美国《联邦信息系统供应链风险管理指南》研究 作者:国家保密科技测评中心/张伟丽

信息通信系统(ICT)的运行依赖于分布于全球的相互联系的供应链生态系统,该生态系统包括采购者、系统集成商、供应商和外部服务提供商等各类实体,产品和服务的设计、生产、分配、部署和使用,以及技术、法律、政策等软环境。ICT供应链生态系统在为联邦政府提供具有较高成本效益,可重复使用的ICT技术方案的同时也带来了一些列信息安全风险,例如潜在的恶意软件、产品脆弱性等。如何对供应链风险进行控制,最大限度保障联邦政府产品、服务及信息系统安全是联邦政府当前比较关心的问题,为此美国国家标准和技术研究所(NIST)2013年8月制定了SP 800-161(Supply Chain Risk Management Practices for Federal Information Systems and Organizations)《联邦信息系统和组织的供应链风险管理指南草案》,2015年2月发布了更新版本的《联邦信息系统供应链风险管理指南》(NIST SP800-161)(以下简称NIST SP800-161),该标准用于指导联邦政府采取相应的措施减少ICT供应链风险。该标准较2013年的标准有了诸多完善之处,且其出台对我国进行ICT供应链风险管理也有具有诸多启示,因此有必要对其进行深入研究和分析。

美国ICT供应链管理政策及相关标准概述

一是美国一直非常关注供应链安全。早在2007年美国国土安全部就出台了《增强国际供应链安全的国家战略》,但重点是关注实体货物供应链安全。2002 年,布什政府在起草国家信息安全战略中,开始重视供应链与信息安全风险的关系。2006 年 4 月,美国国家科技委员会发布了《联邦网络安全和信息保障研发计划》,明确将对IT 硬件和软件的供应链攻击列为一种攻击趋势,并认为这种安全问题仅靠检测手段无法完全解决。2008年初,布什发布了国家网络安全综合计划(CNCI),其中一项重要工作就是建立全方位措施以进行全球供应链风险管理,并将IT供应链安全问题上升到了国家威胁和国家对抗的层面。2009 年5月,奥巴马政府发布了《美国网络安全空间安全政策评估报告》,该报告将IT供应链安全作为国家安全的一种,至此美国将IT供应链安全提高到了空前的战略高度。

二是美国制定了信息安全相关标准。在具体标准方面,美国在相关信息系统安全方面制定了较多标准,主要包括:FIPS199 联邦信息和信息系统的安全分类标准;FIPS200联邦信息和信息系统的最小安全需求;SP800-53 为联邦信息系统和组织推荐的安全控制措施;SP800-39管理信息安全风险等相关标准。ICT供应链风险管理标准是国家标准与技术研究所和相关合作者经过几年的共同努力,在现有的多个标准化实践基础上提出的。这些基本的实践在NIST的相关标准以及国家和国际标准中有描述,它们包括:确保组织理解实施ICT 供应链风险管理过程中的成本和计划约束等限制条件;将信息安全需求整合到采购过程; 将适用的基线安全控制做为需求来源的安全标准; 确保一个健壮的软件质量控制过程; 建立多个来源,例如为关键系统部件建立多个运送线路。拥有基础实践是成功的关键,并且能够有效促进与系统集成商和供应商的互动。该NIST SP 800-161标准正是建立在相关标准实践基础上的,并且NIST SP 800-161标准借鉴了SP800-39和SP800-53有关ICT供应链风险管理的方法学。

三是制定了专门针对供应链安全的相关标准。NIST SP 800-161 是NIST专门针对ICT供应链安全制定的相关标准,在内容方面,其重点从ICT供应链风险的来源、管理方法以及安全控制方面重点探讨了如何对ICT供应链风险进行管理和控制。该标准的目的是为联邦机构在识别、评估供应链风险、选择和实施风险管理流程方面提供指导,以帮助组织减轻或控制他们的ICT供应链风险。该标准中确定的流程和控制措施可以根据组织机构特定的需求进行修改或增强。该标准授权组织也可以根据他们特定的任务/业务需求、威胁、和操作环境,开发ICT 供应链风险的缓解策略。

