供应链安全的一些思考

admin 2022年1月20日02:38:47安全闲碎评论53 views1397字阅读4分39秒阅读模式


写在前面:这是一个开放性的话题,思绪如潮,原本我打算继续用英文写在朋友圈既然公众号断更了很久,那就随着思绪一路向前。

供应链安全是什么?我想这也应该是一个类似于“元宇宙”的生态,只是这个生态包含了实体的你和我,及我们。我们都是构造我们所在的IT系统的一个元素,元素围绕的目标的互动,形成了一个系统,一个生态,而这个生态,也可能是其他系统的子系统,子生态。从系统学的角度来说,要做好供应链安全,首先就应该识别“供应链系统”的元素(element)。供应链系统的元素有哪些呢?人是供应链中重要的角色,这里的人至少应该包括IT系统中所有的利益关联者,也就是说,会涉及到的不仅仅只是供应商,至少还应该包括开发人员、系统集成商、外部系统服务提供商、内部操作人员、其他ICT/OT相关服务提供商以及企业涉及相关业务的行政部门员工。既然是供应链那就会供应的一些东西,这里主要应该指的是服务和产品。除此之外,要让这个系统能够运转起来,那一定会有“互动”的行为,这也是需要进行识别的,比如外部开发的成品软件,或者内部自定义开发的产品等。

其次,我们需要对识别出来的元素和关联关系进行风险评估,安全的本质就是对风险进行测量和控制。根据NIST Special Publication 800-161 R1提出的条款:根据企业业务战略需求,制定并确定供应商等级。问题出来了,谁来对供应商进行审计?谁来制定审计的策略指标。此刻我想到了《网络安全审查办法》。《网络安全审查办法》第二条中写到:关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。软件产品的开发可以按照SDLC“还原性”审计,服务可以对操作行为和结果进行分析,人员可以通过培训加强意识提升,但是,供应商基于人之可信,自身系统的物之可信,谁来判断?谁来授权?

术业有专攻,漂亮国通过CMMC(网络安全成熟度模型认证)来对国防供应商自身的安全防御能力进行约束,瓷器国有瓷器国的行业法规要求。但是,这就能保证供应链安全了吗?这个问题是值得思考的。既然是术业有专攻,那么除了某些特定行业的合规认证要求,剩余的其他行业呢?谁来引导、管理这些供应链的参与者?而这些参与者又为何要遵循这样的基线合规要求?用一个简单的例子来描绘这样的场景:我开了一家餐馆,我需要1000个鸡蛋,我找到超市,告诉超市的主管,我需要1000个鸡蛋,超市找到养鸡场。这里的元素包括餐馆的采购及财务、超市是供应商、养鸡场是原厂商、相关的代理合同和授权等等。餐馆只能通过合同约束超市,超市传递性的约束养鸡场,但是,我没办法要求超市按照我的要求去保障鸡蛋的安全性,同时,超市可能也不具备检验鸡蛋安全性的措施。至于养鸡场,我更无法进行约束。

或许,这样的情况会有所不同,我开了一家粮油站,我要去收购油烟柴米卖给用户,这种情况下,我往往能够对给我供货的商户进行约束,比如,鸡蛋的尺寸,菜油的品质等等。我通过合同的方式来约束我的供货商户,从而建立信任,同时对供货内容进行审计。当然,我应该可以要求供货商户根据我的收货要求进行一定的改造。如此想来,或许以后会有更多的关键行业可以进行供应链约束。路漫漫其修远兮。

 

写在2022年未到春天的深冬.

-2022.01.19

-kkutstar

原文始发于微信公众号(网络安全游魂):供应链安全的一些思考

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月20日02:38:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  供应链安全的一些思考 http://cn-sec.com/archives/745210.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: