《中国信息安全》丨黄敏:加强软件供应链安全 护航数字中国

  • A+
所属分类:云安全

《中国信息安全》丨黄敏:加强软件供应链安全 护航数字中国

《中国信息安全》丨黄敏:加强软件供应链安全 护航数字中国

为庆祝中国共产党成立100周年,贯彻习近平总书记总体国家安全观和网络强国思想,《中国信息安全》杂志刊印了“网络安全百人 献礼建党百年”的主题增刊,旨在宣传和展示国家网络安全与信息化工作国家顶层设计、法律法规等建设成果,为建党100周年献礼。威努特党支部书记黄敏作为网络安全行业优秀党员和优秀人才代表,受邀为增刊撰写文章《加强软件供应链安全 护航数字中国》。以下为文章全文:



“ 十四五” 规划纲要第五篇提出“加快数字化发展,建设数字中国”,而“数字化”离不开网络安全,所以,规划纲要第十八章第三节明确提出“加强网络安全保护”。随着等级保护、关基保护工作的持续推进,我国网络安全防护水平持续提高,但我国网络安全防护体系尚存在较大的盲区,“建设数字中国”尚存在较大隐患。


当前,我国供应链安全政策或标准主要有网络安全等级保护 2.0 标准和《网络安全审查办法》,以及 GB/T36637-2018《信息安全技术 - ICT 供应链安全风险管理指南》。

 

另外,还有在编的国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》《信息安全技术 信息技术产品供应链安全要求》等。这些法规和标准对服务供应商的选择和安全管理、安全性检测、供应链的管理和审查、产品采购和使用等都做出了指导以及规定。


等级保护 2.0 主要从管理和技术两个方面保证供应链安全。但是,管理上怎么监督检查供应商是否履行了网络安全义务,尤其是供应商的开发、生产网络的安全防护义务,往往超出了甲方的能力范围。技术上的安全检测,受限于检测技术的能力,不可能发现所有的安全隐患,尤其是“太阳风”(SolarWinds)攻击事件中带有供应商官方签名的程序通常是被信任的。所以,当前的等级保护要求,难以避免 SolarWinds 攻击事件的发生。


《网络安全审查办法》是针对关键信息基础设施(CII)运营者的。其中第五条规定:运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。


但是,当前网络安全审查的具体执行方法,尤其是技术检测如何执行还不明确。同样受限于检测技术的能力,对受信任的供应商的产品中隐藏的高级后门(类似 SolarWinds 攻击事件中来自供应商官方、带有供应商官方签名的程序),安全审查也不一定都能发现。


《信息安全技术 - ICT 供应链安全风险管理指南》规定了 ICT 供应链的安全风险管理过程和控制措施。技术安全措施包括物理与环境安全、系统与通信安全、访问控制、标识与鉴别、供应链完整性保护和可追溯性几个方面;管理安全措施涉及制度和人员管理、供应链生命周期管理、采购外包和供应商管理。该指南内容比较全面,但没有和网络安全等级保护 2.0标准等强监管标准衔接上,落地难度比较大。此外,自主可控不能有效解决 SolarWinds 类攻击。

 

SolarWinds 是一家美国 IT 基础设施管理软件公司,SolarWinds Orion IT 管理软件对美国来说是一款自主可控的产品,攻击者正是利用了美国政府和企业对SolarWinds Orion IT 管理软件的信任,得以顺利实施攻击。


随着等级保护、关基保护工作的持续推进,我国关键信息基础设施的安全防护能力将得到显著提升,攻击者直接攻击关键信息基础设施的难度将越来越大,那么,关键信息基础设施的供应商(包括一级供应商到 N 级供应商)将很可能成为网络安全“木桶理论”中的短板,受到攻击者越来越多的重视。


所以,加强对关键信息基础设施的供应商的网络安全要求非常有必要。例如,对关键信息基础设施的供应商,必须也按照关保要求进行自身网络的安全防护;对等保三级 / 四级的供应商,必须也按照等保三级 / 四级要求进行自身网络的安全防护。

《中国信息安全》丨黄敏:加强软件供应链安全 护航数字中国

发布会预告



《中国信息安全》丨黄敏:加强软件供应链安全 护航数字中国

本文始发于微信公众号(威努特工控安全):《中国信息安全》丨黄敏:加强软件供应链安全 护航数字中国

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: