摘要
隨著“震網(wǎng)”“NotPetya”“心臟滴血”“太陽風(fēng)”等攻擊事件的相繼發(fā)生,軟件供應(yīng)鏈安全引起各國高度關(guān)注,而國家間競爭、地區(qū)沖突和全球性疫情等多種不利因素更加劇了對軟件供應(yīng)鏈安全生態(tài)的沖擊,也對裝備軟件供應(yīng)鏈安全提出嚴(yán)峻挑戰(zhàn)。首先,從軟件供應(yīng)鏈全鏈條安全、軟件源頭把控、開源代碼使用安全、軟件供應(yīng)鏈管控體系等幾個方面入手,分析裝備軟件供應(yīng)鏈面臨的網(wǎng)絡(luò)安全形勢和安全風(fēng)險。然后,從形成裝備軟件供應(yīng)鏈的安全標(biāo)準(zhǔn)體系、安全監(jiān)管體系、安全測評體系和安全技術(shù)體系等角度,提出相應(yīng)對策措施,為裝備軟件供應(yīng)鏈安全提供支持。
所謂裝備供應(yīng)鏈,可以理解為與裝備相關(guān)的軟硬件產(chǎn)品及服務(wù),或裝備在生產(chǎn)、流通、使用、維護(hù)更新等全生命周期內(nèi),涉及的裝備研制單位或生產(chǎn)單位、第三方設(shè)備(包括軟硬件)提供者或生產(chǎn)者以及最終用戶等,通過與上游、下游組織連接而成的網(wǎng)鏈結(jié)構(gòu) 。軟件作為裝備的重要組成部分,在其功能實(shí)現(xiàn)上起到關(guān)鍵作用。軟件供應(yīng)鏈可以理解為通過一級或多級設(shè)計(jì)、開發(fā)階段編寫軟件,并通過軟件交付渠道將軟件從供應(yīng)商送往用戶的系統(tǒng) 。無論是自主研發(fā)軟件、現(xiàn)貨類軟件,還是定制開發(fā)軟件,其供應(yīng)鏈生命周期通常包括原始組件、集成組件、軟件產(chǎn)品和產(chǎn)品運(yùn)營 4 個環(huán)節(jié),其中軟件產(chǎn)品和產(chǎn)品運(yùn)營環(huán)節(jié)涵蓋軟件生命周期 。軟件供應(yīng)鏈安全是軟件生產(chǎn)整個過程中所有安全問題的總和,包括軟件設(shè)計(jì)與開發(fā)的各個階段,涵蓋編碼過程、工具、設(shè)備、供應(yīng)商以及最終交付渠道等。
針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊,常常利用系統(tǒng)固有安全漏洞,或者預(yù)置的軟件后門開展攻擊活動,并通過軟件供應(yīng)鏈形成的網(wǎng)鏈結(jié)構(gòu)將攻擊效果向下游傳播給供應(yīng)鏈中所有參與者(包括最終用戶)。近年來,軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊事件頻發(fā),影響越來越大。據(jù) Accenture 公司調(diào)查,2016 年 60% 以上的網(wǎng)絡(luò)攻擊是供應(yīng)鏈攻擊。典型的軟件供應(yīng)鏈攻擊事件包括:2010 年發(fā)生的“震網(wǎng)(Stuxnet)”病毒事件 ,是美國、以色列針對伊朗核設(shè)施發(fā)動的網(wǎng)絡(luò)攻擊,直接遲滯伊朗核計(jì)劃數(shù)年之久,“震網(wǎng)”病毒利用 Windows系 統(tǒng) 和 西 門 子 SIMATIC WinCC 系 統(tǒng) 的 多 個 漏洞;2014 年發(fā)生的“心臟滴血(HeartBleed)”漏洞事件 ,是由于基于安全套接字層 / 傳輸層安全協(xié)議(Secure Socket Layer/Transport Layer Security,SSL/TLS)的軟件和網(wǎng)絡(luò)服務(wù)廣泛使用存在漏洞的開源軟件包,從而感染了軟件和服務(wù)開發(fā)上游代碼和模塊,并沿著軟件供應(yīng)鏈對其下游造成了巨大傷害;2017 年發(fā)生的 NotPetya勒索病毒事件 ,與 WannaCry 利用的漏洞相同,黑客對含有“永恒之藍(lán)(EternalBlue)”漏洞的軟件更新發(fā)起攻擊,導(dǎo)致俄羅斯、烏克蘭等十多個國家的能源、交通、銀行、醫(yī)院、國家機(jī)構(gòu)及跨國企業(yè)受到影響,損失達(dá)上百億美元;2020 年底發(fā)生的“太陽風(fēng)”事件 ,黑客組織利用 SolarWinds 公司銷售的數(shù)據(jù)管理軟件的軟件更新過程中存在的安全漏洞,對包括美國在內(nèi)的幾十個國家的政府及非政府組織發(fā)起網(wǎng)絡(luò)攻擊。這些攻擊事件對各國軟件供應(yīng)鏈安全敲響了警鐘,也為我國軟件供應(yīng)鏈網(wǎng)絡(luò)安全發(fā)出了警示。
