17、软件供应链与制造设备的安全管理

软件供应链与制造设备的安全管理

1. 软件供应链管理要点

在软件供应链管理中，不能仅仅为了节省成本而随意更换供应商，需要有变更管理控制措施。以下是软件供应链管理的几个关键方面：
- 监控
- 特定监控内容 ：对于软件供应链安全的监控要更加具体，包括监控国家漏洞数据库（NVD）或中国国家漏洞数据库（CNVD）中的通用漏洞披露（CVEs），以及潜在的违规事件或其他软件供应链问题。还可以利用协议中要求的软件物料清单（SBOM）来监控可能给组织带来风险的软件组件。
- 供应商相关页面监控 ：供应商可能有网络安全页面或门户，可进行监控并注册以获取软件、产品和漏洞的更新通知。例如通过通用安全顾问框架（CSAF）的机器可读文件来监控产品漏洞，理想情况下，风险管理平台和资产管理工具可以利用这些文件进行警报。
- 暗网和社交网站监控 ：暗网或社交网站（如YouTube）上可能存在非法访问软件和破解许可证密钥的说明或视频。一些网络风险管理服务会监控暗网中关于供应商或其产品的讨论和数据，这些数据可能包括客户详细信息、个人身份信息（PII）、信用卡数据、知识产权以及对供应商环境的访问权限。
- 供应商审查
- 审查周期 ：对关键供应商的审查应是第三方管理计划的重要组成部分，审查周期可以是季度、半年或年度。如果一些大型关键供应商不愿意与小型组织进行季度更新，那么监控活动就变得尤为重要。
- 审查内容 ：在定期的供应商审查中，要涵盖网络协议中包含的主题，如漏洞管理、补丁管理和服务水平协议（SLAs）。利用这些会议讨论漏洞以及供应商对特定事件（如Log4j或最新的关键漏洞）的处理方式。如果使用了网络风险监控服务，要讨论在供应商数字足迹中观察到的任何变化，并询问其网络安全流程或组织是否有任何变化。还可以借此机会向供应商告知潜在的需求（自己或客户的），例如获取软件物料清单或“原产国”信息。
- 审计和评估权
- 重要性 ：尽管许多供应商希望从合同中删除“审计权”或评估条款，但这对于软件安全的供应商管理过程极为重要。至少应与供应商合作，允许对涉及自身数据的事件进行审计。审计费用通常由组织承担，并且一般会规定由双方认可的第三方来执行服务。
- 供应商主动审计情况 ：当发生受到媒体关注的违规事件时，供应商通常会主动聘请第三方审计机构。当出现公开已知的事件、数据泄露或关键漏洞时，供应商可能会在其网站上为客户记录相关信息，并根据法律要求向政府当局提交报告，方式包括安全通知、安全公告、博客文章或向政府机构或监管机构提交文件。

2. 制造和设备安全风险

制造业已成为网络攻击的重点目标行业之一。软件供应链安全风险不仅可能存在于软件开发生命周期中，还可能存在于通过可连接的信息技术（IT）、物联网（IoT）、工业物联网（IIoT）或运营技术（OT）安装在基础设施中的受损芯片、组件或产品中。即使组织本身没有制造计划，供应商的制造过程也可能引入风险。
- 设备制造的风险点 ：考虑到构建设备所涉及的所有物理和数字组件以及相关过程，存在数百甚至数千个可能被攻击的机会。每个物理设备（如笔记本电脑）通常包含固件、嵌入式软件和硬件组件（如主板、笔记本屏幕）。印刷电路板组件（PCBA）可能有十几个集成电路（IC）组件或芯片来支持设备运行，并且其中许多在购买时就包含嵌入式代码库。这些IC上的逻辑可能存在网络安全漏洞或来自上游供应商的故意破坏，导致难以检测和预防的违规事件。

