王超

目前ICT供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險不斷攀升。潛藏安全缺陷的開源代碼被廣泛使用，針對ICT供應(yīng)鏈薄弱環(huán)節(jié)的網(wǎng)絡(luò)攻擊不斷增加，合作第三方供應(yīng)商引發(fā)的網(wǎng)絡(luò)安全事件層出不窮。賽迪智庫網(wǎng)絡(luò)安全研究所認(rèn)為，ICT供應(yīng)鏈薄弱環(huán)節(jié)是網(wǎng)絡(luò)安全的防控重點(diǎn)，應(yīng)從四個方面著手：針對關(guān)鍵軟硬件產(chǎn)品開展安全審查，管控供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險;統(tǒng)籌推進(jìn)開源代碼安全檢測工作，提升對ICT供應(yīng)鏈安全威脅的檢測能力;督促供應(yīng)商營造安全的供應(yīng)環(huán)境，強(qiáng)化對ICT供應(yīng)鏈網(wǎng)絡(luò)安全威脅的源頭 管控;引導(dǎo)用戶企業(yè)加強(qiáng)安全管理，補(bǔ)齊ICT供應(yīng)鏈管理短板。

信息通信技術(shù)（ICT）供應(yīng)鏈包括硬件供應(yīng)鏈和軟件供應(yīng)鏈，通常涵蓋了采購、開發(fā)、外包、集成、交付、使用和服務(wù)等環(huán)節(jié)。近年來，隨著新一代信息技術(shù)及相關(guān)產(chǎn)業(yè)的爆發(fā)式增長，ICT供應(yīng)鏈面臨的網(wǎng)絡(luò)安全風(fēng)險不斷攀升。潛藏安全缺陷的開源代碼應(yīng)用逐漸普及，針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊持續(xù)增加，合作第三方供應(yīng)商引發(fā)的網(wǎng)絡(luò)安全事件層出不窮。深入分析ICT供應(yīng)鏈面臨的網(wǎng)絡(luò)安全風(fēng)險，針對我國ICT供應(yīng)鏈存在的諸多安全薄弱環(huán)節(jié)提出有效的應(yīng)對措施，是防范網(wǎng)絡(luò)安全風(fēng)險的關(guān)鍵環(huán)節(jié)和重要手段。

ICT 供應(yīng)鏈面臨的網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻

開源軟件應(yīng)用數(shù)量大幅增長，潛藏的代碼安全缺陷對ICT供應(yīng)鏈的影響不容忽視。開源軟件具有開放、共享、自由等特性，已逐步成為軟件開發(fā)的核心基礎(chǔ)設(shè)施、軟件供應(yīng)鏈的重要組成部分。Sonatype報告顯示，2017年，獨(dú)立的Java開源組件數(shù)量由年初的200萬增加至年末的 350萬，JavaScript開源組件數(shù)量由300萬增加至550萬，Python組件數(shù)量由87萬增加至140萬。Gartner調(diào)查顯示，99%的組織在其IT系統(tǒng)中使用了開源組件。美國 Forrester Research的研究表明，2017年應(yīng)用軟件80%～90%的代碼來自開源組件。伴隨著開源代碼應(yīng)用數(shù)量的增長，開源代碼安全缺陷密度一直居高不下。據(jù)NVD統(tǒng)計，截至2017年2月，全球開源軟件相關(guān)已知安全漏洞已超過28000個。Synopsys公司發(fā)布的《2018年開源代碼安全和風(fēng)險分析》顯示，78%的開源代碼庫至少包含一個漏洞，平均每個代碼庫有64個漏洞?？紤]到開源代碼的普遍使用，一旦其安全缺陷被不法分子惡意使用，勢必會造成廣泛、嚴(yán)重的安全影響。

軟件供應(yīng)鏈攻擊成本小、門檻低、危害廣，已逐步成為 ICT供應(yīng)鏈安全的重要威脅。近年來，針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊日漸增多，攻擊深度和廣度不斷延伸，已遍布軟件開發(fā)、交付和使用等上中下游各環(huán)節(jié)，影響用戶量級從十萬到上千萬不等。在軟件開發(fā)環(huán)節(jié)，針對源代碼、開發(fā)工具的網(wǎng)絡(luò)攻擊滲透性強(qiáng)，識別、檢測難度大，影響范圍廣。2017 年 8 月，NetSarang的遠(yuǎn)程終端Xshell被植入后門代碼，官方版本也受到影響，導(dǎo)致近十萬用戶中招。2015年9月，蘋果集成開發(fā)工具 Xcode被注入病毒Xcode Ghost，導(dǎo)致超過4000個不同版本的蘋果應(yīng)用被感染，上億蘋果手機(jī)用戶受到影響。在軟件交付環(huán)節(jié)，針對網(wǎng)絡(luò)下載、廠商預(yù)裝和ROM 內(nèi)置等重要渠道實施攻擊，具有低投入、高回報等特點(diǎn)。眾多未授權(quán)的第三方下載站點(diǎn)、云服務(wù)、共享資源、破解盜版軟件等灰色軟件供應(yīng)鏈，極易被植入惡意代碼，成為網(wǎng)絡(luò)攻擊的發(fā)起點(diǎn)和擴(kuò)散源。應(yīng)用商店等正規(guī)渠道審核不嚴(yán)，也往往會成為惡意軟件肆意傳播的“幫兇”。

