ICT 供應鏈的網(wǎng)絡安全威脅不容小覷

王超

目前ICT供應鏈的網(wǎng)絡安全風險不斷攀升。潛藏安全缺陷的開源代碼被廣泛使用，針對ICT供應鏈薄弱環(huán)節(jié)的網(wǎng)絡攻擊不斷增加，合作第三方供應商引發(fā)的網(wǎng)絡安全事件層出不窮。賽迪智庫網(wǎng)絡安全研究所認為，ICT供應鏈薄弱環(huán)節(jié)是網(wǎng)絡安全的防控重點，應從四個方面著手：針對關(guān)鍵軟硬件產(chǎn)品開展安全審查，管控供應鏈網(wǎng)絡安全風險;統(tǒng)籌推進開源代碼安全檢測工作，提升對ICT供應鏈安全威脅的檢測能力;督促供應商營造安全的供應環(huán)境，強化對ICT供應鏈網(wǎng)絡安全威脅的源頭 管控;引導用戶企業(yè)加強安全管理，補齊ICT供應鏈管理短板。

信息通信技術(shù)（ICT）供應鏈包括硬件供應鏈和軟件供應鏈，通常涵蓋了采購、開發(fā)、外包、集成、交付、使用和服務等環(huán)節(jié)。近年來，隨著新一代信息技術(shù)及相關(guān)產(chǎn)業(yè)的爆發(fā)式增長，ICT供應鏈面臨的網(wǎng)絡安全風險不斷攀升。潛藏安全缺陷的開源代碼應用逐漸普及，針對軟件供應鏈的網(wǎng)絡攻擊持續(xù)增加，合作第三方供應商引發(fā)的網(wǎng)絡安全事件層出不窮。深入分析ICT供應鏈面臨的網(wǎng)絡安全風險，針對我國ICT供應鏈存在的諸多安全薄弱環(huán)節(jié)提出有效的應對措施，是防范網(wǎng)絡安全風險的關(guān)鍵環(huán)節(jié)和重要手段。

ICT 供應鏈面臨的網(wǎng)絡安全挑戰(zhàn)日益嚴峻

開源軟件應用數(shù)量大幅增長，潛藏的代碼安全缺陷對ICT供應鏈的影響不容忽視。開源軟件具有開放、共享、自由等特性，已逐步成為軟件開發(fā)的核心基礎(chǔ)設施、軟件供應鏈的重要組成部分。Sonatype報告顯示，2017年，獨立的Java開源組件數(shù)量由年初的200萬增加至年末的 350萬，JavaScript開源組件數(shù)量由300萬增加至550萬，Python組件數(shù)量由87萬增加至140萬。Gartner調(diào)查顯示，99%的組織在其IT系統(tǒng)中使用了開源組件。美國 Forrester Research的研究表明，2017年應用軟件80%～90%的代碼來自開源組件。伴隨著開源代碼應用數(shù)量的增長，開源代碼安全缺陷密度一直居高不下。據(jù)NVD統(tǒng)計，截至2017年2月，全球開源軟件相關(guān)已知安全漏洞已超過28000個。Synopsys公司發(fā)布的《2018年開源代碼安全和風險分析》顯示，78%的開源代碼庫至少包含一個漏洞，平均每個代碼庫有64個漏洞?？紤]到開源代碼的普遍使用，一旦其安全缺陷被不法分子惡意使用，勢必會造成廣泛、嚴重的安全影響。

軟件供應鏈攻擊成本小、門檻低、危害廣，已逐步成為 ICT供應鏈安全的重要威脅。近年來，針對軟件供應鏈的網(wǎng)絡攻擊日漸增多，攻擊深度和廣度不斷延伸，已遍布軟件開發(fā)、交付和使用等上中下游各環(huán)節(jié)，影響用戶量級從十萬到上千萬不等。在軟件開發(fā)環(huán)節(jié)，針對源代碼、開發(fā)工具的網(wǎng)絡攻擊滲透性強，識別、檢測難度大，影響范圍廣。2017 年 8 月，NetSarang的遠程終端Xshell被植入后門代碼，官方版本也受到影響，導致近十萬用戶中招。2015年9月，蘋果集成開發(fā)工具 Xcode被注入病毒Xcode Ghost，導致超過4000個不同版本的蘋果應用被感染，上億蘋果手機用戶受到影響。在軟件交付環(huán)節(jié)，針對網(wǎng)絡下載、廠商預裝和ROM 內(nèi)置等重要渠道實施攻擊，具有低投入、高回報等特點。眾多未授權(quán)的第三方下載站點、云服務、共享資源、破解盜版軟件等灰色軟件供應鏈，極易被植入惡意代碼，成為網(wǎng)絡攻擊的發(fā)起點和擴散源。應用商店等正規(guī)渠道審核不嚴，也往往會成為惡意軟件肆意傳播的“幫兇”。

合作第三方成為影響 ICT供應鏈網(wǎng)絡安全的新變量，由其引發(fā)的網(wǎng)絡安全事件層出不窮。隨著數(shù)字技術(shù)的迅猛發(fā)展，供應鏈的數(shù)字化趨勢逐漸衍生出“第三方數(shù)字合作伙伴”的新角色。它們在帶來商業(yè)價值的同時，也進一步推高了ICT供應鏈的網(wǎng)絡安全風險。波耐蒙研究所（Ponemon Institute）2018年的調(diào)查研究顯示，56%的組織機構(gòu)遭遇過由其供應商造成的網(wǎng)絡入侵。在國際方面，2017年 7月，Verizon公司有超過1400萬的用戶個人資料因第三方供應商NICE Systems云服務器安全配置不當遭到外泄。

ICT供應鏈薄弱環(huán)節(jié)

是網(wǎng)絡安全防控重點

關(guān)鍵信息基礎(chǔ)設施ICT供應鏈管控體系尚不完善。盡管我國已于2017年6月發(fā)布實施了《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》，明確要求關(guān)系國家安全的網(wǎng)絡和信息系統(tǒng)采購的重要網(wǎng)絡產(chǎn)品和服務應當經(jīng)過網(wǎng)絡安全審查，并將產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付和技術(shù)支持過程中的供應鏈安全風險作為重點審查內(nèi)容，還推動開展了云計算服務網(wǎng)絡安全審查。但金融、電信等重點領(lǐng)域的網(wǎng)絡安全審查仍處于起步階段，相關(guān)配套標準仍需完善，ICT 供應鏈網(wǎng)絡安全管控能力有待提升。

針對開源代碼的安全檢測有待加強。我國對開源代碼安全性的重視程度不夠。早在 2006 年，美國國土安全部就資助Coverity 公司開展“開源軟件代碼測試計劃”，對大量開源軟件進行安全隱患篩查;2013 年，美國國防部 DARPA 又啟動VET 項目，對商用信息技術(shù)軟硬件、固件進行審查，檢測其是否存在隱蔽行為。盡管我國阿里、360 等企業(yè)也積極推進軟件供應鏈安全大賽、開展開源代碼安全檢測，但國家層面還缺乏統(tǒng)籌謀劃，對開源代碼的安全檢測未成體系。此外，我國惡意代碼檢測、漏洞分析、協(xié)議分析等技術(shù)能力嚴重不足，致使軟硬件中的安全缺陷難以被及時發(fā)現(xiàn)。

企業(yè)ICT供應鏈安全管理存在漏洞。一是企業(yè)ICT供應鏈管理制度尚不完備，缺乏針對軟硬件交付和更新等重要環(huán)節(jié)的管控措施。二是企業(yè)ICT供應鏈透明度不高，供應鏈安全評估缺失，難以依據(jù)安全風險劃分供應商的安全等級，進行有針對性的管理。三是企業(yè)對第三方供應商的管控不夠，難以有效落實約束第三方供應商的各項要求。四是部分企業(yè)的開源代碼管理機制尚不健全，在軟件開發(fā)過程中，隨意使用開源組件的現(xiàn)象屢見不鮮，管理者甚至程序員都無法列出完整的開源組件使用列表，給 ICT供應鏈安全帶來極大風險。

ICT供應鏈薄弱環(huán)節(jié)

