我們知道,在關鍵信息基礎設施安全保護要求中,有個重要組成部分就是供應鏈安全,供應鏈安全中最核心的一部分莫過於硬體提供商。今年初,英國發布了《網絡設備安全性評估指南》,雖然水土稍有不同,但它山之石可以攻玉的道理,在這裡還是可以參考一二的。
簡介
網絡設備的安全性對於任何網絡的安全都至關重要。在選擇支持關鍵服務或關鍵基礎設施的設備時,客戶應評估該設備的安全性,並將該評估視為其採購和風險管理流程的一部分。
本指南提供了有關如何評估網絡設備安全性的建議。它為支持公共電信運營商(公共電子通信網絡和服務提供商)履行《2021年電信(安全)法》規定的職責提供指導,並在政府諮詢後最終確定《2022年電子通信(安全措施)條例》時履行職責。例如,根據條例草案3。(3)(e),網絡提供商將被要求:
(e)在設備的採購、配置、管理和測試中採取適當措施,以確保設備和在設備上執行的功能的安全
《電信安全業務守則》草案,特別是措施草案5.01和10.1中引用了這一準則。雖然本指南預計不會構成該準則的一部分(當它最終確定時),並且對於滿足新的供應鏈法律要求是必要或充分的,但供應商可以用來幫助他們遵守法規的重要建議。
雖然本指南中的建議是為了支持電信運營商,但對於依賴網絡設備提供服務的其他關鍵服務或關鍵基礎設施提供商也可能有用。NCSC承認,在網絡設備支持關鍵服務的情況下,本文檔中建議的網絡設備安全性評估程度最合適。此外,為了有效地執行本文檔中描述的評估,客戶可能需要適當的合同權利來執行建議的審核和測試。
在為網絡設備做出選擇決策時,應使用此指南。但是,如下所述,安全是一項持續的活動。與其他性能領域一樣,客戶應繼續評估和保留供應商在設備生命周期內的安全跟蹤記錄的證據,因為這將支持未來的安全評估。
本指南未考慮也無法減輕由於供應鏈中特定供應商特有的額外風險而可能產生的威脅。這些風險包括其可能受到影響或被要求採取違背客戶利益或其國家安全的行為的程度。在這種情況下,可能需要針對相關供應商的其他控制措施。
評估方法摘要
本文檔提供有關如何評估供應商的安全流程及其提供的網絡設備的指導。該方法的目的是客觀地評估由於使用供應商設備而導致的網絡風險。這是通過收集有關供應商流程和網絡設備安全性的客觀、可重複的證據來實現的。
評估供應商造成的網絡風險需要:
- 供應商自己的證據
- 測試以驗證供應商的聲明
- 第三方證據
對於本文檔中的每個標準,可以執行一系列特定於產品的抽查,並且可以直接從產品本身的實驗室測試中獲得證據。這三個組件一起將有助於了解供應商構建新產品的情況。
但是,這種方法總是容易出錯的。雖然證據將由客戶驅動,但它只能提供供應商行為的例子。為了有效,方法和安全標準都需要維持多年,並記錄良好和不良做法的證據,以支持今後的安全評估和採購決定。
在評估供應商安全實踐時,NCSC建議運營商不要完全依賴供應商文檔來評估供應商安全性。安全評估應基於供應商實施的安全行為。這包括特定於產品線的抽查,以及從產品中提取的客觀證據。
外部審計和國際計劃
在評估網絡設備的安全性時,最大的挑戰之一是生產區域或運營商特定版本的產品的行業實踐。如果供應商遵循這種做法,國際客戶就無法分擔獲得有關產品質量或安全性的證據或保證的責任,無論是通過相互合作還是通過國際測試計劃。
可以依靠獨立的外部來源來提供一些所需的證據,前提是:
它適用於客戶的產品(特別是相同的硬體和代碼庫)
所有證據都可以由客戶重新驗證,並且隨機選擇一些證據進行重新驗證
一般而言,依賴供應商文件的供應商審計或評價不可能提供有用的證據,除非有可能核實審計是否與網絡設備的安全性有關。出於同樣的原因,審計背後的證據不能廣泛獲得和檢驗的審計或評價也不應被考慮。例如,按照目前的定義,根據SMA’s NESAS[1]計劃進行的私人紙質評估不太可能提供有用的證據來支持客戶對產品安全性的評估。
來自安全研究社區的支持
鑑於網絡設備的範圍、規模和複雜性,全球安全研究界(包括商業實驗室和學術界)的參與對於支持客戶了解安全風險至關重要。出於這個原因,應鼓勵供應商對其安全實踐保持透明和公開,並應鼓勵支持負責任的獨立安全研究人員執行自己的測試和分析。