3. 供应商与制造安全措施

为了降低供应链受损的风险，每个产品都应经过全面的供应链评估和验证过程，具体活动如下：
1. 硬件和软件组件的设计、开发和测试
2. 制造工具和流程的操作
3. 接收供应商货物
4. 检查集成电路、芯片和模块
5. 在组件或设备上安装固件（也称为刷机）
6. 测试印刷电路板和设备的组装
7. 制造产品的仓储、运输

供应商在产品创建过程中可能扮演多种角色，如原始设计制造商（ODM）、贴牌现有产品、电子制造服务提供商（EMS）或合同制造商（CM）。在评估制造商时，应考虑其在组织和制造过程及地点方面的网络安全知识、经验和认证。制造商应遵循如ISO 2700x信息安全、网络安全和隐私保护标准，以及ISA/IEC 62443工业自动化和控制系统标准，以建立强大的IT网络安全和数据保护态势。如果制造商符合NIST网络安全框架，还应在其组织内实施附属出版物NIST IR 8183《网络安全框架制造概况》。

4. 制造和设备安全控制

• 控制MDS - 01 ：验证制造的设备是使用信息安全、网络安全和数据安全最佳实践进行设计、开发、制造、测试和运输的。
• 设备、系统和网络安全配置
  • 基础设施安全 ：制造商应通过策略、流程、程序和技术（如纵深防御）来保护其数字和物理基础设施，防止恶意行为者渗透其环境。制造和供应链环境必须进行资产盘点和威胁监控。
  • 资产安全管理 ：制造环境中的资产（如制造执行系统（MES）、人机界面（HMIs）、可编程逻辑控制器（PLCs）以及OT、IT和IIoT产品）应采用安全配置、集成和最佳实践进行部署，特别要注意保护通信协议，因为旧设备中的通信协议可能未加密。
  • 网络策略 ：网络策略应包括分段和技术控制，以确保并在适用情况下分离企业系统和制造系统。制造环境还应在系统和设备上实施额外的控制和零信任策略，如禁用USB存储、添加设备篡改检测以及将补丁和更新纳入制造维护计划。同时，要持续关注面向互联网的设备和系统，因为固件攻击的威胁正在迅速增加。
  • 无线功能控制 ：为了进一步保障制造环境的安全，无线功能应设置为仅允许特定设备（如自主机器人、条形码扫描仪和射频识别（RFID）阅读器）运行，同时防止手机或未经批准的设备访问网络。制造商除了使用一般的IT管理技术外，还应利用专门为保护和监控工厂内的OT、IoT和IIoT设备而设计的工具。

以下是制造和设备安全控制的流程示意图：

graph LR
    A[制造和设备安全] --> B[设备、系统和网络安全配置]
    A --> C[物理安全]
    A --> D[代码、软件和固件完整性]
    A --> E[防止假冒]
    A --> F[供应链追溯]
    A --> G[设备保护措施]
    B --> B1[基础设施安全]
    B --> B2[资产安全管理]
    B --> B3[网络策略]
    B --> B4[无线功能控制]
    C --> C1[人员访问控制]
    C --> C2[安全策略和培训]
    C --> C3[渗透测试]
    D --> D1[完整性测试]
    D --> D2[HBOM和SBOM利用]
    E --> E1[选择可靠供应商]
    E --> E2[防伪措施]
    E --> E3[收货验证]
    F --> F1[追溯机制]
    F --> F2[供应链文档]
    G --> G1[硬件保护]
    G --> G2[固件保护]
    G --> G3[嵌入式软件保护]

5. 物理安全

制造过程涉及众多人员、系统和流程，物理安全控制至关重要，它能确保只有经过批准的人员才能访问制造场所、生产车间、仓库、配送中心以及执行支持流程的其他物理位置。未经授权的人员如果能够物理访问某个地点内的设备、系统和网络，将对供应链安全构成重大威胁。
- 安全策略和程序 ：制造商应制定详细的物理安全政策和程序，明确员工、承包商和访客必须遵循的指示。例如，不允许访客在制造工厂或任何公司地点无人陪同。
- 人员培训 ：为了阻止或预防潜在的供应链受损，并加强纵深防御策略，所有人都必须接受该地点物理安全程序的培训。
- 渗透测试 ：在供应链安全可能对产品或服务产生重大影响的地点，应对物理控制措施进行渗透测试。