美国《联邦信息系统供应链风险管理指南》的主要内容

(一)ICT供应链及ICT供应链风险的来源

NIST SP 800-161认为联邦政府ICT供应链基本结构包括内部开发、信息、信息系统、服务、组件和产品(或服务)制造维护及退出信息系统的整个过程。ICT供应链实体主要涉及系统集成商、供应商、外部服务提供者等。ICT 供应链风险来源可以概括为三个方面:

一是现有系统(或产品)脆弱性/漏洞引起的ICT供应链风险。这类风险包括由于系统漏洞而导致的恶意软件、对相关组件进行篡改等风险,这些风险可能导致的直接后果是系统功能降低或一些系统功能不可用。

二是生产制造、开发水平低导致的风险。ICT产品和服务的安全性取决于整个供应链的安全水平,ICT产品和服务涉及系统集成商、供应商和外部服务提供商等各类实体,以及设计、生产、分配、部署和使用各个环节,这些实体或环节中不可避免的由于供应商、系统集成商能力不高而导致组件或系统中存在各种有意和无意的 ( 对抗 / 非对抗的 ) 威胁。若系统中使用了含有漏洞的组件,会给信息系统使用者带来潜在的风险。

三是ICT供应链全球化带来的风险。ICT供应链全球化给国家、组织及个人带来了便利化,同时也可能直接或间接的影响公司的管理和运行,从而对系统使用者造成风险。这种方式造成的风险及其复杂并且难以察觉,因为很难确定供应链中一个看似无关的不合格操作会直接给使用者带来重大风险隐患。

(二)ICT供应链风险管理方法

为了将ICT供应链风险管理融入到整个组织的风险管理过程中,NIST SP 800-161参考了NIST SP800-39《管理信息安全风险》中提出的多层次的风险管理结构及方法。分别从组织层、业务处理层和信息系统层三个层面构建风险管理方法。

组织层面,负责开发ICT SCRM(Supply Chain Risk Management)战略,确定组织层面的ICT SCRM风险,并制定组织策略,对如何建立并维护组织风险管理能力进行指导。确保ICT供应链风险管理战略的成本效益,以及战略措施与战略目标和组织目标的一致性。组织层的主要参与者是组织的高层领导,组织层的具体职责包括:1. 在法规法规框架下基于外部和组织的需求建立ICT SCRM政策;2. 在ICT SCRM政策基础上,确定影响ICT SCRM业务需求,如成本、进度、性能、安全、隐私、质量和安全等,以及确定包括ICT SCRM在内的具体的信息安全需求等。3. 建立贯穿整个组织的ICT SCRM团队;4. 确定将ICT SCRM适当融入组织风险管理政策和活动中。

业务处理层,根据组织层的风险环境、风险决定和相关活动,从业务处理流程设计、开发和实践的角度确定并解决风险。该层负责定义项目需求并对其进行管理,包括ICT SCRM的成本、计划、效能以及非功能性安全需求(如可靠性、安全性、质量保证等)。在该层,通过对系统集成商、供应商、外部服务提供者的可信管理,可以解决很多潜在的风险。该层的主要参与者为组织的中层领导,该层的措施是确保任务完成和业务操作完成的关键,主要风险管理活动包括:1. 定义风险应对策略;2. 建立ICT SCRM流程以支持任务/业务流程;3. 确定业务处理过程中的ICT SCRM需求;4. 将ICT SCRM需求融入业务处理流程中;5. 将ICT SCRM需求融入到企业整体架构中,以方便ICT控制措施的分配,从而促进组织信息系统的运行。

