GB∕T 36637-2018
基本信息
标准号: GB∕T 36637-2018
中文名称:信息安全技术 ICT供应链安全风险管理指南
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:62296KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36637-2018 信息安全技术 ICT供应链安全风险管理指南
GB∕T36637-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T36637—2018
信息安全技术
ICT供应链安全风险管理指南
Information security technologyGuidelinesfor theinformation andcommunicationtechnologysupplychainriskmanagement2018-10-10发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-05-01实施
规范性引用文件
术语和定义
缩略语
ICT供应链安全风险管理过程
背景分析
风险评估
风险处置
风险监督和检查
风险沟通和记录
ICT供应链安全风险控制措施
技术安全措施
管理安全措施
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
参考文献
ICT供应链概述
ICT供应链安全威胁
ICT供应链安全脆弱性
GB/T36637—2018
本标准按照GB/T1.1—2009给出的规则起草。GB/T36637—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、中国科学院软件研究所、联想(北京)有限公司、华为技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴(北京)软件服务有限公司、北京京东参佰陆拾度电子商务有限公司、中国信息通信研究院、微软(中国)有限公司、浪潮电子信息产业股份有限公司、国家信息技术安全研究中心、英特尔(中国)有限公司、北京赛西科技发展有限责任公司、阿里云计算有限公司、中国信息安全认证中心、中国科学院信息工程研究所信息安全国家重点实验室、北京工业大学、北京邮电大学、北京中电普华信息技术有限公司。本标准主要起草人:刘贤刚、胡影、卿斯汉、叶润国、孙彦、李汝鑫、薛勇波、范科峰、王昕、白晓媛、黄少青、刘陶、赵江、杨煜东、赵丹丹、张凡、陈星、宁华、樊洞阳、陈晔、吴迪、朱红儒、杨震、马占宇、曹峰。
GB/T36637—2018
随着信息通信技术的普及应用,加强ICT供应链的安全可控保障变得至关重要。目前,世界各国和ICT行业已普遍认识到,相比传统行业ICT行业供应链更加复杂,存在安全风险的概率更大。加强ICT供应链安全管理,可增强客户对ICT供应链以及ICT行业的安全信任与传统供应链相比,ICT供应链具有许多不同的特点,例如:ICT供应链涵盖ICT产品和服务的全生命周期,不仅包括传统供应链的生产、集成、仓储、交付等供应阶段,也包括产品服务的设计开发阶段和售后运维阶段;ICT产品由全球分布的供应商开发、集成或交付,供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降:传统供应链主要关注如何将产品有效地交付给客户,或者供应链健壮性的强度,而ICT供应链安全更关注是否会有额外的功能注入产品和服务中,交付的产品和服务是否与预期一致等。这些特点使得ICT供应链比传统供应链存在更多的安全风险,加强ICT供应链的安全风险管理刻不容缓
本标准不规范信息技术产品供应方的安全行为准则。推荐在关键信息基础设施或重要信息系统中使用本标准。然而,由于个别需要和相关性,组织可选择将标准应用到其他系统或特定组织,不过应用本标准的控制措施可能会增加组织和外部供应商的潜在成本,需要组织在成本和风险间进行权衡。1范围
信息安全技术
ICT供应链安全风险管理指南
GB/T36637—2018
本标准规定了信息通信技术(以下简称ICT)供应链的安全风险管理过程和控制措施。本标准适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理,同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069-2010信息安全技术术语GB/T31722—2015
5信息技术安全技术
信息安全风险管理
3术语和定义
GB/T25069一2010和GB/T31722一2015界定的以及下列术语和定义适用于本文件3.1
ICT需方ICTacquirer
从其他组织获取ICT产品和服务的组织或个人。注1:获取可能涉及或不涉及资金交换注2:重要信息系统和关键信息基础设施的运营者,通常是从ICT供方获取网络产品和服务的ICT需方。3.2
ICT供方ICTsupplier
提供ICT产品和服务的组织。
注1:供方也可称供应商、供应方。注2:供方可以是内部的或外部的组织注3:1CT供方包括产品供应商、服务提供商、系统集成商、生产商、销售商、代理商等。3.3
供应关系supplierrelation
在需方和供方之间的协议,可用于开展业务,提供产品和服务,实现商业收益。注1:需方和供方可以是同一个机构、注2:在供应链中,上游机构的需方同时也是下游机构的供方。终端客户可以理解为一种特殊的需方3.4
ICT供应链ICTsupplychain
ICT产品和服务的供应链,是指为满足供应关系通过资源和过程将需方、供方相互连接的网链结构,可用于将ICT的产品和服务提供给需方。1
