01陳曉霖-供應鏈安全管理模式探索與發展.pdf

《01陳曉霖-供應鏈安全管理模式探索與發展.pdf》由會員分享，可在線閱讀，更多相關《01陳曉霖-供應鏈安全管理模式探索與發展.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、供應鏈安全管理模式探索與發展 公安部第三研究所 網絡安全技術研發中心 陳曉霖全球供應鏈安全總體形勢分析01供應鏈安全發展的立法與政策驅動02供應鏈安全監管的影響03供應鏈安全探索04供應鏈安全展望05直接引用該組件的開源軟件僅有6700多個，但是間接引用的開源軟件超過17萬，近70%的企業線上業務系統受到影響。供應鏈安全總體發展形勢隨著開源技術應用、國際形勢復雜、企業軟硬件供應鏈的多樣化，供應鏈各個環節的攻擊事件數量急劇上升，已然成為企業乃至國家網絡安全主要威脅。世界各地出現了越來越多的針對不同國家公共和私人企業機構的供應鏈攻擊。供應鏈攻擊使得傳統漏洞攻擊獲得了“鏈式反應”，呈現出網狀蔓延的態

2、勢，放大了傳統網絡攻擊效果。供應鏈的發展為供應鏈“投毒”提供了便利，也使得“預置后門”變得明目張膽，這其中既有供應商、開發者的自主行為，也有供應鏈被劫持后代碼被篡改的被動行為。供應鏈環節的斷供、停服、封禁等現象供應鏈斷供行為在戰時場景下尤為突出，并能夠取得顯著效果。近年來供應鏈典型攻擊事件2016.112017.122018.062020.122021.012021.122023.022023.10華碩電腦 shadowwhammer 攻擊事件中國XX銀行源代碼、數據泄露事件FireEye發現solar winds被植入后門友盟 SDK 未導出組件暴露漏洞半導體行業技術巨頭Applied Ma

3、terials遭遇勒索 中國XX銀行遭遇勒索Apache Log4j2 遠程代碼執行漏洞爆發OTA 廠商銳嘉科在設備中植入惡意軟件影響范圍廣供應鏈安全 風險特征危害損失大隱蔽性強溯源困難傳播性強攻擊面廣持續周期長攻擊效率高供應鏈安全風險典型特征企業側供應鏈安全現狀企業供應鏈安全涉及眾多環節，所面臨的網絡攻擊面大，供需方需要應對更多的安全威脅*平均每個項目引入組件數*平均每個項目缺陷組件數*項目中存在開源許可證風險55190161開發環節生產過程開發環節交付及獲取廢止過程維護與使用交付環節使用環節企 業 供 應 鏈 安 全 環 節63%*平均每個項目存在漏洞數企業供應鏈建設常見的安全風險l關鍵軟

4、件技術方面還無法實現完全自主研發可控l從國外引進的技術或軟件產品，加大我國軟件供應鏈安全出現威脅的可能性l無法摒除軟硬件產品內預置后門l開源技術的高效率已經成為企業的主流選擇l開放源碼組件的廣泛應用帶來新的安全挑戰l開發者自身水平不足容易產生軟件安全漏洞l無法避免惡意人員向開源軟件注入木馬程序安全防護不足缺乏安全意識l開發者為了提高效率，實行“業務先行”模式l業務邏輯漏洞和第三方開源組件漏洞頻發l員工在缺乏安全意識的情況下缺少對敏感數據潛在攻擊的識別能力管理制度不完善安全評估缺失l企業軟件供應鏈管理制度不完善，缺乏針對軟件生產等重要環節的管控措施l部分企業開源代碼管理機制尚不完善，隨意使用開源

5、組件的現象屢見不鮮應對全球化高頻攻擊的國際舉措美國國家標準與技術研究院（NIST）l政策：CNCI#11 全方位方法實施全球供應鏈風險管理l計劃：ICTSCRM 供應鏈風險管理實踐開發計劃l實施：NISTSP800-161 聯邦信息系統和組織供應鏈風險管理實踐l指南：NISTIR7622 聯邦信息系統供應鏈風險管理實踐理論美國、俄羅斯、歐盟等國家和地區將信息通信技術（ICT）供應鏈保障上升到國家戰略地位，尤其是美國在法律法規標準制度等方面，形成了較為完善的供應鏈安全風險管控體系。歐盟為了響應美國供應鏈安全管理戰略，于2005年通過歐盟海關法修正案，要求貨物在抵達歐盟邊境前進行貨柜安全信息風險分

6、析管控，以強化進出口通關安全。全球供應鏈安全總體形勢分析01供應鏈安全發展的立法與政策驅動02供應鏈安全監管的影響03供應鏈安全探索04供應鏈安全展望05強合規監管深化供應鏈安全建設鞭子效力2 0 1 62 0 1 6 年2 0 2 02 0 2 0 年 1 11 1 月2 0 2 12 0 2 1 年 9 9 月2 0 1 92 0 1 9 年 5 5 月2 0 2 12 0 2 1 年 9 9 月2 0 2 12 0 2 1 年 1 01 0 月2 0 2 22 0 2 2 年 9 9 月征 求 意 見 稿 隨著供應鏈各個環節的攻擊次數急劇上升,危害急劇加大,國家對供應鏈安全的治理力度也在

