英国供应链安全:​网络设备安全性评估指南

admin 2022年11月17日09:27:45评论30 views字数 5890阅读19分38秒阅读模式

回复“河南等保1116”中获得“网络设备安全性评估指南”翻译版

英国的供应链网络安全评估

CISA发布漏洞修补决策树模型

美国NSA发布:防范软件内存安全问题指南

最常见的20种网络安全攻击类型

网络安全等级保护:信息系统安全运维管理指南思维导图

《网络数据分类分级要求》(征求意见稿)思维导图

关基保护:关键信息基础设施安全保护要求的一点杂感

2023 年应该注意的10种网络攻击类型

澳大利亚:网络安全原则

卡内基梅隆大学:缓解内部威胁的常识指南

我们知道,在关键信息基础设施安全保护要求中,有个重要组成部分就是供应链安全,供应链安全中最核心的一部分莫过于硬件提供商。今年初,英国发布了《网络设备安全性评估指南》,虽然水土稍有不同,但它山之石可以攻玉的道理,在这里还是可以参考一二的。

简介

网络设备的安全性对于任何网络的安全都至关重要。在选择支持关键服务或关键基础设施的设备时,客户应评估该设备的安全性,并将该评估视为其采购和风险管理流程的一部分。
本指南提供了有关如何评估网络设备安全性的建议。它为支持公共电信运营商(公共电子通信网络和服务提供商)履行《2021年电信(安全)法》规定的职责提供指导,并在政府咨询后最终确定《2022年电子通信(安全措施)条例》时履行职责。例如,根据条例草案3(3)e),网络提供商将被要求:

e)在设备的采购、配置、管理和测试中采取适当措施,以确保设备和在设备上执行的功能的安全

《电信安全业务守则》草案,特别是措施草案5.0110.1中引用了这一准则。虽然本指南预计不会构成该准则的一部分(当它最终确定时),并且对于满足新的供应链法律要求是必要或充分的,但供应商可以用来帮助他们遵守法规的重要建议。
虽然本指南中的建议是为了支持电信运营商,但对于依赖网络设备提供服务的其他关键服务或关键基础设施提供商也可能有用。NCSC承认,在网络设备支持关键服务的情况下,本文档中建议的网络设备安全性评估程度最合适。此外,为了有效地执行本文档中描述的评估,客户可能需要适当的合同权利来执行建议的审核和测试。
在为网络设备做出选择决策时,应使用此指南。但是,如下所述,安全是一项持续的活动。与其他性能领域一样,客户应继续评估和保留供应商在设备生命周期内的安全跟踪记录的证据,因为这将支持未来的安全评估。
本指南未考虑也无法减轻由于供应链中特定供应商特有的额外风险而可能产生的威胁。这些风险包括其可能受到影响或被要求采取违背客户利益或其国家安全的行为的程度。在这种情况下,可能需要针对相关供应商的其他控制措施。

英国供应链安全:​网络设备安全性评估指南

评估方法摘要

本文档提供有关如何评估供应商的安全流程及其提供的网络设备的指导。该方法的目的是客观地评估由于使用供应商设备而导致的网络风险。这是通过收集有关供应商流程和网络设备安全性的客观、可重复的证据来实现的。

评估供应商造成的网络风险需要:

  • 供应商自己的证据

  • 测试以验证供应商的声明

  • 第三方证据


对于本文档中的每个标准,可以执行一系列特定于产品的抽查,并且可以直接从产品本身的实验室测试中获得证据。这三个组件一起将有助于了解供应商构建新产品的情况。
但是,这种方法总是容易出错的。虽然证据将由客户驱动,但它只能提供供应商行为的例子。为了有效,方法和安全标准都需要维持多年,并记录良好和不良做法的证据,以支持今后的安全评估和采购决定。
在评估供应商安全实践时,NCSC建议运营商不要完全依赖供应商文档来评估供应商安全性。安全评估应基于供应商实施的安全行为。这包括特定于产品线的抽查,以及从产品中提取的客观证据。