GB/T36637—2018
供应链安全风险supplychainseeurityrisk供应链安全威胁利用供应链管理中存在的脆弱性导致供应链安全事件的可能性,及其由此对组织造成的影响。
供应链安全风险管理supplychainsecurityriskmanagement指导和控制组织与供应链安全风险相关问题的协调活动。3.7
ICTsupplychainlifecycle
ICT供应链生命周期
ICT产品和服务从无到有直至废弃的全生命周期涉及的供应链活动。注:ICT供应链通常以ICT产品和服务的设计为起点,经过开发、生产、集成、仓储、交付等环节将产品和服务交付给需方,并对产品和服务进行运维等直至其废弃。3.8
EICTsupplychaininfrastructureICT供应链基础设施
由组织内的硬件、软件和制度流程等构成的集合,用于构建产品和服务的设计、开发、生产、集成、仓储、交付、运维、废弃等ICT供应链生命周期的环境。注1:ICT供应链基础设施,主要包括组织内部支撑ICT供应链生命周期的信息系统和物理设施,如供应链管理信息系统、采购管理系统、软件开发环境、零部件生产车间、产品仓库等。注2:ICT供应链信息系统,属于ICT供应链基础设施,是由计算机、其他信息终端、相关设备、软件和数据等组成的,按照一定的规则和程序支撑产品和服务的开发、生产、集成、仓储、交付、运维、废弃等供应链生命周期的系统。
4缩略语
下列缩略语适用于本文件。
ICT信息通信技术(InformationandCommunication Technology)5概述
ICT供应链是一个全球分布的,具有供应商多样性、产品服务复杂性、全生命周期覆盖性等多维特点的复杂系统,相关说明参见附录A。本标准主要对重要信息系统和关键信息基础设施的ICT供方管理其供应链安全风险进行规范,而关键信息基础设施的运营者也可在自身安全风险管理中考虑供应链安全风险管理。
ICT供应链相比传统供应链面临更多的安全风险,宜加强对ICT供应链安全风险管理,重点实现以下目标:
完整性:保障在ICT供应链所有环节中,产品和服务及其所包含的组件部件、元器件、数据等a)
不被植人、算改、替换和伪造。b)
保密性:保障ICT供应链上传递的信息不被泄露给未授权者。可用性:保障需方对ICT供应链的使用。一方面,确保ICT供应链按照与需方签订的协议能够正常供应,不易被人为或自然因素中断,即可供应性另一方面,即使在ICT供应链部分失效时,仍能保持连续供应且快速恢复到正常供应状态的能力,即弹性。d)可控性:保障需方对ICT产品和服务或供应链的控制能力。可控性包括:供应链可追溯性,即一且ICT供应链发生问题,可以有效识别出现问题的环节、供应商和组件,并可进行追溯或修2
GB/T36637—2018
复,可控性,也包括需方对供应链信息的理解或透明度、用户对自已数据的支配能力用户对自已所拥有和使用产品的控制能力、用户对使用产品和服务的选择权和产品和服务的行为与合同协议相符等。
本标准涉及密码算法的相关内容,按国家有关法规实施;涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。6ICT供应链安全风险管理过程
6.1概述
ICT供应链安全风险管理过程由背景分析(6.2)、风险评估(6.3)、风险处置(6.4)、风险监督和检查(6.5)、风险沟通和记录(6.6)五个步骤组成,见图1。组织宜按照GB/T31722一2015的规定建立ICT供应链风险管理过程,也可将ICT供应链安全风险管理分散到对ICT供应链生命周期各环节、ICT供应链基础设施、外部供应商的风险管理活动中。背最分析
风险评信
鼓督和检
天验识据
风验分析
风险评价
天疫处置
凤整封违和记茶
图1ICT供应链安全风险管理过程6.2背景分析
ICT供应链安全风险管理是组织整体风险管理的组成部分·组织宜结合实际情况建立ICT供应销安全风险管理的背景,包括基本准则、范围边界和风险约束等。其中,基本准则是ICT供应链安全风险管理需要遵循的准则,如风险评价准则、影响准则、风险接受准则等,范围边界宜明确供应链管理涉及的供应商、ICT供应链基础设施、产品/服务/组件等;风险约束宜确定执行ICT供应链安全风险管理活动需满足的约束,包括组织约束和ICT供应链约束。宜考虑以下因素以建立背景:
组织战略、业务目标、职能架构;组织流程(安全方面、质量方面等);b)
组织的整体风险管理方法、安全策略、信息安全方针:d)
基于组织战略的ICT供应链风险管理业务目标、职能架构、组织流程、供应链结构;ICT供应链风险管理策略,包括但不限于购置、采购、信息安全、质量、物流等内容;供应链内部和外部利益相关者及其价值观和风险偏好;3
GB/T36637—2018
供应商信息,包括资质、信用、支付能力、管理状况、地理分布、合作历史等;供应链在资金、时间、人力、过程、系统和技术等方面的能力和约束;ICT供应链基础设施、信息流和决策过程:供应链管理的历史数据;
适用的法律法规。
6.3风险评估
6.3.1概述
组织在进行背景分析后,可开展风险评估,对ICT供应链面临的安全风险进行风险识别(6.3.2)、风险分析(6.3.3)和风险评价(6.3.4)。风险评估可多次选代直至结果满足要求。6.3.2
风险识别
资产识别
组织宜识别ICT供应链的关键资产,此类资产对组织的业务功能有直接影响,一旦被禁用或受损,可能导致组织的产品和服务失效或质量下降。宜考虑以下因素以识别关键资产:组织的关键业务;
对业务至关重要的系统、组件(硬件、软件和固件)、功能和流程:e)
依赖性分析和评估,确定可能需要在系统架构中进行加固的组件和功能:关键系统、组件、功能、信息的获取和审核,例如其制造或开发位置、物理和逻辑交付路径、与关键组件相关的信息流等;
