數位供應鏈安全
數位供應鏈安全(Digital supply chain security)也稱為供應鏈資安(supply chain cyber security),是指強化供應鏈裏網絡安全的措施,是供應鏈安全的一部份,着重在資訊系統、軟件及網絡相關網絡安全需求的管理。目前數位供應鏈安全的威脅包括網絡恐怖主義、惡意軟件、資料竊取及高級長期威脅。典型降低風險的供應鏈資安行動包括只從可靠的軟件供應商購買軟件[1]、關鍵的機器不要連接到外部網絡,教育使用者有關網絡威脅的知識,以及他們可以進行的保護措施。
2011年時,美國國土安全部國家防護與計劃司的代理副司長Greg Schaffer曾在聽證會中表示:他知道一些惡意軟件植入電子設備及電腦中,然後販售到美國的案例 [2]。
供應鏈資安威脅的例子
- 收到的網絡設備或是電腦中已安裝了惡意軟件。
- 透過不同方式,在軟件或是硬件中加入了惡意軟件。
- 供應鏈中應用程式或網絡的弱點被駭客所利用。
- 偽造的電腦硬件。
美國的對策
- 2008年訂定的Comprehensive National Cyber Initiative[3]。
- 國防採購管制(Defense Procurement Regulations):列在國防授權法案的section 806裏。
- 網絡空間國際戰略(International Strategy for Cyberspace)[4]:是美國在2011年提出的戰略,也是美國第一次提出有關安全及開放的網絡空間的願景,其中包括三個主題:國際合作、發展和防禦。
- 國際合作(Diplomacy):此戰略會透過各國之間的共識,建立各國可以接受的國家行為規範,以「促進開放、互通、安全及可靠的資通訊基礎建設」。
- 發展(Development): 透過此戰略,美國希望「通過雙邊組織或是多邊組織,建立世界各國的資安能力。」。目的是保護全世界的IT基礎建設,讓全世界的合作更加緊密,以維持開放和安全的網絡。
- 防禦(Defense):此戰略表示美國政府「會確保攻擊或是利用美國網絡(對入侵者)所造成的風險,會遠大於其潛在的利益。」呼籲世界各國針對入侵及破壞網絡系統的罪犯或是非國家行為體採取法律行動。
世界各國的對策
- 資訊技術安全評估共同準則(Common Criteria,CC)中的EAL 4中,有選項可以評估數位供應鏈安全中的各個層面,包括產品、開發環境、資訊系統安全性、人力資源的流程、實體安全,ALC_FLR.3(系統化瑕疵修補)模組中的內容,也包括安全更新的流程及方法,甚至還包括實際站點的訪查。若是有簽署SOGIS-MRA的國家,其EAL 4可以被雙方所承認。
- 俄羅斯:俄羅斯一直都有未公開的功能認證要求,也已開始了以開源軟件為基礎的國家軟件平台(National Software Platform),這反映了國家希望滅少對外國供應商的依賴。
- 印度:印度也在其國家網絡安全戰略草案中提到供應鏈的風險。印度沒有考慮排除特定的軟件產品,而是用本土創新政策,優先考慮印度的資通訊供應商,在此領域建立強健且有國際競爭力的產業。
- 中華人民共和國:在「第十一個五年計劃」(2006年–2010年)中有相關的目標,中國提出的本土創新政策是以安全為基礎的積極創新政策,已要求建立針對政府採購使用的本土創新產品目錄,並且訂定多層保護架構(Multi-level Protection Scheme,MLPS),要求產品開發商及製造商需為中國公民或是法人,產品的核人技術及關鍵元件需有獨立的本土知識產權[5]。
企業領域的對策
- 軟件產出物供應鏈層級[6](Supply-chain Levels for Software Artifacts,簡稱SLSA)是在軟件供應鏈中確保產出物完整性的端對端框架,此一需求是源於Google內部的Binary Authorization for Borg[7],已使用八年以上,所有Google的產出物都要經過此一授權。SLSA的目的是要提昇軟件產業(特別是開源軟件)對抗完整性威脅的能力。消費者可以根據SLSA知道其使用軟件的資安態勢(security posture),並作為採購時的依據[8]。
相關條目
參考資料
- ^ Mayounga, Andre. Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest. May 2017 [2023-01-06]. (原始內容存檔於2023-01-06) (英語).
- ^ Homeland Security: Devices, Components Coming In With Malware. InformationWeek. 2011-07-11 [2011-09-16]. (原始內容存檔於2012-05-04).
- ^ Comprehensive National Cyber Initiative
- ^ International Strategy for Cyberspace (PDF). [2023-01-06]. (原始內容存檔 (PDF)於2023-01-06).
- ^ Bridewell Consulting. [2023-01-07]. (原始內容存檔於2022-12-08). Thursday, 22 April 2021
- ^ SLSA (Supply-chain Levels for Software Artifacts). [2023-01-07]. (原始內容存檔於2023-04-12).
- ^ Binary Authorization for Borg. [2023-01-07]. (原始內容存檔於2022-02-02).
- ^ Introducing SLSA, an End-to-End Framework for Supply Chain Integrity. Google Online Security Blog. [2021-06-17]. (原始內容存檔於2023-03-15) (英語).
外部連結
- Financial Sector Information Sharing and Analysis Center (頁面存檔備份,存於互聯網檔案館)
- International Strategy for Cyberspace (頁面存檔備份,存於互聯網檔案館) (from the White House)
- NSTIC (頁面存檔備份,存於互聯網檔案館)
- SafeCode Whitepaper (頁面存檔備份,存於互聯網檔案館)
- Trusted Technology Forum and the Open Trusted Technology Provider Standard (O-TTPS) (頁面存檔備份,存於互聯網檔案館)
- Cyber Supply Chain Security Solution (頁面存檔備份,存於互聯網檔案館)
- Malware Implants in Firmware (頁面存檔備份,存於互聯網檔案館)
- Supply Chain in the Software Era (頁面存檔備份,存於互聯網檔案館)
- INFORMATION AND COMMUNICATIONS TECHNOLOGY SUPPLY CHAIN RISK MANAGEMENT TASK FORCE: INTERIM REPORT (頁面存檔備份,存於互聯網檔案館)