近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布,《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。
背景
2022年11月7日,GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布,作为推荐性标准将于2023年5月1日正式实施。
此次标准是在《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》基础上借鉴成熟经验,结合现有网络安全保障体系等成果,提出了多项对于关键信息基础设施运行安全保护的要求,采取必要的措施保护关键信息基础设施业务连续运行和重要数据不被破坏,切实加强关键信息基础设施安全保护。
针对关键信息基础设施的供应链安全要求
标准文件中,明确指出了对于关键信息基础设施的安全保护要求,其中更是在7.9节对供应链安全从以下方面做出规范要求:
管理机制建立
- 应建立供应链安全管理策略,包括;风险管理策略、供应方选择和管理策略、产品开发采购策略、安全维护策略等,建立供应链安全管理制度,提供用于供应链安全管理的资金、人员和权限等可用资源。
在标准中首先从管理机制上做出了相应要求,明确了需要相应的策略和制度,以及人员资金等资源支持。管理机制是安全建设的抓手,因此对于供应链安全也是如此,从而安全工作有章可循。
采购管理
- 采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。
- 应形成年度采购的网络产品和服务清单,采购、使用的网络产品和服务应符合相关国家标准的要求。可能影响国家安全的,应通过国家网络安全审查。
- 应建立和维护合格供应方目录,应选择有保障的供应方,防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。
- 应强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。
关于采购的行为活动,标准从产品本身、供应方和渠道上做出了要求。
在产品的选择上,除了相关的检测认证、标准符合要求,还提到对于可能影响国家安全的需要进行额外的审查,这也与网络安全审查办法对应,是网络安全审查机制的落地体现。
在供应方的选择上,明确需要对断供风险的防范,也是在当前复杂国际环境下面临的严峻风险。
网络产品和设备提供者的责任和义务
- 采购网络产品和服务时,应明确提供者的安全责任和义务,要求提供者对网络产品和服务的设计、研发,生产、交付等关键环节加强安全管理。要求提供者声明不非法获取用户数据、控制和操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。
- 应与网络产品和服务的提供者签订安全保密协议,协议内容应包括安全职责、保密内容、奖惩机制、有效期等。
- 应要求网络产品和服务的提供者对网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权获得 10 年以上授权,或在网络产品和服务使用期内获得持续授权。
- 应要求网络产品和服务的提供者提供中文版运行维护、二次开发等技术资料。
- 应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方提供第三方网络安全服务机构出具的代码安全检测报告。
标准中针对网络产品和设备的提供者,明确了对应的安全管理要求,要求提供者在网络产品和服务的全生命周期加强安全管理,对数据、权限等进行了约束。对于保密要求也具体细化到职责、内容、奖惩、有效期等信息,对保密协议的落地起到很强的指导作用。
标准中还单独强调了对知识产权的约束,要求提供者具有10年以上或服务期内的持续授权,这也是对知识产权管理的强化。当前常见的知识产权除了软件著作权、专利,开源许可证的合规也是对于软件产物而言需要重点关注的。
文中强调的「提供中文版运行维护、二次开发等技术资料」,是对提供者对产品或服务停止维护风险的预防。
在产品的安全检测上,标准中强调了需要经过代码级的安全检测,这也是安全左移的理念体现。
网络产品和服务的风险控制
- 使用的网络产品和服务存在安全缺陷、漏洞等风险时,应及时采取措施消除风险隐患,涉及重大风险的应按规定向相关部门报告。
从产品和服务本身来看,主要强调了对安全风险隐患的积极消除、重大风险的上报,是对漏洞治理工作的强化。
为什么要重视供应链安全
近年海外国家基础设施频繁遭到攻击,典型的事件包括:
- 2020年5月,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电
- 2020年6月,美国核武器承包商遭 Maze 勒索软件攻击,敏感数据被泄露
- 2021年5月,美国最大成品油管道运营商 Colonial Pipeline 遭到勒索软件攻击,导致 5500 英里输油管被迫停运
