美國于2021年5月12日發(fā)布了《關(guān)于改善國家網(wǎng)絡(luò)安全》的第14028號行政命令（以下簡稱“EO”），明確要求美國聯(lián)邦政府加強軟件供應(yīng)鏈安全管控。EO的第4節(jié)指示美國國家標(biāo)準(zhǔn)與技術(shù)研究所(以下簡稱“NIST”)征求私營部門、學(xué)術(shù)界、政府機構(gòu)等多方面的意見之后提供用于增強軟件供應(yīng)鏈安全性的相關(guān)標(biāo)準(zhǔn)、最佳實踐與指南等內(nèi)容?，F(xiàn)有的行業(yè)標(biāo)準(zhǔn)、工具和推薦的做法源自NIST的SP 800-161。 在EO發(fā)布之前，該指南的公共草案最初版本已經(jīng)發(fā)布，經(jīng)過意見征集與修改后于2022年5月5日發(fā)布最終版本。

SP 800-161名稱確定為《系統(tǒng)和組織的網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理實踐》（Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations），為組織提供了在建立供應(yīng)鏈內(nèi)外部網(wǎng)絡(luò)安全風(fēng)險管理能力的實踐參考。指南建議組織不僅要考慮正在使用的產(chǎn)品的漏洞，還要考慮其各個組件及使用過程中的漏洞，并且強調(diào)在采購流程中要考慮供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險。本文對該指南做內(nèi)容概述，為國內(nèi)網(wǎng)絡(luò)安全從業(yè)人員及關(guān)注者提供參考。

生態(tài)復(fù)雜，風(fēng)險與收益共存

ICT供應(yīng)鏈?zhǔn)且粋€全球分布的復(fù)雜生態(tài)系統(tǒng)，這個生態(tài)系統(tǒng)中包括采購方、供應(yīng)商、開發(fā)商、系統(tǒng)集成商、外部系統(tǒng)服務(wù)提供商和其他ICT/OT相關(guān)服務(wù)提供商等多種實體角色。供應(yīng)商可以提供系統(tǒng)及其組件、開源/定制軟件、運營支持服務(wù)、托管系統(tǒng)與服務(wù)等多種產(chǎn)品和服務(wù)。ICT供應(yīng)鏈的發(fā)展可以帶來節(jié)省成本、快速創(chuàng)新、產(chǎn)品功能多樣化以及供應(yīng)商的可選擇性等多種好處，但同時也可能在整個供應(yīng)鏈中引入新的網(wǎng)絡(luò)安全風(fēng)險。由于網(wǎng)絡(luò)安全風(fēng)險可能出現(xiàn)在軟件產(chǎn)品生命周期中的任何階段或供應(yīng)鏈中的任何環(huán)節(jié)，因此軟件產(chǎn)品中的代碼或與產(chǎn)品有關(guān)的供應(yīng)商都可能是潛在的安全風(fēng)險來源。

入企業(yè)風(fēng)險管理，采用多級管理

ICT供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險管理（C-SCRM）是一個幫助企業(yè)管理整個供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險的系統(tǒng)流程，是企業(yè)整體風(fēng)險管理的一部分。通過相關(guān)風(fēng)險管理活動可以識別業(yè)務(wù)中的關(guān)鍵系統(tǒng)、降低供應(yīng)鏈?zhǔn)軗p的可能性、提高運營效率、減少產(chǎn)品安全問題以及為客戶提供更可靠的服務(wù)。供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險來源于供應(yīng)商、供應(yīng)商的供應(yīng)鏈、以及供應(yīng)商提供的產(chǎn)品或服務(wù)。為了在企業(yè)中執(zhí)行風(fēng)險管理，建議采用NIST SP 800-39中的多級風(fēng)險管理方法，每個級別的風(fēng)險管理活動都包含來自多個學(xué)科（例如信息安全、采購、企業(yè)風(fēng)險管理、工程、軟件開發(fā)、IT等）的相關(guān)人員共同參與執(zhí)行，以便更好地持續(xù)改進(jìn) C-SCRM。此外，還可以設(shè)置專門的C-SCRM 項目管理辦公室，用于提供支持并推動落實。

