01陈晓霖-供应链安全管理模式探索与发展.pdf

1、供应链安全管理模式探索与发展 公安部第三研究所 网络安全技术研发中心 陈晓霖全球供应链安全总体形势分析01供应链安全发展的立法与政策驱动02供应链安全监管的影响03供应链安全探索04供应链安全展望05直接引用该组件的开源软件仅有6700多个，但是间接引用的开源软件超过17万，近70%的企业线上业务系统受到影响。供应链安全总体发展形势随着开源技术应用、国际形势复杂、企业软硬件供应链的多样化，供应链各个环节的攻击事件数量急剧上升，已然成为企业乃至国家网络安全主要威胁。世界各地出现了越来越多的针对不同国家公共和私人企业机构的供应链攻击。供应链攻击使得传统漏洞攻击获得了“链式反应”，呈现出网状蔓延的态

2、势，放大了传统网络攻击效果。供应链的发展为供应链“投毒”提供了便利，也使得“预置后门”变得明目张胆，这其中既有供应商、开发者的自主行为，也有供应链被劫持后代码被篡改的被动行为。供应链环节的断供、停服、封禁等现象供应链断供行为在战时场景下尤为突出，并能够取得显著效果。近年来供应链典型攻击事件2016.112017.122018.062020.122021.012021.122023.022023.10华硕电脑 shadowwhammer 攻击事件中国XX银行源代码、数据泄露事件FireEye发现solar winds被植入后门友盟 SDK 未导出组件暴露漏洞半导体行业技术巨头Applied Ma

3、terials遭遇勒索 中国XX银行遭遇勒索Apache Log4j2 远程代码执行漏洞爆发OTA 厂商锐嘉科在设备中植入恶意软件影响范围广供应链安全 风险特征危害损失大隐蔽性强溯源困难传播性强攻击面广持续周期长攻击效率高供应链安全风险典型特征企业侧供应链安全现状企业供应链安全涉及众多环节，所面临的网络攻击面大，供需方需要应对更多的安全威胁*平均每个项目引入组件数*平均每个项目缺陷组件数*项目中存在开源许可证风险55190161开发环节生产过程开发环节交付及获取废止过程维护与使用交付环节使用环节企 业 供 应 链 安 全 环 节63%*平均每个项目存在漏洞数企业供应链建设常见的安全风险l关键软

4、件技术方面还无法实现完全自主研发可控l从国外引进的技术或软件产品，加大我国软件供应链安全出现威胁的可能性l无法摒除软硬件产品内预置后门l开源技术的高效率已经成为企业的主流选择l开放源码组件的广泛应用带来新的安全挑战l开发者自身水平不足容易产生软件安全漏洞l无法避免恶意人员向开源软件注入木马程序安全防护不足缺乏安全意识l开发者为了提高效率，实行“业务先行”模式l业务逻辑漏洞和第三方开源组件漏洞频发l员工在缺乏安全意识的情况下缺少对敏感数据潜在攻击的识别能力管理制度不完善安全评估缺失l企业软件供应链管理制度不完善，缺乏针对软件生产等重要环节的管控措施l部分企业开源代码管理机制尚不完善，随意使用开源

5、组件的现象屡见不鲜应对全球化高频攻击的国际举措美国国家标准与技术研究院（NIST）l政策：CNCI#11 全方位方法实施全球供应链风险管理l计划：ICTSCRM 供应链风险管理实践开发计划l实施：NISTSP800-161 联邦信息系统和组织供应链风险管理实践l指南：NISTIR7622 联邦信息系统供应链风险管理实践理论美国、俄罗斯、欧盟等国家和地区将信息通信技术（ICT）供应链保障上升到国家战略地位，尤其是美国在法律法规标准制度等方面，形成了较为完善的供应链安全风险管控体系。欧盟为了响应美国供应链安全管理战略，于2005年通过欧盟海关法修正案，要求货物在抵达欧盟边境前进行货柜安全信息风险分

6、析管控，以强化进出口通关安全。全球供应链安全总体形势分析01供应链安全发展的立法与政策驱动02供应链安全监管的影响03供应链安全探索04供应链安全展望05强合规监管深化供应链安全建设鞭子效力2 0 1 62 0 1 6 年2 0 2 02 0 2 0 年 1 11 1 月2 0 2 12 0 2 1 年 9 9 月2 0 1 92 0 1 9 年 5 5 月2 0 2 12 0 2 1 年 9 9 月2 0 2 12 0 2 1 年 1 01 0 月2 0 2 22 0 2 2 年 9 9 月征 求 意 见 稿 随着供应链各个环节的攻击次数急剧上升,危害急剧加大,国家对供应链安全的治理力度也在