一、引言
随着全球风险事件不断加剧,针对关键信息基础设施供应链薄弱环节的网络攻击也随之增加。2020年4月27日,国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》(以下简称审查办法),要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。此举已明确将关键信息基础设施的供应链安全投入到国内大众视角。
与此同时,国际上对加强供应链安全管理也早已形成共识。各个国家已逐渐从产品测评、产品认证、供应商评估、安全审查等多项措施强化供应链安全管理。以美国为例,早从2012年起开始美国就着手布局国家级供应链安全战略,陆续出台一系列相关政策和重点项目来加强供应链的安全管控,2017年、2018年更是针对关键信息基础设施相关的供应链安全提出了明确的要求,其中包含促进供应链风险态势及相关信息共享,加强供应链风险审查评估,推动相关标准的实施应用等。
本文将从关键信息基础设施面临的供应链风险、供应链安全应对措施两个层面进行分析。
二、关键信息基础设施面临的供应链风险
与传统供应链相比,关键信息基础设施供应链涉及环节众多、地域跨度大、参与主体多样化,不仅包括了传统供应链环节如生产、仓储、物流、销售、交付等,还扩展到产品开发、交付、验收、使用、维护整个生命周期内的安全。其中任一环节出现安全缺口,都可能放大整个供应链网络的脆弱性。结合审查办法中审查重点考虑因素等内容,关键信息基础设施供应链安全风险主要体现在以下几个方面:
( 一 ) 供应链产品和服务可靠性不足,引发关键信息基础设施存在后门漏洞、非法控制等风险
近年来,因供应链产品漏洞爆出的安全事件屡见不鲜,如2014年Target数据泄漏事件、2017年远程终端管理工具Xshell后门事件、2020年4月DarkHotel利用VPN漏洞攻击事件等等,黑客可通过脆弱的供应链产品作为突破口进而实现篡改数据、获取控制权限、植入或伪造包含恶意逻辑的软硬件,达到情报收集、破坏基础设施和数据资产等目的。其次,供应链服务商为便于后续产品维护,常利用产品远程控制功能,加载、绕过或禁用部分安全策略,甚至隐藏行迹未告知用户远程控制的目的,极大增加用户方的安全隐患风险。
( 二 ) 供应链信息共享导致数据泄露风险
首先,随着云计算、物联网、人工智能、大数据等信息技术在社会生活中的广泛应用,促进了供应链的发展。同时,使得信息网络的建设规模不断扩大,在运行过程中对于共享资源的需求也不断提升,可能会导致更为严重的信息泄露问题。其次,供应链的企业成员之间也可能出现信息泄露问题,部分企业为了提高经营收益,往往会泄露企业的创新技术,以此促进企业竞争,获得更为低廉的市场价格,降低企业经营成本。下游经销商在泄密技术后,上游企业为增加收益,提升市场竞争力会进一步进行技术研发,降低原有产品的价格以提升市场占有率,减少零售企业经营成本。再者,因第三方企业造成信息的泄露,部分咨询公司管理不严格,造成技术和产品信息的泄露,给企业的经营造成负面影响。
( 三 ) 供应链供给中断,导致关键信息基础设施服务中断
当关键信息基础设施正以高速发展的状态逐步进入到高端领域时,某些技术领先的供应链突然显得很脆弱。主要表现在:核心产品缺货、交付周期一拖再拖、供给总量无法满足需求,甚至产品投诉得不到回应等等。由于对关键信息基础设施领域中核心技术的稀缺,产品及服务需要依赖于进口,增加供应链不可控风险,可能造成整体的业务服务中断。其次因自然因素、国际政治形势等不可抗力因素中断供应链渠道,导致整体业务连续性中断。主要表现在产品停产、供应链服务商注销,国际贸易管制、知识产权、限制销售等。再有,或因恶意竞争、弄虚作假等手段导致供应链品质下降,限制用户合理选择或替换供应商,导致业务支撑力度不足,品质下降。
三、供应链风险应对措施
基于审查办法的正式实施,针对关键信息基础设施供应链安全,已经提出网络安全审查工作程序,从顶层设计的维度推动了供应链安全向前迈进一大步。为了保障关键信息基础设施的产品和服务等环节的安全,提高关键信息基础设施供应链的安全防护能力,建议从监管维度、产业维度、测评维度三个方向入手加以应对。
3.1监管维度应对措施
( 一 ) 明确关键信息基础设施供应链安全标准、制度和规范
监管侧单位可参照《网络安全发》《网络安全审查》等文件提出的相关要求,明确各监管部门在供应链网络安全管理中应承担的责任与义务,同时与关键信息基础设施上、中、下游相关的企业,共同制度标准规范,明确开发商、供应商、服务商、使用单位等角色在供应链安全中的责任与义务。切实保障每个环节的安全可靠,从需求端到服务端提升安全保障能力。同时,需明确要求供应链采购产品需经过第三方权威认证,如发现漏洞及安全隐患需有明确的通报措施。
( 二 ) 明确将影响关键信息基础设施安全的产品纳入网络安全审查制度