為了支持日益安全和開放的電信設備的發展,DCMS表示打算建立英國國家電信實驗室(UKTL)。這將是一個安全的研究設施,將匯集電信運營商,現有和新的供應商,學術界和政府,以創建具有代表性的網絡,以研究和測試提高安全性和互操作性的新方法。
評估方法
評估供應商的安全方法需要四層方法:
評估
評估供應商提供的安全聲明。這應該說明供應商的安全方法,以及供應商對其客戶做出的安全承諾。為了發展安全生態系統,NCSC建議供應商公開發布其安全聲明。這為客戶提供了信心,即供應商的方法對所有客戶和產品線都是一致的,並允許更廣泛的安全社區參與安全討論。
檢查
對供應商針對特定的、獨立選擇的產品版本實施的安全流程執行抽查。由於供應商應在自己的系統中隨時獲得所有詳細信息,因此無需提前通知選擇。
分析
對設備進行實驗室測試。測試應針對所有設備,或者應從供應商提供的設備中隨機選擇設備。實驗室測試應儘可能自動化,以便以低成本輕鬆重複。獨立於客戶執行的實驗室測試應針對客戶使用的相同產品版本軌道、硬體、軟體、固件和配置。
維持
在客戶與供應商關係的整個期間要求供應商遵守安全聲明中的標準。客戶應分析問題的根本原因並記錄供應商的安全性能,以確保將來的評估具有嚴格的證據基礎。
下文提供了應用這種四層方法的建議。
評估供應商安全績效
在評估供應商安全實踐時,一個重要的數據來源是供應商的安全性能。客戶應考慮供應商的安全文化和行為,如以下方面所證明的那樣:
- 供應商風險評估和安全評估流程的成熟度
- 供應商透明度、開放性以及與安全研究社區的協作
- 供應商評估、管理和支持客戶與任何安全漏洞和事件有關
- 供應商遵守安全義務和要求
- 供應商對產品和組件支持的方法
安全事件本身並不能證明安全實踐不佳。所有大公司都可能受到安全事件的影響,根據其原因和處理方式,安全事件可能會提供良好實踐的示例。客戶應考慮是否可以合理地避免該事件,或者是否可以合理地減少其影響。
同樣,產品安全漏洞或問題本身並不是不良安全實踐的證據,因為此類問題將出現在所有產品中。但是,如果問題過於簡單,或者由於產品管理或維護不善,這可能是不良實踐的證據。
供應商安全評估標準
下表可用於幫助評估供應商及其網絡設備的安全流程。該表描述了客戶在安全聲明中應期望的信息、應考慮收集證據的抽查以及客戶或第三方應考慮對設備進行的實驗室測試。對於抽查和實驗室測試,假設客戶將有足夠的訪問權限訪問供應商流程和設備,以便在根據此評估做出決策之前進行有效的評估。
當使用第三方時,客戶應確信第三方具有足夠的獨立性,具有足夠的技術能力,並獲得有關供應商日常實踐的足夠信息,以向他們提供所需的可靠證據。
|
主題 |
安全期望值 |
重要原因 |
評價:安全申報 |
評估:客戶或第三方抽查 |
評估:客戶或第三方實驗室測試 |
|
V.A:產品生命周期管理 |
|||||
|
V.A: 總體目標 |
供應商的產品在產品的整個生命周期內都得到適當的支持。 |
提供供應商對產品進行成熟管理的信心,在支持的生命周期內接收更新和安全關鍵修復產品。 |
作為安全聲明的一部分,供應商描述了如何支持產品。 |
- |
- |
|
V.A.1: 產品生命周期流程 |
供應商清楚地標識了每個產品的生命周期。 供應商應制定生命周期終止政策,詳細說明產品在銷售終止後將支持多長時間。 |
提供在給定日期之前支持產品的信心。此外,供應商的支持日期適用於全球,這意味著供應商可能會在此期間繼續投資於產品維護。 |
供應商在安全聲明中描述其產品的生命周期。 對於產品線中的每個版本,供應商會在適用時立即在其網站上發布終止銷售日期。生命周期終止政策應詳細說明在宣布銷售終止日期後,產品將獲得多長時間的支持以及以支持何種方式。此信息的位置在安全聲明中引用。 |
查看產品發布歷史記錄。了解供應商如何使組件保持最新狀態。 |
- |
|
V.A.2: 軟體維護 |
每個產品都在其發布的生命周期中進行維護。此維護至少涵蓋產品的安全修復程序。 |
確保產品可以針對產品在其支持的生命周期內發現的安全問題進行修補。 |
供應商清楚地描述了他們將如何支持產品在其生命周期內,包括他們將在每個支持類下提供哪些支持。 |
查看顯示應用於產品的安全修補程序歷史記錄的記錄,包括解決任何未解決漏洞的路線圖。 |
為客戶選擇的產品選擇已知漏洞的示例,並檢查如何以及何時根據供應商的策略修補這些漏洞。(見V.A.7)。 測試產品以驗證設備不再容易受到漏洞或漏洞變體的影響。 |
