ICT供应链安全防护机制研究*
2019-09-03贾永兴
廖 飞,贾永兴
(中国电子科技集团公司第30研究所,四川 成都 610041)
0 引 言
随着贸易全球化的发展,产品的跨国流通越来越频繁。ICT(Information and Communications Technology,信息通信技术)产品在从原料采购、生产、运输直至交付的任何一个环节都有可能存在影响产品安全性的因素。从信息安全对抗的角度来看,外部供应商完全有可能、有条件引入安全威胁,这就是IT供应链的安全问题。我国ICT供应链进口依赖性较强,缺乏系统性安全防护体系,这无异于向国外敌对势力洞开了国家安全大门。震网病毒、火焰病毒、棱镜门等一系列事件[1]表明,ICT供应链安全不可控,国家安全将会面临重大风险。加强ICT供应链安全防范势在必行。ICT供应链安全防范是一个系统工程,目前的研究工作主要集中在宏观管理制度、政策法规、标准规范方面,成体系的安全防护机制、防护技术方面的成果较少[1-7]。本文着重在ICT供应链安全防护技术层面,开展相关安全防护框架、技术和机制研究和探讨,试以进一步推动ICT供应链安全防护的落地工作。
1 ICT供应链安全现状
1.1 供应链概念
我国国家标准GB/T 25103给出了供应链定义[8]:是围绕核心企业,从采购原材料开始,到制成中间产品、最终产品、直至由销售网络把产品和服务送到消费者手中的流程,是包括供应商、制造商、分销商、零售商、直到最终客户的一个网链结构。简单来说,供应链就是产品从原材料到产成品全部交易所经历的整个链条,涉及物流、资金流、信息流等企业网络信息系统。供应链具体结构如图1所示[8]。
图1 供应链结构模型
供应链是一个跨企业结构模式,由不同企业主体构成,具有复杂的网链状结构。供应链是一个动态变化的网络系统,链上节点企业随市场需求变化而动态变化,导致供应链资金流、物流和信息流随之动态变化。供应链复杂的结构模式和动态机制为安全防护提出了严峻挑战。常见的企业供应链系统通常以外部数据托管中心为依托[9],分为企业内部信息管理系统和外部企业节点两部分,通过公共网络连接,如图2所示。
图2 供应链管理信息系统框架
系统运作过程中,各个节点企业及时将反映ICT产品的最新信息更新到外部托管数据中心,实现信息共享与分工协作。
1.2 安全发展现状
(1)各国政府高度重视ICT供应链安全问题
美国是世界上最为重视信息产业供应链安全的国家,将ICT供应链安全作为加强自身信息安全防护的重要内容。2006年发布的《联邦网络安全和信息保障研发计划》明确将信息产品软硬件的供应链攻击列为一种攻击趋势。2008年发布的54号国家安全总统令提出国家网络安全综合计划,将IT供应链安全问题上升到了国家威胁和国家对抗的层面,并着手全方位实施全球供应链风险管理。2011年发布《网络空间国际战略》提出将“与工业部门加强高科技供应链的安全性”作为保护网络空间安全的优先政策,将ICT供应链安全提升至保障网络空间安全的高度;欧盟从其自身利益出发,在欧盟内部制定通用的供应链安全要求,强化市场手段和企业力量的利用,加强供应链安全管理;俄罗斯一直强调通过国产化应用和替代来提高供应链安全水平;我国由于ICT产业链具有较高进口依赖度,风险水平较高,因此我国政府更加重视ICT供应链的安全问题。2016年发布《网络安全法》强调推广安全可信的网络产品和服务。2016年发布《国家网络空间安全战略》明确提出加强供应链安全管理、提高产品和服务的安全性和可控性。
(2)将标准规范作为促进ICT供应链安全的重要抓手