境外厂商经常以“设计缺陷”为由,为产品中存在的后面、漏洞找借口,极大的增加的我国关键信息基础设施的安全风险。作为监管单位,可明确建立进口的关键信息基础设施产品信息安全审查制度。尤其对我国航空航天、核工业、石油石化、能源电力、轨道交通等重点领域中涉及的进口产品进行信息安全相关检测,有效做到“早发现、早阻断”,在经过充分的安全评估之后方可进入采购环节。
( 三 ) 促进供应链安全测评机构及审查评估机制的成立
以监管侧需求为导向,可推动一批具有供应链产品网络安全检查的测评机构成立,加速构建基于国产化的供应链安全检测评价体系。同时明确机构责任,以供应链安全架构设计为核心,对潜在的可能发生的安全行为进行鉴别及处理,促进供应链企业之间保密协同机制等。
同时,加强对关键信息基础设施供应链进行分级分类工作,系统梳理关键信息基础设施供应链中的脆弱点,推动供应链网络安全审查评估机制的建立,逐步规范审查流程,明确审查范围、各环节责任单位的职责要求,推动配套管理指南的落地,带头支撑审查工作的有序开展。
3.2产业维度应对措施
( 一 ) 加强自身供应链安全管理
产业企业自身可建立供应商审核制度,从行业资质、既有案例、管理体系、技术能力、产品质量、认证报告、网络安全防护能力等多个角度,对供应商进行安全评估,及时淘汰不符合要求的供应商,从企业自身强化对供应商的安全管控措施。加强对合作第三方的安全管理,在合同中明确双方的安全责任,要求合作第三方定期进行自评估,并及时反馈评估结果。
( 二 ) 基于安全多方计算等新技术优化供应商协同供应机制
供应链成员企业与供应链信息协同管理的安全保密始终是关键信息基础设施供应链安全管理的重大问题,在信息协同过程中对信息的收集、交互、处理都是各企业间的机密信息。虽然制定严格的保密协议可有限缩小信息传播范围,但无法杜绝数据泄露风险。因此,企业侧可考虑采用安全多方计算等新技术的应用,从技术手段解决自身协同信息共享导致的泄露问题。通过构建基于安全多方计算的多个供应商协同模型,并分析分散决策和供应商协同决策下各个成员的最优决策,将所有共享的私有产能信息进行加密处理,保障参与成员所输入的私有信息安全保密。这是一种全新的供应链信息共享方式,可在保护供应商的私有产能信息不公开的同时还能进行集中决策,从而明显降低供应商的损失成本和整体供应链的全局损失成本。
3.3测评维度应对措施
( 一 ) 加强关键信息基础设施供应链安全检测技术研发
关键信息基础设施供应链面临的病毒、木马与传统行业有所不同,具备藏匿隐蔽、以硬件恶意代码形式存在、芯片级封装等特点,是典型的APT攻击对象。因此对于关键信息基础设施供应链安全的检测很难用常态化的检测手段加以满足的。针对这类硬件级的安全检测,首先应尽快组建相应设备信息的漏洞库,并对重点行业、重点目标进行细致排查,汇总后门、漏洞等信息。其次对于典型的APT攻击,应对其攻击特点及方式进行分析,重点研制面向关键信息基础设施的检测手段及工具,便于应对新型网络攻击行为。通过内部检测及外部抵御的方式,系统地分析关键信息基础设施供应链的漏洞特点、结构特征、漏洞利用方式、触发条件等关键点,进而提出具有针对性的预防及封堵漏洞的普适性方法。
( 二 ) 加强关键信息基础设施供应链网络安全的技术创新
围绕关键信息基础设施供应链网络安全的重大需求,充分发挥技术创新在供应链网络安全保障中的作用,加大软硬件安全检测及分析、攻防渗透技术、源代码安全审计、漏洞挖掘技术、大数据分析技术、密码安全检测技术、监测舆情预警技术等研发及投入,切实落实对关键信息基础设施供应链安全保障防护能力,可提供供应链产品与服务的溯源审查、产品检测、攻防安全对抗,构建动态的安全防护体系。
四、总结
面对日益严峻的关键信息基础设施供应链安全风险隐患,急需稳步推动其供应链安全保障能力的建设,从监管维度、产业维度、测评维度构建多位一体的防护手段,积极推进标准规范建设、稳步推动技术创新、扎实落实审查评估工作,完善关键信息基础设施供应链安全生命周期的网络安全防护。
参考文献:
[1] 何昊坤,李璐.ICT供应链安全管理风险识别研究[J].网络空间安全,2019,10(4):1-6.
[2]张晓菲,卢春景,于盟.工业互联网供应链安全风险研究[J].网络空间安全,2020,11(7):23-27.
[3]王颉,万振华,王厚奎.从软件安全开发生命周期实践的角度保障软件供应链安全[J].网络空间安全, 2019, 10(6): 1-6.
[4]冯兆文.从Struts2漏洞看办公内网软件供应链安全管理[J].保密科学技术, 2019(5):37-40.
[5]陈 君.供应链信息协同中信息安全研究[J].农业网络信息,2011(09):89-92.
原文来源:关键基础设施安全应急响应中心
本文始发于微信公众号(网络安全应急技术国家工程实验室):关键信息基础设施供应链安全思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论