信息系统层,是将ICT SCRM融入到组织信息系统及组件的开发生命周期中,负责在具体信息系统上建立并实践风险管理。该层利用ICT 供应链安全需求解决贯穿供应链的相关风险问题。该层的主要参与者是信息系统的开发、实践及信息系统运维人员。该层的主要活动包括两个方面:一方面是在信息系统的开发和维护中,应用、监测和管理ICT SCRM控制;另一方面是在系统生命周期中,应用、监测和管理ICT SCRM控制。

(三)ICT供应链风险管理过程

NIST SP800-161中将ICT 供应链风险管理纳入到组织范围内的风险管理流程中进行管理,具体的处理过程参照了NIST SP800-39《管理信息安全风险》中的操作步骤,具体包括四个操作步骤,各操作步骤之间的关系如图2所示,并且NIST SP800-161对每个操作步骤中对应的组织层、业务层、信息系统层的各自输入、活动、输入进行了详细的指导说明。

一是构建风险管理框架。该步骤定义了整个 ICT供应链的范围和结构、ICT基础设施、整体的ICT风险管理的策略以及风险管理具体计划或个人信息系统的需求,为 ICT SCRM 三级之间建立逻辑联系。

ICT SCRM风险框架是一个迭代的过程,一个操作步骤的输出也可以另外一个操作步骤的输入。框架建立过程中收集的数据和信息可以为ICT供应链风险管理活动提供输入信息。ICT供应链风险管理框架应当融入到组织风险管理活动中,组织风险管理框架的输出应当作为ICT供应链风险管理框架的输入。建立框架过程中的行动主要包括四个:一是风险假设,对影响风险评估、响应和监测的可能因素进行假设;二是风险约束,识别影响风险评估、响应和监测的约束条件,如适用组织的政策、战略、法律、法规等;三是风险承受力,确定组织整体的风险承受能力;四是优先级,确定风险管理过程中的各操作步骤的优先级。

二是进行风险评估。该阶段主要是基于搜集到的数据进行风险评估。将大量的数据进行聚集,分析对ICT供应链的威胁程度和可能性,包括危害程度、威胁、脆弱性等的分析,这是风险评估的重要过程。该阶段的行动主要包括:一是危害度分析,减小供应链安全威胁,确保各业务正常运行;二是威胁和脆弱性识别,主要是对信息系统和操作环境中的威胁和脆弱性进行识别;三是确定风险,如果漏洞被敌对方利用,需要确定操作风险、资产风险、个人、其他组织及国家层面的风险,并对风险的可能性、影响度等进行分析。

三是应对风险。此阶段主要是根据上一阶段风险评估的结果,制定相应的ICT 供应链风险应对措施或者缓解ICT 供应链风险的措施,以将风险控制在组织可接受范围内。主要活动包括:一是风险识别,即识别可供选择的风险应对措施;二是评估所选择风险应对方案的可行性;三是做出风险相应的决定;四是实施风险应对方案。

四是对风险的持续监控。该阶段主要是对信息系统或 ICT 供应链环境的变化进行监控,期间采用有效的措施进行持续改进,并定期评估风险计划,将风险控制在一定范围内。

(四)ICT供应链安全控制

NIST 800-53《建议联邦信息系统和组织采取的安全控制》第4版,在信息安全控制目录内定义了18个控制组,其中大量控制组是与ICT供应链相关的。因此,NIST SP800-161在覆盖NIST 800-53的相关控制措施的基础上根据实际情况增加了一个控制组,两个安全控制措施(SCRM_MA-7、SCRM_SA-15),共形成19个控制组,具体包括访问控制;意识和培训;审核和可追究性;安全评估和授权;配置管理;应急规划;标识和鉴别;事件响应;维护;介质保护;物理和环境保护;规划;项目管理;人员安全;来源;风险评估;系统和服务采购;系统和通信保护;系统和信息完整性。此外,NIST SP800-161为每个控制组提供了专门针对ICT供应链安全管理控制措施的补充指南。

