在数字化浪潮汹涌的当下,信息系统举足轻重。从企业运营视角而言,它是保障业务连续性的生命线。一旦软件供应链遭受攻击,企业可能面临系统瘫痪、数据泄露等灾难,致使业务中断,经济损失惨重,声誉也会一落千丈。对广大用户来说,安全的软件供应链意味着个人隐私与数据安全得以捍卫,免遭恶意软件窃取信息、侵扰生活。上升至国家层面,软件广泛应用于关键基础设施,其供应链安全直接关系到国家经济安全与社会稳定,关乎国计民生。因此,维护信息系统,是企业稳健发展、用户安心使用、国家长治久安的必要前提,不容丝毫懈怠。
信息系统供应链的安全直接关系到国家主权、经济发展和社会稳定。美国国家标准与技术研究院(NIST)发布的 NIST SP 800-161《联邦信息系统和组织供应链风险管理实践》和中国发布的 GB/T 43698-2024《信息安全技术 信息系统供应链安全风险管理指南》,分别代表了两国在信息系统供应链安全管理方面的重要成果,对全球信息安全标准体系的发展产生了深远影响。
NIST SP 800-161 与 GB/T 43698-2024
NIST SP 800-161:美国联邦信息系统的供应链风险防控指南
NIST 作为美国信息安全领域的权威机构,长期致力于为联邦政府和非国家安全的信息通信基础设施制定标准、指南、测试和度量指标。NIST SP 800-161 的出台,源于美国对全球供应链风险管理的战略考量。2008 年,美国启动非国家安全信息系统 ICT SCRM 实践开发计划,旨在响应国家网络安全综合计划(CNCI)#11 “建立全方位的方法来实施全球供应链风险管理”。此后,NIST 联合国防部、学术界、行业和政府等多方力量,经过多年的研究与实践,发布了这一具有里程碑意义的标准。
图1:多层网络安全风险模型
该标准的核心目标是为联邦机构提供一套全面、系统的 ICT 供应链风险管理框架。它强调 ICT SCRM 是信息安全与供应链管理的交叉领域,需要组织各层级的协同参与。从系统开发生命周期的角度出发,NIST SP 800-161 详细阐述了如何识别、评估和缓解供应链风险。在风险识别阶段,要求机构全面梳理供应链中的各类风险,包括 “对抗性” 威胁(如恶意软件植入、篡改、假冒)和 “非对抗性” 威胁(如自然灾害、供应商破产、质量问题),同时关注 “内部” 脆弱性(如组织程序漏洞、人员失误)和 “外部” 脆弱性(如供应链环节的技术漏洞、供应商依赖)。
风险评估方面,NIST SP 800-161 提供了一套科学的方法,将风险量化为可能性和影响程度的组合。通过构建风险框架,对各类威胁事件进行评估,确定其对信息系统的潜在影响。例如,对于关键信息系统,一次成功的恶意软件攻击可能导致系统瘫痪、数据泄露,对国家安全和经济运行造成重大损失。在风险缓解阶段,标准要求机构制定详细的 ICT SCRM 计划,采取适当的控制措施,如加强供应商管理、实施技术保障措施、建立应急响应机制等,以降低风险发生的可能性和影响程度。同时,强调持续监控和更新 ICT SCRM 计划,以应对不断变化的供应链环境。
GB/T 43698-2024:中国信息系统供应链安全管理的本土智慧
随着中国数字化进程的加速,信息系统在经济社会发展中的作用日益凸显。保障信息系统供应链安全,成为维护国家信息安全和经济安全的必然要求。GB/T 43698-2024 正是在这一背景下应运而生。该标准立足中国国情,充分考虑了国内信息产业的发展现状、企业的实际需求以及国家信息安全战略,为我国信息系统供应链安全风险管理提供了全面的指导。
图2:软件供应链安全示意图