隨著信息化的深入發(fā)展,大數(shù)據(jù)、云計(jì)算和人工智能等新技術(shù)在裝備中的應(yīng)用越來越廣泛,裝備信息化、網(wǎng)絡(luò)化、數(shù)字化、智能化程度越來越高,這在提升武器裝備作戰(zhàn)效能的同時,也使其面臨巨大的威脅,而供應(yīng)鏈攻擊是最重要的網(wǎng)絡(luò)攻擊形式之一,已經(jīng)嚴(yán)重威脅到裝備網(wǎng)絡(luò)安全。近年來,一方面由于新冠肺炎疫情、中美關(guān)系不斷惡化、俄烏沖突升級、全球經(jīng)濟(jì)動蕩不斷的形勢,對全球供應(yīng)鏈造成極大破壞,同時也對裝備供應(yīng)鏈安全造成嚴(yán)重沖擊;另一方面隨著開源代碼、第三方組件 / 軟件在裝備中廣泛應(yīng)用,與之相關(guān)的所有安全漏洞也與裝備軟件共生,裝備軟件供應(yīng)鏈遭受網(wǎng)絡(luò)攻擊的可能性愈發(fā)增加,對裝備安全造成日益嚴(yán)重的影響。裝備軟件供應(yīng)鏈安全事關(guān)國家安全、軍隊(duì)安全,一旦出現(xiàn)安全風(fēng)險將會給國家和軍隊(duì)帶來重大安全挑戰(zhàn),產(chǎn)生的后果不堪設(shè)想。
國內(nèi)外針對工業(yè)互聯(lián)網(wǎng) 、信息通信技術(shù)(Information Communications Technology,ICT)等領(lǐng)域的供應(yīng)鏈安全,以及軟件供應(yīng)鏈安全 進(jìn)行了研究,提出了各自的解決方案。不過,由于裝備軟件保密性、穩(wěn)定性、可靠性要求高,且軟件更新升級難度較大,而國內(nèi)對該領(lǐng)域研究較少,亟須加強(qiáng)裝備軟件供應(yīng)鏈安全研究。為此,厘清裝備軟件供應(yīng)鏈面臨的安全形勢和安全風(fēng)險,并在此基礎(chǔ)上有針對性地構(gòu)建完善的裝備軟件供應(yīng)鏈安全體系和制定積極有效的應(yīng)對策略,對于營造裝備軟件供應(yīng)鏈良好的生態(tài)環(huán)境,更好地推動裝備健康發(fā)展,具有十分重要的意義。
1 裝備軟件供應(yīng)鏈面臨的安全形勢和安全風(fēng)險
近年來,由于西方國家利用技術(shù)優(yōu)勢在重要進(jìn)口軟件中暗埋后門、裝備軟件大量使用未經(jīng)充分安全測評的開源代碼和第三方組件 / 軟件等因素,軟件供應(yīng)鏈的各個環(huán)節(jié)均可成為攻擊者的切入點(diǎn),且軟件供應(yīng)鏈攻擊成本低、回報(bào)高、檢測難,從而導(dǎo)致軟件供應(yīng)鏈遭到破壞引發(fā)的網(wǎng)絡(luò)安全事件數(shù)量不斷上升,我國裝備軟件供應(yīng)鏈安全風(fēng)險急劇增加,面臨的安全形勢異常嚴(yán)峻。
1.1裝備軟件供應(yīng)鏈所有環(huán)節(jié)均有被網(wǎng)絡(luò)攻擊的風(fēng)險
裝備軟件供應(yīng)鏈安全涉及的角色和環(huán)節(jié)多、流程鏈條較長。以裝備定制開發(fā)軟件為例,除裝備承研單位作為主要軟件供方角色外,還有許多不受采購用戶控制的其他軟件開發(fā)者、軟件供應(yīng)商(如提供裝備仿真軟件)等第三方角色,從而擴(kuò)大了潛在攻擊面,使得軟件供應(yīng)鏈各個環(huán)節(jié)及其脆弱點(diǎn)都可能成為攻擊者的切入點(diǎn)和目標(biāo),增加了裝備軟件不可控的安全風(fēng)險,給裝備軟件埋下安全隱患??梢哉f,除軟件供應(yīng)鏈的原始組件和集成組件環(huán)節(jié)給裝備軟件帶來安全問題外,在軟件定義、軟件開發(fā)、交付部署、運(yùn)行維護(hù)等軟件全生命周期的各個環(huán)節(jié)均可能引入安全隱患,導(dǎo)致出現(xiàn)軟件漏洞、軟件后門、惡意篡改、假冒偽劣、知識產(chǎn)權(quán)風(fēng)險、供應(yīng)中斷、信息泄露等安全風(fēng)險 ,如圖 1 所示。
圖 1軟件全生命周期各環(huán)節(jié)潛在的安全風(fēng)險
1.2西方軍事強(qiáng)國通過技術(shù)壟斷威脅我國裝備軟件安全
