ICT 供应链的网络安全威胁不容小觑

　　目前ICT供应链的网络安全风险不断攀升。潜藏安全缺陷的开源代码被广泛使用，针对ICT供应链薄弱环节的网络攻击不断增加，合作第三方供应商引发的网络安全事件层出不穷。赛迪智库网络安全研究所认为，ICT供应链薄弱环节是网络安全的防控重点，应从四个方面着手：针对关键软硬件产品开展安全审查，管控供应链网络安全风险；统筹推进开源代码安全检测工作，提升对ICT供应链安全威胁的检测能力；督促供应商营造安全的供应环境，强化对ICT供应链网络安全威胁的源头 管控；引导用户企业加强安全管理，补齐ICT供应链管理短板。

　　信息通信技术（ICT）供应链包括硬件供应链和软件供应链，通常涵盖了采购、开发、外包、集成、交付、使用和服务等环节。近年来，随着新一代信息技术及相关产业的爆发式增长，ICT供应链面临的网络安全风险不断攀升。潜藏安全缺陷的开源代码应用逐渐普及，针对软件供应链的网络攻击持續增加，合作第三方供应商引发的网络安全事件层出不穷。深入分析ICT供应链面临的网络安全风险，针对我国ICT供应链存在的诸多安全薄弱环节提出有效的应对措施，是防范网络安全风险的关键环节和重要手段。

　　ICT 供应链面临的网络安全挑战日益严峻

　　开源软件应用数量大幅增长，潜藏的代码安全缺陷对ICT供应链的影响不容忽视。开源软件具有开放、共享、自由等特性，已逐步成为软件开发的核心基础设施、软件供应链的重要组成部分。Sonatype报告显示，2017年，独立的Java开源组件数量由年初的200万增加至年末的 350万，JavaScript开源组件数量由300万增加至550万，Python组件数量由87万增加至140万。Gartner调查显示，99%的组织在其IT系统中使用了开源组件。美国 Forrester Research的研究表明，2017年应用软件80%～90%的代码来自开源组件。伴随着开源代码应用数量的增长，开源代码安全缺陷密度一直居高不下。据NVD统计，截至2017年2月，全球开源软件相关已知安全漏洞已超过28000个。Synopsys公司发布的《2018年开源代码安全和风险分析》显示，78%的开源代码库至少包含一个漏洞，平均每个代码库有64个漏洞。考虑到开源代码的普遍使用，一旦其安全缺陷被不法分子恶意使用，势必会造成广泛、严重的安全影响。

　　软件供应链攻击成本小、门槛低、危害广，已逐步成为 ICT供应链安全的重要威胁。近年来，针对软件供应链的网络攻击日渐增多，攻击深度和广度不断延伸，已遍布软件开发、交付和使用等上中下游各环节，影响用户量级从十万到上千万不等。在软件开发环节，针对源代码、开发工具的网络攻击渗透性强，识别、检测难度大，影响范围广。2017 年 8 月，NetSarang的远程终端Xshell被植入后门代码，官方版本也受到影响，导致近十万用户中招。2015年9月，苹果集成开发工具 Xcode被注入病毒Xcode Ghost，导致超过4000个不同版本的苹果应用被感染，上亿苹果手机用户受到影响。在软件交付环节，针对网络下载、厂商预装和ROM 内置等重要渠道实施攻击，具有低投入、高回报等特点。众多未授权的第三方下载站点、云服务、共享资源、破解盗版软件等灰色软件供应链，极易被植入恶意代码，成为网络攻击的发起点和扩散源。应用商店等正规渠道审核不严，也往往会成为恶意软件肆意传播的“帮凶”。

　　合作第三方成为影响 ICT供应链网络安全的新变量，由其引发的网络安全事件层出不穷。随着数字技术的迅猛发展，供应链的数字化趋势逐渐衍生出“第三方数字合作伙伴”的新角色。它们在带来商业价值的同时，也进一步推高了ICT供应链的网络安全风险。波耐蒙研究所（Ponemon Institute）2018年的调查研究显示，56%的组织机构遭遇过由其供应商造成的网络入侵。在国际方面，2017年 7月，Verizon公司有超过1400万的用户个人资料因第三方供应商NICE Systems云服务器安全配置不当遭到外泄。

　　ICT供应链薄弱环节

　　是网络安全防控重点

　　关键信息基础设施ICT供应链管控体系尚不完善。尽管我国已于2017年6月发布实施了《网络产品和服务安全审查办法（试行）》，明确要求关系国家安全的网络和信息系统采购的重要网络产品和服务应当经过网络安全审查，并将产品及关键部件生产、测试、交付和技术支持过程中的供应链安全风险作为重点审查内容，还推动开展了云计算服务网络安全审查。但金融、电信等重点领域的网络安全审查仍处于起步阶段，相关配套标准仍需完善，ICT 供应链网络安全管控能力有待提升。