GB/T 43698-2024 涵盖了信息系统供应链安全风险管理的全流程。在风险识别环节,指导企业和组织深入分析供应链中的各个环节,包括供应商、服务商、合作伙伴等,识别可能存在的风险点。例如,供应商的信誉风险、技术能力风险、数据安全风险;服务商的服务质量风险、信息泄露风险;合作伙伴的合作稳定性风险等。同时,关注供应链中的业务流程风险,如采购流程、开发流程、交付流程等,确保每个环节的风险都能被准确识别。
风险评估阶段,标准采用科学合理的评估方法,对识别出的风险进行量化分析。通过建立风险评估模型,综合考虑风险发生的可能性、影响范围、影响程度等因素,确定风险等级。例如,对于可能导致关键业务中断、大量用户数据泄露的风险,将其评估为高风险;对于影响较小、发生可能性较低的风险,评估为低风险。根据风险等级,企业可以制定针对性的风险应对策略。
在风险应对方面,GB/T 43698-2024 提供了多种策略选择,包括风险规避、风险降低、风险转移和风险接受。企业可以根据自身的风险承受能力、业务需求和成本效益分析,选择合适的应对策略。例如,对于高风险且无法承受的风险,企业可以采取风险规避策略,如更换供应商、调整业务流程;对于可以通过加强管理和技术措施降低风险的情况,选择风险降低策略,如加强供应商审核、实施数据加密技术;对于一些风险,可以通过购买保险等方式进行风险转移;对于影响较小且处理成本较高的风险,企业可以选择风险接受策略。同时,标准强调持续监控与改进,要求企业建立健全风险监控机制,实时跟踪风险状态,及时发现新的风险和风险变化,不断优化风险管理策略,确保信息系统供应链的安全稳定运行。
二者关系:共性与差异并存
NIST SP 800-161 与 GB/T 43698-2024 在目标、流程和方法等方面存在诸多共性。从目标上看,二者均致力于提升信息系统供应链的安全性,通过有效的风险管理手段,降低供应链风险,保障信息系统的正常运行和信息安全。在风险管理流程上,都遵循风险识别、风险评估、风险应对和监控与改进的基本步骤,强调对信息系统供应链进行全生命周期的风险管理。例如,在风险识别阶段,都注重对供应链各环节潜在风险的挖掘;在风险评估环节,都采用合理的方法对风险进行量化分析;在风险应对时,都提供了多种应对策略供选择。
然而,由于两国国情、产业结构和信息安全发展阶段的差异,两个标准也存在明显的不同。NIST SP 800-161 主要服务于美国联邦机构,其制定过程充分考虑了美国的政治体制、法律法规和在全球信息技术产业中的主导地位,适用范围相对特定。而 GB/T 43698-2024 立足中国实际,针对我国信息产业在核心技术、供应链完整性等方面面临的挑战,提出了一系列具有针对性的要求。例如,在提升自主可控能力方面,鼓励企业加强对核心技术的研发和应用,减少对国外技术的依赖;在关键信息基础设施供应链安全管理方面,强化了对供应商的安全审查和监管,确保关键信息基础设施的安全可靠运行。
应用场景
NIST SP 800-161 和 GB/T 43698-2024 这两个标准在不同应用场景下发挥着关键作用,助力保障信息系统供应链安全。
NIST SP 800-161 主要应用于美国联邦机构相关信息系统项目中。在大型联邦政府信息技术采购项目里,采购部门依据该标准对供应商进行全方位审查,评估供应商过往是否存在恶意软件植入、篡改产品等 “对抗性” 威胁记录,以及面临自然灾害、财务危机等 “非对抗性” 风险时的应对能力,以此降低采购环节风险。在联邦信息系统开发建设时,开发团队运用其风险评估方法,考量系统开发各阶段,如需求分析、设计、编码过程中可能出现的技术漏洞、人员操作失误等 “内部” 脆弱性,以及对特定供应商技术过度依赖等 “外部” 脆弱性,从而制定相应缓解措施,保障系统开发安全。