7、不斷增強。2016年我國在發布的國家網絡空間安全戰略中，明確提出“建立實施網絡安全審查制度，加強供應鏈安全管理，提高產品和服務的安全性和可控性?！拔覈l布國家網絡空間安全戰略我 國 正 式 實 施 的 信 息 安 全 技 術 ICT 供應鏈安全風險管理指南網絡產品安全漏洞管理規定國家發布十四五規劃建議，8次提到供應鏈安全專家解讀|落實關鍵信息基礎設施安全 保護制度，加快推進關鍵信息基礎設施供應鏈安全關于規范金融業開源技術應用與發展的意見信息安全技術 軟件供應鏈安全要求供應鏈安全標準規范指引整體合力逐步形成我國供應鏈安全標準戰略體系實施落地相關標準安全戰略n2016 年我國發布了國家網絡空間安全

8、戰略中，明確提出“建立實施網絡安全審查制度，加強供應鏈安全管理，對黨政機關、重點行業采購使用的重要信息技術產品和服務開展安全審查，提高產品和服務的安全性和可控性。nGB/T 24420-2009 供應鏈風險管理指南nGB/T 29245-2012 政府部門信息安全管理基本要求nGB/T 31168-2023 信息安全技術云計算服務安全能力要求nGB/T 32921-2016 信息技術產品供應方行為安全準則nGB/T 22239-2019 信息系統安全等級保護基本要求n國標 信息安全技術 信息技術產品供應鏈安全要求(即將發布)n2019 年 5 月 1 日正式實施的 GB/T 36637-201

9、8信息安全技術 ICT 供應鏈安全風險管理指南，在完整性、保密性、可用性、可控性的原則指導下制定的指南，目標使用者包括了 ICT 產品服務的采購方 黨政部門、重點行業、關鍵信息基礎設施。國家層面：公安部1960號文明確供應鏈要求二、深入貫徹實施國家網絡安全等級保護制度（五）加強供應鏈安全管理。網絡運營者應加強網絡關鍵人員的安全管理，第三級以上網絡運營者應對為其提供設計、建設、運維、技術服務的機構和人員加強管理，評估服務過程中可能存在的安全風險，并采取相應的管控措施。網絡運營者應加強網絡運維管理，因業務需要確需通過互聯網遠程運維的，應進行評估論證，并采取相應的管控措施。網絡運營者應采購、使用符合

10、國家法律法規和有關標準規范要求的網絡產品及服務，第三級以上網絡運營者應積極應用安全可信的網絡產品及服務。三、建立并實施關鍵信息基礎設施安全保護制度（五）強化核心崗位人員和產品服務的安全管理。要對專門安全管理機構的負責人和關鍵崗位人員進行安全背景審查，加強管理。要對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理，采購安全可信的網絡產品和服務，確保。當采購產品和服務可能影響國家安全的，應按照國家有關規定通過安全審查。公安機關加強對關鍵信息基礎設施安全服務機構的安全管理，為運營者開展安全保護工作提供支持。全球供應鏈安全總體形勢分析01供應鏈安全發展的立法與政策驅動02供應鏈安全監管的影響0

11、3供應鏈安全探索04供應鏈安全展望05一線企業供應鏈安全建設需求 開發、運營、服務管控等原生性供應鏈安全開發需求比重依舊較大。供應鏈安全、開源治理、供應商風險等新概念被頻繁提及，衍生出供應鏈安全建設新方向原生性安全合規性安全 目前合規性需求依然占據絕大多數的需求比例。因不合規而導致的安全事件給企業帶來的成本損失，是影響企業發展的重要因素。監管力度對合規性需求的影響共識在合規性對企業發展的顯著影響下，企業方對監管驅動的合規初步形成共識。力度合規性需求的釋放，依賴于監管的力度。監管力度越強，合規性需求的釋放就越大，相應的市場就越大，這在網絡安全市場已經得到很好的驗證。全球供應鏈安全總體形勢分析01

12、供應鏈安全發展的立法與政策驅動02供應鏈安全監管的影響03供應鏈安全探索04供應鏈安全展望05供應鏈安全建設存在的挑戰各方對監管需求不了解供應鏈安全技術有待進一步成熟和完善供應鏈安全人才缺口嚴重供應鏈安全建設關注重點開源軟件安全外購安全產品安全三方供應商及人員代碼及數據安全攻擊左移安全左移在軟件功能、性能、場景等快速發展的同時，復雜的軟件供應鏈會引入一系列的安全問題，導致信息系統的整體安全防護難度越來越大。關于如何有效緩解此類安全問題，業內普遍認為應采用安全左移的思路將安全嵌入至整個軟件開發生命周期中。企業不僅要考慮自身的安全流程，同時還需要仔細審查安裝軟件的來源及完整性、確認是否可信，了解供

13、應商的安全流程。供應鏈安全防御思路供應鏈安全治理體系供應鏈安全監管機構供應鏈服務機構（供應商）供應鏈安全服務企業管理機構（甲方）供應鏈安全管理監管支撐強監管供應鏈安全檢查實施機構約束強監管供應鏈安全專家智囊智庫技術支撐技術支撐供應鏈安全監管治理的合力效應全球供應鏈安全總體形勢分析01供應鏈安全發展的立法與政策驅動02供應鏈安全監管的影響03供應鏈安全探索04供應鏈安全展望05供應鏈安全監管要求逐步完善2022年9月30日信息安全技術 軟件供應鏈安全要求國標公開征求意見信息安全技術 供應商安全能力要求與測評辦法信息安全技術 供應鏈安全工具技術要求與測試評價方法可持續的供應安全生態建設之路制度的不斷完善技術的不斷發展運營的不斷健全供應鏈安全治理的發展路徑：供應鏈安全治理的終極目標：供應鏈中的所有角色都應該為其涉及的供應鏈環節安全負責THANKS