软件供应链安全背景

随着云计算、5G、大数据、AI人工智能、物联网等新技术的快速发展,万物皆可互联的智能时代已经到来。软件定义一切带来数字世界快速发展的同时也带来了软件供应链的安全威胁和风险,为网络安全提出了新的考验和课题。

Gartner分析指出,“到2025年,全球45%组织的软件供应链将遭受攻击,比2021年增加了三倍。”2021年12月,Apache Log4j2组件被爆出存在远程代码执行漏洞(CVE-2021-44832),该漏洞导致全球所有使用了该组件的应用系统均面临严重威胁。近年来,中兴、华为事件的发生也警示我们软件供应链中断导致关键信息基础设施无法正常运行的风险是存在的。通过每年的攻防实战演练和真实攻击事件也可以看到,利用开源组件或者其他上游软件0day漏洞直接攻击导致关键信息基础设施和重要网络被突破的案例层出不穷。

面对软件供应链安全威胁和风险,针对供应链安全的法律法规和标准逐步出台。《中华人民共和国网络安全法》第三十五条“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”和第三十六条“关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任”,分别从网络安全审查、网络产品和服务安全角度对供应链安全提出要求。软件自身安全和软件供应链安全将在未来成为网络合规安全和业务安全的重要组成部分。

软件供应链安全保护措施浅析

公安部网络安全等级保护评估中心通过对软件供应链安全威胁、事件和政策标准分析,结合多年网络安全等级保护、关键信息基础设施安全保护、攻防演练实战经验,梳理出以下软件供应链安全防护措施供运营者参考。

0制度及机构管理

运营者明确软件供应链安全管理的组织和岗位职责,加强相关人员的培训和考核。制定软件供应链生命周期安全管理制度,包括但不限于软件供应链采购、开发、交付、运维、应急、废止等生命周期的安全管理要求。对供应商资质审核、供应商不良行为处理、供应商分类分级等供应商评价管理提出要求和规定。制定软件供应链安全事件和应急处置制度和预案,明确不同等级安全事件的报告、处置和响应流程和机制,规定安全事件的现场处理、事件报告和后期恢复等要求。

0供应商及人员管理

运营者对软件供应商进行风险分析,建立软件供应商名录,定期对软件供应商进行考评。在供应商发生重大变化,可能影响组织的供应链安全时,重新对供应商进行安全评估。涉及关键信息基础设施和重要网络软件采购开发的,对软件供应商还应进行背景审查、保密审查、软件供应商销售许可等排查工作。关键信息基础设施在选择供应商时还应保障供应商的稳定性和多样性,防范出现因政治、外交、贸易等非技术因素导致供应中断的风险。对关键信息基础设施的软件供应商人员进行背景调查。

0软件供应链资产管理

运营者建立软件供应链资产清单,包括软件名称、所属部门、所属系统、系统等级、是否关基、软件架构、开发语言、开发商(供应商)等内容。定期对软件供应链资产排查工作,及时更新软件供应链资产清单。软件供应链资产发生重大变更可能对网络安全造成影响的,应及时进行安全评估和审查,对安全问题和隐患采取措施进行消除或减轻。涉及关键信息基础设施的软件供应链资产,应能够在使用期内持续获得授权。

0软件供应链采购管理

软件供应链采购前,运营者识别软件供应链风险,提出与软件供应链相关的安全要求,并体现在招标需求中。对软件供应商提供的软件安全应标技术方案进行审查和分析,确定其具备相应的安全能力。关键信息基础设施软件供应商应提供其软件产品包含的外部组件及其供应商清单,承诺所使用的外部组件不存在已公开漏洞未修复的情况。

0软件供应链开发管理

运营者如存在自行软件开发的情况,建立统一的开源软件库,定期对开源软件进行更新和安全查杀。通过安全威胁分析建模、静态安全测试、动态安全测试、模糊测试等安全机制保障自行软件开发的安全。外包软件开发时,加强外包软件供应商和外包人员的安全管控,对于外包软件开发的大阶段进行安全性检测。安全开发时所使用的数据应为非生产数据或脱敏后无法复原的数据,保证数据安全。

0软件供应链交付管理

软件上线交付前,运营者需要进行渗透测试、漏洞扫描、配置核查等工作,并对检查发现的问题进行整改。等级保护第三级以上(包含关键信息基础设施)的系统软件,应进行源代码审计。软件上线交付前,定制类软件应提供中文版运行维护、软件使用说明书、技术分析报告等技术资料。软件交付时供应商应提供满足业务持续稳定运行时限所需软件产品或服务的使用授权。

0软件供应链运维管理

运营者按照软件供应链安全管理制度进行日常安全运维。如出现软件变更时及时更新软件供应链资产清单及软件供应链企业清单。建立重要供应链产品或厂商威胁情报机制,包括产品漏洞、供应链攻击等。制定安全事件应急响应方案,定期开展应急演练。

总结

软件供应链安全的治理,不仅仅在于企业本身,还需要国家层面、开源社区、用户等多方的共同努力,才能构建一个完整的系统,有效保障软件供应链安全。而且单纯依靠技术工具远远不够,培养专业相关人才,完善国家法律法规,都会有力推动软件供应链的安全治理。(王勇

声明:本文来自公安部网络安全等级保护中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。