應對策略

針對關(guān)鍵軟硬件產(chǎn)品開展安全審查，管控 ICT 供應鏈安全風險。一是統(tǒng)籌協(xié)調(diào)金融、電信、交通等行業(yè)主管部門，盡快啟動針對關(guān)鍵軟硬件產(chǎn)品的網(wǎng)絡安全審查工作，對進入我國重要行業(yè)、領(lǐng)域的關(guān)鍵軟硬件產(chǎn)品進行網(wǎng)絡安全審查，將產(chǎn)品研發(fā)、測試、交付和技術(shù)支持過程中的供應鏈安全風險作為審查重點，強制提高我國 ICT 供應鏈的透明度。二是盡快制定出臺網(wǎng)絡安全審查、評估配套方面的標準規(guī)范，加快推廣實施 ICT供應鏈安全風險管理指南、信息技術(shù)產(chǎn)品安全可控評價指標系列國家標準，為開展網(wǎng)絡安全審查提供支撐。

統(tǒng)籌推進開源代碼安全檢測工作，提升對 ICT 供應鏈安全威脅的檢測能力。一是充分利用國家網(wǎng)絡空間安全重大科技項目和網(wǎng)絡空間安全重點專項，加大對漏洞挖掘、大數(shù)據(jù)分析等網(wǎng)絡安全核心技術(shù)的支持力度，著力提升惡意代碼檢測、漏洞分析、協(xié)議分析等技術(shù)水平，不斷提高軟硬件產(chǎn)品安全缺陷發(fā)現(xiàn)能力。二是指導組織研究機構(gòu)、安全企業(yè)開展形式多樣的開源代碼安全檢測服務和競賽，鼓勵企業(yè)采用通過安全檢測的開源代碼，整體提升軟硬件產(chǎn)品安全性。三是督促企業(yè)制定開源管理策略，明確使用開源軟件的基本原則，制定開源軟件管理方法，采用工具核查等方式，檢測并清晰記錄軟件開發(fā)過程中使用的開源代碼，及時規(guī)避開源代碼的許可證合規(guī)風險和安全漏洞風險。

督促供應商營造安全供應環(huán)境，強化對 ICT 供應鏈網(wǎng)絡安全威脅的源頭管控。一是要求供應商建立健全產(chǎn)品開發(fā)生命周期安全管理制度，強化產(chǎn)品需求分析、功能設計、開發(fā)實施、測試驗證和上線發(fā)布等環(huán)節(jié)的質(zhì)量和安全把控。二是要求供應商定期對產(chǎn)品進行功能和安全性測試，及時掌握并消減產(chǎn)品的安全風險。建立安全事件響應機制，及時處理用戶反饋的安全事件。三是推動組織開展針對性的網(wǎng)絡安全教育培訓，強化員工網(wǎng)絡安全意識。

引導用戶企業(yè)加強安全管理，補齊 ICT 供應鏈管理短板。一是推動企業(yè)按照“ICT 供應鏈安全風險管理指南”等國家標準，建立和完善供應鏈安全管理制度，規(guī)范企業(yè)在軟硬件產(chǎn)品采購、使用、更新等重點環(huán)節(jié)的安全要求。二是引導企業(yè)建立供應商審核制度，從行業(yè)資質(zhì)、技術(shù)能力、產(chǎn)品質(zhì)量、生產(chǎn)環(huán)境、網(wǎng)絡安全保障能力等多個角度，對供應商進行安全評估，量化供應商的安全級別，采取有針對性的管理措施。對供應商進行持續(xù)的監(jiān)督管理，及時清退不符合要求的供應商，以規(guī)范和保障 ICT 供應鏈安全。三是加強對合作第三方的安全管理，通過合同等方式明確雙方的安全責任。鼓勵企業(yè)對所有合作第三方的安全和隱私策略進行評估。要求合作第三方定期進行自評估，并及時反饋評估結(jié)果。四是加強員工網(wǎng)絡安全培訓，推動提升企業(yè)內(nèi)部人員安全意識，建立安全操作及運維管理制度，降低違規(guī)及異常操作帶來的風險。