【摘 要】2018年10月10日,国家市场监督管理总局和中国国家标准化管理委员会正式发布了国家标准GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》。该标准面向我国信息通信技术(以下简称ICT)供应链安全,旨在提高网络运营者ICT供应链安全管理水平,切实保障我国重要信息系统和关键信息基础设施的ICT供应链安全风险。本文主要从标准现状、标准适用范围和编制思路、标准解读3个方面对该标准进行了阐述,使网络产品和服务的采购方和供应商更好地理解该标准,便于网络运营者开展ICT供应链安全风险管理。
【关键词】ICT供应链 安全风险管理 标准
1 引言
随着信息通信技术的普及应用,加强ICT供应链的安全可控保障变得至关重要。目前,世界各国和ICT行业已普遍认识到,相比传统行业,ICT行业供应链更加复杂,存在安全风险的概率更大。加强ICT供应链安全管理,有利于增强客户对ICT供应链以及ICT行业的安全信任。
与传统供应链相比,ICT供应链具有许多不同的特点:一是ICT供应链涵盖ICT产品和服务的全生命周期,不仅包括传统供应链的生产、集成、仓储、交付等供应阶段,也包括产品服务的设计开发阶段和售后运维阶段;二是ICT产品由全球分布的供应商开发、集成或交付,供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降;三是传统供应链主要关注如何将产品有效地交付给客户,或者供应链健壮性的强度,而ICT供应链安全更关注是否会有额外的功能注入产品和服务中,交付的产品和服务是否与预期一致等。这些特点使得ICT供应链比传统供应链存在更多的安全风险,加强ICT供应链的安全风险管理刻不容缓。
为加强ICT供应链安全管理,全国信息安全标准化技术委员会(简称信安标委或TC260)启动了国家标准《信息安全技术 ICT供应链安全风险管理指南》(简称《ICT供应链安全风险管理指南》或GB/T 36637-2018)的制定工作。该标准由中国电子技术标准化研究院牵头,中科院软件所、联想、华为、蚂蚁金服、阿里巴巴、京东、浪潮等18家单位参与起草。该标准于2018年10月10日由国家市场监督管理总局和国家标准化管理委员会正式发布,2019年5月1日开始实施。
2 国内外供应链安全标准现状
目前,国际供应链安全标准已渐成体系,而国内供应链安全要求大多分散在多个标准中,GB/T 36637-2018作为我国第一个ICT供应链安全国家标准,标志着我国供应链安全标准正在起步。
2.1 国外主要供应链安全标准
(1)ISO 28000系列标准
ISO 28000供应链安全管理体系系列标准,是为满足运输和物流行业对共同安全管理标准的需求而提出的,旨在帮助组织建立一个可认证的供应链安全管理体系,适用于涉及采购、制造、仓储或运输等供应链任一环节的各类组织。该系列标准主要包括:ISO 28000《供应链安全管理体系规范》、ISO 28001《供应链安全、评估和计划的最佳实践——需求和指南》、ISO 28002《供应链恢复能力的开发——要求及使用指南》、ISO 28003《提供审核和认证功能的实体的需求》、ISO 28004《ISO28000实施指南》。
(2)ISO/IEC 27036
ISO/IEC 27036《供应商关系的信息安全》是第一部针对ICT供应链安全的国际标准,属于ISO/IEC 27000信息安全管理体系标准,其针对客户和供应商之间的购买与供应关系(即供应商关系),规定了供应商关系信息安全管理的框架,适用于采购方和供应商对供应商关系进行信息安全管理。该标准包括4个部分:ISO/IEC 27036-1《第一部分:概述和概念》、ISO/IEC 27036-2《第二部分:通用要求》、ISO/IEC 27036-3《第三部分:ICT供应链安全指南》、ISO/IEC 27036-4《第四部分:云服务安全指南》。
(3)ISO/IEC 22043
ISO/IEC 22043《开放可信技术供应商标准——减少被恶意污染和伪冒的产品》,原是国际开放组织(The Open Group)联合IBM、惠普、微软、华为、思科等会员企业,共同编制的一项行业联盟标准。该标准针对采购ICT商用现货面临的产品被恶意污染、被伪冒两大威胁,从产品开发工程、安全开发工程、供应链安全3个方面,提出了一个保障产品开发过程安全和供应过程完整性的最佳实践。该标准也可用于对供应商在降低被恶意污染和伪冒产品风险方面进行认证。
(4)NIST SP800-161
