近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布,《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。
2022年11月7日,GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布,作为推荐性标准将于2023年5月1日正式实施。
此次标准是在《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》基础上借鉴成熟经验,结合现有网络安全保障体系等成果,提出了多项对于关键信息基础设施运行安全保护的要求,采取必要的措施保护关键信息基础设施业务连续运行和重要数据不被破坏,切实加强关键信息基础设施安全保护。
标准文件中,明确指出了对于关键信息基础设施的安全保护要求,其中更是在7.9节对供应链安全从以下方面做出规范要求:
- 应建立供应链安全管理策略,包括;风险管理策略、供应方选择和管理策略、产品开发采购策略、安全维护策略等,建立供应链安全管理制度,提供用于供应链安全管理的资金、人员和权限等可用资源。
在标准中首先从管理机制上做出了相应要求,明确了需要相应的策略和制度,以及人员资金等资源支持。管理机制是安全建设的抓手,因此对于供应链安全也是如此,从而安全工作有章可循。
- 采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。
- 应形成年度采购的网络产品和服务清单,采购、使用的网络产品和服务应符合相关国家标准的要求。可能影响国家安全的,应通过国家网络安全审查。
- 应建立和维护合格供应方目录,应选择有保障的供应方,防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。
- 应强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。
关于采购的行为活动,标准从产品本身、供应方和渠道上做出了要求。
在产品的选择上,除了相关的检测认证、标准符合要求,还提到对于可能影响国家安全的需要进行额外的审查,这也与网络安全审查办法对应,是网络安全审查机制的落地体现。
在供应方的选择上,明确需要对断供风险的防范,也是在当前复杂国际环境下面临的严峻风险。
- 采购网络产品和服务时,应明确提供者的安全责任和义务,要求提供者对网络产品和服务的设计、研发,生产、交付等关键环节加强安全管理。要求提供者声明不非法获取用户数据、控制和操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。
- 应与网络产品和服务的提供者签订安全保密协议,协议内容应包括安全职责、保密内容、奖惩机制、有效期等。
- 应要求网络产品和服务的提供者对网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权获得 10 年以上授权,或在网络产品和服务使用期内获得持续授权。
- 应要求网络产品和服务的提供者提供中文版运行维护、二次开发等技术资料。
- 应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方提供第三方网络安全服务机构出具的代码安全检测报告。
标准中针对网络产品和设备的提供者,明确了对应的安全管理要求,要求提供者在网络产品和服务的全生命周期加强安全管理,对数据、权限等进行了约束。对于保密要求也具体细化到职责、内容、奖惩、有效期等信息,对保密协议的落地起到很强的指导作用。
标准中还单独强调了对知识产权的约束,要求提供者具有10年以上或服务期内的持续授权,这也是对知识产权管理的强化。当前常见的知识产权除了软件著作权、专利,开源许可证的合规也是对于软件产物而言需要重点关注的。
文中强调的「提供中文版运行维护、二次开发等技术资料」,是对提供者对产品或服务停止维护风险的预防。
在产品的安全检测上,标准中强调了需要经过代码级的安全检测,这也是安全左移的理念体现。
- 使用的网络产品和服务存在安全缺陷、漏洞等风险时,应及时采取措施消除风险隐患,涉及重大风险的应按规定向相关部门报告。
从产品和服务本身来看,主要强调了对安全风险隐患的积极消除、重大风险的上报,是对漏洞治理工作的强化。
近年海外国家基础设施频繁遭到攻击,典型的事件包括:
而这些事件中大量是由于不安全的供应链导致的,由于当前开源软件的繁荣发展,关键基础设施的开发中不可避免引入开源软件;同时还有很大一部分服务依赖于外部供应商提供,因此以solarwinds、log4j等事件为代表的供应链风险可以算是头号威胁,其安全管理要求必须在标准中进行明确提出。
近年许多国家也意识到关键基础设施中供应链安全的重要性,相继出台了很多法规和标准,其中包括:
因此在当前复杂的形势下,针对关键基础设施的供应链安全保障及其标准的出台十分必要。
从实践的角度来看,引入供应链风险的场景主要包括:
网络产品的研发中关键的安全实践包括:
针对软件供应链安全,墨菲安全认为其企业安全治理框架如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5c4nBjGl-1668130503343)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/9bad587749c346a5b728d1d1825a8f52~tplv-k3u1fbpfcp-zoom-1.image)]
首先需要建立包括制度、流程、规范在内的管理体系。
针对软件供应链需要管控的对象包括log4j这样的开源组件、nginx这样的开源应用软件,以及包括商业软件在内的闭源软件。需要控制的风险包括漏洞攻击、中断供应以及知识产权的侵权。
关键控制点包括:
针对这些控制的需求,墨菲安全依托于软件供应链安全管理平台,在之上提供了源安全网关、软件成分分析、合规管理产品、容器安全检测产品以及0day漏洞情报服务进行支持。
这背后是我们持续迭代的专业漏洞知识库、软件知识库以及检测引擎作为数据和能力支撑。
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。
旗下的安全研究团队墨菲安全实验室,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
产品官网:
https://murphysec.com
开源地址:
https://github.com/murphysecurity/murphysec