　　针对开源代码的安全检测有待加强。我国对开源代码安全性的重视程度不够。早在 2006 年，美国国土安全部就资助Coverity 公司开展“开源软件代码测试计划”，对大量开源软件进行安全隐患筛查；2013 年，美国国防部 DARPA 又启动VET 项目，对商用信息技术软硬件、固件进行审查，检测其是否存在隐蔽行为。尽管我国阿里、360 等企业也积极推进软件供应链安全大赛、开展开源代码安全检测，但国家层面还缺乏统筹谋划，对开源代码的安全检测未成体系。此外，我国恶意代码检测、漏洞分析、协议分析等技术能力严重不足，致使软硬件中的安全缺陷难以被及时发现。

　　企业ICT供应链安全管理存在漏洞。一是企业ICT供应链管理制度尚不完备，缺乏针对软硬件交付和更新等重要环节的管控措施。二是企业ICT供应链透明度不高，供应链安全评估缺失，难以依据安全风险划分供应商的安全等级，进行有针对性的管理。三是企业对第三方供应商的管控不够，难以有效落实约束第三方供应商的各项要求。四是部分企业的开源代码管理机制尚不健全，在软件开发过程中，随意使用开源组件的现象屡见不鲜，管理者甚至程序员都无法列出完整的开源组件使用列表，给 ICT供应链安全带来极大风险。

　　ICT供应链薄弱环节

　　应对策略

　　针对关键软硬件产品开展安全审查，管控 ICT 供应链安全风险。一是统筹协调金融、电信、交通等行业主管部门，尽快启动针对关键软硬件产品的网络安全审查工作，对进入我国重要行业、领域的关键软硬件产品进行网络安全审查，将产品研发、测试、交付和技术支持过程中的供应链安全风险作为审查重点，强制提高我国 ICT 供应链的透明度。二是尽快制定出台网络安全审查、评估配套方面的标准规范，加快推广实施 ICT供应链安全风险管理指南、信息技术产品安全可控评价指标系列国家标准，为开展网络安全审查提供支撑。

　　统筹推进开源代码安全检测工作，提升对 ICT 供应链安全威胁的检测能力。一是充分利用国家网络空间安全重大科技项目和网络空间安全重点专项，加大对漏洞挖掘、大数据分析等网络安全核心技术的支持力度，着力提升恶意代码检测、漏洞分析、协议分析等技术水平，不断提高软硬件产品安全缺陷发现能力。二是指导组织研究机构、安全企业开展形式多样的开源代码安全检测服务和竞赛，鼓励企业采用通过安全检测的开源代码，整体提升软硬件产品安全性。三是督促企业制定开源管理策略，明确使用开源软件的基本原则，制定开源软件管理方法，采用工具核查等方式，检测并清晰记录软件开发过程中使用的开源代码，及时规避开源代码的许可证合规风险和安全漏洞风险。

　　督促供应商营造安全供应环境，强化对 ICT 供應链网络安全威胁的源头管控。一是要求供应商建立健全产品开发生命周期安全管理制度，强化产品需求分析、功能设计、开发实施、测试验证和上线发布等环节的质量和安全把控。二是要求供应商定期对产品进行功能和安全性测试，及时掌握并消减产品的安全风险。建立安全事件响应机制，及时处理用户反馈的安全事件。三是推动组织开展针对性的网络安全教育培训，强化员工网络安全意识。

　　引导用户企业加强安全管理，补齐 ICT 供应链管理短板。一是推动企业按照“ICT 供应链安全风险管理指南”等国家标准，建立和完善供应链安全管理制度，规范企业在软硬件产品采购、使用、更新等重点环节的安全要求。二是引导企业建立供应商审核制度，从行业资质、技术能力、产品质量、生产环境、网络安全保障能力等多个角度，对供应商进行安全评估，量化供应商的安全级别，采取有针对性的管理措施。对供应商进行持续的监督管理，及时清退不符合要求的供应商，以规范和保障 ICT 供应链安全。三是加强对合作第三方的安全管理，通过合同等方式明确双方的安全责任。鼓励企业对所有合作第三方的安全和隐私策略进行评估。要求合作第三方定期进行自评估，并及时反馈评估结果。四是加强员工网络安全培训，推动提升企业内部人员安全意识，建立安全操作及运维管理制度，降低违规及异常操作带来的风险。

　　王超