6. 代码、软件和固件完整性

一个设备的制造通常涉及多个组织、人员和流程与代码、软件、固件和组件的交互，因此软件供应链存在许多可能被攻击的机会。为了确保软件供应链的安全性，所有参与方都需要设置控制点并进行测试，以验证代码、软件或固件在整个产品生命周期中的完整性，同时对每个物理组件进行假冒检查。
- 完整性测试方法
- 硬件物料清单（HBOM） ：详细的HBOM应列出所有组件，并包括提供材料和组件以及为物理产品的创建执行活动的供应商、制造商和组装商。对于HBOM中确定的每个公司，应在公司之间的每次过渡以及过程的每个步骤中进行质量和完整性检查。
- 软件物料清单（SBOM） ：供应商和客户应始终对从其他方收到的任何代码进行加密认证，包括部门和工作组之间的内部代码传输。完整性测试程序应评估来自每个开发者、制造商、分销商、组装商和制造商的组件或设备。由设计生产线的工程师专门创建的额外测试，应确认组件或产品在制造和组装的每个步骤中的完整性。
- 控制MDS - 03 ：利用硬件物料清单（HBOM）和软件物料清单（SBOM）中的信息，在制造过程中对任何芯片、集成电路、组件、固件和嵌入式软件进行组件认证和完整性检查。

7. 防止假冒

假冒芯片并不是一个新问题，但在2020 - 2022年芯片短缺期间，假冒零件和不良卖家有所增加。假冒芯片有多种形式，如先前故障的芯片、回收芯片、假冒芯片和克隆芯片。假冒芯片可能导致质量测试失败、产品召回和安全问题，甚至可能包含易受攻击或恶意的代码，从而导致产品受损。
- 选择可靠供应商 ：为了降低收到假冒零件的可能性，组织应提前确保供应商和制造商信誉良好、值得信赖，最好遵循如ISO 20243 - 1:2023《开放可信技术提供商标准（O - TTPS）》这样的标准。
- 防伪措施 ：如果供应商是经纪人或经销商，从其他方采购组件或产品，这种情况极易出现假冒或恶意组件，因此制造商应坚持在组件和包装中采取防伪措施，如微观或化学标记、电气或光学水印或独特的嵌入式加密身份。
- 收货验证 ：组件和产品应始终使用防篡改包装运输。供应商应通过单独的通信渠道提供防篡改包装的外观说明以及如何进行认证和完整性检查的方法。为了真正减少假冒产品，接收方在收到货物时必须进行验证检查，包括检查包装、验证序列号、抽样组件以及进行质量和完整性测试。
- 控制MDS - 04 ：在制造过程中使用芯片、组件和产品之前，验证其真实性。

8. 供应链追溯

供应链追溯（即记录拥有物品的人员和组织）对于建立产品及其基础组件的完整性至关重要。虽然供应链中涉及众多参与方，但可能缺乏对每个组件从源头到最终产品的来源和供应链追溯（可追溯性）的跟踪机制。
- 追溯机制 ：可追溯性可以存在于文件、系统中，也可以以条形码、二维码、RFID标签和近场通信（NFC）的形式存在于产品、包装、箱子和托盘上。这些跟踪机制以及防篡改包装、密封、标记或其他方法可以降低供应链中被篡改的风险。
- 文档和证明 ：供应链追溯文档以及对产品使用的防篡改机制的描述，可以提供一定程度的保证和证明，这可能是客户所要求的。
- 控制MDS - 05 ：通过供应链跟踪物理和数字零件、组件和产品，以获取产品的供应链追溯信息。

