打开文本图片集
摘要:信息通信技术(ICT)的提供方和运营者,其ICT供应链具有的风险和脆弱性事关国家的网络安全。文章对国内外ICT供应链安全风险管理监管政策进行了分析,同时跟踪探讨了当前主流技术标准的发展情况,针对目前在金融行业的实践,尝试提出了一些建议,为今后深入研究金融行业ICT供应链风险管理和风险评估技术提供了依据。
关键词:ICT供应链;风险管理;综述
中图分类号:TP309 文献标识码:A
1 引言
在ICT采购全球化的趋势下,信息通信技术(Information and Communications Technology,ICT)供应链安全是一个影响范围极大的全球性问题。ICT供应链安全与国家安全间的关系愈发密切,在全球范围内,美国、欧盟、中国等国家先后将ICT供应链安全置于国家安全战略层面来研究[1]。
然而,ICT供应链的安全性需要综合考虑供应商多样性、产品服务复杂性、全生命周期覆盖性三个维度的特性。任何一个维度的任一环节出现问题,都可能造成ICT产品、系统或服务不安全,进而导致ICT供应链安全风险。因此,与传统领域的实体供应链相比,ICT供应链面临的安全风险更为复杂多变,更为多样化[2]。
欧美发达国家在ICT供应链领域起步早。例如,美国政府问责局(Government Accountability Office,GAO)2012年发布报告对ICT供应链安全风险及其脆弱性进行了定义。报告认为,通过ICT供应链实施网络产品和服务采购具有自身的脆弱性,包括经由独立的分销商、经纪人或灰色市场进行信息技术产品或组件的采购,ICT供应链缺乏充分的软件更新和补丁测试,供应商信息不完整,使用不安全的供应和存储机制等[3]。
我国近年来高度重视网络安全,陆续发布了针对关键基础设施安全,以及ICT供应链安全的相关政策法规和技术标准。各国技术专家充分重视到ICT供应链安全对关键基础设施的影响,积极开发技术管理规范和标准。本文跟踪了各国在该领域的标准化发展形势,并针对目前ICT供应链安全风险管理标准化的现状进行了分析和综述。从技术角度分析,目前ICT供应链标准的发展,有助于识别组织ICT供应链条上的厂商及消费者对产品和服务的安全性技术差距,推动建立安全可信的ICT供应链体系有着非常重要的意义。
2 国内外ICT供应链安全风险管理政策分析
2.1 美国
从2000年起,为保障供应链的安全,美国国家安全系统委员会发布《国家信息安全保障采购政策》;布什政府于2002年起草国家信息安全战略,开始重视供应链与信息安全风险的关系;2006年,美国国家科技委员会发布了《联邦网络安全和信息保障研究计划》;2008年,美国发布国家网络安全综合计划(CNCI),强调建立全方位措施以进行全球供应链风险管理,将ICT供应链安全问题上升到国家威胁和国家对抗的层面;2009年,奥巴马政府时期发布《美国网络安全空间安全政策评估报告》,将ICT供应链安全纳入国家安全范畴;2016年,奥巴马总统直属的美国国家网络安全促进委员会发布了《加强国家网络安全——促进数字经济的安全与发展》报告,第9条强调了供应链安全的重要性;2017年,美国国土安全部提出了新供应链风险管理计划持续诊断与缓解项目CDM,该项目重视物理安全,且旨在通过产品、服务等认证认可的方式强化供应链安全[2]。
2.2 欧盟
欧盟委员会(European Commission)在2005年提出了在信息通信和服务工作中,要特别重视供应链中各利益相关方对可信、可靠的保密的要求。欧盟内部通过制定通用的供应链产品和服务安全要求的方式,加强供应链安全管理,强化市场手段和企业力量的利用。2012年,欧盟出台了《云计算合同安全服务水平监测指南》,针对云计算服务这一新技术新应用,通过检测、核查等技术手段加强云计算合同的安全管理。欧洲ENISA在2015年发布了关于ICT供应链完整性的报告《综述ICT供应链的风险、挑战及未来展望》[4],ICT 供应链完整性是国家经济发展的关键因素,提高供应链完整度对公共和私营部门意义重大。
欧洲议会2016 年通过了《网络与信息安全指令》[5],提出了供应链安全管理方面统一的安全保障要求,指令旨在监督成员国在欧盟范围内建立有效的信息共享和统一的网络安全协作机制,增强抵御网络攻击的能力,维护网络空间的稳定性,保障和提升消费者对网络服务的信心及信任。
2.3 中国
与发达国家相比,我国面临的互联网技术的高速发展,ICT供应链安全形势十分严峻。一方面,来自国外的互联网攻击与日俱增;另一方面,我们国家的关键基础设施比较落后,自主可控的安全保障能力不足。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,其中提到“保护关键基础設施建立实施网络安全审查制度,加强供应链安全管理”,为实施我国ICT供应链安全管理奠定了政策基础。2017年6月1日,《中华人民共和国网络安全法》正式实施,明确了包括网络产品和服务在内的ICT产业应朝着安全可信的方向发展。同时,为保障国家安全,关键信息基础设施运营者应当在采购等环节落实国家网络安全审查政策,将供应链的安全性和可控性作为采购环节的重要参考点,满足网络产品和服务安全可信的需求,提高信息通信产业安全可控水平。
