为了与行业专家开展更多深入交流,默安科技推出“默咖时光”系列,打造一个默安与大咖的对话、分享平台,共同探讨数字时代下的网络安全建设。本期,小默邀请到默安科技高级解决方案专家张桐桐,一起聊聊合规视角下的软件供应链安全治理路径。
此时此刻,来一杯摩卡咖啡,一起享用这段“默咖时光”吧~
嘉宾介绍
张桐桐:默安科技高级解决方案专家,先后任职于多家知名网络安全公司,拥有8年网络安全行业经验,专注于网络安全解决方案、合规咨询与规划设计,服务客户覆盖政企、能源、智能制造、烟草、城市轨道交通等行业。
开始
今天我们的主题是从合规视角来看软件供应链的安全治理,在正式开始之前,请桐桐先来介绍下软件供应链吧!
那我就简单说说。软件供应链是从传统供应链中延伸出来的,主要关注在软件从创造到交付的周期内、围绕其的关联相关者或业务衔接,它的出现可谓串起了软件的“前世”和“今生”,打破了开发和运维、软件供应商和最终用户“分庭而治”的固有形式。
这么看来,软件供应链其实就是从源头开始,直到将软件加工成最终用户使用并上线运行过程的全流程链条……
没错,正因为这样,安全人员逐渐对软件的全生命周期有了清晰的认知,对于软件的安全治理也有了新的角度,就是软件供应链的安全治理。
这几年小默有一个很深的感触,就是各行业都越来越重视软件供应链安全治理了,这是为什么呢?
其实很好理解,软件供应链安全治理之所以成为一个独立的话题,源于其复杂的安全现状。
一方面,软件供应链攻击回报高、目前缺少有效的安全防护,而针对软件供应链的攻击已经成为主流的攻击方式之一。同时,信息技术的发展改变了原有的软件供应流程、软件生成方式、甚至软件运行环境的基础架构,使软件供应链环节越发复杂,风险和威胁剧增。
另一方面,客户的安全团队疲于应对大量重复的漏洞问题,希望从源头上降低漏洞的生成;上游开发团队和外包服务商为了提高竞争力,也在寻求更高的软件安全质量。
除了上述的这些安全风险掀起了行业对于软件供应链安全意识的觉醒,想必当前的法律规范中也有不少与软件供应链安全相关的要求吧?
是的。监管机构目前正在加快对软件供应链安全标准的编写,在《信息安全技术 关键信息基础设施安全保护要求(报批稿)》中也明确提出针对“供应链安全”的详细要求,甚至部分行业和地区已经开始实践软件供应链安全相关模型、检测技术、监管指导的落地。
图1 软件供应链面临的安全风险
这么看来,软件供应链的安全治理可真是个新兴难题……小默有好多疑问:从合规角度来看,软件供应链安全与哪些主体相关?如何看待它们之间的关系?软件供应链安全合规建设需要考虑哪些内容?
这方面我最近刚好整理出一些资料,在这里分享出来,希望对各位有所帮助。
重要提醒:以下内容都是干货!
《中华人民共和国网络安全法》中有哪些软件供应链安全合规要求?
《网络安全法》奠定了网络安全等级保护制度和关键信息基础设施安全保护制度。其中涉及了不少与软件供应链安全的内容。
图2 一般规定中对软件供应链安全的要求
图3 关键信息基础设施的运行安全中
对软件供应链安全的要求
从上述条款可知,《网络安全法》中针对软件供应链安全的内容主要是围绕3个主体展开的:网络产品和服务本身安全、网络产品和服务的提供者(以下简称“供应商”)安全、以及运营者安全。
我们对其中明确和隐含的主要内容提炼如下:
(1)网络产品和服务本身安全(不存在已知的缺陷设计或者漏洞);
(2)供应商应确保提供安全的产品或服务,并且在有效期内持续提供安全维护;
(3) 运营者需要做到以下几点:
-
有能力排查网络产品和服务中的安全风险,一旦发生网络安全事件立即启动应急预案,并上报给主管部门;
-
关键岗位的安全背景审查、供应链安全知识和技能培训及考核;
-
“同步规划、同步建设、同步使用”;
-
建立网络安全审查制度、安全保密制度与协议、安全检测评估制度等;
-
落地技术措施、开展安全检测评估等。
《网络安全法》颁布之后发布的网络安全法规标准,其中涉及软件供应链安全的内容基本是依照上述三点展开的,可以说《网络安全法》也为软件供应链安全合规奠定了基础。
结合默安科技在左移开发安全与智慧运营安全方面的实践经验,发现软件供应链安全的3个主体(网络产品和服务、供应商和运营者)之间、以及这3个主体与软件供应链及软件供应链风险之间的关系,有以下特点:
(1) 供应商作为软件供应链的上游环节,也是风险引入的主要因素;
(2) 网络产品和服务是供应商将软件供应链风险转移给运营者的重要载体;
(3) 运营者必须要采购网络产品和服务,因此只能被动接收软件供应链风险;
(4) 软件供应链风险是由大量的上游人员和部件构成的,风险只能降低,难以完全消除;