国内外标准化组织积极将标准规范制定作为推进供应链安全防范的重要抓手。ISO组织发布了ISO/IEC27036和ISO 28000系列标准。ISO 28000系列标准主要针对供应链运输和物流行业的传统供应链安全管理需求。ISO/IEC27036系列标准中前两部关注对象为各级供应商关系管理相关的通用信息安全要求。第三部ISO/IEC27036-3才是真正意义上的ICT供应链安全国际标准,意义重大。该标准将信息安全过程整合到系统生命周期全过程,提供了IT软件、硬件和服务的供应链安全指南,专门考虑了信息攻击方面的安全风险(如植入恶意代码或仿冒IT产品等)。美国NIST SP800-53针对联邦信息系统在其生命周期范围内的脆弱性提出了“供应链保护”安全控制增强措施。NIST SP 800-161为联邦机构指定ICT 供应链相关政策和程序、管理供应链安全风险方面提供了有效的指导。在我国标准制定方面,2009年我国发布GB/T 24420-2009《供应链风险管理指南》提出了供应链风险管理过程框架和通用指南。2019年5月1日我国正式发布了GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》,针对ICT供应链的安全特点,细化了ICT供应链安全风险管理的过程和控制措施,为ICT产品服务的需方或供方提供安全风险管理实施指南。
(3)积极开展项目试点探索供应链安全防护技术措施
在宏观政策和标准规范的指导下,美国等发达国家通过一些重点项目探索供应链安全防护措施,积极推动供应链安全落地工作。在供应链活动防护方面,美国通过微电子器件链供应的“可信代工”项目、RFID(Radio Frequency Identification,射频识别)物资安全管控项目等加强供应链生命活动周期的安全管控;在信息产品威胁检测方面,美国实施了“国防可信硬件电子供应链”、“可信性集成电路”和“集成电路的完整性和可靠性”等项目,研究高端检测设备和技术,检测芯片电路的安全性和完整性,防止伪劣芯片、伪造芯片、芯片木马等威胁;在安全风险监测方面,美国计算机应急准备队协调中心运营着一个跟踪软件漏洞、以及关联用户及供应商列表的数据库,通过“信息保障漏洞警报”(Information Assurance Vulnerability Alert,IAVA)流程来应对供应链软件漏洞警告;在风险追踪溯源方面,美国海关和边境保护局基于区块链开发了一种供应链管理系统(目前处于概念原型阶段)简化全球发货的追踪工作。美国食品药物管理局目前正推出一个试点项目,采用区块链技术提高新试点药品供应链的安全性和责任可追溯性,确保非法产品不进入供应链,并计划在2023年为该行业推出跟踪和追踪系统。
2 ICT供应链安全威胁
2.1 安全脆弱性分析
安全脆弱性是指供应链自身存在的、容易被威胁攻击利用的特性。脆弱性本身不具有安全危害性,容易被威胁利用,在被威胁利用时才会产生危害。ICT供应链信息安全的脆弱性主要体现在3个方面。
(1)共享基础设施
供应链企业基于Internet构建信息网络基础设施。对外来说,采用公网进行权限认证与信息传输容易遭受非法攻击。如果一个企业网络缺乏有效防护措施受到威胁,整个供应链同时处于威胁之中。对内来说,通过分权共享系统接口容易遭受内部攻击。如果内部安全防护机制不足,少数不良企业出于自身利益动机,可能做出危害供应链安全的行为。
(2)共享产品信息
ICT信息产品在供应链多个节点企业之间流转,由于分工协作需要,可能会经多人之手。系统承包商与分包商之间共享软件代码,可能导致代码泄露,导致代码漏洞分析、恶意程序植入等安全风险;客户与供应商之间共享产品信息,可能导致产品敏感信息和参数非法外泄,从而增加了产品潜在攻击的机会。
(3)共享操作凭证
供应链节点企业多,相关企业或组织的众多操作主体共享操作凭证存在安全隐患。供应链可能涉及多级关联企业或组织,交叉的共享凭证可能导致非法权限与信任关系传递,从而导致非预期的访问授权,为潜在的攻击打开了大门。