外部审计和国际计划


在评估网络设备的安全性时,最大的挑战之一是生产区域或运营商特定版本的产品的行业实践。如果供应商遵循这种做法,国际客户就无法分担获得有关产品质量或安全性的证据或保证的责任,无论是通过相互合作还是通过国际测试计划。
可以依靠独立的外部来源来提供一些所需的证据,前提是:

它适用于客户的产品(特别是相同的硬件和代码库)

所有证据都可以由客户重新验证,并且随机选择一些证据进行重新验证

一般而言,依赖供应商文件的供应商审计或评价不可能提供有用的证据,除非有可能核实审计是否与网络设备的安全性有关。出于同样的原因,审计背后的证据不能广泛获得和检验的审计或评价也不应被考虑。例如,按照目前的定义,根据SMA’s NESAS[1]计划进行的私人纸质评估不太可能提供有用的证据来支持客户对产品安全性的评估。

来自安全研究社区的支持


鉴于网络设备的范围、规模和复杂性,全球安全研究界(包括商业实验室和学术界)的参与对于支持客户了解安全风险至关重要。出于这个原因,应鼓励供应商对其安全实践保持透明和公开,并应鼓励支持负责任的独立安全研究人员执行自己的测试和分析。

为了支持日益安全和开放的电信设备的发展,DCMS表示打算建立英国国家电信实验室(UKTL)。这将是一个安全的研究设施,将汇集电信运营商,现有和新的供应商,学术界和政府,以创建具有代表性的网络,以研究和测试提高安全性和互操作性的新方法。


评估方法

评估供应商的安全方法需要四层方法:

评估

评估供应商提供的安全声明。这应该说明供应商的安全方法,以及供应商对其客户做出的安全承诺。为了发展安全生态系统,NCSC建议供应商公开发布其安全声明。这为客户提供了信心,即供应商的方法对所有客户和产品线都是一致的,并允许更广泛的安全社区参与安全讨论。

检查

对供应商针对特定的、独立选择的产品版本实施的安全流程执行抽查。由于供应商应在自己的系统中随时获得所有详细信息,因此无需提前通知选择。

分析

对设备进行实验室测试。测试应针对所有设备,或者应从供应商提供的设备中随机选择设备。实验室测试应尽可能自动化,以便以低成本轻松重复。独立于客户执行的实验室测试应针对客户使用的相同产品版本轨道、硬件、软件、固件和配置。

维持

在客户与供应商关系的整个期间要求供应商遵守安全声明中的标准。客户应分析问题的根本原因并记录供应商的安全性能,以确保将来的评估具有严格的证据基础。

下文提供了应用这种四层方法的建议。

评估供应商安全绩效

在评估供应商安全实践时,一个重要的数据来源是供应商的安全性能。客户应考虑供应商的安全文化和行为,如以下方面所证明的那样:
  • 供应商风险评估和安全评估流程的成熟度

  • 供应商透明度、开放性以及与安全研究社区的协作

  • 供应商评估、管理和支持客户与任何安全漏洞和事件有关

  • 供应商遵守安全义务和要求

  • 供应商对产品和组件支持的方法
安全事件本身并不能证明安全实践不佳。所有大公司都可能受到安全事件的影响,根据其原因和处理方式,安全事件可能会提供良好实践的示例。客户应考虑是否可以合理地避免该事件,或者是否可以合理地减少其影响。
同样,产品安全漏洞或问题本身并不是不良安全实践的证据,因为此类问题将出现在所有产品中。但是,如果问题过于简单,或者由于产品管理或维护不善,这可能是不良实践的证据。

供应商安全评估标准

下表可用于帮助评估供应商及其网络设备的安全流程。该表描述了客户在安全声明中应期望的信息、应考虑收集证据的抽查以及客户或第三方应考虑对设备进行的实验室测试。对于抽查和实验室测试,假设客户将有足够的访问权限访问供应商流程和设备,以便在根据此评估做出决策之前进行有效的评估。
当使用第三方时,客户应确信第三方具有足够的独立性,具有足够的技术能力,并获得有关供应商日常实践的足够信息,以向他们提供所需的可靠证据。