将已识别的关键组件与ICT供应链信息、历史数据和系统开发生命周期相关联,以确认ICT供应链关键路径:
关键功能依赖的功能,如软件补丁使用的数字签名技术等;对所有接入点的确认,识别并限制对关键功能、组件的直接访问(如最小特权执行);在系统生命周期内可能发生的恶意变更威胁识别
6.3.2.2.1
威来源识别
ICT供应链安全威胁见表1,主要来源于环境因素、供应链攻击和人为错误。其中,环境因素是由环境原因造成的供应链安全问题。供应链攻击是攻击者通过供应链发起的网络或物理攻击。供应链的设计、开发、生产、集成、仓储、交付、运维、废等任意环节都可能遭受此类攻击。人为错误,是指由于内部人员、供应商人员安全意识不足,没有遵循供应链安全规章制度和操作流程而导致的安全问题。表1ICT供应链安全威胁来源
环境因素
静电、灰尘、潮湿、鼠蚁虫害、电磁干扰、洪灾、地震、台风、意外事故等环境危害或自然灾害:软件、硬件、数据、通讯线路、电力、云计算平台等基础设施的故障:贸易管制、限制销售、知识产权等国际环境因素:署工等人为突发事件供应链
假冒伪造者
恶意攻击者
商业间谦
内部人员
供应商人员
人为错误
表1(续)
GB/T36637—2018
假冒伪造者试图获取和销售ICT伪造组件用于盈利,特别是假冒伪劣者寻找处理机构、购买库存积压产品,获得ICT组件的设计蓝图,通过灰色销售渠道提供给购买者恶意攻击者试图渗透或中断ICT供应链,植人恶意功能或进行未授权访问间,来收集信息或造成损坏
商业间谍等针对供应链或产品和服务、产品和服务的组件等发起网络或物理攻击,窃取知识产权等敏感信息,破坏业务操作或系统不满的或有预谋的内部人员对产品服务进行恶意筹改、植人、替换,伪造或者破坏:采用自主或内外勾结的方式盗窃软件代码、设计文档等知识产权信息销售或转移给竞争对手或外部情报机构,以获取利益
供应商人员利用供应链管理的舱弱性,从ICT供应链的开发、生产、交付、销售、维护、返回等环节,对ICT供应链进行恶意攻击,或对产品的上游组件进行恶意筹改或伪造内部人员、供应商人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致ICT供应链基础设施故障,及由其引发的供应链中断6.3.2.2.2
威胁类型识别
组织宜识别ICT供应链可能面临的安全威胁,典型的ICT供应链安全威胁见表2,主要包括:恶意算改、假冒伪劣、供应中断、信息泄露、违规操作和其他威胁。威胁类型的更多信息参见附录B。表2ICT供应链安全威胁
恶意算改
假冒伪劣
供应中断
信息泄露
违规操作
其他威胁
在ICT供应链的设计、开发、采购、生产、仓储、物流、销售、维护、返回等某一环节,对ICT产品或上游组件进行恶意算改、植入、替换等,以嵌入包含恶意逻辑的软件或硬件
ICT产品或上游组件存在侵犯知识产权、质量低劣等间题
由于人为或自然的原因,造成ICT产品和服务的供应量或质量下降,甚至出现ICT供应链中断或终止ICT供应链上传递的敏感信息被非法泄露ICT供方的违规操作行为
ICT供应链的全球分布性为供应链安全带来了新的威胁或挑战
脆弱性识别
恶意程序、硬件木马、外来组件被筹改、未经授权的配置、供应信息算改
不合格产品、未经授权的生产、假冒产品人为或自然的突发事件中断、基础设施故障、国际环境影响、不正当竞争行为、不被支持的组件
供应链的共享信息、商业秘密泄露供应商违规收集或使用用户数据、溢用大数据分析、非法远程控制用户产品、影响市场秩序需方安全风险控制能力下降、法律法规差异性挑战、全球化供应链管理挑战
ICT供应链脆弱性是在产品和服务的设计、开发、生产、集成、仓储、交付、运维、废弃等任意供应链环节能被威胁利用的缺陷。脆弱性是资产本身的特性,仅被威胁利用时会产生危害,没有相应威胁时可GB/T366372018
能不需要实施控制措施,但宜关注和监视其变化ICT供应链脆弱性既包括产品和服务在其生命周期内的脆弱性,也包括ICT供应链脆弱性。ICT供应链脆弱性可能存在于:
a)产品和服务生命周期中的系统或组件:b)直接影响系统生命周期的开发和运维环境;运输ICT产品或组件的物流和交付环境,包括逻辑或物理的。脆弱性识别宜围绕ICT供应链关键资产展开,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对其严重程度进行评估。ICT供应链脆弱性示例见表3,详细的脆弱性信息参见附录C。脆弱性识别时需要特别关注能使攻击者获得供应链敏感信息、植入恶意组件、触发系统运行故障、访问关键功能依赖的支撑或关联组件的脆弱性。ICT供应链脆弱性
供应链
生命周
期的脆
供应链基
础设施的
脆弱性
开发阶段wwW.bzxz.Net
脆弱性
供应阶段
脆弱性
运维阶段
脆弱性
供应链管
理脆弱性
供应链信
息系统
脆弱性
ICT上下
游脆弱性
供应链物
理安全脆
ICT产品和服务在设计、开发阶段可能存在安全隐患,如:产品和服务设计时未对安全需求、安全威胁进行分析,开发时未遵循安全开发流程,没有建立完善的配置管理控制产品或组件的变更,没有适当的操作流程来检测伪造品、替换零件,合作或外包开发没有明确安全要求,第三方软件使用前没有进行安全检查等ICT产品和服务在生产、集成、仓储、交付等供应阶段可能存在安全隐惠,如:采购时无法识别被算改或伪造的组件,生产环境的物理安全访间控制不严,采用了不可靠或不安全的仓储商,运输时产品被植人、算改或替换,供应商未经授权私自预装程序等ICT产品和服务在运维阶段可能存在安全隐患,如:产品返回维修时被植人、算改或替换,缺乏对安全漏洞的应急响应能力,售后人员盗窃用户数据等由于ICT供应链安全管理缺乏或管理不严,可能存在安全隐患,如:未完全建立供应链安全管理制度和流程,缺乏供应链安全责任部门和人员,在选择供应商时未考虑网络安全要求,没有对供应商的绩效和安全风险进行定期评估,缺乏对外包项目、外包人员的安全规定等组织的ICT供应链信息系统,可能存在安全隐患,如:未对供应商访间供应链相关信息进行访间控制,个人信息保护未满足相关法规标准要求,未对个人信息访问和使用进行控制,供应链信息不透明或阻塞,信息系统存在漏洞等供应链、供应商安全能力参差不齐,ICT供应链整体安全水平不高,如:一些供应商的产品安全标准和供应链安全管理流程缺乏,也有的供应商不能及时发现安全缺陷并进行修复和响应等:由于上游供应商安全能力不足、产品市场被部分企业垄断、部分下游供应商安全检测能力有限、长期合作独家供应商造成依赖等原因,导致下游供应商难以控制和追潮上游的供应链风险