- 今年3月,国际信贷公司Transunion被入侵导致5400万南非公民信息泄漏
而这些事件中大量是由于不安全的供应链导致的,由于当前开源软件的繁荣发展,关键基础设施的开发中不可避免引入开源软件;同时还有很大一部分服务依赖于外部供应商提供,因此以solarwinds、log4j等事件为代表的供应链风险可以算是头号威胁,其安全管理要求必须在标准中进行明确提出。
近年许多国家也意识到关键基础设施中供应链安全的重要性,相继出台了很多法规和标准,其中包括:
- 2021年2月,拜登签署第14017号行政令《确保美国供应链安全》,随后商务部和国土安全部又发布了《支持美国信息和通信技术行业的关键供应链评估》报告,提出了8项加强ICT基础设施供应链韧性的建议
- 今年7月,新加坡网络安全局 (CSA) 发布了关键信息基础设施 (CII) 供应链计划书,用于加强基础设施的供应链安全保护
- 今年9月,美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA) 发布了有关保护软件供应链安全指南,从开发者的角度提供相应的实践标准,10月又发布了针对供应商的实践指南
因此在当前复杂的形势下,针对关键基础设施的供应链安全保障及其标准的出台十分必要。
关键信息基础设施如何保障供应链安全
从实践的角度来看,引入供应链风险的场景主要包括:
- 自研产品中涉及到的开源供应链
- 通过采购、外包开发的各类由外部提供的产品和服务
针对自研的网络产品
网络产品的研发中关键的安全实践包括:
- 建立针对研发流程的供应链安全管理机制
- 设计阶段就需要开始评估待引入的供应链安全风险,风险的识别和解决阶段尽可能前置
- 安全风险的评估和响应贯穿产品研发的全生命周期
- 对BOM/SBOM(物料清单)的准确识别和动态管控
- 建立包括双因素校验、完整性校验等在内的产品研发安全基线
- 通过情报持续对供应链风险进行监测以及响应
针对外部提供的网络产品和服务
- 对于外部提供的产品和服务,首先应对供应商进行评估,通过对资格背景、服务能力、安全建设实践和响应能力建立安全准入标准,对供应商的持续管理。
- 其次是针对提供的产品,应由供应商提供BOM/SBOM信息,并对产品进行漏洞、知识产权风险的检测。
- 除了自身对风险情报的监测外,还应要求供应商提供相应的漏洞情报和响应能力。
软件供应链安全治理解决方案
针对软件供应链安全,墨菲安全认为其企业安全治理框架如下:
首先需要建立包括制度、流程、规范在内的管理体系。
针对软件供应链需要管控的对象包括log4j这样的开源组件、nginx这样的开源应用软件,以及包括商业软件在内的闭源软件。需要控制的风险包括漏洞攻击、中断供应以及知识产权的侵权。
关键控制点包括:
- 引入前的预防:供应链的准入管理、风险的提前检测、建立卡位机制
- 引入过程中的处置:引入时的检测、发现风险的修复以及持续的管理运营
- 引入后监测与处置:持续的风险情报监测,以及止损、溯源的响应动作
针对这些控制的需求,墨菲安全依托于软件供应链安全管理平台,在之上提供了源安全网关、软件成分分析、合规管理产品、容器安全检测产品以及0day漏洞情报服务进行支持。
- 源安全网关产品:不仅能对内部私有源的组件进行准入评估,还可以通过黑白名单策略对组件引入进行控制,将风险控制在引入阶段
- 软件成分分析:能够针对不同形态的软件产物提供准确的SBOM信息、深度的漏洞检测能力以及低成本的修复工具
- 合规管理产品:主要针对开源许可证进行识别,提供常见风险说明以及相应的管理能力
- 容器安全检测产品:能够对容器镜像系统环境中的软件,以及业务应用的安全风险进行检测
- 0day情报预警:除了高时效、字段丰富的公开漏洞情报,还可提供自行挖掘的非公开漏洞情报数据
这背后是我们持续迭代的专业漏洞知识库、软件知识库以及检测引擎作为数据和能力支撑。
参考链接
- http://www.npc.gov.cn/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml
- http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm
- http://www.gov.cn/zhengce/2021-08/18/content_5631789.htm?_zbs_baidu_bk
- https://www.nist.gov/system/files/documents/2022/02/04/software-supply-chain-security-guidance-under-EO-14028-section-4e.pdf
- https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=1D986D9DCCC518D19DAD9431DD76053E