另外,值得一提的是,国内知名安全厂商,如华为,每年发布网络安全白皮书,2016年提出“在全球ICT供应链中强化信任”[6]。通过推动建设全球供应链网络安全技术标准,传递信任,构建从端到端、可信赖的全球网络安全保障体系。
3 国内外ICT供应链标准化的研究分析
3.1 NIST美国标准技术研究院
(1)NISTIR 7622[7]
NISTIR 7622为美国国家标准与技术研究院(NIST)的网络供应链风险管理实践指南。NIST的Jon Boyens等人分别于2010年和2012年出版了两个版本的NISTIR 7622,旨在为联邦政府和机构提供一套可重复的、商业上合理的供应链保证方法和实践,提供一种在当时整个信息通信技术供应链中获得更高层次的理解、可见性、可追溯性和控制的方法;旨在提高在整个ICT系统、产品和服务的生命周期中战略性地管理相关信息和通信技术(ICT)供应链风险的能力。
NISTIR 7622属于拟定的机构间的报告(IR),具有一定的实践意义,但它并不提供具体的合同语言、威胁评估、完整的供应链安全保障方法或技术来降低供应链风险,而是可执行的实例。建议将这些实践用于(FIPS)199[8]高影响级别的信息系统,ICT供应链风险管理应该明确嵌入到采购进程中来分析潜在的供应链风险、实施额外的安全控制和供应链管理实践。其基本思想是,重要信息系统及其组件将面临攻击者带来的越来越大的供应链攻击风险。这是因为技术更加复杂,而信息系统基础设施、供应商和攻击者的快速全球化,加大了这种风险。该标准支持了NIST SP 800-53修订版4中扩大的ICT SCRM实践集。
(2)NIST SP800-161[9]
在NISTIR 7622工作的基础上, NIST于2013年发布《联邦信息系统和组织的供应链风险管理实践指导草案》,美国标准技术研究院于2015年正式发布了NIST SP800-161《联邦信息系统供应链风险管理实践标准》,为联邦机构提供关于识别、评估、选择和实施风险管理流程的指导,并在其整個组织中减轻控制,以帮助管理ICT供应链风险。
NIST SP800-161标准也就是常说的ICT SCRM标准,ICT SCRM包括系统开发生命周期中的研究和开发活动,包括组织的ICT产品(软硬件)和服务的设计、制造、采购、交付、集成、运营和处置,关注ICT SCRM的四大支柱—安全性、完整性、弹性和质量的相关重叠部分来实施风险管理。基于已有的风险管理标准和成功经验,既包括国际标准,还包括质量管理、可靠性计划以及供应商管理等全面的控制流程,主要实践如表1所示。
3.2 ISO国际标准化组织
(1)ISO 28000系列标准
2007年,ISO28000供应链安全管理体系系列标准由公开提供的规格升级为完善的国际标准,有助于减低供应链内人员及货物的风险。这些标准解决了供应过程中所有阶段的潜在安全问题,从而针对恐怖主义、欺诈和海盗等威胁。ISO 28000是一个通用的管理规范,用于配合维护国际贸易安全畅通的各种国际倡议,包括安全风险评估和计划、有效实施和运行、检查和纠正措施及管理评审。同ISO 9001和ISO14001类似,即要求组织机构在识别环境风险后,制定相应的目标、指标和计划,把其运作带来的环境影响最小化[10]。除了ISO28000标准外,还有配套实施系列标准,如表2所示。
(2)ISO/IEC 27005标准
ISO/IEC27005 是ISO/IEC 27000 标准族中非常重要的信息安全风险管理方法论的标准。在ISO/IEC 27000 标准族中,ISO/IEC 27001 和ISO/IEC 27002 也对其进行了引用。例如,ISO/IEC 27002:2013 的 0.2 中指出,ISO/IEC 27005 提供了信息安全风险管理指南。此外,ISO/IEC 27034-1、ISO/IEC27034-3、ISO/IEC 27033-1 和ISO/IEC 27040 等标准中都引用了ISO/IEC 27005 来规范信息安全风险管理的过程[11]。
(3)ISO/IEC 27036标准体系
ISO/IEC27036是ISO/IE27000标准族中专门关注供应关系信息安全的标准,本质是应用系统和软件工程架构的关于供应商关系管理的信息安全要求和指南[12]。
ISO/IEC 27036 标准体系由多个标准集合而成,用于评价和处理供应商在提供服务或产品过程中可能面临的信息安全风险,如表3所示。
(4)ISO/IEC 20243
ISO/IEC 20243-2015信息技术 开放可信技术供应商标准(O-TTPS) 减轻恶意污染和假冒产品标准(以下简称ISO/IEC 20243),是2015年国际标准化组织(ISO)和国际电工委(IEC)联合发布的。这个标准的重要性在于提出保障商用现货(COTS)信息通信技术(ICT)产品在生命周期内完整性、安全性的最佳实践和技术要求,是针对ICT软硬件产品供应商在技术研发及供应链过程安全的第一项国际标准。2018年进行了修订,最大的变化是由原来的一个标准派生出了两个标准,具体如表4所示。