厂房、仓库、数据中心、机房的位置,缺少抵御自然灾害或人为破环等的能力现有安全措施识别
组织宜识别ICT供应链现有或已计划的安全措施,并对安全措施的有效性进行确认。宜考虑以下活动以实现现有或计划的安全措施识别:a)
检查ICT供应链安全措施相关的制度文件,了解计划采取哪些安全措施;访谈组织的信息安全人员和供应链管理人员,了解实际采取了哪些安全措施;现场检查验证已采取的ICT供应链安全措施,确认安全措施是否在正确和有效地工作;GB/T36637-—2018
d)参考供应链或网络安全相关标准规范,判断已实施的安全措施是否满足相关标准规范要求。6.3.3风险分析
风险分析包括可能性分析、后果分析和风险估算。可能性是威胁利用脆弱性导致安全事件发生的概率。可能性分析应从两个角度进行:一是ICT供应链本身受到损害的可能性,例如可能影响关键组件使用或增加知识产权被窃取风险,二是供应链内的产品、服务、系统、组件受到损害的可能性,例如系统被植人恶意代码或组件被电击损坏。后果分析针对已识别的ICT供应链安全事件,分析事件的潜在影响。组织宜从资产的重要性,弓发安全事件的威胁来源的特征,已识别的脆弱性,现有或已计划安全措施反映出的组织对事件的敏感性等方面进行后果分析。
风险估算为ICT供应链安全风险的可能性和后果赋值,风险估算应基于可能性分析和后果分析的结论进行。
6.3.4风险评价
风险评价将风险估算结果与风险评价准则和风险接受准则比较,输出依据风险评价准则按优先顺序排列的风险列表。风险识别和分析中得到的后果、可能性也可用于风险评价活动。需要注意的是多个中低风险的聚合可能导致更高的整体风险。6.4风险处置
对风险评估给出的具体风险宜制定风险处置计划,并结合组织自身的业务要求和能力限制,选择风险处置策略。风险处置策略主要包括以下类型:a)风险降低:指为降低风险的可能性,减少风险负面结果所采取的行动。即对风险采取控制措施,减少威胁发生的可能性和带来的影响,便风险级别降低,残余风险在重新评估后能够为组织风险策略接受。
风险规避:指不卷入风险处境的决定或撤离风险处境的行动。通过选择放弃某些可能引发风b)
险的业务或资产、采用改变环境或取消风险相关活动等方式实现对风险的规避。风险转移:指与另一方对风险带来的损失或收益的共享行为。即将风险全部或部分转移给其他方,组织可采用购买保险,与合作伙伴共同承担的方式对风险进行转移风险保留:指对来自特定风险的损失或收益的接受行为。在满足组织安全策略的情况下,对风d
险不采取任何控制措施,接受特定风险可能带来的损失。如果组织选择风险降低策略,则需针对风险选择相应ICT供应链安全风险控制措施,以保证控制措施执行后,残余风险能够被组织所接受。具体控制措施见第7章。6.5风险监督和检查
风险监督和检查的目的是确保组织的风险在可接受范围内。ICT供应链的风险是动态的,威胁脆弱性、风险可能性、风险影响等均可能会随着组织业务的变化而改变。组织应设置风险监督和检查计划,监视风险管理活动,定期评审控制措施,及时调整范围边界。宜持续监督和检查以下事项:
a)资产新增以及资产价值发生变更的情况:b)新增的威胁、脆弱性:
c)已评估的威胁、脆弱性和风险因聚合导致的不可接受的风险;d)ICT供应链安全事件。
GB/T36637—2018
6.6风险沟通和记录
风险沟通和记录是在风险管理者以及利益相关者之间就如何通过交换和(或)共享有关风险信息来管理风险而达成一致的活动。宜沟通和记录的内容包括但不限于:利益相关者的关注点;
ICT供应链背景信息;
供应商基本信息;
产品和服务的基本信息;
充分识别ICT供应链风险的方法;e)
ICT供应链风险基本信息,包括供应链风险事件描述、风险评估结果等;f
ICT供应链风险处置措施、实施计划及效果等。7ICT供应链安全风险控制措施
7.1概述
本章列出了ICT供应链安全风险控制措施集合,需方或供方宜针对组织的特点和识别的安全风险,选择、定制和实施供应链安全措施。基于ICT供应链风险管理过程,本标准推荐组织依据以下原则选择供应链的安全控制措施:组织的类型、战略、业务目标、客户需求;a)
组织架构和组织流程(安全方面、质量方面等):组织的安全策略和安全风险承受能力;组织的ICT供应链的安全威胁、脆弱性;d)
相关的法律法规;
组织ICT供应链结构和背景;
组织的ICT供应链安全风险评估结果。7.2
技术安全措施
7.2.1物理与环境安全
组织宜:
确保外部人员访问ICT供应链基础设施受控区域前得到授权或审批,由专人全程陪同,并登a)
记备案;
及时更新供方对ICT供应链基础设施的物理访问权限;e
评估系统集成商是否具有物理与环境安全策略,是否具有持续保证物理与环境安全的能力,并通过合同协议对系统集成商的物理与环境安全进行要求;具有备用的工作场所、通信线路和供应链管理信息系统,防止自然灾害或不可抗力的外因导致d
供应链中断。
系统与通信安全
组织宜:
具备边界保护机制,保护ICT供应链基础设施内的物理连接和逻辑连接,a)