9. 设备保护措施

在设计、开发和制造过程中，组织可以通过实施基于固件和硬件的安全保护措施（如数字签名、安全硬件和软件模块以及设备认证）来加强设备安全性。这些保护措施不仅能提高设备的安全性，还能改善最终产品的安全态势。
- 控制MDS - 06 ：在设备内实施硬件、固件和嵌入式软件保护措施。

综上所述，软件供应链管理和制造设备安全是一个复杂且关键的领域，涉及多个方面的措施和控制。通过有效的监控、审查、审计、安全配置、完整性检查、防伪和追溯等措施，可以降低供应链风险，保障产品和服务的安全性。

软件供应链与制造设备的安全管理

10. 各安全控制要点总结

为了更清晰地呈现软件供应链与制造设备安全管理的各个要点，下面以表格形式进行总结：
|控制类别|控制内容|具体措施|
| ---- | ---- | ---- |
|软件供应链管理|监控|1. 监控NVD或CNVD中的CVEs、潜在违规事件及其他软件供应链问题
2. 利用SBOM监控软件组件风险
3. 监控供应商网络安全页面或门户，通过CSAF机器可读文件获取漏洞信息
4. 监控暗网和社交网站关于供应商或其产品的信息|
| |供应商审查|1. 按季度、半年或年度对关键供应商进行审查
2. 审查涵盖漏洞管理、补丁管理和SLAs等主题
3. 讨论供应商数字足迹变化及网络安全流程变更
4. 向供应商告知潜在需求|
| |审计和评估权|1. 与供应商合作允许对涉及自身数据的事件进行审计，费用由组织承担，第三方执行
2. 供应商在重大违规事件时主动聘请第三方审计机构，公开相关信息|
|制造和设备安全|控制MDS - 01|验证制造设备按信息安全、网络安全和数据安全最佳实践设计、开发、制造、测试和运输|
| |设备、系统和网络安全配置|1. 采用策略、流程、程序和技术保护基础设施，进行资产盘点和威胁监控
2. 资产采用安全配置、集成和最佳实践部署，保护通信协议
3. 网络策略包括分段和技术控制，实施零信任策略
4. 控制无线功能，利用专门工具保护OT、IoT和IIoT设备|
| |物理安全|1. 制定详细物理安全政策和程序，限制人员访问
2. 对人员进行物理安全程序培训
3. 在关键地点进行物理控制措施的渗透测试|
| |代码、软件和固件完整性|1. 利用HBOM和SBOM进行组件认证和完整性检查
2. 对代码进行加密认证，评估组件完整性|
| |防止假冒|1. 选择信誉良好的供应商，遵循相关标准
2. 要求组件和包装采取防伪措施
3. 收货时进行验证检查|
| |供应链追溯|1. 利用多种方式实现组件可追溯性
2. 提供供应链追溯文档和防篡改机制描述|
| |设备保护措施|在设备内实施硬件、固件和嵌入式软件保护措施|

11. 安全管理流程梳理

下面通过mermaid格式流程图来梳理软件供应链与制造设备安全管理的整体流程：

graph LR
    A[软件供应链与制造设备安全管理] --> B[软件供应链管理]
    A --> C[制造和设备安全管理]
    B --> B1[监控]
    B --> B2[供应商审查]
    B --> B3[审计和评估权]
    C --> C1[控制MDS - 01]
    C --> C2[设备、系统和网络安全配置]
    C --> C3[物理安全]
    C --> C4[代码、软件和固件完整性]
    C --> C5[防止假冒]
    C --> C6[供应链追溯]
    C --> C7[设备保护措施]
    B1 --> B11[监控漏洞和违规事件]
    B1 --> B12[利用SBOM监控]
    B1 --> B13[监控供应商页面]
    B1 --> B14[监控暗网和社交网站]
    B2 --> B21[确定审查周期]
    B2 --> B22[审查特定主题]
    B2 --> B23[讨论变化和需求]
    B3 --> B31[协商审计权]
    B3 --> B32[供应商主动审计]
    C2 --> C21[保护基础设施]
    C2 --> C22[管理资产安全]
    C2 --> C23[制定网络策略]
    C2 --> C24[控制无线功能]
    C3 --> C31[制定安全政策]
    C3 --> C32[人员培训]
    C3 --> C33[渗透测试]
    C4 --> C41[利用HBOM和SBOM检查]
    C4 --> C42[代码加密认证]
    C5 --> C51[选择可靠供应商]
    C5 --> C52[要求防伪措施]
    C5 --> C53[收货验证]
    C6 --> C61[实现可追溯性]
    C6 --> C62[提供追溯文档]
    C7 --> C71[实施硬件保护]
    C7 --> C72[实施固件保护]
    C7 --> C73[实施嵌入式软件保护]