2.2 面临的安全威胁
ICT供应链安全威胁主要源于环境因素、供应链攻击和人为错误。主要包括以下几类威胁[6]。
(1)信息泄露
指ICT供应链上产生和传递的信息被未授权泄露,这些信息可能是个人隐私信息、商业机密信息、国家重要信息。在数据信息安全日益重要,信息防护意识不断增强的今天,由于供应链安全引发的数据泄露威胁亟需受到重视。
(2)违规操作
ICT供应方内部可能产生的违规操作行为。比如,违规收集和使用个人隐私数据、违规访问内部数据和/或组件、大数据滥用、产品和服务违规配置等。从某种意义上讲,违规操作导致的后果可能比外部的安全威胁更为严重。
(3)恶意篡改
恶意篡改可能是外在原因(如恶意程序、高级木马、外部组件、非授权部件等)、也可能是内在原因(如非授权配置、供应链信息篡改等)导致的。恶意篡改可能存在于在ICT供应链的设计、开发、采购、生产、仓储、物流、销售、维护、返回等任何一个环节,也可能是多发性的存在于上述多个环节,从而导致信息技术产品和服务机密性、完整性和可用性的破坏。
(4)假冒伪劣
假冒伪劣属于信息技术产品和服务本身可能存在的问题,也可能是由于供应过程中缺乏严格管理导致的外在产品和服务混杂其中引发的安全威胁问题,包括假冒产品和服务、不合格产品和服务、未经授权生产的产品和服务。采用伪劣仿冒产品、或采用内嵌恶意程序的产品替换正常产品,将干扰系统正常使用,或使系统遭受恶意程序攻击。
(5)预留后门
在信息装备的软硬件当中预留操控后面,植入木马或逻辑炸弹,甚至以高级持续性威胁(Advanced Persistent Threat,APT)的方式进行持续性攻击。由于政府和军队可能面临持续的、特有的、国家对抗层面的信息安全威胁,自主信息装备供应链因此也必然面临复杂的日新月异的技术攻击手段,这对抵御各种攻击的信息安全技术提出了极大的挑战。
3 ICT供应链安全防护机制
3.1 安全防护框架
ICT供应链安全防护是一项复杂的系统工程,需要供应链各环节、各要素相关安全措施和安全资源协同配合、统一调配,才能形成整体安全效益。安全防护总体框架旨在从技术层面为供应链及其节点企业提供一个全面的安全防护框架模型,通过有效协同基础设施、信息管理、物资管理等不同层面的安全防护机制,通过统一的安全保密管控策略,最终形成覆盖ICT供应链全环节、各要素、全方位、多层次的整体安全防护体系,形成“识别、防范、监测、评估”安全防护综合能力。ICT供应链安全防护框架如图3所示。
ICT供应链安全防护框架是一个分层协同防护模型,包括基础设施安全防护、信息管理安全防护、物资管理安全防护和安全保密综合管控四个部分组成。基础安全防护关注供应链网络和信息系统等基础设施的安全防护,确保系统安全;信息管理安全防护关注供应链全生命周期活动中的信息的安全防护;物资管理安全防护重点关注供应链全生命周期活动中的物资流转及产品自身信息的安全防护;安全保密综合管控强调全周期、全访问安全管控,确保安全威胁及时发现、安全问题追踪溯源、安全态势实施感知等系统安全管控工作。供应链安全防护框架对物流、信息流实施分层同步安全防护,通过物联网安全管控技术,实现信息流和物流安全防护的有效协同。
3.2 基础设施安全防护机制
在供应链基础设施安全方面,我们重点关注信息网络和系统层面的安全防护,主要涉及各节点企业供应链管理所依赖的网络基础设施和管理信息系统的安全防护。
(1)供应链网络传输安全机制