定期开展ICT供应链基础设施边界安全脆弱性评估及抽样检查,并及时采取纠正措施;e)
如在ICT供应链基础设施中采用密码技术的,宜符合国家密码管理相关规定;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T36637—2018
信息安全技术
ICT供应链安全风险管理指南
Information security technologyGuidelinesfor theinformation andcommunicationtechnologysupplychainriskmanagement2018-10-10发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-05-01实施
规范性引用文件
术语和定义
缩略语
ICT供应链安全风险管理过程
背景分析
风险评估
风险处置
风险监督和检查
风险沟通和记录
ICT供应链安全风险控制措施
技术安全措施
管理安全措施
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
参考文献
ICT供应链概述
ICT供应链安全威胁
ICT供应链安全脆弱性
GB/T36637—2018
本标准按照GB/T1.1—2009给出的规则起草。GB/T36637—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、中国科学院软件研究所、联想(北京)有限公司、华为技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴(北京)软件服务有限公司、北京京东参佰陆拾度电子商务有限公司、中国信息通信研究院、微软(中国)有限公司、浪潮电子信息产业股份有限公司、国家信息技术安全研究中心、英特尔(中国)有限公司、北京赛西科技发展有限责任公司、阿里云计算有限公司、中国信息安全认证中心、中国科学院信息工程研究所信息安全国家重点实验室、北京工业大学、北京邮电大学、北京中电普华信息技术有限公司。本标准主要起草人:刘贤刚、胡影、卿斯汉、叶润国、孙彦、李汝鑫、薛勇波、范科峰、王昕、白晓媛、黄少青、刘陶、赵江、杨煜东、赵丹丹、张凡、陈星、宁华、樊洞阳、陈晔、吴迪、朱红儒、杨震、马占宇、曹峰。
GB/T36637—2018
随着信息通信技术的普及应用,加强ICT供应链的安全可控保障变得至关重要。目前,世界各国和ICT行业已普遍认识到,相比传统行业ICT行业供应链更加复杂,存在安全风险的概率更大。加强ICT供应链安全管理,可增强客户对ICT供应链以及ICT行业的安全信任与传统供应链相比,ICT供应链具有许多不同的特点,例如:ICT供应链涵盖ICT产品和服务的全生命周期,不仅包括传统供应链的生产、集成、仓储、交付等供应阶段,也包括产品服务的设计开发阶段和售后运维阶段;ICT产品由全球分布的供应商开发、集成或交付,供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降:传统供应链主要关注如何将产品有效地交付给客户,或者供应链健壮性的强度,而ICT供应链安全更关注是否会有额外的功能注入产品和服务中,交付的产品和服务是否与预期一致等。这些特点使得ICT供应链比传统供应链存在更多的安全风险,加强ICT供应链的安全风险管理刻不容缓
本标准不规范信息技术产品供应方的安全行为准则。推荐在关键信息基础设施或重要信息系统中使用本标准。然而,由于个别需要和相关性,组织可选择将标准应用到其他系统或特定组织,不过应用本标准的控制措施可能会增加组织和外部供应商的潜在成本,需要组织在成本和风险间进行权衡。1范围
信息安全技术
ICT供应链安全风险管理指南
GB/T36637—2018
本标准规定了信息通信技术(以下简称ICT)供应链的安全风险管理过程和控制措施。本标准适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理,同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069-2010信息安全技术术语GB/T31722—2015
5信息技术安全技术
信息安全风险管理
3术语和定义
GB/T25069一2010和GB/T31722一2015界定的以及下列术语和定义适用于本文件3.1
ICT需方ICTacquirer
从其他组织获取ICT产品和服务的组织或个人。注1:获取可能涉及或不涉及资金交换注2:重要信息系统和关键信息基础设施的运营者,通常是从ICT供方获取网络产品和服务的ICT需方。3.2
ICT供方ICTsupplier
提供ICT产品和服务的组织。
注1:供方也可称供应商、供应方。注2:供方可以是内部的或外部的组织注3:1CT供方包括产品供应商、服务提供商、系统集成商、生产商、销售商、代理商等。3.3
供应关系supplierrelation
在需方和供方之间的协议,可用于开展业务,提供产品和服务,实现商业收益。注1:需方和供方可以是同一个机构、注2:在供应链中,上游机构的需方同时也是下游机构的供方。终端客户可以理解为一种特殊的需方3.4
ICT供应链ICTsupplychain
ICT产品和服务的供应链,是指为满足供应关系通过资源和过程将需方、供方相互连接的网链结构,可用于将ICT的产品和服务提供给需方。1
GB/T36637—2018
供应链安全风险supplychainseeurityrisk供应链安全威胁利用供应链管理中存在的脆弱性导致供应链安全事件的可能性,及其由此对组织造成的影响。
