从美国“国家网络安全的总统行政命令”，谈供应链安全风险应对

美国于2021年5月12日发布了《关于改善国家网络安全》的第14028号行政命令（以下简称“EO”），明确要求美国联邦政府加强软件供应链安全管控。EO的第4节指示美国国家标准与技术研究所(以下简称“NIST”)征求私营部门、学术界、政府机构等多方面的意见之后提供用于增强软件供应链安全性的相关标准、最佳实践与指南等内容。现有的行业标准、工具和推荐的做法源自NIST的SP 800-161。 在EO发布之前，该指南的公共草案最初版本已经发布，经过意见征集与修改后于2022年5月5日发布最终版本。

SP 800-161名称确定为《系统和组织的网络安全供应链风险管理实践》（Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations），为组织提供了在建立供应链内外部网络安全风险管理能力的实践参考。指南建议组织不仅要考虑正在使用的产品的漏洞，还要考虑其各个组件及使用过程中的漏洞，并且强调在采购流程中要考虑供应链网络安全风险。本文对该指南做内容概述，为国内网络安全从业人员及关注者提供参考。

1

//  生态复杂，风险与收益共存

ICT供应链是一个全球分布的复杂生态系统，这个生态系统中包括采购方、供应商、开发商、系统集成商、外部系统服务提供商和其他ICT/OT相关服务提供商等多种实体角色。供应商可以提供系统及其组件、开源/定制软件、运营支持服务、托管系统与服务等多种产品和服务。ICT供应链的发展可以带来节省成本、快速创新、产品功能多样化以及供应商的可选择性等多种好处，但同时也可能在整个供应链中引入新的网络安全风险。由于网络安全风险可能出现在软件产品生命周期中的任何阶段或供应链中的任何环节，因此软件产品中的代码或与产品有关的供应商都可能是潜在的安全风险来源。

2 融入企业风险管理，采用多级管理

ICT供应链网络安全风险管理（C-SCRM）是一个帮助企业管理整个供应链网络安全风险的系统流程，是企业整体风险管理的一部分。通过相关风险管理活动可以识别业务中的关键系统、降低供应链受损的可能性、提高运营效率、减少产品安全问题以及为客户提供更可靠的服务。供应链中的网络安全风险来源于供应商、供应商的供应链、以及供应商提供的产品或服务。为了在企业中执行风险管理，建议采用NIST SP 800-39中的多级风险管理方法，每个级别的风险管理活动都包含来自多个学科（例如信息安全、采购、企业风险管理、工程、软件开发、IT等）的相关人员共同参与执行，以便更好地持续改进 C-SCRM。此外，还可以设置专门的C-SCRM 项目管理办公室，用于提供支持并推动落实。

3 加强安全意识，建立共享机制

为了成功应对整个供应链中不断演变的网络安全风险，企业需要确定如何实施以及监控其供应链网络安全的有效性。与此同时，需要进一步确保内部人员了解其在整个供应链中管理网络安全风险的作用。通过培训让员工意识到整个供应链中的网络安全风险可能对业务产生的潜在影响，以及如何采用最佳实践来缓解风险。

建立信息共享机制有助于评估自身做法并改进风险管理。在内部共享供应链风险管理相关信息，加强与外部同行关于C-SCRM的交流，并纳入到C-SCRM 计划中，有助于更好地理解供应链网络风险，在交流中学习改进，获得减轻整个安全风险相关的重要信息。此外，在采购流程中要考虑C-SCRM因素，增加对产品、服务及供应商进行风险评估、识别相关的C-SCRM 控制、进行尽职调查，并持续监控供应商。指南在关键实践部分给出了基础、持续和加强三个级别的实践参考，并且强调应优先实现基本的成熟度，然后再提升额外的C-SCRM能力。

4 自主可控，降低供应链安全风险

指南中在列举供应链网络安全风险时，提到代表民族或国家工作的代理商将恶意软件插入供应商提供的产品组件中，这些组件用于出售给政府机构的系统中；或者代表机构⼯作的系统集成商重复使用易受攻击的代码，导致关键数据遭到破坏，对国家安全造成影响。供应链网络安全风险可以影响企业的产品交付，导致客户失去信任和信心；可以导致企业机密信息别窃取，失去竞争优势；甚至可以破坏关键信息基础设施，影响国家安全。

党中央和国务院高度重视关键信息基础设施的供应链安全。习近平总书记曾经指出，“供应链的‘命门’掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击”。

网络安全产品自主可控是保障关键信息基础设施安全的重要手段。天融信基于在网络安全核心技术领域的深厚积累，以及与国产 CPU、操作系统、数据库、浏览器、中间件等信创产业链上下游厂商的深度合作，推动了国产化网络安全生态体系建设。天融信持续推进基于国产软、硬件架构的产品研发与适配工作，已取得970+项兼容性适配认证。

基于国产软硬件的天融信昆仑系列国产化产品已有 57类 196款型号，可以覆盖云计算、大数据、工业互联网、移动互联等场景，在信创产品入围中保持品类与型号数量领先，形成了国产网络安全体系。目前产品与解决方案已在党政、金融、能源、交通等 23 个行业实现规模化应用，满足了各行业客户内外网建设、国产化替代的项目建设需求，保障了客户业务系统的安全可靠和稳定运行。

TOPSEC

当今世界大国间战略博弈日趋激烈，围绕关键信息基础设施的网络攻防已成为网络空间高烈度对抗的主战场。天融信作为国内首家网络安全企业，将始终以捍卫国家网络空间安全为己任，创新超越，致力于成为民族安全产业的领导者、领先安全技术的创造者、数字时代安全的赋能者。