采用IPSec VPN技术构建供应链节点企业端到端信息传输安全机制,解决不可信任公网环境供应链信息传递的安全问题。IPSec VPN采用密码算法对IP数据包实施基于IPSec规则的安全封装,确保IP传输分组的机密性和完整性保护,能够抵御网络嗅探、网络篡改、网络劫持等攻击,确保端到端网络传输安全。IPSec VPN工作原理就是在供应链各节点企业网络出口位置部署VPN加密网关设备,VPN加密网关负责IPSec封装和解封装处理,通过安全策略统一配置,实现供应链企业伙伴之间的安全传输通信。供应链网络安全架构有网状和星形两种结构。在供应链信息分散管理模式下,各节点企业之间程网状通信结构。在云计算模式下,核心企业通过将供应链数据管理托管到云数据中心,各节点企业之间直接与云数据中心的外部数据托管中心通信交互,形成星形通信结构,如图4和图5所示。
图3 供应链安全防护框架
图4 供应链分散管理网络传输安全
图5 供应链数据托管方式的网络传输安全
(2)供应链信息系统安全机制
供应链信息系统安全防护属于比较常见、通用的业务应用系统安全防护范畴。供应链信息系统具体防护措施根据云和非云化部署方式有所不同外,其主要防护机制相同,包括用户身份认证、权限管控、病毒木马防御、数据加密等安全防护机制,主要防护目标是确保系统的可用性,防止非法入侵。
3.3 信息管理安全防护机制
ICT供应链业务流转复杂、企业组织松散、信息访问交织、信任关系薄弱导致信息安全管控是供应链安全防范工作的一个重点和难点。安全防护的核心思路是基于区块链安全机制实现信息管控的主体信任与安全追溯,基于细粒度的数据加密实现数据流转的机密性和完整性。
(1)基于区块链的信息安全共享与访问机制
区块链是一种按照时间先后顺序将数据区块连接组合在一起形成的链式数据结构,其实质是由多方参与共同维护的一个持续增长的分布式共享账本[10]。区块链通过中心化的分布式账本、加密算法、共识机制和智能合约等四项创新机制能够实现多方交易的信任性和安全性,使其特别适用于ICT供应链信息管理。区块链对于ICT供应链最重要的价值就是提供良好的多方信任和安全机制,从而建立一个包含各级供应链节点企业的供应链信息安全共享与管理平台框架,如图6所示。
图6 基于区块链的供应链信息管理模型
节点企业之间的供应链信息流可以通过以上供应链信息管理模型实施有效安全管控。区块链通过供应链节点企业之间的共识算法来产生新的区块,通过区块交易信息记录当期节点企业的供应链信息,供应链每个节点都会进行新区块的合法性验证工作,只有通过合法性验证的区块才会被区块链网络节点认可和保存。
上述框架模型具有较好的安全性。首先,交易记账由不同节点共同完成,每一个节点保持完整的账目,可以形成共同监督机制,防止虚假账目;其次,公开的交易信息通过哈希运算确保信息完整性,账户身份信息通过数据加密确保信息的机密性;然后,新增和修改的区块链数据的合法有效性通过共识机制获得多数节点确认,具有数据防伪造、防篡改功能;最后,交易通过智能合约由计算机代码自动评估和执行,可在没有第三方的情况下进行可信交易,确保交易行为可追踪且不可逆转。
(2)基于安全属性的数据安全防护机制
供应链信息可能包含敏感信息,在多方共享信息访问模式中,为确保不同供应链节点企业对不同信息具有不同的访问权限,确保数据的机密性和完整性,基于安全属性将信息分级分类,采用细粒度加密措施对不同类别、不同密级信息分类加密保护和控制,通过密钥定向分发,确保数据访问权限精准管控,防止非授权访问。数据安全访问控制机制如图7所示。
图7 基于安全属性的数据安全访问控制机制
上述安全防护机制能够确保不同供应链节点企业对于分布式共享账本信息具有不同访问权限。如数据信息1只有用户1具有访问权限,采用数据密钥1加密保护;数据信息2只有用户2具有访问权限,采用数据密钥2加密保护,数据信息3为公开信息,明文存在。权限控制中心分别采用用户1、用户2的公钥对数据密钥1和数据密钥2进行加密封封装,定向分发给用户1和用户2,用户1和用户2获得数据信息1和数据信息2的细粒度数据访问控制权限。基于安全属性的细粒度数据加密访问控制机制能够较好地适应供应链多主体、松散结构应用场景,能够有效防止传统访问控制机制被绕开的安全风险,同时能够确保供应链传递处理过程中数据的机密性和抗抵赖性。