美國等軍事強(qiáng)國依托技術(shù)壟斷地位,政企勾結(jié)預(yù)置軟件后門,嚴(yán)重威脅我國軟件安全,極大推高了裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險。雖然我國在國防軍工等領(lǐng)域大力推行國產(chǎn)化措施并取得一定成效,但裝備研發(fā)生產(chǎn)領(lǐng)域許多高端軟硬件設(shè)備還依賴國外進(jìn)口,特別是 ICT 領(lǐng)域大量使用國外軟硬件(如裝備仿真設(shè)計(jì)軟件等)產(chǎn)品極易被暗埋軟件后門,使用不安全的仿真設(shè)計(jì)軟件極易將安全風(fēng)險引入其設(shè)計(jì)的各種裝備軟件中,很難從源頭把控裝備軟件安全風(fēng)險 。從近年來相繼曝光的安全事件(如“棱鏡門”事件 中可以發(fā)現(xiàn),美國政府依托其在 IT 領(lǐng)域的技術(shù)與市場優(yōu)勢,強(qiáng)化與思科、微軟、谷歌、英特爾等科技公司的合作,在這些公司研發(fā)、銷售的相關(guān)軟硬件產(chǎn)品中預(yù)置后門,對我國及其他主要國家(甚至是其盟友)進(jìn)行全方位監(jiān)控,竊取政治、經(jīng)濟(jì)、軍事等重要信息,以達(dá)到繼續(xù)維持其霸權(quán)地位的目的。比如,思科公司多款主流路由器的虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)隧道通信和加密模塊中,被發(fā)現(xiàn)存在暗埋的“后門”,美國政府能夠輕而易舉地獲取密鑰等核心敏感數(shù)據(jù),并實(shí)現(xiàn)信息監(jiān)控 ;美國 RSA 信息安全公司與美國國家安全局(National Security Agency,NSA)達(dá)成協(xié)議,用其安全軟件的優(yōu)先或默認(rèn)隨機(jī)數(shù)生成算法替代雙橢圓曲線算法,通過預(yù)置的“后門”,NSA 能夠輕松破解各種加密數(shù)據(jù) ;2022 年 2月 23 日,北京奇安盤古實(shí)驗(yàn)室披露了來自美國的后門——“電幕行動”(Bvp47),該后門由NSA 的黑客組織“方程式”制造,可以攻擊多數(shù) Linux 發(fā)行版、Solaris、SUN 等操作系統(tǒng),入侵成功后將在網(wǎng)絡(luò)空間里暢通無阻,能夠隱秘控制受害組織網(wǎng)絡(luò)并輕而易舉地獲取數(shù)據(jù)。
1.3開源代碼的廣泛應(yīng)用極易引入新的裝備軟件供應(yīng)鏈安全風(fēng)險
開源代碼開放靈活、應(yīng)用廣泛,在軟件開發(fā)中起著非常重要的作用,已成為軟件供應(yīng)鏈的重要環(huán)節(jié),是軟件生態(tài)不可或缺的組成部分。根據(jù) WhiteSource 發(fā)布的 2020 年度《開源漏洞管理現(xiàn)狀》,除非企業(yè)政策要求禁止使用外,96.8% 的開發(fā)人員依賴于開源軟件;此外,據(jù)奇安信代碼安全實(shí)驗(yàn)室分析,在所調(diào)查的國內(nèi)軟件項(xiàng)目中,幾乎全部使用了開源代碼,而有的項(xiàng)目最多使用了約 3 878 個開源軟件,且項(xiàng)目中使用的開源軟件數(shù)量大大超出了軟件項(xiàng)目管理者和程序員自身的認(rèn)知 。為了提高開發(fā)效率并降低開發(fā)成本,裝備軟件中使用的開源軟件比例呈逐年上升趨勢。比如,裝備中采用的國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)軟件及大量應(yīng)用軟件都使用了開源代碼。不過,開源代碼中存在大量安全漏洞。據(jù)統(tǒng)計(jì),截至 2020 年年底,通用漏洞披露(Common Vulnerabilities & Exposures,CVE)、美國國家計(jì)算機(jī)通用漏洞數(shù)據(jù)庫(National Vulnerability Database,NVD)、中國國家信息安全 漏 洞 庫(China National Vulnerability Database of Information Security,CNNVD)、國家信息安全 漏 洞 共 享 平 臺(China National Vulnerability Database,CNVD)等公開漏洞庫中共收錄開源軟件相關(guān)漏洞 41 342 個,其中 2020 年度新增漏洞 5 366 個,而歷史漏洞排名第一的大型開源項(xiàng)目 Linux Kernel 漏洞總數(shù)達(dá)到 4 139 個 。在軟件產(chǎn)品國產(chǎn)化要求下,我國對包括開源 Linux 內(nèi)核等在內(nèi)的開源代碼進(jìn)行了消化吸收,發(fā)布了相關(guān)軟件產(chǎn)品并得到大力推廣,在武器裝備制造領(lǐng)域也得到廣泛應(yīng)用。不過由于各種原因,還很難發(fā)現(xiàn)潛藏其中的安全漏洞或“后門”,難以準(zhǔn)確評估這些重要國產(chǎn)軟件存在的安全風(fēng)險,而開源軟件中存在的安全漏洞,也會延續(xù)到裝備軟件中,嚴(yán)重威脅裝備的安全使用及其作戰(zhàn)適應(yīng)性。
