【网安智库】ICT供应链安全评价技术研究综述(4)
时间:2018-11-05 20:47 来源:网络整理 作者:墨客科技 点击:次
其次ICT 产品和服务可能存在研发、交付、技术支持等环节面临着周期加长、服务质量下降甚至中断的风险。因为产品的关键部件严重依赖于外部提供商,又不存在替代方案,必然导致话语权的丧失。 其次,外部不可控的产品和服务可能存在数据过度收集、非法采集的风险,从而引发侵犯个人信息隐私和泄露重要数据等问题。最后,由于长期和不可替代的依赖于外部提供的产品和服务,自己不具备自主可控性,就会面临着产品和服务提供商利用其垄断或优势地位实施的不正当竞争或损害用户利益的风险。 综上,ICT 产品和服务的安全威胁复杂多样,从而导致安全风险多发频发,亟需引起ICT 供应链各方的重视,不断加强风险防控,提高安全防护和应对能力。 针对我国相关工作的建议 通过梳理上述各国针对ICT 供应链安全评价的战略政策、标准规范,结合ICT 产品和服务可能面临的安全风险,本部分尝试对我国工作提出相关建议。 建立多部门参与的ICT 供应链安全监管制度 我国ICT 供应链国家安全监管制度应当确立“合作包容”的理念。审查过程必须联合有关业务和安全主管部门,打组合拳,共同进行科学的战略规划与统筹布局,把ICT 供应链安全监管作为国家网络安全战略的重要组成部分,从顶层设计和战略性高度着力应对。 同时,借鉴信息技术发达国家的有益经验,建立健全我国的ICT 供应链安全监管体系。一是加强宏观的国家层面安全监管体系建设,强化立法协调、政策制定和战略规划;二是加强安全监管行业建设,统筹各方力量,制定相应的规章制度,加强行业的建设与管理;三是加强安全监督执行单位的内部管理,加强安全评估单位内部的规范化建设。 加护制定发布ICT 供应链安全管理标准 NIST SP80-161 的制定借鉴了SP 800-39 和SP800-53中有关ICT供应链风险管理的方法学,参考了SP 800-39 中提出的多层次的风险管理结构及方法,对SP800-53 中已有的控制措施进行了补充说明和个性化调整。 建议充分借鉴和参考ISO、NIST 等相关工作,结合我国ICT 供应链安全评价的实际工作,制定适合我国国情的ICT 供应链安全评价标准,重点涵盖针对大数据、移动互联网、工业互联网、物联网等新技术新应用的供应链风险管理。同时,标准制定过程中需要注重两方面工作:一方面加强与国家社会的沟通协调,尽量与国家通用标准保持一致;二是保持与我国现有法律法规、标准体系的一致性,比如关键信息基础设施安全保护制度、信息安全产品认证认可制度等。 综合考虑ICT 供应链产品和服务的特点 根据分析对象的不同,ICT 供应链安全可以划分为ICT 产品供应链安全与ICT 服务供应链安全,两者在技术风险控制点、供应链安全管理和法律规制等方面存在着若干的不同特点。然而在ICT 供应链安全风险评价理论、方法、流程、工具等方面又是基本类同的。因此在实际的供应链安全评价工作中,应当统筹分析两者的使用场景、评价对象、评价目的等,兼顾两者的特点,全面客观有效的分析供应链全生命周期中可能存在的风险,进而提出相关的应对措施,并对应对措施的实施效果进行监督评价。 建强ICT 供应链安全评价人才队伍建设 ICT 供应链安全风险评价的每个环节,都需要依靠专业人员完成,因此,必须培养和打造一支懂技术、懂管理的ICT 供应链安全评价专业力量,推进全国范围内ICT 供应链安全评价整体力量建设。 可以参考借鉴美国根据《国家网络安全计划》(NICE)、《网络安全国家行动计划》(CNAP)制定的《联邦网络安全人才战略》的相关内容,制定我国的ICT 供应链安全评价与监管人才战略与实施计划,具体从以下3 个方面展开工作:一是确定ICT 供应链安全评价与监管的专业人才需求;二是通过教育与培训扩充评价与监管专业人才队伍;三是开发、保留与使用好该领域高技能专业人才。 结语 ICT 供应链安全风险评价是一项十分重要的工作,事关网络安全与国家安全。本文从战略政策角度系统梳理了美国、欧盟、俄罗斯等信息技术发达国家的研究现状;从标准规范角度梳理了ISO、NIST 以及我国标准化委员会的相关工作,并分析了ICT 产品和服务供应链可能存在的安全风险点。 结合我国工作实际,从制度建立、标准制定、工作开展和人才培养等维度提出了对我国ICT供应链安全风险评价工作的建议。 为便于排版,已省去原文注释 作者 >>> 李祥兵,安阳市公安局网络安全保卫支队支队长,硕士,主要研究方向为网络安全测评; 王光林,安阳市公安局网络安全保卫支队总工程师,硕士,主要研究方向为网络与系统安全管理; 孙志伟,工程师,安阳市公安局网络安全保卫支队副支队长,学士,主要研究方向为网络信息安全管理; 李科,安阳公安局网络安全保卫支队办公室主任,学士,主要研究方向为网络信息安全管理; 权晓文, 远江盛邦(北京)网络安全科技股份有限公司高级系统分析师,硕士,主要研究方向网络与系统安全; 黄锐,远江盛邦(北京)网络安全科技股份有限公司助理工程师,大专,主要从事方向为Web 应用安全。 原创声明 >>> 本微信公众号刊载的原创文章,欢迎个人转发。未经授权,其他媒体、微信公众号和网站不得转载。 ··························································· (责任编辑:admin) |