龙源期刊网 http://www.qikan.com.cn
信息安全管理系列之十 ICT供应链风险管理标准NIST SP800—161探析
作者:董坤祥 谢宗晓
来源:《中国标准导报》2015年第11期
摘要:本文分析了美国联邦信息系统和组织的供应链风险管理实践指导草案,并从ICT供应链风险管理的目标、应用范围、制定背景、实践和标准形成五个方面探讨了NIST SP 800-161的主要内容。最后提出了ICT供应链风险管理标准在新背景下需完善的几个方面。 关键词:信息安全 ICT供应链 风险管理 NIST SP800-161
1 ICT供应链风险管理标准介绍 ICT(Information Communications Technology)包括可存储、检索、修改、传输和接受任何形式电子信息的产品和服务,例如,个人电脑、手机、电子邮件等。ICT供应链拙劣的制造和开发流程容易导致ICT产品和服务受到伪造、攻击等蓄意破坏。这些风险降低了ICT技术应用、整合和部署的可见、认知和控制,降低了供应链系统完整、安全、可靠,以及产品和服务的质量。因此,明确ICT供应链的风险有助于明确保证产品或服务整合、安全、可靠、质量的实施进程、流程与实践。为了使组织在组织内部所有层面上能够对ICT供应链风险安全进行识别、评估和缓解,美国国家标准与技术研究院(NIST)于2013年发布了美国联邦机构的ICT供应链风险管理(SCRM)标准草案——NIST SP800-161《联邦信息系统和组织的供应链风险管理实践指导草案》。通过层级式、ICT供应链风险具体路径、供应链风险管理指导标准以及其他缓解活动,将ICT供应链风险管理整合到美国联邦风险管理体系中,并形成ICT供应链风险管理标准NIST SP800-161。该标准对制定我国相关ICT供应链风险管理标准有重要的借鉴意义。 根据NIST SP800-161标准解释,ICT供应链风险管理是指在ICT产品和服务供应链全球化分布下识别、评估和减少ICT供应链风险。ICT供应链风险包括:丧失信息系统的机密性、完整性和可用性,以及对组织运营、组织财产、个人、其他组织和国家等带来的负面影响。 2 ICT SCRM标准的目标
随着ICT产品和服务的普及,以及ICT供应链的全球化,组织机构面临系统的机密性、完整性和可用性或信息系统内部信息安全处理、存储和传递的威胁。因此,美国联邦组织机构需要相关指导标准来帮助其管理ICT供应链风险。NIST SP800-161标准制定的目的就是优化美国联邦组织机构识别、评估、选择、实施风险管理流程,并减少组织控制,帮助组织机构管理ICT供应链风险。通过实施NISTSP800-161标准,组织能够建立适当的政策和流程控制并管理ICT供应链风险。
3 ICT SCRM标准的应用范围 ICT供应链风险管理是组织层面的活动,应直接在整个组织架构下进行治理,所以该标准的应用范围是整个组织,包括组织的形式、结构,组织的人、
龙源期刊网 http://www.qikan.com.cn
财、物和信息等。ICT供应链风险管理应由风险管理部门牵头,整个组织内不同角色的个体共同实施。NIST SP800-161标准要求个人参与ICT组件和系统的设计、开发、调试、部署、探测、维护和更换。因此,个人应关注ICT供应链的信息技术、信息安全、风险管理、流程控制、合法性、最终用户以及其他事项。虽然,NIST SP800-161标准制定的目的是为美国联邦组织机构提供管理ICT供应链风险的标准。但是,该标准也为其他组织和企业实施ICT供应链风险管理提供了很好的实践标杆。
4 ICT SCRM标准制定的背景 ICT供应链风险管理产生的背景是:(1)组织生命周期过程中每个环节都存在信息安全及风险;(2)供应链成员之间关系的交互所产生的信息安全与风险。ICT SCRM的生命周期包括ICT产品和服务的研发、设计、制造、采购、交付、整合、运行和处理,且ICT SCRM的实施涉及ICT产品的安全、整合、弹性和质量,如图1所示。 由美国联邦组织机构、供应商、服务提供商、系统集成商以及其他相关利益者构成的供应链成员关系,在其交互过程中容易产生信息安全与风险。美国联邦机构从ICT供应商处获得ICT产品和服务用于布置组织的信息系统。同时,美国联邦机构也需要通过外包的形式将部分功能分包给系统集成商和服务提供商,以减少运行成本或者获得更好的服务水平。此外,构建信息系统的软件和硬件也均是由第三方供应商提供。但是,外包往往造成信息安全问题的产生,诸如盗窃、恶意接人等。因此,ICT供应链风险管理过程不仅要把控各个相关利益者,还应对ICT供应链中的硬件、软件和流程整合,即组织边界及组织环境内系统的研发、制造、测试、部署、维护、更新和关系的维持与控制。图2描述了美国联邦机构ICT供应链的多层级结构的整合。