3.4 物资管理安全防护机制
ICT供应链中物资管理安全防护对象包括两部分:一是物资安全管控,防止信息产品在物流环节丢失、替换和失控;二是产品内部信息安全管控,确保产品内部代码、数据、参数等敏感信息的机密性、完整性,防止信息窃密、漏洞分析和数据篡改。前者属于物联网安全范畴,后者属于信息安全范畴。
(1)基于RFID的供应链物流安全监管机制
在供应链物流环节,安全风险在于物资失控,安全需求在于物流监管。RFID(无线射频识别)是一种非接触式的自动识别技术,典型的RFID系统一般由电子标签、阅读器和后台应用系统组成。阅读器通过射频信号自动识别标注电子标签的物资对象,读取绑定对象的物资信息,通过后台应用系统实施物流信息管控。ICT供应链中采用R FID技术能够加强物流、仓储环节的物资管控安全,提高装备管理的实时性、精确化和可视化程度。
RFID供应链物流安全监管原理如图8所示。产品在某节点企业出厂进入供应链流转前,产品标识、名称、生产批次等产品信息通过特定密码算法运算生成唯一数字化安全监管编码。安全监管码与产品信息对应,一起更新到供应链信息管理系统进入信息流下一环节。监管码同时写入产品RFID电子标签,标注到ICT物资进入物流下一环节。RFID物联网管理技术将ICT物流和信息流进行安全映射,从而建立ICT产品和监管码的对应和监管关系,实现从生产商、分包商、销售商直到用户等多个物流环节的数字化安全监管,有效控制物资失控安全风险。
图8 RFID供应链物资安全监管方案
(2)ICT产品自身安全防护机制
ICT产品自身安全防范工作的重点是两防。一是要卡住源头,二是要管住中间环节。卡住源头就是要加强信息产品安全测评认证,防止威胁从源端引入。芯片硬件木马检测是一个技术难题,目前一个技术思路是侧性道检测,通过检测电流、噪声、电磁等的变化来检测芯片级、主板及和固件级的安全威胁和攻击。管住中间环节主要防护机制是采用密码算法对产品内部敏感参数和软件代码等实施机密性和完整性保护、采用可信计算技术实施硬件和部件可信防篡改、防替换等安全防护。具体安全防护方案针对ICT产品类别、形态、体积等不同情况采取不同的具体措施。
3.5 安全保密综合管控机制
供应链安全防护是一个系统工程,不仅要防,还要实施安全综合管控,通过工程化、系统化防御机制,构建防护体系,提升防护能力。安全保密综合管控机制包括威胁情报分析、安全态势感知、问题追踪溯源、安全策略管控等四个方面。一是建立供应链威胁情报数据库,采用大数据和人工智能分析技术,提升威胁识别能力;在安全态势感知方面,通过综合全网威胁事件,进行可视化呈现,提供安全态势图谱,为决策者感知和掌控全局提供支撑;在问题追踪溯源方面,通过责任主体提取、操作行为追踪、安全日志分析,捕捉问题源头、明确安全责任,排查安全隐患;在安全策略管控等措施方面,通过动态的安全策略配置,主动应对不断变化的安全威胁。
4 结 语
随着全球信息技术一体化发展趋势,ICT产业链全球分工协作势不可挡。供应链由于涉及到科研、生产、采购等多个生命周期环节,涉及到多级众多供应链节点企业参与,安全防护是一项系统性研究课题。本文在分析梳理ICT供应链安全现状的基础上,针对供应链面临的安全威胁,研究提出了ICT供应链安全防护总体框架,并进一步从供应链基础设施、供应链信息管理和供应链物资管理等角度提出了相应的安全防护机制,为ICT供应链安全防护工作的落地提供了参考和借鉴。