主题

安全期望值

重要原因

评价:安全申报

评估:客户或第三方抽查

评估:客户或第三方实验室测试

V.A:产品生命周期管理

V.A:

总体目标

供应商的产品在产品的整个生命周期内都得到适当的支持。

提供供应商对产品进行成熟管理的信心,在支持的生命周期内接收更新和安全关键修复产品。

作为安全声明的一部分,供应商描述了如何支持产品。

-

-

V.A.1:

产品生命周期流程

供应商清楚地标识了每个产品的生命周期。

供应商应制定生命周期终止政策,详细说明产品在销售终止后将支持多长时间。

提供在给定日期之前支持产品的信心。此外,供应商的支持日期适用于全球,这意味着供应商可能会在此期间继续投资于产品维护。

供应商在安全声明中描述其产品的生命周期。

对于产品线中的每个版本,供应商会在适用时立即在其网站上发布终止销售日期。生命周期终止政策应详细说明在宣布销售终止日期后,产品将获得多长时间的支持以及以支持何种方式。此信息的位置在安全声明中引用。

查看产品发布历史记录。了解供应商如何使组件保持最新状态。

-

V.A.2:

软件维护

每个产品都在其发布的生命周期中进行维护。此维护至少涵盖产品的安全修复程序。

确保产品可以针对产品在其支持的生命周期内发现的安全问题进行修补。

供应商清楚地描述了他们将如何支持产品在其生命周期内,包括他们将在每个支持类下提供哪些支持。

 

查看显示应用于产品的安全修补程序历史记录的记录,包括解决任何未解决漏洞的路线图。

为客户选择的产品选择已知漏洞的示例,并检查如何以及何时根据供应商的策略修补这些漏洞。(见V.A.7)。

测试产品以验证设备不再容易受到漏洞或漏洞变体的影响。

.A.3:

软件版本控制

每个产品都有一个版本控制的代码存储库,用于记录每个代码修改。此审核日志将详细说明:

-修改、添加或删除了哪些代码

-为什么进行更改

-谁做出了改变

-进行更改时

-已发布的代码已内置哪个版本的代码产品。

为了提供信心,供应商可以准确跟踪产品中部署的代码。这对于有效调查供应链攻击至关重要。

供应商描述了他们如何维护其代码库的完整性。

供应商演示如何基于正常流程进行更改,以及如何拒绝通过其他方式进行更改。

探索更改并验证是否遵循了流程。


V.A.4:

软件版本

每个产品都经过严格的软件发布周期,包括在发布版本以正式发布之前进行内部测试。如果软件不符合下面详述的安全工程要求,则不会发布软件。每个产品都应由独立的第三方定期进行外部测试。

此要求的存在是为了提供供应商测试其软件版本并验证其内部安全工程流程是否已得到遵循的信心。

测试还应确保不会重新引入以前解决的安全漏洞。

供应商描述其软件发布周期,包括门和执行的测试。

查看生成和测试过程。

查看针对客户选择的产品线和版本执行的测试。检查测试工具是否配置正确并查看测试结果。验证是否包含测试以检查以前解决的漏洞和问题。

供应商证明由于任何失败的测试而正确修复了问题。

通过在客户或第三方的实验室中重复测试来检查一组供应商测试结果的准确性。

V.A.5:

开发流程和功能开发

该产品有一个主要发布系列。

新版本的分叉被最小化。必要时,客户特定的功能作为可选模块提供。

在标准开发路线图期间,任何新功能都会引入主产品线。

此要求的存在是为了让他们确信供应商正在向他们提供产品的正式发布版本,以便他们知道可以使用常规支持路由在产品的整个生命周期内获得支持。

供应商极不可能正确支持特定于功能的产品版本的激增。

安全声明描述了供应商的开发过程,包括如何以及何时发布新产品版本,以及如何将版本数保持在可管理的水平。



V.A.6:

国际发布和分叉

供应商为每个产品维护一个全局版本行。其他版本的数量最少(理想情况下没有)。

此要求的存在是为了提供产品受到全球支持的信心,并且发现的任何问题都可以轻松缓解。

供应商极不可能正确支持客户特定产品版本的激增。

供应商发布其产品的所有已发布版本的详细信息,包括二进制哈希。预计此信息将在供应商的网站上提供。

供应商在其安全声明中引用其公开的产品版本列表。

供应商描述产品的完整发布系列,包括创建每个版本的原因。

根据供应商发布的信息或其他方式,测试供应商提供的产品版本是否为全局版本,并具有匹配的二进制哈希。

V.A.7:

工具、软件和库的使用

对产品内部和产品开发中使用的第三方工具(例如代码编译器)、软件组件和软件库进行清点。上述任何对供应商软件的安全性至关重要的内容都将在其整个生命周期内进行维护。

不支持的工具、软件组件、软件或库不太可能使用现代安全功能。如果暴露,它们可能会导致已知漏洞嵌入到产品中。

必须修补产品关键安全保护中的漏洞,以最大程度地减少漏洞利用的影响。

安全声明描述了如何维护第三方软件组件,明确说明何时(如果有)在任何产品版本中包含不支持的组件,并说明理由。

对于客户选择的产品,供应商提供对产品安全至关重要的第三方组件列表(例如,通过接口公开的组件)。验证这些组件是否仍处于主动维护状态,并且产品生命周期内是否有支持计划。

扫描产品界面以清点已知的第三方工具,并确定它们是否正在维护。

检查产品以验证供应商的组件列表是否准确。

V.A.8:

软件文档

供应商提供最新且技术上准确的文档以及产品的新版本。本文档至少应详细说明如何安全地配置、管理和更新产品。

这为客户提供了所需的信息,以帮助他们在网络中的整个生命周期内安全地部署和管理产品,并独立评估该配置的安全性。

这有助于减少客户在供应商上的持续依赖

安全声明承诺向客户发布产品文档。


使用文档,设置、操作、配置和更新产品,而无需供应商的支持。


>>>详表见网络设备安全性评估指南翻译版<<<

英国供应链安全:​网络设备安全性评估指南

  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 网络安全等级保护:等级保护测评过程及各方责任
  3. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  4. 网络安全等级保护:什么是等级保护?
  5. 网络安全等级保护:信息技术服务过程一般要求
  6. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  7. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  8. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  9. 闲话等级保护:测评师能力要求思维导图
  10. 闲话等级保护:应急响应计划规范思维导图
  11. 闲话等级保护:浅谈应急响应与保障
  12. 闲话等级保护:如何做好网络总体安全规划
  13. 闲话等级保护:如何做好网络安全设计与实施
  14. 闲话等级保护:要做好网络安全运行与维护
  15. 闲话等级保护:人员离岗管理的参考实践
  16. 信息安全服务与信息系统生命周期的对应关系
  17. 工业控制系统安全:信息安全防护指南
  18. 工业控制系统安全:工控系统信息安全分级规范思维导图
  19. 工业控制系统安全:DCS防护要求思维导图
  20. 工业控制系统安全:DCS管理要求思维导图
  21. 工业控制系统安全:DCS评估指南思维导图
  22. 工业控制安全:工业控制系统风险评估实施指南思维导图
  23. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  24. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  25. 数据安全风险评估清单

  26. 成功执行数据安全风险评估的3个步骤

  27. 美国关键信息基础设施数据泄露的成本

  28. VMware 发布9.8分高危漏洞补丁

原文始发于微信公众号(河南等级保护测评):英国供应链安全:​网络设备安全性评估指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月17日09:27:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   英国供应链安全:​网络设备安全性评估指南https://cn-sec.com/archives/1414386.html

发表评论

匿名网友 填写信息