NIST SP800-161《联邦信息系统和组织供应链风险管理方法》,用于指导美国联邦政府机构管理ICT供应链的安全风险,旨在指导联邦部门和机构识别、评估和减轻ICT供应链风险。NIST SP800-161分析了联邦机构的ICT供应链结构;基于NIST SP800-39的组织风险管理过程,给出了供应链风险管理的过程和活动;基于NIST SP800-53给出ICT供应链的安全控制措施集合,新增了来源安全控制族,可供组织根据ICT需求定制裁剪。
2.2 国内主要供应链安全标准
GB/T 32921-2016《信息安全技术 信息技术产品供应方行为安全准则》从供应商角度入手,规定了信息技术产品供应方的行为安全准则。其他已发布的网络安全标准,有的含有供应链安全要求,如GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》提出“系统开发与供应链安全”,对云服务商的供应链从采购过程、外部服务提供商、开发商、防篡改、组件真实性、不被支持的系统组件、供应链保护等方面提出了安全要求。新修订的GB/T 22239-2019《信息安全技术 信息系统安全等级保护基本要求》在通用要求里,提出了产品采购与使用、外包软件开发、服务供应商选择等供应链安全要求。GB/T 29245-2012《信息安全技术 政府部门信息安全管理基本要求》在日常信息安全管理中也规定了“采购管理”和“外包管理”要求,用于指导各级政府部门的信息安全管理工作。
在供应链风险管理方面,我国风险管理标准化技术委员会(SAC/TC 310)发布的GB/T 24420-2009《供应链风险管理指南》,给出了供应链风险管理的通用指南和航空工业的风险评估示例,但主要针对传统物流供应链,未全面考虑ICT供应链的网络安全风险。而GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》作为我国第一个ICT供应链安全国家标准,弥补了ICT供应链安全风险管理的空白。
3 标准适用范围和编制思路
《ICT供应链安全风险管理指南》规定了ICT供应链的安全风险管理过程和控制措施,适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理,同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考。
该标准编制时成立了包含需方和软件、硬件、服务等多类供方的编制组,通过深入研究国内外供应链安全相关政策和标准,广泛调研国内软件、硬件和服务等不同类型机构的供应链安全风险和管理实践,在多轮意见反馈及企业试用验证后形成报批稿进行发布。编制工作中主要遵循以下原则。
一是以国内外供应链安全相关标准为基础。《ICT供应链安全风险管理指南》以国内供应链安全相关标准要求为基础,充分借鉴国际先进的ICT供应链安全风险管理方法。其中,风险管理过程以国内的供应链管理、信息安全风险管理类标准为基础,如ISO/IEC 27005(GB/T 31722)、GB/T 24420等;安全控制措施以国内外供应链相关安全措施为基础,如GB/T 22239、GB/T 31168、ISO/IEC 27002、ISO/IEC 27036、NIST SP800-161、NIST SP800-53。
二是支持多样的ICT产品和服务供应链。由于ICT产品和服务类型多样,软件、硬件、系统、服务的供应链细节可能存在不同,因此本标准在编制中尽量考虑到多种类型产品和服务,从软件、硬件、服务、数据、客户几个角度梳理供应链的安全风险,安全风险管理过程尽量采用通用、得到认可的过程步骤,供应链安全控制措施则提供了一个控制措施集合,ICT采购方或供应商可根据应用环境和安全需求进行剪裁。
三是考虑可操作性和实用性。为了确保标准的可操作性和实用性,标准编制组广泛吸收了在国内信息通信技术产品和服务市场的主流软件、硬件、服务厂商作为标准编制组成员。
4 标准内容解读
《ICT供应链安全风险管理指南》标准,主要包括术语定义、ICT供应链安全风险管理过程、安全控制措施、ICT供应链概述、ICT供应链安全威胁、ICT供应链安全脆弱性等内容。
4.1 ICT供应链
标准给出了对ICT供应链的界定和理解,包括在术语中定义了ICT供应链、供应关系、ICT供应链生命周期、ICT供应链基础设施等概念,以及在附录A提出了ICT供应链结构、特点、范围和供应商类型等内容。
ICT供应链即网络产品和服务的供应链,是指为满足供应关系通过资源和过程将需方、供方相互连接的网链结构,可用于将ICT产品和服务提供给需方。ICT供应链结构如图1所示。
