供应链安全的一些思考

写在前面：这是一个开放性的话题，思绪如潮，原本我打算继续用英文写在朋友圈。既然公众号断更了很久，那就随着思绪一路向前。

供应链安全是什么？我想这也应该是一个类似于“元宇宙”的生态，只是这个生态包含了实体的你和我，及我们。我们都是构造我们所在的IT系统的一个元素，元素围绕的目标的互动，形成了一个系统，一个生态，而这个生态，也可能是其他系统的子系统，子生态。从系统学的角度来说，要做好供应链安全，首先就应该识别“供应链系统”的元素（element）。供应链系统的元素有哪些呢？人是供应链中重要的角色，这里的人至少应该包括IT系统中所有的利益关联者，也就是说，会涉及到的不仅仅只是供应商，至少还应该包括开发人员、系统集成商、外部系统服务提供商、内部操作人员、其他ICT/OT相关服务提供商以及企业涉及相关业务的行政部门员工。既然是供应链那就会供应的一些东西，这里主要应该指的是服务和产品。除此之外，要让这个系统能够运转起来，那一定会有“互动”的行为，这也是需要进行识别的，比如外部开发的成品软件，或者内部自定义开发的产品等。

其次，我们需要对识别出来的元素和关联关系进行风险评估，安全的本质就是对风险进行测量和控制。根据NIST Special Publication 800-161 R1提出的条款：根据企业业务战略需求，制定并确定供应商等级。问题出来了，谁来对供应商进行审计？谁来制定审计的策略指标。此刻我想到了《网络安全审查办法》。《网络安全审查办法》第二条中写到：关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。软件产品的开发可以按照SDLC“还原性”审计，服务可以对操作行为和结果进行分析，人员可以通过培训加强意识提升，但是，供应商基于人之可信，自身系统的物之可信，谁来判断？谁来授权？

术业有专攻，漂亮国通过CMMC（网络安全成熟度模型认证）来对国防供应商自身的安全防御能力进行约束，瓷器国有瓷器国的行业法规要求。但是，这就能保证供应链安全了吗？这个问题是值得思考的。既然是术业有专攻，那么除了某些特定行业的合规认证要求，剩余的其他行业呢？谁来引导、管理这些供应链的参与者？而这些参与者又为何要遵循这样的基线合规要求？用一个简单的例子来描绘这样的场景：我开了一家餐馆，我需要1000个鸡蛋，我找到超市，告诉超市的主管，我需要1000个鸡蛋，超市找到养鸡场。这里的元素包括餐馆的采购及财务、超市是供应商、养鸡场是原厂商、相关的代理合同和授权等等。餐馆只能通过合同约束超市，超市传递性的约束养鸡场，但是，我没办法要求超市按照我的要求去保障鸡蛋的安全性，同时，超市可能也不具备检验鸡蛋安全性的措施。至于养鸡场，我更无法进行约束。

或许，这样的情况会有所不同，我开了一家粮油站，我要去收购油烟柴米卖给用户，这种情况下，我往往能够对给我供货的商户进行约束，比如，鸡蛋的尺寸，菜油的品质等等。我通过合同的方式来约束我的供货商户，从而建立信任，同时对供货内容进行审计。当然，我应该可以要求供货商户根据我的收货要求进行一定的改造。如此想来，或许以后会有更多的关键行业可以进行供应链约束。路漫漫其修远兮。

 

写在2022年未到春天的深冬.

-2022.01.19

-kkutstar

原文始发于微信公众号（网络安全游魂）：供应链安全的一些思考