《中国信息安全》丨黄敏：加强软件供应链安全 护航数字中国

为庆祝中国共产党成立100周年，贯彻习近平总书记总体国家安全观和网络强国思想，《中国信息安全》杂志刊印了“网络安全百人 献礼建党百年”的主题增刊，旨在宣传和展示国家网络安全与信息化工作国家顶层设计、法律法规等建设成果，为建党100周年献礼。威努特党支部书记黄敏作为网络安全行业优秀党员和优秀人才代表，受邀为增刊撰写文章《加强软件供应链安全 护航数字中国》。以下为文章全文：

“ 十四五” 规划纲要第五篇提出“加快数字化发展，建设数字中国”，而“数字化”离不开网络安全，所以，规划纲要第十八章第三节明确提出“加强网络安全保护”。随着等级保护、关基保护工作的持续推进，我国网络安全防护水平持续提高，但我国网络安全防护体系尚存在较大的盲区，“建设数字中国”尚存在较大隐患。

当前，我国供应链安全政策或标准主要有网络安全等级保护 2.0 标准和《网络安全审查办法》，以及 GB/T36637-2018《信息安全技术 - ICT 供应链安全风险管理指南》。

另外，还有在编的国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》《信息安全技术 信息技术产品供应链安全要求》等。这些法规和标准对服务供应商的选择和安全管理、安全性检测、供应链的管理和审查、产品采购和使用等都做出了指导以及规定。

等级保护 2.0 主要从管理和技术两个方面保证供应链安全。但是，管理上怎么监督检查供应商是否履行了网络安全义务，尤其是供应商的开发、生产网络的安全防护义务，往往超出了甲方的能力范围。技术上的安全检测，受限于检测技术的能力，不可能发现所有的安全隐患，尤其是“太阳风”（SolarWinds）攻击事件中带有供应商官方签名的程序通常是被信任的。所以，当前的等级保护要求，难以避免 SolarWinds 攻击事件的发生。

《网络安全审查办法》是针对关键信息基础设施（CII）运营者的。其中第五条规定：运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

但是，当前网络安全审查的具体执行方法，尤其是技术检测如何执行还不明确。同样受限于检测技术的能力，对受信任的供应商的产品中隐藏的高级后门（类似 SolarWinds 攻击事件中来自供应商官方、带有供应商官方签名的程序），安全审查也不一定都能发现。

《信息安全技术 - ICT 供应链安全风险管理指南》规定了 ICT 供应链的安全风险管理过程和控制措施。技术安全措施包括物理与环境安全、系统与通信安全、访问控制、标识与鉴别、供应链完整性保护和可追溯性几个方面；管理安全措施涉及制度和人员管理、供应链生命周期管理、采购外包和供应商管理。该指南内容比较全面，但没有和网络安全等级保护 2.0标准等强监管标准衔接上，落地难度比较大。此外，自主可控不能有效解决 SolarWinds 类攻击。

SolarWinds 是一家美国 IT 基础设施管理软件公司，SolarWinds Orion IT 管理软件对美国来说是一款自主可控的产品，攻击者正是利用了美国政府和企业对SolarWinds Orion IT 管理软件的信任，得以顺利实施攻击。

随着等级保护、关基保护工作的持续推进，我国关键信息基础设施的安全防护能力将得到显著提升，攻击者直接攻击关键信息基础设施的难度将越来越大，那么，关键信息基础设施的供应商（包括一级供应商到 N 级供应商）将很可能成为网络安全“木桶理论”中的短板，受到攻击者越来越多的重视。

所以，加强对关键信息基础设施的供应商的网络安全要求非常有必要。例如，对关键信息基础设施的供应商，必须也按照关保要求进行自身网络的安全防护；对等保三级 / 四级的供应商，必须也按照等保三级 / 四级要求进行自身网络的安全防护。