|
.A.3: 軟體版本控制 |
每個產品都有一個版本控制的代碼存儲庫,用於記錄每個代碼修改。此審核日誌將詳細說明: -修改、添加或刪除了哪些代碼 -為什麼進行更改 -誰做出了改變 -進行更改時 -已發布的代碼已內置哪個版本的代碼產品。 |
為了提供信心,供應商可以準確跟蹤產品中部署的代碼。這對於有效調查供應鏈攻擊至關重要。 |
供應商描述了他們如何維護其代碼庫的完整性。 |
供應商演示如何基於正常流程進行更改,以及如何拒絕通過其他方式進行更改。 探索更改並驗證是否遵循了流程。 |
|
|
V.A.4: 軟體版本 |
每個產品都經過嚴格的軟體發布周期,包括在發布版本以正式發布之前進行內部測試。如果軟體不符合下面詳述的安全工程要求,則不會發布軟體。每個產品都應由獨立的第三方定期進行外部測試。 |
此要求的存在是為了提供供應商測試其軟體版本並驗證其內部安全工程流程是否已得到遵循的信心。 測試還應確保不會重新引入以前解決的安全漏洞。 |
供應商描述其軟體發布周期,包括門和執行的測試。 |
查看生成和測試過程。 查看針對客戶選擇的產品線和版本執行的測試。檢查測試工具是否配置正確並查看測試結果。驗證是否包含測試以檢查以前解決的漏洞和問題。 供應商證明由於任何失敗的測試而正確修復了問題。 |
通過在客戶或第三方的實驗室中重複測試來檢查一組供應商測試結果的準確性。 |
|
V.A.5: 開發流程和功能開發 |
該產品有一個主要發布系列。 新版本的分叉被最小化。必要時,客戶特定的功能作為可選模塊提供。 在標準開發路線圖期間,任何新功能都會引入主產品線。 |
此要求的存在是為了讓他們確信供應商正在向他們提供產品的正式發布版本,以便他們知道可以使用常規支持路由在產品的整個生命周期內獲得支持。 供應商極不可能正確支持特定於功能的產品版本的激增。 |
安全聲明描述了供應商的開發過程,包括如何以及何時發布新產品版本,以及如何將版本數保持在可管理的水平。 |
|
|
|
V.A.6: 國際發布和分叉 |
供應商為每個產品維護一個全局版本行。其他版本的數量最少(理想情況下沒有)。 |
此要求的存在是為了提供產品受到全球支持的信心,並且發現的任何問題都可以輕鬆緩解。 供應商極不可能正確支持客戶特定產品版本的激增。 |
供應商發布其產品的所有已發布版本的詳細信息,包括二進位哈希。預計此信息將在供應商的網站上提供。 供應商在其安全聲明中引用其公開的產品版本列表。 |
供應商描述產品的完整發布系列,包括創建每個版本的原因。 |
根據供應商發布的信息或其他方式,測試供應商提供的產品版本是否為「全局」版本,並具有匹配的二進位哈希。 |
|
V.A.7: 工具、軟體和庫的使用 |
對產品內部和產品開發中使用的第三方工具(例如代碼編譯器)、軟體組件和軟體庫進行清點。上述任何對供應商軟體的安全性至關重要的內容都將在其整個生命周期內進行維護。 |
不支持的工具、軟體組件、軟體或庫不太可能使用現代安全功能。如果暴露,它們可能會導致已知漏洞嵌入到產品中。 必須修補產品關鍵安全保護中的漏洞,以最大程度地減少漏洞利用的影響。 |
安全聲明描述了如何維護第三方軟體組件,明確說明何時(如果有)在任何產品版本中包含不支持的組件,並說明理由。 |
對於客戶選擇的產品,供應商提供對產品安全至關重要的第三方組件列表(例如,通過接口公開的組件)。驗證這些組件是否仍處於主動維護狀態,並且產品生命周期內是否有支持計劃。 |
掃描產品界面以清點已知的第三方工具,並確定它們是否正在維護。 檢查產品以驗證供應商的組件列表是否準確。 |
|
V.A.8: 軟體文檔 |
供應商提供最新且技術上準確的文檔以及產品的新版本。本文檔至少應詳細說明如何安全地配置、管理和更新產品。 |
這為客戶提供了所需的信息,以幫助他們在網絡中的整個生命周期內安全地部署和管理產品,並獨立評估該配置的安全性。 這有助於減少客戶在供應商上的持續依賴。 |
安全聲明承諾向客戶發布產品文檔。 |
|
使用文檔,設置、操作、配置和更新產品,而無需供應商的支持。 |
>>>了解詳表見可索取網絡設備安全性評估指南翻譯版<<<
英國供應商安全評估:網絡設備安全性評估指南