(5) 软件供应链风险自上而下单向传递,首先受影响的一般是下游,因此对软件供应链风险提出要求的首先也是下游的运营者;
(6) 运营者通常在日常网络安全运维工作中首先意识到软件供应链安全风险的影响;
(7) 运营者要降低供应链风险的影响,就要向上管理,对网络产品和服务提出要求,进而倒逼供应商;
(8) 网络产品和服务也是评估供应商是否重视软件供应链风险、是否采取了有效措施控制风险的载体。
希望上述内容能帮助大家更好地理解和分析软件供应链及软件供应链安全。
进一步研究,整合出软件供应链安全合规体系框架
目前,业内参考的供应链安全合规要求主要来源于三个方面:
(1) 关键信息基础设施安全保护体系延伸出的供应链安全要求,在《关键信息基础设施安全保护条例》、《信息安全技术 关键信息基础设施安全保护要求(报批稿)》及配套标准、《信息安全技术 关键信息基础设施信息技术产品供应链安全要求(征求意见稿)》等文件中均有涉及;
(2) 行业或场景下的合规标准中包含的特定供应链安全要求,如《供应链风险管理指南》(GB/T 24420-2009)、《信息安全技术 ICT供应链安全风险管理指南》(GB/T 36637-2018)、《信息安全技术 信息技术产品供应方行为安全准则》(GB/T 32921-2016)、《信息安全技术云计算服务安全能力要求》(GB/T 31168-2014)、《信息安全技术政府部门信息技术服务外包信息安全管理规范》(GB/T 32926-2016)等;
(3) 国外的供应链安全相关合规要求,如《信息技术 安全技术供应商关系的信息安全》(ISO/IEC 27036)、《信息技术 开放可信技术提供商标准 减少恶意和仿冒组件》(ISO/IEC 20243)等。
之后,通过对具体文件的条文进行逐条分析、合并汇总,最终整理出软件供应链安全合规要素。由于篇幅有限,在此就省去分析过程,直接放出汇总后的部分结果(下图所示)供大家参考:
图4 软件供应链安全合规要素汇总图(部分)
了解软件供应链安全的合规要素后,运营者需要重点关注哪些方面的合规建设?
运营者既是软件应用的使用者、维护者,也是网络安全的主体责任方。站在运营者的视角,软件供应链安全不是独角戏,而是供应商与运营者相互作用、互相影响的结果。运营者在规划软件供应链安全时,可以参考以下合规建议:
(1) 向供应商提出安全要求
运营者应该向供应商提出包括:提供安全可靠的网络产品及服务、遵守安全保密协议、明确网络安全相关义务等要求。同时,对供应商应该采取相应措施(包括但不限于评估、监督评审、维护、沟通、风险响应等),一方面帮助快速选择合适的供应商,维护长期的供应关系,同时也能够沉着应对来自供应商的风险。
(2) 对自身网络安全体系进行完善
将软件供应链安全融入已有的安全管理、安全组织和安全技术体系中,运营者是运营者较为方便的实践方式。在此之前,软件供应链安全首先应该获得高层的认可、并且包含在组织整体的网络安全方针体系中。
从管理合规角度,运营者需要考虑软件风险管理、供应商管理、产品的开发采购、安全维护、外包服务管理、以及监测预警等方面的软件供应链安全策略、制度及相关流程规范。
在组织合规角度,运营者则需要加强对人员背景、人员职责、培训考核等方面的约束和要求,特别是外包人员的安全管控。
具体技术合规方面,运营者需要建立和完善在供应链完整性保护、软件开发安全、产品采购和使用安全、安全运维管理等方面的技术能力,在云计算、移动互联、工业控制等场景下还需要针对场景做特殊考虑。
尾声
懂了!软件供应链安全这个命题,既宽泛、又具体。说其宽泛,是因为软件的生命周期很长、关联环节和因素众多,无法一步到位;说其具体,更多是因为安全本质上是为了业务服务,软件供应链安全治理需要考虑具体的业务现状及痛点。
是的,以上对软件供应链安全合规的分析,是软件供应链安全治理的第一步,也为后续落地相应的管理和技术措施提供方向和指导。最后补充一点,默安科技凭借丰富的左移开发安全和智慧运营安全经验,以及成熟的体系化安全工具链,推出了贯穿完整生命周期的软件供应链安全解决方案,可以实现各环节安全的真正落地,具备检测手段全、覆盖环节全、适应场景全、平台管理流程全、供应商安全管理措施全等多个优势。
好的,谢谢桐桐。本期默咖时光到此结束,让我们共同期待下一次相约。
END
原文始发于微信公众号(默安科技):默咖时光 | 从合规视角 看软件供应链安全治理(附合规要素汇总)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论