NIST SP 800-161 和 GB/T 43698-2024 这两个标准在不同应用场景下发挥着关键作用,助力保障信息系统供应链安全。
NIST SP 800-161 主要应用于美国联邦机构相关信息系统项目中。在大型联邦政府信息技术采购项目里,采购部门依据该标准对供应商进行全方位审查,评估供应商过往是否存在恶意软件植入、篡改产品等 “对抗性” 威胁记录,以及面临自然灾害、财务危机等 “非对抗性” 风险时的应对能力,以此降低采购环节风险。在联邦信息系统开发建设时,开发团队运用其风险评估方法,考量系统开发各阶段,如需求分析、设计、编码过程中可能出现的技术漏洞、人员操作失误等 “内部” 脆弱性,以及对特定供应商技术过度依赖等 “外部” 脆弱性,从而制定相应缓解措施,保障系统开发安全。
GB/T 43698-2024 在我国应用场景更为广泛。我国关键信息基础设施领域,如能源、金融、通信等行业,企业依据此标准强化供应商管理。电力企业采购电力监控系统设备时,严格审查供应商信誉,评估其技术能力能否保障数据安全,防止因供应商问题导致系统故障或数据泄露。在互联网企业信息系统供应链管理中,该标准同样发挥重要作用。互联网企业在与软件服务商合作开发新应用时,依据标准识别合作流程风险,评估服务商服务质量与信息保密能力,通过加强合同约束等风险转移策略,降低合作风险;对内部业务流程,如数据存储与传输流程,通过加密等风险降低策略,保障信息系统供应链安全稳定运行。
GB/T 43698-2024 在我国应用场景更为广泛。我国关键信息基础设施领域,如能源、金融、通信等行业,企业依据此标准强化供应商管理。电力企业采购电力监控系统设备时,严格审查供应商信誉,评估其技术能力能否保障数据安全,防止因供应商问题导致系统故障或数据泄露。在互联网企业信息系统供应链管理中,该标准同样发挥重要作用。互联网企业在与软件服务商合作开发新应用时,依据标准识别合作流程风险,评估服务商服务质量与信息保密能力,通过加强合同约束等风险转移策略,降低合作风险;对内部业务流程,如数据存储与传输流程,通过加密等风险降低策略,保障信息系统供应链安全稳定运行。
支持中国软件标准
相较于 NIST SP 800-161,GB/T 43698-2024 有着诸多优势。在适用范围上,GB/T 43698-2024 更贴合中国复杂且独特的软件产业生态,从本土中小企业到大型国企央企,从传统行业信息化转型到新兴的数字经济领域,均能精准适配,全面覆盖软件供应链各个环节。在安全要求层面,它不仅充分汲取国际先进理念,还针对国内频发的开源代码安全隐患、软件交付环节的数据泄露风险等问题,制定了更为细化且严格的标准。例如,在开源代码审查流程、软件成分溯源要求上,给出了明确且操作性强的规范,相比之下,NIST SP 800-161 在这些方面的规定稍显宽泛。此外,GB/T 43698-2024 紧密围绕国内政策法规与产业发展规划,能够更好地助力国内软件企业在合规框架内稳健发展,推动中国软件产业朝着自主、安全、可控的方向大步迈进 。
支持中国软件标准意义非凡。国产标准为本土软件产业筑牢根基,有力推动产业生态自主可控发展,避免过度依赖国外标准而遭受技术封锁与限制。从安全角度看,它为国家信息安全撑起坚实护盾,降低关键信息系统被外部恶意攻击的风险。同时,国产标准的推行能极大激发国内软件企业的创新活力,促使其聚焦本土需求,开发出更贴合国情、更具竞争力的软件产品与服务。这不仅利于提升中国软件在全球市场的话语权,更能带动上下游产业协同进步,为经济高质量发展注入强劲动力,所以积极支持国产标准,是推动中国软件产业腾飞的关键之举。
通过使用软件成分分析和同源漏洞检测工具可以帮助企业保障软件供应链安全,符合GB/T 43698-2024标准提到的内容。