ICT产品供应链安全现状分析与对策建议

这篇具有很好参考价值的文章主要介绍了ICT产品供应链安全现状分析与对策建议。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

本文尝试分析ICT产品供应链的安全背景、政策法规,并给出具体针对性的建议供ICT产品供应链的供需双方参考。

当今网络安全威胁和攻击的形式正在发生深刻的变化,已经从传统的网络安全领域逐渐扩展到供应链安全方向。ICT(信息通信技术)产品作为信息化中的重要组成部分,其供应链安全对整个信息化体系的安全稳定具有至关重要的影响。本文尝试分析ICT产品供应链的安全背景、政策法规,并给出具体针对性的建议供ICT产品供应链的供需双方参考。

ICT产品供应链安全定义

首先我们要了解ICT产品供应链的定义,根据理解GB∕T T36637—2018《信息安全技术 ICT供应链安全风险管理指南》,ICT产品供应链,是指为满足供应关系通过资源和过程将需方、供方互相连接的网链结构,可用于将ICT的产品提供给需方。而ICT产品供应链安全,需要有效管理ICT产品供应链生命周期的安全风险。

ICT产品供应链安全背景

随着全球数字化和AI人工智能的全面发展,供应链面临的安全风险和形势日益严峻,重要网络和关键信息基础设施供应链安全攻击逐年增多,传统安全防护措施难以防御。2020年12月,SolarWinds公司旗下Orion平台遭到黑客入侵。这是一次高度复杂的供应链攻击,也是一场全球性的黑客攻击。全球多个政府系统和数千个私人系统因此面临供应链安全威胁。2021年12月,Apache Log4j2组件被爆出存在远程代码执行漏洞,该漏洞导致全球所有使用了该组件的应用系统均面临严重威胁。2023年3月,有报道称英伟达的GPU固件被恶意篡改,以插入恶意代码。篡改者通过获取英伟达的固件文件,将其中的代码进行了修改,以在用户的计算机上运行恶意程序。从2019年起,美国制定出口管制“实体名单”,对我国ICT产品供应链造成很大影响。从上述案例可以看出,无论软件还是硬件,无论是自身漏洞导致还是供应链政策影响,供应链安全事件造成的影响均远大于普通的黑客攻击事件。

ICT产品供应链安全政策

面对ICT产品供应链的安全威胁和风险,美国、欧盟等国先后出台安全政策应对。欧盟通过网络安全法建立欧盟范围内的ICT产品和服务统一认证框架,确保欧盟所销售ICT产品和服务的完整性和真实性,软硬件中不存在已知的漏洞。美国通过发布行政令,禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务。NIST在NIST SP 800—53第五版中也将供应链风险管理(SCRM)作为一个新增的控制领域,可见供应链网络安全的重要程度。

在我国,《网络安全法》、《关键信息基础设施保护条例》、公网安1960号文等政策均对ICT供应链安全提出了安全要求。等级保护2.0在安全建设管理中,提出“网络安全产品采购和使用要满足国家的有关要求”、“外包软件交付前检测其中可能存在的恶意代码”等一系列对于ICT产品供应链的安全要求。GB T 39204—2022 《信息安全技术 关键信息基础设施安全保护要求》第7.9章节“供应链安全保护”对供应链安全管理策略、采购清单、供应方目录、采购渠道管理和保密协议等方面进行了规定和要求。GB/T 36637—2018 《信息安全技术 ICT供应链安全风险管理指南》也对ICT供应链安全风险管理给出了方法和指导。

我们在上篇文章重点对ICT产品供应链安全的定义、背景和政策法规进行了研究和分析,本篇根据研究成果,以及国家供应链安全相关政策和标准要求,结合我中心在供应链安全方面的经验积累和最佳实践,尝试给出ICT产品供应链安全的对策建议。

鉴于ICT产品供应链生命周期包含开发、生产、集成、仓储、交付等多个环节,供应链的链条过长,整个供应链条上的安全风险过多,如从供应链全生命周期进行安全建议过于宽泛,没有抓手,无法起到聚焦的作用。考虑到ICT产品最终均会在交付到最终运营者,无论ICT产品供应链任何环节出现安全风险,最后均体现在交付风险上,因此本文ICT产品供应链安全建议从运营者角度给出。

ICT产品供应链安全现状分析与对策建议,网安杂谈,安全

ICT产品供应链安全建议

ICT产品供应链安全从运营者角度来看,建议包括如下方面开展工作:

0建立ICT供应商管理机制

对供应商进行严格筛选,确保其在技术水平、生产能力、质量管理以及安全防护等方面达到一定要求。建立供应商数据库,记录供应商的历史表现和评价。关键ICT产品避免过于依赖单一供应商,通过多元化的供应链布局,降低供应链中断或单一环节故障带来的风险,保证供应链的弹性和韧性。

0建立ICT供应链资产库

系统性梳理ICT供应链中的所有资产,包括硬件设备、软件应用、数据资源、服务提供商等,对每项资产收集详尽的信息,如型号、版本、供应商信息、采购日期、保修期限、安全特性、软件许可证状态等。分析资产可能面临的各类安全风险,包括开源组件投毒、硬件篡改、软件漏洞等,并制定相应的风险缓解措施。建立资产更新和维护机制,定期对资产库进行校验和更新,确保资产信息的时效性和准确性。