图2还显示,ICT供应链中风险不仅与组织在不同层级的可观察性、认知和控制有关,还与供应商、系统集成商和外部服务提供商之间存在复杂的关系。外部服务提供商以合约的形式代替美国联邦机构运营其信息系统。在这种合约关系中,美国联邦机构因将部分功能外包而降低了成本,同时,因部分功能承包给第三方服务商使得系统的安全性降低。因此,美国联邦机构应权衡信息安全和成本,并严格控制整个实施的流程,确保信息安全。ICT产品通常也是以契约的形式直接采购于ICT供应商,然而,ICT供应商生产的产品具有国际适用性,而不是针对顾客的独特需求。这就意味着,美国联邦机构应与ICT供应商建立特殊关系以保证产品的特殊性,保证ICT SCRM的实施过程和控制。 虽然,ICT供应链管理风险可通过管理实践获得,但是这种获取形式具有滞后性,而ICT供应链实施流程分析方法则可以对每个环节进行风险识别,从而可以全面了解ICT供应链面临的风险。图3描述了在ICT供应链实施过程中如何识别潜在的漏洞及其影响。 首先,识别分析ICT产品和ICT供应链潜在的威胁和脆弱性,包括敌对威胁和非敌对威胁、外部脆弱性和内部脆弱性;其次,通过历史案例分析法和统计方法,分析可能出现威胁和脆弱性的目的、意图和影响;最后,评估不同风险对商业流程或功能的危害程度,从而识别真正的风险。
5 ICT SCRM标准的实践 ICT SCRM标准基于已有的风险管理标准和成功实践,这些管理实践均包含在NIST的标准体系以及其他国际标准体系中,包括:组织实施ICT SCRM的成本及约束流程,将信息安全标准整合入采购流程,使用已有安全标准作为安全要求,确保软件质
龙源期刊网 http://www.qikan.com.cn
量及其控制流程的鲁棒性,构建多元关键系统的配送路径等。具体的ICT SCRM标准的实践有: (1)根据NIST SP800-39标准和NIST SP800-30标准构建风险管理的层次、流程,以及横跨组织层面的风险评估流程。 (2)将ICT SCRM要求与组织政策整合,根据FIPS199标准(美国联邦信息和信息系统安全分类标准)定义组织治理结构,并构建可持续、易记录、可重复检验的风险评估流程。 (3)实施全面质量管理和可靠性流程,即组织和相关者全部参与到ICT产品和服务的质量管理中,确保服务水平和信息安全。 (4)采纳NIST SP800-53标准体系中合适且具有弹性的信息安全控制标准集合,构建内部检查、外部审查的均衡质量和信息安全管理体系。 (5)通过知识学习、共享等方法,识别、应对并减少安全威胁。
6 ICT SCRM标准的形成 NIST SP800-161标准基于现有的USIF2)标准体系和NIST标准的概念,这些标准相互补充,构建了合理的信息安全流程,保护组织运营和财产安全,抵抗外部威胁。NIST SP800-161标准是通过以下标准整合而来: (1)将NIST SP800-39的风险管理层级和风险管理流程整合人ICT SCRM。首先,明确风险管理的层级和方式;然后,对ICT SCRM的所有活动进行描述;最后,将风险管理的流程和控制嵌入到风险管理的组织的层级结构中,并与组织系统的发展生命周期和组织环境进行整合。 (2)将NIST SP800-30的风险管理流程整合入ICT SCRM。 (3)使用NIST FIPS99的关键分析来审查ICTSCRM活动,以分析有较大影响的对象和系统。 (4)将NIST SP800-53提供的信息安全控制标准以及其他协议簇融入ICT SCRM的背景。如图4所示,标准形成过程中还形成了加强的协议簇。这些增加的控制仅与ICT SCRM相关,并解释了如何应用于ICT SCRM。 (5)将NIST SP800-53A的评价技术应用于ICTSCRM的控制。 此外,NIST SP800-161标准还借鉴了其他出版物的内容,例如美国国防大学出版的《软件采纳中的保险:减少企业风险》(Software Assurance inAcquisition:Mitigating Risks t0 the Enterprise),美国国防工业协会出版的《系统安防工程》(Engineeringfor System Assurance),ISO/IEC 15288《系统生命循环过程》,ISO/IEC 27036《信息技术安全技术供应商关系的信息安全》,O-TFPS标准(Open TrustedTechnology Provider Standard),即“开放可信技术供应商标准”和SAFECode的软件整合框架、软件整合最佳实践。
7 新背景下ICT SCRM标准相关建议
随着计算机科技的进步,云计算、物联网、大数据等管理实践不断出现并迅速发展。ICT SCRM标准NIST SP800-161是基于现有的相关NIST信息安全标准,尚未考虑组织或企业如何在实施云计算、物联网和大数据等环境下,确保ICT供应链的安全和风险问题。 (1)云计算与云安全。随着云计算应用的普及,云安全问题日益突出,成为阻碍企业部署云计算的主要原因之一。在云计算背景下,企业实施ICT供应链过程中,应首先考虑供应商能提供的安全水平;其次,根据适当的数据分类,将公共及敏感数据迁移到云端,而组织的关键信息保存在组织内部。这样组织既可以减少成本,又能有重点性地确保组织信息安全,控制风险的产生。 (2)物联网与移动设备安全。物联网的出现虽然使得ICT供应链效率提高,但是也相应带来诸如恶意攻击、设备中断等物理安全风险。此外,物联网中移动设备应用软件容易受到恶意软件的植入或攻击,且网络攻击逐渐蔓延到移动平台。因此,物联网与移动设备背景下的ICT SCRM不仅涉及物理安全风险管理,还包括软件安全风险的管理。 (3)大数据与智能化。随