软件供应链是一个全球分布的、具有供应商多样性、产品服务复杂性、全流程覆盖等诸多特点的复杂系统,在软件供应链各个供应活动中均可能引入安全隐患,导致软件漏洞、软件后门、恶意篡改、假冒伪劣、知识产权风险、供应中断、信息泄露等安全风险。
随着软件的复杂度不断提高,软件产品内部开发过程中产生的以及从上游继承的软件漏洞无法避免,这些软件漏洞可能被攻击者利用,对软件以及计算机系统造成严重的安全风险。
在此背景下,近日,全国信息安全标准化技术委员会发布了《信息安全技术 软件供应链安全要求》(征求意见稿)(以下简称《安全要求》)。
《安全要求》给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求;适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理,可为第三方机构开展软件供应链安全测试和评估提供依据,也可为主管监管部门提供参考。
《安全要求》指出,软件供应链安全目标是识别和防范供应关系和供应活动中面临的安全风险,提升软件供应链安全保障能力,主要包括:
- 提升软件产品或服务中断供应等风险管理能力:识别和防范供应关系建立及供应活动中软件产品和服务供应中断的管理安全风险,提升软件供应链的韧性,当软件供应链中断或部分失效时,能够保障业务持续稳定运行;
- 提升供应活动引入的技术安全风险管理能力:识别和防范由于供应关系或供应活动变化导致的软件漏洞、后门、篡改、伪造等技术安全风险,提升软件供应链的可追溯性、安全性,一旦发现上述风险,可以快速有效追溯和修复;
- 提升软件供应链数据安全风险管理能力:识别和防范供应关系和供应活动中存在的数据泄露、数据篡改、非法访问等安全风险,提升软件供应链数据安全保护能力,防止软件供应链的数据泄露给未授权者;
针对组织管理,《安全要求》提出相应的安全要求。
机构管理:
- 需方应明确软件供应链安全管理机构,明确其职责及人员,并提供用于软件供应链安全管理的资金、资产和权限等可用资源,保障软件供应链安全管理工作顺利执行;
- 需方应组织开展常态化软件供应链实体要素识别,以及供应关系、供应活动的安全风险识别、处置和防范等工作,组织构建并管理软件构成图谱(见附录B),充分掌握组织的软件供应链安全风险;
- 需方应持续加强软件供应链安全能力建设,包括但不限于供应关系管理,软件供应链实体要素识别,软件供应链风险识别、响应及防范等能力,持续提升自身软件供应链安全保障能力;
- 对于重要组织或场景,例如关键信息基础设施运营者等,需方宜设立专职的软件供应链管理机构,根据a)至c)条款开展全流程软件供应链安全管理工作。
制度管理:
- 需方应围绕软件供应链风险识别和防范明确软件供应链安全的总体方针、安全制度和策略,包括但不限于开展软件供应链安全监督、管理和检查等内容,并及时修订更新;
- 需方应制定软件供应关系的安全管理制度,包括但不限于自主研发软件、现货类软件、定制开发软件等相关供应关系的风险管理制度、流程或机制;
- 需方应制定软件供应活动的安全管理制度,包括但不限于软件采购、交付、运维等软件供应活动的风险管理制度、流程或机制;
- 需方应制定软件供应链参与人员的管理制度或机制,包括但不限于人员权限、能力、资质、背景、技能培训等内容;
- 需方应制定知识产权管理制度,包括但不限于专利、软件著作权、许可协议等内容;
- 需方应制定软件供应链安全风险的持续监测、风险评估和事件响应制度,包括但不限于应急处理流程、系统恢复流程等内容;
- 需方应明确不同等级安全事件的报告、处置和响应流程和机制,规定安全事件的现场处理、事件报告和后期恢复等要求;
- 对于重要组织或场景,例如关键信息基础设施运营者等,需方宜制定全流程软件供应链软件安全监管制度,覆盖软件供应链的全部供应活动。
人员管理:
- 需方应明确软件供应链安全保障人员及其需具备的软件供应链实体要素的识别和安全风险管理能力,包括但不限于软件资产识别分析、完整性保护以及软件漏洞和后门分析等;
- 需方应划分软件供应链各供应活动参与人员的职责定位、权限级别,并建立操作规范,创建操作日志;
- 需方应定期开展软件供应链安全培训,培训内容包括但不限于a)、b)中涉及的内容;
- 对于重要组织或场景,例如关键信息基础设施运营者等,需方宜配置软件供应链安全保障团队,根据需要开展相关人员的背景调查工作;
- 对于重要组织或场景,例如关键信息基础设施运营者等,需方宜要求安全保障人员具备防范全流程软件供应链安全威胁的能力,如软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析等。
点击下方阅读原文,获取《信息安全技术 软件供应链安全要求》全文。