建议建立统一的ICT供应链安全风险评估框架来开展ICT供应链安全评估工作。2021年7月,ENISA发布了《供应链攻击威胁全景图》,对近期发生的供应链攻击事件进行了分类研究。

(二)制定ICT供应链安全治理标准规范,指导ICT供应链安全管理工作

国际标准:国际标准主要关注ICT产品完整性和供应链安全风险管理问题,包括:ISO/IEC 27036:2014《信息技术 安全技术 供应商关系的信息安全》系列标准,给出了通用的供应链安全风险管理指南和云安全风险控制措施;ISO/IEC 20243《信息技术 开放可信技术提供商标准 减少恶意和仿冒组件》系列标准,减少ICT产品被恶意污染和仿冒组件的潜在威胁,保证ICT产品在整个生命周期内软硬件完整性;ISO 28000《供应链安全管理体系规范》,旨在帮助用户建立以计划-实施-检查-改进(PDCA)为基础的供应链安全管理体系。

美国:美国ICT供应链安全标准主要关注联邦信息系统的ICT供应链安全,主要包括:2015发布的SP 800-161《联邦信息系统和组织的供应链风险管理实践》标准,旨在为美国联邦机构各级别组织在确定、评估和缓解ICT供应链风险方面提供相应指导;2021年发布的《安全软件开发框架》《软件物料清单最低要素》等软件供应链安全标准,以落实14028号总统令关于加强软件供应链安全要求。

0我国ICT供应链安全治理进展情况

(一)我国ICT供应链安全治理政策法规情况

我国已发布的多部政策法规都涉及到ICT供应链安全要求,主要包括:2016年发布的《网络安全法》要求网络产品和服务提供者防范产品中的恶意程序和后门,并加强漏洞应急响应;2020年发布的《网络安全审查办法》要求关键信息基础设施运营者采购的影响或可能影响国家安全的网络产品和服务,必须通过网络安全审查,审查重点为关键信息基础设施面临的各种供应链安全风险。

(二)我国ICT供应链安全治理标准规范制定情况

为落实《网络安全法》等政策法规关于供应链安全合规要求,我国制定了一系列国家标准,主要包括已经发布的GB/T 39204-2022《关键信息基础设施安全保护要求》、GB/T 36637-2018 《ICT供应链安全风险管理指南》和GB/T 32921-2016《 信息技术产品供应方行为安全准则》,以及正在研制的《关键信息基础设施软硬件供应链安全要求》《软件供应链安全要求》《软件产品开源软件供应链安全评价指标》。总体来说,当前还处于ICT供应链安全标准体系建设初级起步阶段。

0我国ICT供应链安全问题和挑战分析

第一,我国大量使用国外ICT技术和产品的状况没有得到实质性改变。当前我国各行业对国外核心ICT产品和组件的依赖程度较高,以网络安全产业为例,中国网络安全产业联盟(CCIA) 在2021年发布的《我国网络安全产业供应链和创新情况》调研报告显示,我国网络安全产品对国外基础软硬件依赖程度极高,其中采用国外CPU、国外内存产品、国外网卡产品的占比超过90%。其他行业情况也不乐观,比如,应用于我国工业控制系统和关键信息基础设施中的SCADA、DCS和PLC等工控产品绝大部分由施耐德和霍尼韦尔等国外厂商提供。一旦这些ICT产品和关键组件出现供应链安全问题,将严重威胁到我国的国家安全和社会稳定。

第二,本土ICT产业链仍然是ICT供应链安全的短板。主要表现在以下几个方面:(1)全球ICT产业链的上游关键环节被国外垄断,我国ICT产业链存在卡脖子问题。以高端CPU产品为例,我国虽然掌握了高端CPU设计能力,但高端芯片设计工具和芯片生产工具均来自国外厂商;(2)我国国产基础软硬件产品大部分没有经历过大规模长时间的应用,产品成熟度和稳定性有待验证,无法直接应用到关键信息基础设施等重要行业和领域;(3)我国国产基础软件和行业应用软件大量使用了开源软件,但我国对这些开源软件没有掌控力,一旦这些开源软件存在知识产权问题或受美国出口管制影响,都可能给各行业带来严重的软件供应链安全风险。

第三,各行业ICT供应链安全风险管理机制和制度不够健全。主要表现在以下几个方面:(1) 多数ICT产品开发商没有建立起规范的ICT产品安全开发流程,无法确保ICT产品的安全可信;(2)各行业没有建立起连接ICT厂商和网络运营者的产品安全漏洞快速响应机制和供应链安全风险监测机制,无法及时发现和处置ICT供应链安全风险和安全事件;(3)缺乏ICT供应链安全管理能力评估机制和制度,无法对ICT产品供应商和网络运营者的ICT供应链安全管理能力进行合理评估。

0建议

1.进一步健全ICT供应链安全相关政策法规,明确各方安全责任。ICT产品开发商应具备较强的产品安全开发能力,确保所生产的ICT产品安全可信;ICT产品供应商应确保产品来源可靠,产品完整性、质量和安全性可验证;网络运营者应加强供应商管理,开展ICT产品安全检测和事件应急响应工作。

2.完善ICT供应链安全标准规范,指导各方供应链安全管理工作。主要包括:制定面向产品开发商的ICT产品安全开发、交付标准规范,确保所交付ICT产品安全可信;制定完善的ICT供应链风险管理标准规范,确保运行过程中的ICT供应链安全风险可控;制定面向网络运营者的ICT供应链安全管理能力评估标准规范,持续提升ICT供应链安全管理能力。

3.推进ICT供应链政策法规和标准规范有效落地,切实保障我国网络安全。主要包括:深入贯彻落实网络安全审查等政策法规要求,确保应用到重要网络和信息系统中的ICT产品安全可信、可靠、可用;推动各行业网络运营者开展ICT产品摸底工作,稳步推进国产产品在各行业的深入应用,降低ICT供应链断供风险,促进产业链健壮发展;开展针对网络运营者的ICT供应链安全管理能力评估,持续提升其ICT供应链安全管理能力。

中国网络安全产业联盟(CCIA)主办,深信服科技股份有限公司供稿。

声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。