《01陈晓霖-供应链安全管理模式探索与发展.pdf》由会员分享,可在线阅读,更多相关《01陈晓霖-供应链安全管理模式探索与发展.pdf(25页珍藏版)》请在三个皮匠报告上搜索。
1、供应链安全管理模式探索与发展 公安部第三研究所 网络安全技术研发中心 陈晓霖全球供应链安全总体形势分析01供应链安全发展的立法与政策驱动02供应链安全监管的影响03供应链安全探索04供应链安全展望05直接引用该组件的开源软件仅有6700多个,但是间接引用的开源软件超过17万,近70%的企业线上业务系统受到影响。供应链安全总体发展形势随着开源技术应用、国际形势复杂、企业软硬件供应链的多样化,供应链各个环节的攻击事件数量急剧上升,已然成为企业乃至国家网络安全主要威胁。世界各地出现了越来越多的针对不同国家公共和私人企业机构的供应链攻击。供应链攻击使得传统漏洞攻击获得了“链式反应”,呈现出网状蔓延的态
2、势,放大了传统网络攻击效果。供应链的发展为供应链“投毒”提供了便利,也使得“预置后门”变得明目张胆,这其中既有供应商、开发者的自主行为,也有供应链被劫持后代码被篡改的被动行为。供应链环节的断供、停服、封禁等现象供应链断供行为在战时场景下尤为突出,并能够取得显著效果。近年来供应链典型攻击事件2016.112017.122018.062020.122021.012021.122023.022023.10华硕电脑 shadowwhammer 攻击事件中国XX银行源代码、数据泄露事件FireEye发现solar winds被植入后门友盟 SDK 未导出组件暴露漏洞半导体行业技术巨头Applied Ma
3、terials遭遇勒索 中国XX银行遭遇勒索Apache Log4j2 远程代码执行漏洞爆发OTA 厂商锐嘉科在设备中植入恶意软件影响范围广供应链安全 风险特征危害损失大隐蔽性强溯源困难传播性强攻击面广持续周期长攻击效率高供应链安全风险典型特征企业侧供应链安全现状企业供应链安全涉及众多环节,所面临的网络攻击面大,供需方需要应对更多的安全威胁*平均每个项目引入组件数*平均每个项目缺陷组件数*项目中存在开源许可证风险55190161开发环节生产过程开发环节交付及获取废止过程维护与使用交付环节使用环节企 业 供 应 链 安 全 环 节63%*平均每个项目存在漏洞数企业供应链建设常见的安全风险l关键软
4、件技术方面还无法实现完全自主研发可控l从国外引进的技术或软件产品,加大我国软件供应链安全出现威胁的可能性l无法摒除软硬件产品内预置后门l开源技术的高效率已经成为企业的主流选择l开放源码组件的广泛应用带来新的安全挑战l开发者自身水平不足容易产生软件安全漏洞l无法避免恶意人员向开源软件注入木马程序安全防护不足缺乏安全意识l开发者为了提高效率,实行“业务先行”模式l业务逻辑漏洞和第三方开源组件漏洞频发l员工在缺乏安全意识的情况下缺少对敏感数据潜在攻击的识别能力管理制度不完善安全评估缺失l企业软件供应链管理制度不完善,缺乏针对软件生产等重要环节的管控措施l部分企业开源代码管理机制尚不完善,随意使用开源
5、组件的现象屡见不鲜应对全球化高频攻击的国际举措美国国家标准与技术研究院(NIST)l政策:CNCI#11 全方位方法实施全球供应链风险管理l计划:ICTSCRM 供应链风险管理实践开发计划l实施:NISTSP800-161 联邦信息系统和组织供应链风险管理实践l指南:NISTIR7622 联邦信息系统供应链风险管理实践理论美国、俄罗斯、欧盟等国家和地区将信息通信技术(ICT)供应链保障上升到国家战略地位,尤其是美国在法律法规标准制度等方面,形成了较为完善的供应链安全风险管控体系。欧盟为了响应美国供应链安全管理战略,于2005年通过欧盟海关法修正案,要求货物在抵达欧盟边境前进行货柜安全信息风险分
6、析管控,以强化进出口通关安全。全球供应链安全总体形势分析01供应链安全发展的立法与政策驱动02供应链安全监管的影响03供应链安全探索04供应链安全展望05强合规监管深化供应链安全建设鞭子效力2 0 1 62 0 1 6 年2 0 2 02 0 2 0 年 1 11 1 月2 0 2 12 0 2 1 年 9 9 月2 0 1 92 0 1 9 年 5 5 月2 0 2 12 0 2 1 年 9 9 月2 0 2 12 0 2 1 年 1 01 0 月2 0 2 22 0 2 2 年 9 9 月征 求 意 见 稿 随着供应链各个环节的攻击次数急剧上升,危害急剧加大,国家对供应链安全的治理力度也在
7、不断增强。2016年我国在发布的国家网络空间安全战略中,明确提出“建立实施网络安全审查制度,加强供应链安全管理,提高产品和服务的安全性和可控性。“我国发布国家网络空间安全战略我 国 正 式 实 施 的 信 息 安 全 技 术 ICT 供应链安全风险管理指南网络产品安全漏洞管理规定国家发布十四五规划建议,8次提到供应链安全专家解读|落实关键信息基础设施安全 保护制度,加快推进关键信息基础设施供应链安全关于规范金融业开源技术应用与发展的意见信息安全技术 软件供应链安全要求供应链安全标准规范指引整体合力逐步形成我国供应链安全标准战略体系实施落地相关标准安全战略n2016 年我国发布了国家网络空间安全