此外,近年來針對開源軟件的網(wǎng)絡(luò)攻擊持續(xù)走高。Sonatype 調(diào)查顯示,通過滲透開源代碼,并將后門植入軟件產(chǎn)品,所引發(fā)的軟件供應(yīng)鏈攻擊比上一年度增長了近 430%[17]。一旦裝備軟件中使用的開源代碼存在安全漏洞,很容易被不法分子利用,勢必對裝備使用造成嚴(yán)重后果。
1.4裝備軟件供應(yīng)鏈管控與安全測評能力不足導(dǎo)致存在較大安全管理風(fēng)險
伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊事件表明,與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)和系統(tǒng)也不是絕對安全的,同樣,武器裝備網(wǎng)絡(luò)也存在類似問題,攻擊者除從內(nèi)部發(fā)起攻擊外,還可以通過軟件供應(yīng)鏈活動滲透裝備網(wǎng)絡(luò),比如軟件更新 / 升級服務(wù)、裝備軟件維護(hù)服務(wù)等活動。而黑客常常利用軟件供應(yīng)鏈中各方建立的信任機(jī)制發(fā)起攻擊,如用戶與軟件產(chǎn)品提供者之間的信任關(guān)系、設(shè)備之間受用戶信任的通信鏈路等。一旦軟件供應(yīng)鏈某個環(huán)節(jié)(如軟件更新升級或維護(hù)等)被攻陷,黑客就能輕易攻擊該環(huán)節(jié)的所有下游用戶。
由于裝備軟件穩(wěn)定性、安全性要求高,且在裝備操作使用中很少有專職的網(wǎng)絡(luò)安全人員參與,從而在使用與運(yùn)維時很容易引入安全風(fēng)險,因此,在裝備交付部隊(duì)使用之前開展充分的網(wǎng)絡(luò)安全測試,并對裝備軟件供應(yīng)鏈安全風(fēng)險進(jìn)行有效管控是非常必要的。不幸的是,大多數(shù)裝備采購方(或需方)和供方(如裝備承研單位、供應(yīng)商等)并沒有對裝備軟件供應(yīng)鏈進(jìn)行有效管控。
一是裝備軟件供應(yīng)鏈安全的軍用標(biāo)準(zhǔn)尚未建立,安全管控體系不健全。我國相繼出臺了《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》、GB/T 36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險管理指南》等法規(guī)標(biāo)準(zhǔn),且與軟件供應(yīng)鏈安全強(qiáng)相關(guān)的標(biāo)準(zhǔn)《信息安全技術(shù) 軟件供應(yīng)鏈安全要求》也將正式發(fā)布 ,這些標(biāo)準(zhǔn)為軟件供應(yīng)鏈安全管理提供了有效指導(dǎo)。與裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全管控和風(fēng)險管理有關(guān)的軍用法規(guī)標(biāo)準(zhǔn)尚未建立,軟件供應(yīng)鏈網(wǎng)絡(luò)安全測評規(guī)范缺乏,安全測評體系還未形成,裝備采購方和承研單位軟件供應(yīng)鏈的管理制度和監(jiān)管機(jī)制尚不完備,安全管控的連續(xù)性與持久性(由裝備采購方延伸至承研單位及更遠(yuǎn))還不夠,尤其缺乏針對軟件交付、更新升級等重要環(huán)節(jié)的安全管控措施。
二是裝備軟件在交付前沒有進(jìn)行充分的網(wǎng)絡(luò)安全測試,裝備網(wǎng)絡(luò)安全底數(shù)不清。雖然試驗(yàn)主管部門對裝備網(wǎng)絡(luò)安全測試進(jìn)行了要求,但仍處于起步階段,且對軟件供應(yīng)鏈安全測試還缺乏明確要求。由于缺乏標(biāo)準(zhǔn)化的軟件供應(yīng)鏈安全測評方法,裝備軟件在交付前通常只進(jìn)行軟件測評,并沒有開展網(wǎng)絡(luò)安全測評,更沒有針對其供應(yīng)鏈進(jìn)行安全測評,難以盡早發(fā)現(xiàn)并消除軟件中潛在的安全隱患。在要求裝備軟件國產(chǎn)化的同時,卻對其中的開源代碼安全管控不夠重視,造成開源代碼隨意使用而不進(jìn)行安全評估。此外,由于裝備承研等單位軟件安全測評能力不夠,尤其是在惡意代碼檢測、漏洞挖掘分析、協(xié)議逆向工程等技術(shù)能力方面存在嚴(yán)重不足,難以對裝備軟件中的開源代碼進(jìn)行嚴(yán)格安全測試。