合作第三方成為影響 ICT供應(yīng)鏈網(wǎng)絡(luò)安全的新變量，由其引發(fā)的網(wǎng)絡(luò)安全事件層出不窮。隨著數(shù)字技術(shù)的迅猛發(fā)展，供應(yīng)鏈的數(shù)字化趨勢逐漸衍生出“第三方數(shù)字合作伙伴”的新角色。它們在帶來商業(yè)價值的同時，也進(jìn)一步推高了ICT供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險。波耐蒙研究所（Ponemon Institute）2018年的調(diào)查研究顯示，56%的組織機(jī)構(gòu)遭遇過由其供應(yīng)商造成的網(wǎng)絡(luò)入侵。在國際方面，2017年 7月，Verizon公司有超過1400萬的用戶個人資料因第三方供應(yīng)商N(yùn)ICE Systems云服務(wù)器安全配置不當(dāng)遭到外泄。

ICT供應(yīng)鏈薄弱環(huán)節(jié)

是網(wǎng)絡(luò)安全防控重點(diǎn)

關(guān)鍵信息基礎(chǔ)設(shè)施ICT供應(yīng)鏈管控體系尚不完善。盡管我國已于2017年6月發(fā)布實施了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》，明確要求關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查，并將產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付和技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險作為重點(diǎn)審查內(nèi)容，還推動開展了云計算服務(wù)網(wǎng)絡(luò)安全審查。但金融、電信等重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全審查仍處于起步階段，相關(guān)配套標(biāo)準(zhǔn)仍需完善，ICT 供應(yīng)鏈網(wǎng)絡(luò)安全管控能力有待提升。

針對開源代碼的安全檢測有待加強(qiáng)。我國對開源代碼安全性的重視程度不夠。早在 2006 年，美國國土安全部就資助Coverity 公司開展“開源軟件代碼測試計劃”，對大量開源軟件進(jìn)行安全隱患篩查;2013 年，美國國防部 DARPA 又啟動VET 項目，對商用信息技術(shù)軟硬件、固件進(jìn)行審查，檢測其是否存在隱蔽行為。盡管我國阿里、360 等企業(yè)也積極推進(jìn)軟件供應(yīng)鏈安全大賽、開展開源代碼安全檢測，但國家層面還缺乏統(tǒng)籌謀劃，對開源代碼的安全檢測未成體系。此外，我國惡意代碼檢測、漏洞分析、協(xié)議分析等技術(shù)能力嚴(yán)重不足，致使軟硬件中的安全缺陷難以被及時發(fā)現(xiàn)。

企業(yè)ICT供應(yīng)鏈安全管理存在漏洞。一是企業(yè)ICT供應(yīng)鏈管理制度尚不完備，缺乏針對軟硬件交付和更新等重要環(huán)節(jié)的管控措施。二是企業(yè)ICT供應(yīng)鏈透明度不高，供應(yīng)鏈安全評估缺失，難以依據(jù)安全風(fēng)險劃分供應(yīng)商的安全等級，進(jìn)行有針對性的管理。三是企業(yè)對第三方供應(yīng)商的管控不夠，難以有效落實約束第三方供應(yīng)商的各項要求。四是部分企業(yè)的開源代碼管理機(jī)制尚不健全，在軟件開發(fā)過程中，隨意使用開源組件的現(xiàn)象屢見不鮮，管理者甚至程序員都無法列出完整的開源組件使用列表，給 ICT供應(yīng)鏈安全帶來極大風(fēng)險。

ICT供應(yīng)鏈薄弱環(huán)節(jié)