供应链安全风险管理supplychainsecurityriskmanagement指导和控制组织与供应链安全风险相关问题的协调活动。3.7
ICTsupplychainlifecycle
ICT供应链生命周期
ICT产品和服务从无到有直至废弃的全生命周期涉及的供应链活动。注:ICT供应链通常以ICT产品和服务的设计为起点,经过开发、生产、集成、仓储、交付等环节将产品和服务交付给需方,并对产品和服务进行运维等直至其废弃。3.8
EICTsupplychaininfrastructureICT供应链基础设施
由组织内的硬件、软件和制度流程等构成的集合,用于构建产品和服务的设计、开发、生产、集成、仓储、交付、运维、废弃等ICT供应链生命周期的环境。注1:ICT供应链基础设施,主要包括组织内部支撑ICT供应链生命周期的信息系统和物理设施,如供应链管理信息系统、采购管理系统、软件开发环境、零部件生产车间、产品仓库等。注2:ICT供应链信息系统,属于ICT供应链基础设施,是由计算机、其他信息终端、相关设备、软件和数据等组成的,按照一定的规则和程序支撑产品和服务的开发、生产、集成、仓储、交付、运维、废弃等供应链生命周期的系统。
4缩略语
下列缩略语适用于本文件。
ICT信息通信技术(InformationandCommunication Technology)5概述
ICT供应链是一个全球分布的,具有供应商多样性、产品服务复杂性、全生命周期覆盖性等多维特点的复杂系统,相关说明参见附录A。本标准主要对重要信息系统和关键信息基础设施的ICT供方管理其供应链安全风险进行规范,而关键信息基础设施的运营者也可在自身安全风险管理中考虑供应链安全风险管理。
ICT供应链相比传统供应链面临更多的安全风险,宜加强对ICT供应链安全风险管理,重点实现以下目标:
完整性:保障在ICT供应链所有环节中,产品和服务及其所包含的组件部件、元器件、数据等a)
不被植人、算改、替换和伪造。b)
保密性:保障ICT供应链上传递的信息不被泄露给未授权者。可用性:保障需方对ICT供应链的使用。一方面,确保ICT供应链按照与需方签订的协议能够正常供应,不易被人为或自然因素中断,即可供应性另一方面,即使在ICT供应链部分失效时,仍能保持连续供应且快速恢复到正常供应状态的能力,即弹性。d)可控性:保障需方对ICT产品和服务或供应链的控制能力。可控性包括:供应链可追溯性,即一且ICT供应链发生问题,可以有效识别出现问题的环节、供应商和组件,并可进行追溯或修2
GB/T36637—2018
复,可控性,也包括需方对供应链信息的理解或透明度、用户对自已数据的支配能力用户对自已所拥有和使用产品的控制能力、用户对使用产品和服务的选择权和产品和服务的行为与合同协议相符等。
本标准涉及密码算法的相关内容,按国家有关法规实施;涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。6ICT供应链安全风险管理过程
6.1概述
ICT供应链安全风险管理过程由背景分析(6.2)、风险评估(6.3)、风险处置(6.4)、风险监督和检查(6.5)、风险沟通和记录(6.6)五个步骤组成,见图1。组织宜按照GB/T31722一2015的规定建立ICT供应链风险管理过程,也可将ICT供应链安全风险管理分散到对ICT供应链生命周期各环节、ICT供应链基础设施、外部供应商的风险管理活动中。背最分析
风险评信
鼓督和检
天验识据
风验分析
风险评价
天疫处置
凤整封违和记茶
图1ICT供应链安全风险管理过程6.2背景分析
ICT供应链安全风险管理是组织整体风险管理的组成部分·组织宜结合实际情况建立ICT供应销安全风险管理的背景,包括基本准则、范围边界和风险约束等。其中,基本准则是ICT供应链安全风险管理需要遵循的准则,如风险评价准则、影响准则、风险接受准则等,范围边界宜明确供应链管理涉及的供应商、ICT供应链基础设施、产品/服务/组件等;风险约束宜确定执行ICT供应链安全风险管理活动需满足的约束,包括组织约束和ICT供应链约束。宜考虑以下因素以建立背景:
组织战略、业务目标、职能架构;组织流程(安全方面、质量方面等);b)
组织的整体风险管理方法、安全策略、信息安全方针:d)
基于组织战略的ICT供应链风险管理业务目标、职能架构、组织流程、供应链结构;ICT供应链风险管理策略,包括但不限于购置、采购、信息安全、质量、物流等内容;供应链内部和外部利益相关者及其价值观和风险偏好;3
GB/T36637—2018
供应商信息,包括资质、信用、支付能力、管理状况、地理分布、合作历史等;供应链在资金、时间、人力、过程、系统和技术等方面的能力和约束;ICT供应链基础设施、信息流和决策过程:供应链管理的历史数据;
适用的法律法规。
6.3风险评估
6.3.1概述
组织在进行背景分析后,可开展风险评估,对ICT供应链面临的安全风险进行风险识别(6.3.2)、风险分析(6.3.3)和风险评价(6.3.4)。风险评估可多次选代直至结果满足要求。6.3.2
风险识别
资产识别
组织宜识别ICT供应链的关键资产,此类资产对组织的业务功能有直接影响,一旦被禁用或受损,可能导致组织的产品和服务失效或质量下降。宜考虑以下因素以识别关键资产:组织的关键业务;
对业务至关重要的系统、组件(硬件、软件和固件)、功能和流程:e)
依赖性分析和评估,确定可能需要在系统架构中进行加固的组件和功能:关键系统、组件、功能、信息的获取和审核,例如其制造或开发位置、物理和逻辑交付路径、与关键组件相关的信息流等;
将已识别的关键组件与ICT供应链信息、历史数据和系统开发生命周期相关联,以确认ICT供应链关键路径:
关键功能依赖的功能,如软件补丁使用的数字签名技术等;对所有接入点的确认,识别并限制对关键功能、组件的直接访问(如最小特权执行);在系统生命周期内可能发生的恶意变更威胁识别