0创新供应链安全检测技术

采用代码审计技术,对代码漏洞和隐患进行排查,利用软件成分分析(SCA)技术,识别和管理软件供应链中的开源组件,预防安全漏洞和许可证合规风险。采用电磁探测、微电子显微镜等物理检测技术,排查硬件产品的潜在篡改和恶意植入。结合人工智能、大数据等技术手段,实现供应链全程安全状态的实时监控和预警。

0加强供应链安全检查与评估

对供应链的各个环节进行定期的安全检查,包括供应商、生产制造、物流运输等,确保每个环节都符合安全要求。采用先进的检测评估技术手段,提高安全检查的效率和准确性。加强与第三方机构建立长期合作关系,共同推动供应链安全管理的持续改进。

结语

ICT产品供应链安全是一个复杂的系统性工程,需要供需双方、第三方以及监管方共同合作,甚至会上升到国与国之间的合作关系,因此本文关于ICT产品供应链的安全思考和建议仅以运营者角度思考供应链安全对策和建议,更多ICT产品供应链条上的威胁、风险和对策需要更广泛的讨论和思考。(王勇)

(本文图片来源于网络,非商业用途,如有侵权,请联系删除。)

声明:本文来自公安部网络安全等级保护中心,版权归作者所有。文章来源地址https://www.toymoban.com/news/detail-851082.html

到了这里,关于ICT产品供应链安全现状分析与对策建议的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 从传统供应链到数字供应链,浅析建筑业面临的发展现状

    供应链是流程、系统和实体的生态系统,随着全球供应链复杂性的增加,每个行业的发展都需要强大可靠的供应链管理工具、流程和人员。传统供应链只关注生产和供应,已经不能满足行业发展需求,而数字供应链关注客户的一般需求,也旨在提高交付给客户的产品的价值。

    2024年02月01日
    浏览(48)
  • 在线阅读版:《2023中国软件供应链安全分析报告》全文

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也

    2024年02月15日
    浏览(60)
  • 第67篇:美国安全公司溯源分析Solarwinds供应链攻击事件全过程

    大家好,我是ABC_123 。本期继续分享Solarwinds供应链攻击事件的第4篇文章,就是美国FireEye火眼安全公司在遭受攻击者入侵之后,是如何一步步地将史上最严重的Solarwinds供应链攻击事件溯源出来的。 注: Mandiant安全公司已被FireEye收购,但是仍然可以独立运营,严格地说的,这

    2024年02月03日
    浏览(45)
  • 微信小程序的物料产品采购供应链管理系统

    本论文主要论述了如何使用小程序与java语言开发一个微信小程序的供应链管理系统,本系统将严格按照软件开发流程进行各个阶段的工作,后台采用mysql数据库,面向对象编程思想进行产品开发。在引言中,系统将论述微信小程序的供应链管理系统的当前背景以及系统开发的

    2024年02月21日
    浏览(45)
  • 区块链与供应链数据分析:实现高效的供应链管理

    区块链技术的诞生与发展,为数字经济带来了深远的影响。在传统的中心化系统中,数据的传输和处理受到了中心化节点的限制,而区块链技术为数字经济带来了去中心化的特点,使得数据的处理和传输更加高效、安全和透明。在供应链管理领域,区块链技术的应用具有巨大

    2024年04月09日
    浏览(100)
  • 虹科分享 | 软件供应链攻击如何工作?如何评估软件供应链安全?

    说到应用程序和软件,是“更多”。在数字经济需求的推动下,从简化业务运营到创造创新的新收入机会,企业越来越依赖应用程序。云本地应用程序开发更是火上浇油。然而,情况是双向的:这些应用程序通常更复杂,使用的开放源代码比以往任何时候都包含更多的

    2024年02月07日
    浏览(54)
  • 5.供应链安全

    主要内容 ❖ 可信任软件供应链概述 ❖ 构建镜像Dockerfile文件优化 ❖ 镜像漏洞扫描工具:Trivy ❖ 检查YAML文件安全配置:kubesec ❖ 准入控制器: Admission Webhook ❖ 准入控制器: ImagePolicyWebhook 可信任软件供应链概述 可信任软件供应链:指在建设基础架构过程中,涉及的软件都

    2024年02月05日
    浏览(68)
  • 供应链安全应该掌握哪些呢

    整理了供应链安全相关的内容,涵盖了普及应用安全、信息安全意识的内容,这些内容可以面向企业全部员工进行讲解。后面包括了面向开发人员、测试人员、安全人员的内容,包括应用安全开发、供应链安全。面向架构人员的架构安全内容,后面又包括了威胁建模方法及流

    2024年02月01日
    浏览(56)
  • 谷歌的开源供应链安全

    本内容是对Go项目负责人Russ Cox 在 ACM SCORED 活动上 演讲内容 [1] 的摘录与整理。 SCORED 是 Software Supply Chain Offensive Research and Ecosystem Defenses 的简称, SCORED 23 [2] 于2023年11月30日在丹麦哥本哈根及远程参会形式举行。 摘要 💡 谷歌在开源软件供应链安全方面的工作 🔐 介绍供应链安

    2024年02月03日
    浏览(70)
  • 信息安全-应用安全-蚂蚁集团软件供应链安全实践

    8月10日,由悬镜安全主办、以“开源的力量”为主题的DSS 2023数字供应链安全大会在北京·国家会议中心隆重召开。蚂蚁集团网络安全副总经理程岩出席并发表了《蚂蚁集团软件供应链安全实践》主题演讲。 图1 蚂蚁集团网络安全副总经理程岩发表主题演讲 以下为演讲实录:

    2024年02月10日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包