8、战略中,明确提出“建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性。nGB/T 24420-2009 供应链风险管理指南nGB/T 29245-2012 政府部门信息安全管理基本要求nGB/T 31168-2023 信息安全技术云计算服务安全能力要求nGB/T 32921-2016 信息技术产品供应方行为安全准则nGB/T 22239-2019 信息系统安全等级保护基本要求n国标 信息安全技术 信息技术产品供应链安全要求(即将发布)n2019 年 5 月 1 日正式实施的 GB/T 36637-201
9、8信息安全技术 ICT 供应链安全风险管理指南,在完整性、保密性、可用性、可控性的原则指导下制定的指南,目标使用者包括了 ICT 产品服务的采购方 党政部门、重点行业、关键信息基础设施。国家层面:公安部1960号文明确供应链要求二、深入贯彻实施国家网络安全等级保护制度(五)加强供应链安全管理。网络运营者应加强网络关键人员的安全管理,第三级以上网络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理,评估服务过程中可能存在的安全风险,并采取相应的管控措施。网络运营者应加强网络运维管理,因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施。网络运营者应采购、使用符合
10、国家法律法规和有关标准规范要求的网络产品及服务,第三级以上网络运营者应积极应用安全可信的网络产品及服务。三、建立并实施关键信息基础设施安全保护制度(五)强化核心岗位人员和产品服务的安全管理。要对专门安全管理机构的负责人和关键岗位人员进行安全背景审查,加强管理。要对关键信息基础设施设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保。当采购产品和服务可能影响国家安全的,应按照国家有关规定通过安全审查。公安机关加强对关键信息基础设施安全服务机构的安全管理,为运营者开展安全保护工作提供支持。全球供应链安全总体形势分析01供应链安全发展的立法与政策驱动02供应链安全监管的影响0
11、3供应链安全探索04供应链安全展望05一线企业供应链安全建设需求 开发、运营、服务管控等原生性供应链安全开发需求比重依旧较大。供应链安全、开源治理、供应商风险等新概念被频繁提及,衍生出供应链安全建设新方向原生性安全合规性安全 目前合规性需求依然占据绝大多数的需求比例。因不合规而导致的安全事件给企业带来的成本损失,是影响企业发展的重要因素。监管力度对合规性需求的影响共识在合规性对企业发展的显著影响下,企业方对监管驱动的合规初步形成共识。力度合规性需求的释放,依赖于监管的力度。监管力度越强,合规性需求的释放就越大,相应的市场就越大,这在网络安全市场已经得到很好的验证。全球供应链安全总体形势分析01
12、供应链安全发展的立法与政策驱动02供应链安全监管的影响03供应链安全探索04供应链安全展望05供应链安全建设存在的挑战各方对监管需求不了解供应链安全技术有待进一步成熟和完善供应链安全人才缺口严重供应链安全建设关注重点开源软件安全外购安全产品安全三方供应商及人员代码及数据安全攻击左移安全左移在软件功能、性能、场景等快速发展的同时,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。关于如何有效缓解此类安全问题,业内普遍认为应采用安全左移的思路将安全嵌入至整个软件开发生命周期中。企业不仅要考虑自身的安全流程,同时还需要仔细审查安装软件的来源及完整性、确认是否可信,了解供
13、应商的安全流程。供应链安全防御思路供应链安全治理体系供应链安全监管机构供应链服务机构(供应商)供应链安全服务企业管理机构(甲方)供应链安全管理监管支撑强监管供应链安全检查实施机构约束强监管供应链安全专家智囊智库技术支撑技术支撑供应链安全监管治理的合力效应全球供应链安全总体形势分析01供应链安全发展的立法与政策驱动02供应链安全监管的影响03供应链安全探索04供应链安全展望05供应链安全监管要求逐步完善2022年9月30日信息安全技术 软件供应链安全要求国标公开征求意见信息安全技术 供应商安全能力要求与测评办法信息安全技术 供应链安全工具技术要求与测试评价方法可持续的供应安全生态建设之路制度的不断完善技术的不断发展运营的不断健全供应链安全治理的发展路径:供应链安全治理的终极目标:供应链中的所有角色都应该为其涉及的供应链环节安全负责THANKS