12. 实施安全管理的关键步骤

为了有效实施软件供应链与制造设备的安全管理，可按照以下步骤进行：
1. 规划阶段
- 确定安全管理的目标和范围，明确需要保护的关键资产和业务流程。
- 组建安全管理团队，包括技术专家、管理人员和审计人员等。
- 制定安全管理策略和计划，明确各项安全控制措施的实施时间表和责任人。
2. 执行阶段
- 按照计划实施各项安全控制措施，包括软件供应链管理和制造设备安全管理的各个方面。
- 建立监控机制，实时监测安全状况，及时发现和处理安全事件。
- 定期对供应商进行审查和评估，确保其符合安全要求。
3. 检查阶段
- 定期对安全管理措施的实施效果进行评估和审计，发现问题及时整改。
- 进行渗透测试和漏洞扫描，及时发现和修复潜在的安全漏洞。
- 收集和分析安全数据，总结经验教训，为后续的安全管理提供参考。
4. 改进阶段
- 根据检查阶段发现的问题，制定改进措施，不断优化安全管理体系。
- 关注行业动态和技术发展，及时引入新的安全技术和方法，提高安全管理水平。
- 加强员工安全意识培训，提高全员安全意识和应急处理能力。

13. 安全管理中的常见挑战及应对策略

在软件供应链与制造设备安全管理过程中，可能会遇到以下常见挑战，同时给出相应的应对策略：
|挑战|应对策略|
| ---- | ---- |
|供应商不配合审计和评估|1. 在合同中明确审计和评估权的条款，作为合作的前提条件
2. 与供应商进行沟通，说明安全管理的重要性和必要性，争取其理解和支持
3. 寻找替代供应商，确保供应链的安全性|
|难以获取准确的HBOM和SBOM信息|1. 与供应商签订协议，要求其提供准确、完整的HBOM和SBOM信息
2. 建立信息验证机制，对供应商提供的信息进行核实和验证
3. 利用专业工具和技术，自动收集和分析HBOM和SBOM信息|
|物理安全控制措施执行不到位|1. 加强员工培训，提高员工对物理安全重要性的认识
2. 建立监督机制，对物理安全控制措施的执行情况进行检查和监督
3. 对违反物理安全规定的行为进行严肃处理，形成威慑力|
|技术更新换代快，安全漏洞不断出现|1. 建立安全漏洞监测和预警机制，及时发现和处理新出现的安全漏洞
2. 定期对系统和设备进行更新和升级，安装最新的安全补丁
3. 加强与安全厂商和研究机构的合作，及时获取最新的安全技术和解决方案|

14. 总结

软件供应链与制造设备的安全管理是一个系统性的工程，涉及多个环节和方面。通过实施有效的监控、审查、审计、安全配置、完整性检查、防伪和追溯等措施，可以降低供应链风险，保障产品和服务的安全性。同时，要充分认识到安全管理过程中可能遇到的挑战，并采取相应的应对策略，不断优化安全管理体系，以适应不断变化的安全形势。在实际操作中，应严格按照安全管理的流程和步骤进行，确保各项安全措施得到有效执行，为企业的稳定发展提供有力保障。