国家标准解读|从关键信息基础设施安全国家标准看软件供应链安全在产品和服务的风险控制方面,对供应链安全提出了具体要求。背景2022年11月7日,国家标准GB/T39204-2022《信息安全技术 关键信息基础设施安全保护要求》在北京发布,将于2023年5月1日作为推荐性标准正式实施。本标准以《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》为基础,借鉴成熟经验,结合现有网络安全保障体系成果,对关键信息基础设施运行安全防护提出多项要求,并采取必要措施保障关键信息基础设施的业务连续性。关键信息基础设施。运行和重要数据不被破坏,关键信息基础设施的安全保护得到有效加强。在关键信息基础设施供应链安全要求标准文件中,明确指出了关键信息基础设施的安全防护要求,并在7.9节中从以下几个方面对供应链安全进行了规定:应建立管理机制供应链安全管理策略,包括;风险管理策略、供应商选择与管理策略、产品开发与采购策略、安全维护策略等,建立供应链安全管理体系,为供应链安全管理提供资金、人员、权限等可用资源。在标准中,首先从管理机制上提出了相应的要求,明确了需要相应的策略和制度,以及人员、资金等资源支持。管理机制是安全建设的出发点,供应链安全也是如此,让安全工作有章可循。采购管理采购网络安全专用产品目录中的网络关键设备和设备产品时,应当采购通过国家检测认证的设备和产品。应当形成年度采购网络产品和服务清单,采购和使用的网络产品和服务应当符合相关国家标准的要求。可能影响国家安全的,应当通过国家网络安全审查。应建立和维护合格供应商名录,选择有保障的供应商,防止因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。加强采购渠道管理,保持采购网络产品和服务的稳定性或多样性。对于采购行为,标准从产品本身、供应商、渠道等方面做出了要求。在产品选择方面,除了相关检测认证、标准符合性,对于可能影响国家安全的产品,还提到了附加审查。这也与网络安全审查方法相对应,是网络安全审查机制的体现。在供应商的选择上,显然要防范供应中断的风险,这在当前复杂的国际环境下也是一个严峻的风险。网络产品和设备提供者的责任和义务采购网络产品和服务时,应当明确提供者的安全责任和义务,要求提供者在网络产品和服务的设计、研发、生产、交付等关键环节加强安全管理。网络产品和服务。提供商需声明不会非法获取用户数据,控制和操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或强制用户升级。应当与网络产品和服务提供者签订安全保密协议,协议内容应当包括安全责任、保密内容、奖惩机制、有效期等。网络产品和服务提供者应当参与网络产品和服务研发、制造的主体拥有或控制的已知技术专利等知识产权需取得10年以上授权,或在网络产品使用期间取得持续授??权;服务。授权。要求网络产品和服务提供者提供中文的运维、二次开发等技术资料。定制开发软件的源代码安全检测应当由自身或者第三方网络安全服务机构进行,或者供应商应当提供第三方网络安全服务机构出具的代码安全检测报告。该标准对网络产品和设备的提供者规定了相应的安全管理要求,要求提供者加强网络产品和服务全生命周期的安全管理,对数据和权限进行限制。保密要求还具体细化到职责、内容、奖惩、有效期等信息,对保密协议的执行起到了强有力的指导作用。该标准还单独强调了对知识产权的约束,要求供应商具有连续授权10年以上或服务期以上,这也是对知识产权管理的加强。除了软件著作权和专利,目前常见的知识产权,开源许可证的合规性也是软件产品关注的重点。文章强调“提供中文版运维、二次开发等技术资料”,是为了防范提供商停止维护产品或服务的风险。在产品安全测试方面,标准强调需要通过代码级安全测试,这也是安全左移理念的体现。网络产品和服务风险控制当使用的网络产品和服务存在安全缺陷、漏洞等风险时,应当及时采取措施消除风险隐患,涉及重大风险的,应当按照规定向有关部门报告。规定。从产品和服务的角度,主要强调主动消除安全隐患和报告重大风险,就是加强漏洞治理。为什么要关注供应链的安全近年来,海外国家的基础设施频频受到攻击。典型事件包括:2020年5月,委内瑞拉国家电网主干线遭到攻击,造成全国大面积停电。2020年6月,一家美国核武器承包商遭到迷宫袭击。勒索软件攻击,敏感数据泄露2021年5月,美国最大的石油产品管道运营商ColonialPipeline遭到勒索软件攻击,导致5,500英里的输油管道中断。