6.3.2.2.1
威来源识别
ICT供应链安全威胁见表1,主要来源于环境因素、供应链攻击和人为错误。其中,环境因素是由环境原因造成的供应链安全问题。供应链攻击是攻击者通过供应链发起的网络或物理攻击。供应链的设计、开发、生产、集成、仓储、交付、运维、废等任意环节都可能遭受此类攻击。人为错误,是指由于内部人员、供应商人员安全意识不足,没有遵循供应链安全规章制度和操作流程而导致的安全问题。表1ICT供应链安全威胁来源
环境因素
静电、灰尘、潮湿、鼠蚁虫害、电磁干扰、洪灾、地震、台风、意外事故等环境危害或自然灾害:软件、硬件、数据、通讯线路、电力、云计算平台等基础设施的故障:贸易管制、限制销售、知识产权等国际环境因素:署工等人为突发事件供应链
假冒伪造者
恶意攻击者
商业间谦
内部人员
供应商人员
人为错误
表1(续)
GB/T36637—2018
假冒伪造者试图获取和销售ICT伪造组件用于盈利,特别是假冒伪劣者寻找处理机构、购买库存积压产品,获得ICT组件的设计蓝图,通过灰色销售渠道提供给购买者恶意攻击者试图渗透或中断ICT供应链,植人恶意功能或进行未授权访问间,来收集信息或造成损坏
商业间谍等针对供应链或产品和服务、产品和服务的组件等发起网络或物理攻击,窃取知识产权等敏感信息,破坏业务操作或系统不满的或有预谋的内部人员对产品服务进行恶意筹改、植人、替换,伪造或者破坏:采用自主或内外勾结的方式盗窃软件代码、设计文档等知识产权信息销售或转移给竞争对手或外部情报机构,以获取利益
供应商人员利用供应链管理的舱弱性,从ICT供应链的开发、生产、交付、销售、维护、返回等环节,对ICT供应链进行恶意攻击,或对产品的上游组件进行恶意筹改或伪造内部人员、供应商人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致ICT供应链基础设施故障,及由其引发的供应链中断6.3.2.2.2
威胁类型识别
组织宜识别ICT供应链可能面临的安全威胁,典型的ICT供应链安全威胁见表2,主要包括:恶意算改、假冒伪劣、供应中断、信息泄露、违规操作和其他威胁。威胁类型的更多信息参见附录B。表2ICT供应链安全威胁
恶意算改
假冒伪劣
供应中断
信息泄露
违规操作
其他威胁
在ICT供应链的设计、开发、采购、生产、仓储、物流、销售、维护、返回等某一环节,对ICT产品或上游组件进行恶意算改、植入、替换等,以嵌入包含恶意逻辑的软件或硬件
ICT产品或上游组件存在侵犯知识产权、质量低劣等间题
由于人为或自然的原因,造成ICT产品和服务的供应量或质量下降,甚至出现ICT供应链中断或终止ICT供应链上传递的敏感信息被非法泄露ICT供方的违规操作行为
ICT供应链的全球分布性为供应链安全带来了新的威胁或挑战
脆弱性识别
恶意程序、硬件木马、外来组件被筹改、未经授权的配置、供应信息算改
不合格产品、未经授权的生产、假冒产品人为或自然的突发事件中断、基础设施故障、国际环境影响、不正当竞争行为、不被支持的组件
供应链的共享信息、商业秘密泄露供应商违规收集或使用用户数据、溢用大数据分析、非法远程控制用户产品、影响市场秩序需方安全风险控制能力下降、法律法规差异性挑战、全球化供应链管理挑战
ICT供应链脆弱性是在产品和服务的设计、开发、生产、集成、仓储、交付、运维、废弃等任意供应链环节能被威胁利用的缺陷。脆弱性是资产本身的特性,仅被威胁利用时会产生危害,没有相应威胁时可GB/T366372018
能不需要实施控制措施,但宜关注和监视其变化ICT供应链脆弱性既包括产品和服务在其生命周期内的脆弱性,也包括ICT供应链脆弱性。ICT供应链脆弱性可能存在于:
a)产品和服务生命周期中的系统或组件:b)直接影响系统生命周期的开发和运维环境;运输ICT产品或组件的物流和交付环境,包括逻辑或物理的。脆弱性识别宜围绕ICT供应链关键资产展开,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对其严重程度进行评估。ICT供应链脆弱性示例见表3,详细的脆弱性信息参见附录C。脆弱性识别时需要特别关注能使攻击者获得供应链敏感信息、植入恶意组件、触发系统运行故障、访问关键功能依赖的支撑或关联组件的脆弱性。ICT供应链脆弱性
供应链
生命周
期的脆
供应链基
础设施的
脆弱性
开发阶段wwW.bzxz.Net
脆弱性
供应阶段
脆弱性
运维阶段
脆弱性
供应链管
理脆弱性
供应链信
息系统
脆弱性
ICT上下
游脆弱性
供应链物
理安全脆
ICT产品和服务在设计、开发阶段可能存在安全隐患,如:产品和服务设计时未对安全需求、安全威胁进行分析,开发时未遵循安全开发流程,没有建立完善的配置管理控制产品或组件的变更,没有适当的操作流程来检测伪造品、替换零件,合作或外包开发没有明确安全要求,第三方软件使用前没有进行安全检查等ICT产品和服务在生产、集成、仓储、交付等供应阶段可能存在安全隐惠,如:采购时无法识别被算改或伪造的组件,生产环境的物理安全访间控制不严,采用了不可靠或不安全的仓储商,运输时产品被植人、算改或替换,供应商未经授权私自预装程序等ICT产品和服务在运维阶段可能存在安全隐患,如:产品返回维修时被植人、算改或替换,缺乏对安全漏洞的应急响应能力,售后人员盗窃用户数据等由于ICT供应链安全管理缺乏或管理不严,可能存在安全隐患,如:未完全建立供应链安全管理制度和流程,缺乏供应链安全责任部门和人员,在选择供应商时未考虑网络安全要求,没有对供应商的绩效和安全风险进行定期评估,缺乏对外包项目、外包人员的安全规定等组织的ICT供应链信息系统,可能存在安全隐患,如:未对供应商访间供应链相关信息进行访间控制,个人信息保护未满足相关法规标准要求,未对个人信息访问和使用进行控制,供应链信息不透明或阻塞,信息系统存在漏洞等供应链、供应商安全能力参差不齐,ICT供应链整体安全水平不高,如:一些供应商的产品安全标准和供应链安全管理流程缺乏,也有的供应商不能及时发现安全缺陷并进行修复和响应等:由于上游供应商安全能力不足、产品市场被部分企业垄断、部分下游供应商安全检测能力有限、长期合作独家供应商造成依赖等原因,导致下游供应商难以控制和追潮上游的供应链风险