3.3 国内标准化委员会相关工作研究
2012年的国家标准编制项目,名为“信息安全技术ICT供应链安全风险管理指南”正式立项,依据GB/T 31722《信息技术 安全技术 信息安全风险管理》的指导,调研了国内外技术标准的成果,针对ICT供应链的特点,细化ICT供应链安全风险管理的过程和控制措施。2018年10月GB/T 36637-2018 《信息安全技术 ICT供应链安全风险管理指南》正式发布,适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链进行安全风险管理,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理,同时还供第三方测评机构对ICT供应链进行安全风险评估时参考[13]。
3.4 其他可参考的标准
标准可以传递信任和公平,推动ICT供应链上产品和服务的控制,还有几个值得关注的标准。
(1)ISO/IEC 15026标准:为了应对软件和系统的缺口风险,提供了一系列术语、确保案例和软件完整性、生命周期确保,标准共分为四个部分。
(2)ISO/IEC/IEEE 15288标准:建立了一个通用的过程描述框架,用于描述创建的系统的生命周期。它从工程的角度定义了一组过程和相关术语。这些过程可以应用于系统结构层次结构中的任何级别。这些过程的选定集可以应用于整个生命周期,用于管理和执行系统生命周期的各个阶段。
3.5 比较与分析
世界各国范围内对于ICT供应链风险管理的研究如火如荼。对标准研究而言,目前主要分为通用型与行业应用型。通用型标准解决的是事物普遍广泛遵循的原则;行业或技术应用型标准解决的是行业或技术领域特有的问题和方法,在一定范围内达成共识或解决一部分问题。本文对国内外主要ICT供应链管理标准进行了梳理,并对主要特点、适用范围、解决问题等方面进行了比较分析,具体如表5所示。
综上,我国在ICT供应链安全的标准研究方面比国外稍晚,由于方方面面的原因,我国暂未建立较为完善的供应商、ICT产品和服务、供应链管理审查体系。一方面,国家需要先解决关键基础设施和重要信息系统的ICT供应链管理问题;另一方面,各行业面临的ICT供应链的特点不一样,ICT产品和服务不一样,面临的风险问题也不一样,需要逐步识别和改善。
4 ICT供应链安全风险管理在金融机构的应用建议
信息和通信技术(ICT)风险的复杂性日益增加,与ICT相关的事件(包括网络安全事件)发生频率不断上升,并可能对金融机构的运营产生重大不利影响。此外,由于金融机构之间的相互联系,信息通信技术相关事件有可能造成潜在的系统性影响。金融行业作为我国的关键基础设施,除了关注投资人良好的系统风险和回报的平衡,还需要关注整体自身面临的整体系统风险和非系统风险。同时,因为要接受严格监管,世界上所有的政府都希望本国金融机构稳健,因此也同样需要应对来自金融行业的ICT供应链的威胁和脆弱性。基于目前的研究进展,尝试提出我国金融机构应对ICT供应链风险管理的建议。
4.1 加强行业监管政策研究
国际上,2016年10月,欧洲银行管理局(EBA)在监督审查和评估流程(SREP)下发布了关于信息通信技术(ICT)风险管理指南文件[14]。 准则草案针对主管当局,旨在促进评估ICT风险的共同程序和方法。
美国货币监督署(OCC)对国家银行和联邦储蓄协会(FSA)进行特许、监管和监督,对外国银行的联邦分支机构进行执照和监督,该机构还监督某些第三方提供的服务。OCC监督联邦银行系统的组织和结构,并维持一个监督框架,鼓励银行负责任地创新和适应全国消费者、企业和社区不断变化的金融需求。该机构发布法规以实施联邦银行法,它还采用了一种基于风险的监管程序,重点是评估银行风险,识别重大问题和新出现的问题,并要求银行在必要时采取纠正措施。2013年发布《第三方关系:风险管理指导》[15]和2018年发布的《第三方关系风险管理补充审查程序》,提出要在整个组织范围内承诺应对信息安全和网络事件,包含第三方提供的产品和服务的审查进行风险管理。补充程序促进了审查国家银行和联邦储蓄协会第三方关系风险管理的一致性[16]。
在我国,2009年银监会发布《商业银行信息科技风险管理指引》中,第十六条、第十八条、第三十七条、第五十八条规定了商业银行应制定持续的风险识别和评估流程,确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商);建立持续的信息科技风险计量和监测机制,其中应包括安排供应商和业务部门对服务水平协议的完成情况进行定期审查;人员安全及外包服务的基本安全要求。至今,政策法规偏于滞后,缺少对当前金融行业复杂的ICT供应链生态进行监管的实践经验。
4.2 风险管理和新技术与时俱进
金融机构数字化转型导致ICT供应链风险的复杂化,金融机构之间高度的相互联系可能导致迅速的传染效应。对于金融机构来说,由于供应链之间的高度互联,对部分网络的成功攻击可能会迅速蔓延到其他公司。例如,在2017年6月,针对乌克兰的一项赎金导致与乌克兰公司相关的跨部门(运输、建筑或食品)的跨国公司损失至少13亿美元。对于金融机构来说,一家大型银行的崩溃,使其无法处理交易和支出保证金,可能会迅速蔓延至其交易对手方和金融市场基础设施,导致流动性和偿付能力风险上升[17]。