公民信息泄露和大量此类事件都是由不安全的供应链造成的。由于当前开源软件的繁荣发展,在关键基础设施的开发中引入开源软件是必然的;同时,大量服务依赖于外部供应商,因此以solarwinds、log4j等事件为代表的供应链风险可视为头号威胁,其安全管理要求必须在标准中明确说明。近年来,很多国家也意识到关键基础设施供应链安全的重要性,出台了很多法规和标准,包括:2021年2月,拜登签署第14017号行政命令《确保美国供应链安全》,随后商务部安全部又发布《支持美国信息和通信技术行业的关键供应链评估》报告,提出加强ICT基础设施供应链韧性的8项建议加强基础设施供应链安全防护今年9月,美国国家安全局(NSA)和网络安全局(Cyber??security和基础设施安全局(CISA)发布了确保软件供应链安全的指南,从开发人员的角度提供了相应的实践标准,10月发布了供应商实用指南。因此,在当前复杂的形势下,关键基础设施的供应链安全和标准的出台是非常必要的。关键信息基础设施如何保障供应链安全?从实践来看,引入供应链风险的场景主要包括:自研产品中涉及的开源供应链采购外包的各种对外提供的产品和服务对于自研网络产品的关键安全实践。网络产品研发包括:建立研发过程的供应链安全管理机制。在设计阶段,需要开始评估将引入的供应链安全风险,风险识别和解决阶段应尽早进行。安全风险的评估和应对贯穿于产品开发的整个生命周期。BOM/SBOM(BillofMaterials)准确识别和动态管控建立产品开发安全基线,包括双因素验证、完整性验证等持续通过智能监控供应链风险,响应对外提供的网络产品和服务对于对外提供的产品和服务,首先要对供应商进行评估,通过资质背景、服务能力、安全建设实践、响应能力等方面建立安全准入标准,对供应商进行持续管理。其次,对于提供的产品,供应商应提供BOM/SBOM信息,检测产品漏洞和知识产权风险。除了自身监控风险情报外,还应要求供应商提供相应的漏洞情报和响应能力。软件供应链安全治理解决方案针对软件供应链安全,墨菲安全认为其企业安全治理框架如下:首先,需要建立包括制度、流程、规范在内的管理体系。软件供应链中需要管控的对象包括log4j等开源组件,nginx等开源应用软件,以及包括商业软件在内的闭源软件。需要管理的风险包括漏洞攻击、供应中断和侵犯知识产权。关键控制点包括:导入前预防:供应链准入管理、风险早期发现、卡位机制建立、导入中处置:导入时检测、发现风险修复、持续管理运营、监控引入后监控处置:持续的风险情报监控,以及止损追溯的响应动作为了满足这些管控的需要,墨菲安全依托软件供应链安全管理平台,提供源头安全网关、软件组件分析、合规管理产品、容器安全检测产品、0day漏洞情报服务。源安全网关产品:不仅可以对内部私有源组件进行访问评估,还可以通过黑白名单策略控制组件的引入,控制引入阶段的风险软件组件分析:可以为不同形态的软件提供准确的信息产品SBOM信息、深度漏洞检测能力、低成本修复工具合规管理产品:主要识别开源license,提供常见风险描述及相应的管理能力容器安全检测产品:可以检测容器镜像系统环境中的软件,检测业务应用和安全风险0day情报预警:除了时效性强、领域丰富的公开漏洞情报外,还提供自挖的非公开漏洞情报数据。这背后是我们不断迭代的专业漏洞知识库和软件知识库,以及作为数据和能力支撑的检测引擎。参考链接http://www.npc.gov.cn/npc/c30...http://www.gov.cn/zhengce/con...http://www.gov.cn/zhengce/202。..https://www.nist.gov/system/f...https://openstd.samr.gov.cn/b...关于墨菲安全墨菲安全是专业的软件提供商,为您提供A链安全管理科技公司,能力包括代码安全检测、开源组件许可合规管理、云原生容器安全检测、软件组件分析(SCA)等,丰富的安全工具助您构建完整的软件开发安全能力(DevSecOps)。其安全研究团队墨菲安全实验室专注于软件供应链安全领域的技术研究。关注方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。公司核心团队来自百度、华为等公司,拥有十余年企业安全建设经验,安全产品开发、安全攻防。产品官网:https://murphysec.com开源地址:https://github.com/murphysec...