三是對國外軟件安全審查不嚴(yán)格。雖然我國頒布了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》,重點(diǎn)審查軟件產(chǎn)品研發(fā)、測試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險,但在 ICT等重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全審查尚處于起步階段,并且較少涉及我軍所采購的仿真設(shè)計(jì)軟件、程序開發(fā)工具等國外軟件產(chǎn)品及其衍生產(chǎn)品,對國外軟件供應(yīng)鏈的網(wǎng)絡(luò)安全審查與評估等配套標(biāo)準(zhǔn)需進(jìn)一步完善。
2 裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全對策
建立和完善裝備軟件供應(yīng)鏈的安全標(biāo)準(zhǔn)體系、安全監(jiān)管體系、安全測評體系和安全技術(shù)體系,是應(yīng)對裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險的有效舉措。
2.1完善裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系,加強(qiáng)軟件安全風(fēng)險管理
一是加快制定裝備軟件供應(yīng)鏈安全管理的軍用標(biāo)準(zhǔn)規(guī)范。充分借鑒《信息安全技術(shù) 軟件 供 應(yīng) 鏈 安 全 要 求( 征 求 意 見 稿)》、GB/T36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險管理指南》《信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求(征求意見稿)》、行業(yè)標(biāo)準(zhǔn)《網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求》等國家和行業(yè)相關(guān)供應(yīng)鏈安全標(biāo)準(zhǔn),以及涉及軟件供應(yīng)鏈安全內(nèi)容的相關(guān)信息安全標(biāo)準(zhǔn),制定裝備軟件供應(yīng)鏈安全管理、風(fēng)險管理等標(biāo)準(zhǔn),規(guī)范裝備軟件供應(yīng)鏈的組織管理(如機(jī)構(gòu)管理、制度管理、人員管理、供應(yīng)商管理、知識產(chǎn)權(quán)管理等)和供應(yīng)活動管理(如軟件采購、外部組件使用、軟件交付、軟件運(yùn)維、軟件廢止等),指導(dǎo)裝備軟件采購方、承研單位、供應(yīng)商和服務(wù)商等供應(yīng)鏈各個角色制定本級軟件供應(yīng)鏈安全管理制度和措施,確保裝備軟件供應(yīng)鏈各個環(huán)節(jié)均安全可控。
二是建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測評標(biāo)準(zhǔn)規(guī)范。在相關(guān)信息安全測評標(biāo)準(zhǔn)基礎(chǔ)上,結(jié)合裝備軟件網(wǎng)絡(luò)安全實(shí)際,補(bǔ)充完善裝備軟件供應(yīng)鏈安全測評要求和測評方法,并針對不同業(yè)務(wù)領(lǐng)域、不同供應(yīng)鏈活動環(huán)節(jié)制定相應(yīng)的軟件供應(yīng)鏈安全測評標(biāo)準(zhǔn)和測評方法。與國家網(wǎng)絡(luò)安全審查法等法規(guī)配合,從而形成“通專結(jié)合”的裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測評標(biāo)準(zhǔn)體系,為裝備軟件安全測評提供支持。
三是完善裝備安全管理法規(guī)制度,實(shí)施軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險管理。裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全與其各環(huán)節(jié)中的人員、工具、環(huán)境等因素密切相關(guān),網(wǎng)絡(luò)安全風(fēng)險可能由各環(huán)節(jié)中任一因素引入。