新的风险技术会带来新的问题,这也需要银行加以管理。银行要重新设计业务流程和沟通方式,消除决策中的偏见。随着金融风险管理变得更加自动化,关注焦点将转移到合规和操作风险。就操作风险而言,银行还应该关注新型第三方科技公司,例如一些科技公司利用多种非传统的数据技术跟踪 POS 终端的数据违规和欺诈行为[18]。
5 结束语
本文从国内外法律法规、技术标准的角度,分析研究了当前重要ICT供应链安全的风险管理、风险评估的技术标准和内容。基于目前的研究进展,尝试着提出了国内金融机构应对ICT供应链风险管理的建议,为后继研究金融ICT供应链安全模型建立、安全标准的编制提供了参考。
参考文献
[1] 王国文.从华为案例看如何建立一个稳健、安全的全球供应体系[EB/OL]. http://baijiahao.baidu.com/s?id=1601175738088269835&wfr=spider&for=pc,2018.10.
[2] 李祥兵,王光林. ICT供应链安全评价技术研究综述[J]. 信息安全與通信保密,2018(10):57-64.
[3] GAO. ICT Supply Chain National Security-Related Agencies Need to Better Address Risks[R].USA, 2012.
[4] ENISA Supply Chain Integrity: An overview of the ICT supply chain risks and challenges , and vision for the way forward[R]. September 11, 2015.
[5] DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL- Concerning measures for a high common level of security of network and information systems across the Union[Z] July,2016.
[6] 安迪·珀迪.全球網络安全挑战—解决供应链风险,正当其时[J].华为网络安全白皮书,2016.
[7] NISTIR 7622 Notional Supply Chain Risk Management Practices for Federal Information Systems [S]. October 16, 2012.
[8] FIPS 199 Standards for Security Categorization of Federal Information and Information Systems《联邦信息和信息系统安全分类》[S].2003.12
[9] NIST SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations [S]. April 8, 2015.
[10] PeterBoyce,张有运.ISO 28000:2007供应链安全管理体系概述[J]. 中国采购发展报告, 2008(11).
[11] 谢宗晓, 许定航. ISO/IEC 27005:2018解读及其三次版本演化[J].中国质量与标准导报, 2018(9):16-18.
[12] 谢宗晓,董坤祥.ICT供应链信息安全标准ISO/IEC 27036-3及体系分析[J].中国标准导报, 2016(3):16-21
[13] GB/T36637-2018 信息安全技术ICT供应链安全风险管理指南[S]. 2018.
[14] EBA-CP-2016-14, Consultation Paper on Guidelines on ICT Risk Assessment under the SREP[Z].2016.
[15] OCC Bulletin 2013-29, “Third-Party Relationships: Risk Management Guidance,” including appendixes A and B[Z].2013.
[16] OCC Bulletin 2017-7, “Third-Party Relationships: Description: Supplemental Examination Procedures”[Z].2017.
[17] Antoine Bouveret. WP/18/143 Cyber Risk for the Financial Sector: A Framework for Quantitative Assessment. IMF working paper [Z].2018.
[18] 倪以理, 曲向军.全球数字化银行的战略实践与启[EB/OL].https://.cn/, 2018.12.