應(yīng)對策略

針對關(guān)鍵軟硬件產(chǎn)品開展安全審查，管控 ICT 供應(yīng)鏈安全風(fēng)險。一是統(tǒng)籌協(xié)調(diào)金融、電信、交通等行業(yè)主管部門，盡快啟動針對關(guān)鍵軟硬件產(chǎn)品的網(wǎng)絡(luò)安全審查工作，對進(jìn)入我國重要行業(yè)、領(lǐng)域的關(guān)鍵軟硬件產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全審查，將產(chǎn)品研發(fā)、測試、交付和技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險作為審查重點(diǎn)，強(qiáng)制提高我國 ICT 供應(yīng)鏈的透明度。二是盡快制定出臺網(wǎng)絡(luò)安全審查、評估配套方面的標(biāo)準(zhǔn)規(guī)范，加快推廣實施 ICT供應(yīng)鏈安全風(fēng)險管理指南、信息技術(shù)產(chǎn)品安全可控評價指標(biāo)系列國家標(biāo)準(zhǔn)，為開展網(wǎng)絡(luò)安全審查提供支撐。

統(tǒng)籌推進(jìn)開源代碼安全檢測工作，提升對 ICT 供應(yīng)鏈安全威脅的檢測能力。一是充分利用國家網(wǎng)絡(luò)空間安全重大科技項目和網(wǎng)絡(luò)空間安全重點(diǎn)專項，加大對漏洞挖掘、大數(shù)據(jù)分析等網(wǎng)絡(luò)安全核心技術(shù)的支持力度，著力提升惡意代碼檢測、漏洞分析、協(xié)議分析等技術(shù)水平，不斷提高軟硬件產(chǎn)品安全缺陷發(fā)現(xiàn)能力。二是指導(dǎo)組織研究機(jī)構(gòu)、安全企業(yè)開展形式多樣的開源代碼安全檢測服務(wù)和競賽，鼓勵企業(yè)采用通過安全檢測的開源代碼，整體提升軟硬件產(chǎn)品安全性。三是督促企業(yè)制定開源管理策略，明確使用開源軟件的基本原則，制定開源軟件管理方法，采用工具核查等方式，檢測并清晰記錄軟件開發(fā)過程中使用的開源代碼，及時規(guī)避開源代碼的許可證合規(guī)風(fēng)險和安全漏洞風(fēng)險。

督促供應(yīng)商營造安全供應(yīng)環(huán)境，強(qiáng)化對 ICT 供應(yīng)鏈網(wǎng)絡(luò)安全威脅的源頭管控。一是要求供應(yīng)商建立健全產(chǎn)品開發(fā)生命周期安全管理制度，強(qiáng)化產(chǎn)品需求分析、功能設(shè)計、開發(fā)實施、測試驗證和上線發(fā)布等環(huán)節(jié)的質(zhì)量和安全把控。二是要求供應(yīng)商定期對產(chǎn)品進(jìn)行功能和安全性測試，及時掌握并消減產(chǎn)品的安全風(fēng)險。建立安全事件響應(yīng)機(jī)制，及時處理用戶反饋的安全事件。三是推動組織開展針對性的網(wǎng)絡(luò)安全教育培訓(xùn)，強(qiáng)化員工網(wǎng)絡(luò)安全意識。

引導(dǎo)用戶企業(yè)加強(qiáng)安全管理，補(bǔ)齊 ICT 供應(yīng)鏈管理短板。一是推動企業(yè)按照“ICT 供應(yīng)鏈安全風(fēng)險管理指南”等國家標(biāo)準(zhǔn)，建立和完善供應(yīng)鏈安全管理制度，規(guī)范企業(yè)在軟硬件產(chǎn)品采購、使用、更新等重點(diǎn)環(huán)節(jié)的安全要求。二是引導(dǎo)企業(yè)建立供應(yīng)商審核制度，從行業(yè)資質(zhì)、技術(shù)能力、產(chǎn)品質(zhì)量、生產(chǎn)環(huán)境、網(wǎng)絡(luò)安全保障能力等多個角度，對供應(yīng)商進(jìn)行安全評估，量化供應(yīng)商的安全級別，采取有針對性的管理措施。對供應(yīng)商進(jìn)行持續(xù)的監(jiān)督管理，及時清退不符合要求的供應(yīng)商，以規(guī)范和保障 ICT 供應(yīng)鏈安全。三是加強(qiáng)對合作第三方的安全管理，通過合同等方式明確雙方的安全責(zé)任。鼓勵企業(yè)對所有合作第三方的安全和隱私策略進(jìn)行評估。要求合作第三方定期進(jìn)行自評估，并及時反饋評估結(jié)果。四是加強(qiáng)員工網(wǎng)絡(luò)安全培訓(xùn)，推動提升企業(yè)內(nèi)部人員安全意識，建立安全操作及運(yùn)維管理制度，降低違規(guī)及異常操作帶來的風(fēng)險。