因此,需要借鑒 GB/T 36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險管理指南》、ISO 28000《供應(yīng)鏈安全管理體系》和ISO/IEC 27005《信息安全技術(shù) 風(fēng)險管理》等相關(guān)風(fēng)險管理標(biāo)準(zhǔn),制定裝備軟件供應(yīng)鏈安全管理制度,對裝備采購、研制、測試、交付、部署、運(yùn)行、維護(hù)等過程中的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行監(jiān)管和控制。同時對裝備及其中的軟硬件產(chǎn)品實(shí)施風(fēng)險管理,摸清裝備軟件供應(yīng)鏈中面臨的安全威脅和脆弱性,采取有效應(yīng)對措施,將裝備軟件供應(yīng)鏈安全風(fēng)險降至最低,做到風(fēng)險可控。
2.2建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全監(jiān)管體系,實(shí)施軟件全方位安全管控
一是建立裝備軟件供應(yīng)鏈安全監(jiān)管體制機(jī)制,對各方實(shí)施監(jiān)管。在裝備研制或采購過程中,裝備采購方需要對裝備承研單位、供應(yīng)商等相關(guān)供方單位進(jìn)行充分調(diào)研、審查與監(jiān)管。在資質(zhì)要求方面,裝備承研方應(yīng)具備安全保密資質(zhì)等,對于軟件供應(yīng)鏈上的供應(yīng)商需要提供證明其軟件安全開發(fā)能力的企業(yè)級資質(zhì),并要求其在軟件安全開發(fā)的過程管理、質(zhì)量管理、配置管理、人員能力等方面提供證明,以證明其有能力把安全融入軟件開發(fā)全過程。在質(zhì)量管理及安全開發(fā)標(biāo)準(zhǔn)規(guī)范方面,要求承研單位、參與單位或供應(yīng)商提供質(zhì)量管理體系認(rèn)證證明,對于軟件供應(yīng)鏈上的供應(yīng)商,需要審查其內(nèi)部軟件安全開發(fā)標(biāo)準(zhǔn)與規(guī)范,能夠?qū)M開發(fā)軟件的不同應(yīng)用場景、不同架構(gòu)設(shè)計(jì)、不同開發(fā)語言進(jìn)行約束和參考。此外,建立裝備采購黑、白名單,實(shí)施獎懲機(jī)制。對于信譽(yù)好、網(wǎng)絡(luò)安全問題少、售后服務(wù)響應(yīng)快的供應(yīng)商或軟硬件產(chǎn)品,將其納入白名單;對于信譽(yù)差、網(wǎng)絡(luò)安全問題多、售后服務(wù)響應(yīng)慢的供應(yīng)商或軟硬件產(chǎn)品,將其納入黑名單。定期對黑、白名單進(jìn)行更新,并將黑、白名單向全機(jī)構(gòu)公布。
二是落實(shí)裝備軟件供應(yīng)鏈各方主體責(zé)任。按照裝備軟件研制或采購實(shí)際情況,確定軟件產(chǎn)品研制、采購、使用等供應(yīng)鏈流程,分析各個環(huán)節(jié)存在的網(wǎng)絡(luò)安全風(fēng)險活動并對其進(jìn)行約束,嚴(yán)格要求裝備軟件承研單位、供應(yīng)商和服務(wù)商加強(qiáng)自身安全開發(fā)、集成、運(yùn)維的能力,落實(shí)供應(yīng)鏈安全的主體責(zé)任。對于裝備軟件采購方,應(yīng)將網(wǎng)絡(luò)安全人員納入采購小組,參與裝備采購評審全流程,對裝備軟件網(wǎng)絡(luò)安全負(fù)責(zé)。網(wǎng)絡(luò)安全人員應(yīng)熟悉裝備軟件供應(yīng)鏈安全要求等相關(guān)標(biāo)準(zhǔn)規(guī)范,在裝備軟件采購時,需要充分了解裝備采購所有供應(yīng)商 / 研制方信息、產(chǎn)品信息(版本、License、更新 / 升級方式等)、維護(hù)單位與人員信息,以及其他與網(wǎng)絡(luò)安全相關(guān)的信息,建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全檔案,為裝備軟件安全風(fēng)險管理提供技術(shù)支持,并為裝備驗(yàn)收測試中的軟件供應(yīng)鏈安全測評提供支撐。
2.3建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測評體系,加強(qiáng)軟件安全測評能力建設(shè)