供应链通常包括需方和供应商(供方)两种角色,需方与供应商之间存在供应关系。在供应链中,一个组织可能既是上游组织的需方,也是下游组织的供应方,与其上游、下游均存在供应商关系。
相对于传统领域的实体供应链,ICT供应链具有全球分布性、供应商多样性、产品服务复杂性、全生命周期覆盖性等特点。ICT供应链生命周期是ICT产品和服务从无到有直至废弃的全生命周期涉及的供应链活动,通常以ICT产品和服务的设计为起点,经过开发、生产、集成、仓储、交付等环节将产品和服务交付给需方,并对产品和服务进行运维、售后服务等直至其废弃。
虽然从广义来说,ICT供应链的范围包含产品、系统或服务中所有部件在其生命周期各环节中涉及的所有供应商,但是考虑到组织实践和管理成本,需方可根据组织的业务目标自行划分ICT供应链的管理范围,对其组织范围内的ICT产品、系统或服务的创建、维护、终止等全生命周期过程涉及的供应商关系进行管理。
图1 ICT供应链结构示意图
4.2 ICT供应链安全目标和安全风险
标准第五章给出了ICT供应链安全目标,主要表现在:一是完整性。确保在ICT供应链所有环节中,网络产品和服务不被植入、篡改、替换和伪造;二是保密性。确保ICT供应链上传递的敏感信息不被未授权泄露;三是可用性。确保ICT供应链能够正常供应,甚至在部分失效时仍能保持连续供应;四是可控性。确保采购方和供应商对ICT产品、服务或供应链的控制能力,例如一旦ICT供应链发生问题可进行追溯,保障采购方对供应链信息的透明度等。
目前,ICT供应链已成为网络攻击的重要渠道和对象,可能面临多种安全威胁。标准附录B列出了主要威胁,主要涉及恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作和其他威胁。同时,ICT供应链也可能存在许多安全脆弱性,如附录C所示,包括设计研发阶段的安全隐患、供应阶段的安全隐患、服务运维阶段的安全隐患、ICT供应链安全管理的安全隐患、ICT供应链信息系统的安全隐患和供应链物理安全隐患。
4.3 ICT供应链安全风险管理过程
标准第六章给出了ICT供应链风险管理过程,具体编制时主要基于GB/T 31722的信息安全风险管理框架,参考GB/T 24420《供应链风险管理指南》和NIST SP 800-161《联邦信息系统和组织供应链风险管理方法》等标准,细化了ICT供应链安全风险管理的步骤和实施细则。
组织可针对ICT供应链可能面临的安全风险,建立ICT供应链安全风险管理过程。ICT供应链安全风险管理过程由背景分析、风险评估、风险处置、风险监督和检查、风险沟通和记录5个步骤组成,如图2所示。组织宜按照GB/T 31722-2015的规定建立ICT供应链风险管理过程,也可将ICT供应链安全风险管理分散到对ICT供应链生命周期各环节、ICT供应链基础设施、外部供应商的风险管理活动中。
图2 ICT供应链安全风险管理过程
4.4 ICT供应链安全风险控制措施
标准第七章提供了可用于应对ICT供应链安全风险的安全措施,具体编制时参考了GB/T 2208、NIST SP800-161、ISO/IEC 22043及现有国家标准中供应链相关安全要求进行编制,给出了ICT供应链安全风险控制措施集合,供ICT采购方或供应方根据自身存在的安全风险和组织特点筛选使用。
组织可根据组织的特点和已识别的安全风险,选择实施相应的技术安全措施和管理安全措施,以降低ICT供应链安全风险,提高组织的ICT供应链安全保障能力。
技术安全措施包括物理与环境安全、系统与通信安全、访问控制、标识与鉴别、供应链完整性保护和可追溯性几个方面;管理安全措施涉及制度和人员管理、供应链生命周期管理、采购外包和供应商管理。
此外,ICT供应链基础设施通常作为ICT供应链安全的主要保护对象,是指由组织内的硬件、软件和制度流程等构成的集合,用于构建产品和服务的设计、开发、生产、集成、仓储、交付、运维、废弃等ICT供应链生命周期的环境。ICT供应链基础设施,主要包括组织内部支撑ICT供应链生命周期的信息系统和物理设施,如供应链管理信息系统、采购管理系统、软件开发环境、零部件生产车间、产品仓库等。
5 结语
ICT供应链安全已成为世界各国重点关注的问题,GB∕T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》国家标准的发布,弥补了我国在ICT供应链安全领域标准缺失的问题,为提高重要信息系统和关键信息基础设施的ICT供应链安全管理水平提供了有力支撑和技术基础。
参考文献
[1] GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》[S].