NIST SP800-161 中新增的控制组为“来源”(Provenance,用 PV 标识 ),该控制组包括三个安全控制措施,具体为:(1)SCRM_PV-1“来源- 政策和规程”:组织应发布、记录和传播“来源”政策和程序,并定期审查和更新。(2)SCRM_PV-2“来源- 追踪‘来源’并建立基线”:组织应为“来源”文档提供唯一的标识,使得其遍历供应链时可实现追踪;发布用于记录、监控和维护系统和组件 (ICT供应链系统的) 有效“来源”基线的方法;跟踪、记录并向 ICT 供应链有关参与者发布“来源”的变更信息;对可访问和修改“来源”的个人和流程进行追踪;确保“来源”信息和变更记录 ( 包括何人、何时以及干了什么事 ) 具有不可否认性。(3)SCRM_PV-2(1)“来源 - 自动化的和可重复的流程”:组织应使多种可重复的方法来追踪“来源”的变更,包括变更次数和频率以及“开 / 关”流程和人为错误的减少。其中,方法既可以是手动的,也可以是自动的。比如,利用配置管理数据库可以追踪软件模块、硬件组件和以及文档的变更。(3)SCRM_PV-3“来源 - 审计”:组织应审计和核查有权创建、维护或监控“来源”的人员的活动,并保护审计记录。

新增的两个安全控制,分别是对NIST 800-53 REV4 中的维护 (MA) 控制族及系统和服务采购 (SA) 控制族进行了扩展,具体为:(1)SCRM_MA-7“维护 - 监控与信息共享”:要求组织应当监控信息系统和组件的运行状态,当其规格性能不符合响应要求或进行非授权操作时,应及时与系统集成商、供应商或外部服务提供商进行沟通。(2) SCRM_SA-15(3)“系统和服务采购 - 防篡改与检测 - 退货”:组织应与 ICT 组件的供应商之间建立退货政策及流程,包括 ICT 组件或硬件库存过剩引起的退货现象。

对我国的几点启示

(一)加强ICT供应链安全管理的战略研究

2009年发布的《美国网络安全空间安全政策评估报告》将ICT供应链安全提高到国家战略层面,NIST SP800-161的出台为系统集成商、供应商、采购者进行ICT供应链风险管理提供了操作方法和控制措施,目前我国在ICT供应链风险管理方面还缺乏体系化的立法和有针对性的操作标准,建议充分借鉴国外ICT供应链安全管理经验,抓紧对ICT供应链安全的战略研究,为我国ICT供应链安全管理政策的制定进行顶层设计和规划。

(二)制定通用ICT供应链安全管理标准

NIST SP80-161的制定借鉴了SP800-39和SP800-53有关ICT供应链风险管理的方法学,参考了NIST SP800-39中提出的多层次的风险管理结构及方法,对SP800-53中已有的控制措施进行了补充说明和个性化调整。在当前全球网络安全标准已经比较丰富的情况下,建议参考现有国际网络安全标准,以及软件等各行业先进的标准制定理念和方法学,充分结合大数据、云计算等大环境,进行全面综合的分析评估,制定出适合我国且与其他各国ICT供应链安全保护标准相符的标准,一方面增强我国关键基础设施网络安全标准的权威性和可操作性,另一方面加大国际社会认可度。

(三)加强ICT供应链风险管理与现有信息安全制度的衔接

目前我国信息安全管理方面已经实施了一系列的管理措施,比如针对信息系统安全建立了等级保护制度,针对安全产品建立了检测认证认可制度等,同时我国也建立国家网络安全审查制度并开展试点。ICT供应链风险管理应当与现有信息安全管理制度相结合,将ICT供应链风险管理标准融入到现有信息安全制度中,利用已有操作实现ICT供应链的安全管理。

2017-01-13 15:04
来源:中国信息安全杂志(2016.5)
热门推荐更多
热点新闻更多