加強安全意識，建立共享機制

為了成功應(yīng)對整個供應(yīng)鏈中不斷演變的網(wǎng)絡(luò)安全風(fēng)險，企業(yè)需要確定如何實施以及監(jiān)控其供應(yīng)鏈網(wǎng)絡(luò)安全的有效性。與此同時，需要進(jìn)一步確保內(nèi)部人員了解其在整個供應(yīng)鏈中管理網(wǎng)絡(luò)安全風(fēng)險的作用。通過培訓(xùn)讓員工意識到整個供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險可能對業(yè)務(wù)產(chǎn)生的潛在影響，以及如何采用最佳實踐來緩解風(fēng)險。

建立信息共享機制有助于評估自身做法并改進(jìn)風(fēng)險管理。在內(nèi)部共享供應(yīng)鏈風(fēng)險管理相關(guān)信息，加強與外部同行關(guān)于C-SCRM的交流，并納入到C-SCRM 計劃中，有助于更好地理解供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險，在交流中學(xué)習(xí)改進(jìn)，獲得減輕整個安全風(fēng)險相關(guān)的重要信息。此外，在采購流程中要考慮C-SCRM因素，增加對產(chǎn)品、服務(wù)及供應(yīng)商進(jìn)行風(fēng)險評估、識別相關(guān)的C-SCRM 控制、進(jìn)行盡職調(diào)查，并持續(xù)監(jiān)控供應(yīng)商。指南在關(guān)鍵實踐部分給出了基礎(chǔ)、持續(xù)和加強三個級別的實踐參考，并且強調(diào)應(yīng)優(yōu)先實現(xiàn)基本的成熟度，然后再提升額外的C-SCRM能力。

自主可控，降低供應(yīng)鏈安全風(fēng)險

指南中在列舉供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險時，提到代表民族或國家工作的代理商將惡意軟件插入供應(yīng)商提供的產(chǎn)品組件中，這些組件用于出售給政府機構(gòu)的系統(tǒng)中；或者代表機構(gòu)?作的系統(tǒng)集成商重復(fù)使用易受攻擊的代碼，導(dǎo)致關(guān)鍵數(shù)據(jù)遭到破壞，對國家安全造成影響。供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險可以影響企業(yè)的產(chǎn)品交付，導(dǎo)致客戶失去信任和信心；可以導(dǎo)致企業(yè)機密信息別竊取，失去競爭優(yōu)勢；甚至可以破壞關(guān)鍵信息基礎(chǔ)設(shè)施，影響國家安全。

黨中央和國務(wù)院高度重視關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全。習(xí)近平總書記曾經(jīng)指出，“供應(yīng)鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經(jīng)不起風(fēng)雨，甚至?xí)豢耙粨簟薄?/span>

網(wǎng)絡(luò)安全產(chǎn)品自主可控是保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要手段。天融信基于在網(wǎng)絡(luò)安全核心技術(shù)領(lǐng)域的深厚積累，以及與國產(chǎn) CPU、操作系統(tǒng)、數(shù)據(jù)庫、瀏覽器、中間件等信創(chuàng)產(chǎn)業(yè)鏈上下游廠商的深度合作，推動了國產(chǎn)化網(wǎng)絡(luò)安全生態(tài)體系建設(shè)。天融信持續(xù)推進(jìn)基于國產(chǎn)軟、硬件架構(gòu)的產(chǎn)品研發(fā)與適配工作，已取得970+項兼容性適配認(rèn)證。

基于國產(chǎn)軟硬件的天融信昆侖系列國產(chǎn)化產(chǎn)品已有 57類 196款型號，可以覆蓋云計算、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)、移動互聯(lián)等場景，在信創(chuàng)產(chǎn)品入圍中保持品類與型號數(shù)量領(lǐng)先，形成了國產(chǎn)網(wǎng)絡(luò)安全體系。目前產(chǎn)品與解決方案已在黨政、金融、能源、交通等 23 個行業(yè)實現(xiàn)規(guī)?；瘧?yīng)用，滿足了各行業(yè)客戶內(nèi)外網(wǎng)建設(shè)、國產(chǎn)化替代的項目建設(shè)需求，保障了客戶業(yè)務(wù)系統(tǒng)的安全可靠和穩(wěn)定運行。