一是構(gòu)建全流程裝備軟件供應(yīng)鏈安全評估機(jī)制。建立集法規(guī)政策、管理和技術(shù)為一體的,涵蓋軟件定義、設(shè)計(jì)開發(fā)、交付部署、運(yùn)行維護(hù)等軟件生命周期各環(huán)節(jié)在內(nèi)的全流程軟件供應(yīng)鏈安全評估機(jī)制,并對裝備軟件中使用的開源代碼及其他原始組件和集成組件進(jìn)行測試評估,全面評估裝備軟件供應(yīng)鏈各環(huán)節(jié)的安全風(fēng)險。不斷完善裝備軟件安全測評體系,加強(qiáng)軟件供應(yīng)鏈安全測評技術(shù)研究及相關(guān)安全測評工具研制,形成系統(tǒng)化、標(biāo)準(zhǔn)化的軟件供應(yīng)鏈安全解決方案,不斷促進(jìn)裝備軟件供應(yīng)鏈安全測評工作的落地實(shí)施。
二是加強(qiáng)裝備軟件供應(yīng)鏈安全測評能力建設(shè)。采取“軍民融合、地理分布、邏輯一體”的方式,開展裝備軟件安全測評條件建設(shè),形成裝備軟件安全測評能力體系。在第三方試驗(yàn)機(jī)構(gòu)、裝備研制單位分別建設(shè)軟件安全測評環(huán)境,開展裝備軟件供應(yīng)鏈安全測評工作。軍隊(duì)試驗(yàn)機(jī)構(gòu)可以借助地方優(yōu)勢安全測評、安全審查機(jī)構(gòu)的能力,為裝備軟件供應(yīng)鏈提供安全測評與安全審查服務(wù)。在開源代碼安全測評方面,積極推動安全測評機(jī)構(gòu)、安全企業(yè)開展開源代碼安全檢測服務(wù),要求裝備軟件中使用的開源代碼必須經(jīng)過安全測評,以便有效管控裝備軟件安全風(fēng)險。
三是在推進(jìn)裝備網(wǎng)絡(luò)安全測試的同時要積極開展軟件供應(yīng)鏈安全測評。為了避免和消除裝備軟件中的安全漏洞,盡可能地減輕安全風(fēng)險,確保裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全,需要在軟件安全測評活動中開展全面的供應(yīng)鏈安全測評,力爭在裝備交付使用前將安全風(fēng)險降至最低,并在裝備軟件全生命周期的各個環(huán)節(jié)持續(xù)開展網(wǎng)絡(luò)安全測試活動。在軟件開發(fā)環(huán)節(jié),采用軟件安全開發(fā)生命周期流程方法,并利用基于靜態(tài)應(yīng)用安全測試、交互式應(yīng)用安全測試和模糊測試技術(shù)的安全開發(fā)工具,開展安全測試。在軟件使用、運(yùn)行維護(hù)等環(huán)節(jié),依據(jù)信息安全相關(guān)標(biāo)準(zhǔn)規(guī)范,實(shí)施安全風(fēng)險管理活動。對裝備軟件中使用的第三方組件和開源代碼,需充分驗(yàn)證測試其網(wǎng)絡(luò)安全性,并采取必要的技術(shù)手段和管理手段,以便確保所使用第三方組件和開源代碼的安全性。
2.4完善裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全技術(shù)體系,加強(qiáng)軟件安全防護(hù)能力建設(shè)
在加強(qiáng)裝備軟件供應(yīng)鏈標(biāo)準(zhǔn)、管控、測評體系能力建設(shè)的同時,還需要從技術(shù)層面防范供應(yīng)鏈安全風(fēng)險,特別需要注重裝備軟件供應(yīng)鏈安全管理知識圖譜等基礎(chǔ)能力、軟件供應(yīng)鏈全鏈條縱深安全防御能力、安全審計(jì)與應(yīng)急響應(yīng)能力等方面的能力建設(shè)。
一是建立裝備安全管理知識庫,構(gòu)建裝備軟件供應(yīng)鏈安全知識圖譜。建立裝備管理基礎(chǔ)庫,廣泛收集裝備中軟件、硬件、數(shù)據(jù)庫、中間件、組件 / 固件、控制器、數(shù)據(jù)總線等與網(wǎng)絡(luò)安全有關(guān)的資產(chǎn)信息,以及各種軟件開發(fā)、運(yùn)行、編譯環(huán)境信息。建立裝備供應(yīng)鏈管理庫,收集裝備軟件及其組件、開發(fā)工具、設(shè)計(jì)軟件等供應(yīng)鏈各環(huán)節(jié)中的信息,如開發(fā)者、參與者、第三方組件 / 軟件供應(yīng)商、服務(wù)商、使用的開源代碼等,要求裝備及其軟硬件供應(yīng)鏈信息均可追溯。建 立 裝 備 網(wǎng) 絡(luò) 安 全 漏 洞 庫, 收 集 來 自 CVE、NVD、CNNVD 及其他漏洞源的安全漏洞。建立裝備威脅情報(bào)庫,幫助安全人員明確單位重要資產(chǎn)的安全狀況,根據(jù)單位自身資產(chǎn)的重要程度和影響面,進(jìn)行相關(guān)的漏洞修復(fù)和風(fēng)險管理。以各類裝備安全管理數(shù)據(jù)庫為基礎(chǔ),利用知識圖譜技術(shù),構(gòu)建裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全知識圖譜,能夠讓安全管理人員提前了解軟件供應(yīng)鏈中潛在的漏洞或缺陷,準(zhǔn)確評估其安全風(fēng)險,及時采取有效安全措施規(guī)避或消減安全風(fēng)險,以便從全局把控裝備軟件供應(yīng)鏈安全的整體態(tài)勢。