厂房、仓库、数据中心、机房的位置,缺少抵御自然灾害或人为破环等的能力现有安全措施识别
组织宜识别ICT供应链现有或已计划的安全措施,并对安全措施的有效性进行确认。宜考虑以下活动以实现现有或计划的安全措施识别:a)
检查ICT供应链安全措施相关的制度文件,了解计划采取哪些安全措施;访谈组织的信息安全人员和供应链管理人员,了解实际采取了哪些安全措施;现场检查验证已采取的ICT供应链安全措施,确认安全措施是否在正确和有效地工作;GB/T36637-—2018
d)参考供应链或网络安全相关标准规范,判断已实施的安全措施是否满足相关标准规范要求。6.3.3风险分析
风险分析包括可能性分析、后果分析和风险估算。可能性是威胁利用脆弱性导致安全事件发生的概率。可能性分析应从两个角度进行:一是ICT供应链本身受到损害的可能性,例如可能影响关键组件使用或增加知识产权被窃取风险,二是供应链内的产品、服务、系统、组件受到损害的可能性,例如系统被植人恶意代码或组件被电击损坏。后果分析针对已识别的ICT供应链安全事件,分析事件的潜在影响。组织宜从资产的重要性,弓发安全事件的威胁来源的特征,已识别的脆弱性,现有或已计划安全措施反映出的组织对事件的敏感性等方面进行后果分析。
风险估算为ICT供应链安全风险的可能性和后果赋值,风险估算应基于可能性分析和后果分析的结论进行。
6.3.4风险评价
风险评价将风险估算结果与风险评价准则和风险接受准则比较,输出依据风险评价准则按优先顺序排列的风险列表。风险识别和分析中得到的后果、可能性也可用于风险评价活动。需要注意的是多个中低风险的聚合可能导致更高的整体风险。6.4风险处置
对风险评估给出的具体风险宜制定风险处置计划,并结合组织自身的业务要求和能力限制,选择风险处置策略。风险处置策略主要包括以下类型:a)风险降低:指为降低风险的可能性,减少风险负面结果所采取的行动。即对风险采取控制措施,减少威胁发生的可能性和带来的影响,便风险级别降低,残余风险在重新评估后能够为组织风险策略接受。
风险规避:指不卷入风险处境的决定或撤离风险处境的行动。通过选择放弃某些可能引发风b)
险的业务或资产、采用改变环境或取消风险相关活动等方式实现对风险的规避。风险转移:指与另一方对风险带来的损失或收益的共享行为。即将风险全部或部分转移给其他方,组织可采用购买保险,与合作伙伴共同承担的方式对风险进行转移风险保留:指对来自特定风险的损失或收益的接受行为。在满足组织安全策略的情况下,对风d
险不采取任何控制措施,接受特定风险可能带来的损失。如果组织选择风险降低策略,则需针对风险选择相应ICT供应链安全风险控制措施,以保证控制措施执行后,残余风险能够被组织所接受。具体控制措施见第7章。6.5风险监督和检查
风险监督和检查的目的是确保组织的风险在可接受范围内。ICT供应链的风险是动态的,威胁脆弱性、风险可能性、风险影响等均可能会随着组织业务的变化而改变。组织应设置风险监督和检查计划,监视风险管理活动,定期评审控制措施,及时调整范围边界。宜持续监督和检查以下事项:
a)资产新增以及资产价值发生变更的情况:b)新增的威胁、脆弱性:
c)已评估的威胁、脆弱性和风险因聚合导致的不可接受的风险;d)ICT供应链安全事件。
GB/T36637—2018
6.6风险沟通和记录
风险沟通和记录是在风险管理者以及利益相关者之间就如何通过交换和(或)共享有关风险信息来管理风险而达成一致的活动。宜沟通和记录的内容包括但不限于:利益相关者的关注点;
ICT供应链背景信息;
供应商基本信息;
产品和服务的基本信息;
充分识别ICT供应链风险的方法;e)
ICT供应链风险基本信息,包括供应链风险事件描述、风险评估结果等;f
ICT供应链风险处置措施、实施计划及效果等。7ICT供应链安全风险控制措施
7.1概述
本章列出了ICT供应链安全风险控制措施集合,需方或供方宜针对组织的特点和识别的安全风险,选择、定制和实施供应链安全措施。基于ICT供应链风险管理过程,本标准推荐组织依据以下原则选择供应链的安全控制措施:组织的类型、战略、业务目标、客户需求;a)
组织架构和组织流程(安全方面、质量方面等):组织的安全策略和安全风险承受能力;组织的ICT供应链的安全威胁、脆弱性;d)
相关的法律法规;
组织ICT供应链结构和背景;
组织的ICT供应链安全风险评估结果。7.2
技术安全措施
7.2.1物理与环境安全
组织宜:
确保外部人员访问ICT供应链基础设施受控区域前得到授权或审批,由专人全程陪同,并登a)
记备案;
及时更新供方对ICT供应链基础设施的物理访问权限;e
评估系统集成商是否具有物理与环境安全策略,是否具有持续保证物理与环境安全的能力,并通过合同协议对系统集成商的物理与环境安全进行要求;具有备用的工作场所、通信线路和供应链管理信息系统,防止自然灾害或不可抗力的外因导致d
供应链中断。
系统与通信安全
组织宜:
具备边界保护机制,保护ICT供应链基础设施内的物理连接和逻辑连接,a)
定期开展ICT供应链基础设施边界安全脆弱性评估及抽样检查,并及时采取纠正措施;e)
如在ICT供应链基础设施中采用密码技术的,宜符合国家密码管理相关规定;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。