二是全面使用網(wǎng)絡(luò)安全技術(shù)和手段,建立縱深防御體系,提升裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全防御能力。裝備軟件供應(yīng)鏈的各個環(huán)節(jié)都有可能成為潛在攻擊面,從而需要對軟件供應(yīng)鏈各環(huán)節(jié)的關(guān)鍵資產(chǎn)、存在的安全漏洞、面臨的安全威脅進(jìn)行全面分析,并采取針對性的網(wǎng)絡(luò)安全技術(shù)手段防御、檢測并響應(yīng)供應(yīng)鏈攻擊。在軟件開發(fā)環(huán)節(jié),對項(xiàng)目中使用的開源代碼、第三方軟件等,利用軟件安全測評、漏洞掃描、漏洞挖掘、滲透測試及惡意代碼識別等技術(shù),發(fā)現(xiàn)其中可能存在的安全漏洞或惡意軟件,并開發(fā)相應(yīng)補(bǔ)丁進(jìn)行安全加固或清除惡意代碼。在交付與更新升級環(huán)節(jié),可以利用網(wǎng)絡(luò)劫持檢測與安全防范、加密驗(yàn)證等技術(shù),以防在交付與更新升級環(huán)節(jié)被劫持。在軟件部署使用和運(yùn)行環(huán)節(jié),可以對裝備系統(tǒng)采用零信任架構(gòu)和內(nèi)生安全思想進(jìn)行安全防護(hù)體系設(shè)計(jì),并應(yīng)用安全態(tài)勢感知、訪問控制、可信密碼及擬態(tài)防御等技術(shù)進(jìn)行主動防御。
三是重視安全審計(jì)與應(yīng)急響應(yīng)能力建設(shè)。網(wǎng)絡(luò)安全審計(jì)有助于系統(tǒng)管理員及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患,對系統(tǒng)網(wǎng)絡(luò)安全起著非常重要的作用?!疤栵L(fēng)”攻擊事件就是由火眼公司(FireEye)審計(jì)人員在審查其內(nèi)部安全日志時發(fā)現(xiàn)端倪的,并最終揭開了整個勒索事件的全貌 。一方面,要加強(qiáng)安全審計(jì)與應(yīng)急響應(yīng)技術(shù)研究和系統(tǒng)建設(shè),針對裝備軟件供應(yīng)鏈各個環(huán)節(jié)提出安全審計(jì)與應(yīng)急響應(yīng)能力要求,部署安全審計(jì)系統(tǒng),形成全鏈條一體的安全審計(jì)與應(yīng)急響應(yīng)聯(lián)動體系。另一方面,要注重安全審計(jì)與應(yīng)急響應(yīng)人才隊(duì)伍建設(shè),加強(qiáng)網(wǎng)絡(luò)安全人才培養(yǎng)與引進(jìn),提升安全審計(jì)、逆向工程、漏洞挖掘分析等各類網(wǎng)絡(luò)安全人員的業(yè)務(wù)能力。
3 結(jié)語
隨著裝備信息化、數(shù)字化、智能化水平的提升,其作戰(zhàn)能力越來越依賴于軟件對其功能的實(shí)現(xiàn),而裝備系統(tǒng)的網(wǎng)絡(luò)安全性在很大程度上取決于系統(tǒng)中使用軟件的安全性,軟件供應(yīng)鏈安全是軟件安全的重要部分。為了確保裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全,應(yīng)盡快建立與我軍裝備軟件供應(yīng)鏈發(fā)展相適應(yīng)的安全標(biāo)準(zhǔn)體系、安全監(jiān)管體系、安全測評體系和安全技術(shù)體系,這是當(dāng)前保障裝備軟件網(wǎng)絡(luò)安全的一項(xiàng)重要工作。
-
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3155瀏覽量
59699 -
智能化
+關(guān)注
關(guān)注
15文章
4869瀏覽量
55343 -
供應(yīng)鏈
+關(guān)注
關(guān)注
3文章
1671瀏覽量
38870
原文標(biāo)題:裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險分析與對策
文章出處:【微信號:CloudBrain-TT,微信公眾號:云腦智庫】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論