电子说
摘 要
随着“震网”“NotPetya”“心脏滴血”“太阳风”等攻击事件的相继发生,软件供应链安全引起各国高度关注,而国家间竞争、地区冲突和全球性疫情等多种不利因素更加剧了对软件供应链安全生态的冲击,也对装备软件供应链安全提出严峻挑战。首先,从软件供应链全链条安全、软件源头把控、开源代码使用安全、软件供应链管控体系等几个方面入手,分析装备软件供应链面临的网络安全形势和安全风险。然后,从形成装备软件供应链的安全标准体系、安全监管体系、安全测评体系和安全技术体系等角度,提出相应对策措施,为装备软件供应链安全提供支持。
所谓装备供应链,可以理解为与装备相关的软硬件产品及服务,或装备在生产、流通、使用、维护更新等全生命周期内,涉及的装备研制单位或生产单位、第三方设备(包括软硬件)提供者或生产者以及最终用户等,通过与上游、下游组织连接而成的网链结构 。软件作为装备的重要组成部分,在其功能实现上起到关键作用。软件供应链可以理解为通过一级或多级设计、开发阶段编写软件,并通过软件交付渠道将软件从供应商送往用户的系统 。无论是自主研发软件、现货类软件,还是定制开发软件,其供应链生命周期通常包括原始组件、集成组件、软件产品和产品运营 4 个环节,其中软件产品和产品运营环节涵盖软件生命周期 。软件供应链安全是软件生产整个过程中所有安全问题的总和,包括软件设计与开发的各个阶段,涵盖编码过程、工具、设备、供应商以及最终交付渠道等。
针对软件供应链的网络攻击,常常利用系统固有安全漏洞,或者预置的软件后门开展攻击活动,并通过软件供应链形成的网链结构将攻击效果向下游传播给供应链中所有参与者(包括最终用户)。近年来,软件供应链网络攻击事件频发,影响越来越大。据 Accenture 公司调查,2016 年 60% 以上的网络攻击是供应链攻击。典型的软件供应链攻击事件包括:2010 年发生的“震网(Stuxnet)”病毒事件 ,是美国、以色列针对伊朗核设施发动的网络攻击,直接迟滞伊朗核计划数年之久,“震网”病毒利用 Windows系 统 和 西 门 子 SIMATIC WinCC 系 统 的 多 个 漏洞;2014 年发生的“心脏滴血(HeartBleed)”漏洞事件 ,是由于基于安全套接字层 / 传输层安全协议(Secure Socket Layer/Transport Layer Security,SSL/TLS)的软件和网络服务广泛使用存在漏洞的开源软件包,从而感染了软件和服务开发上游代码和模块,并沿着软件供应链对其下游造成了巨大伤害;2017 年发生的 NotPetya勒索病毒事件 ,与 WannaCry 利用的漏洞相同,黑客对含有“永恒之蓝(EternalBlue)”漏洞的软件更新发起攻击,导致俄罗斯、乌克兰等十多个国家的能源、交通、银行、医院、国家机构及跨国企业受到影响,损失达上百亿美元;2020 年底发生的“太阳风”事件 ,黑客组织利用 SolarWinds 公司销售的数据管理软件的软件更新过程中存在的安全漏洞,对包括美国在内的几十个国家的政府及非政府组织发起网络攻击。这些攻击事件对各国软件供应链安全敲响了警钟,也为我国软件供应链网络安全发出了警示。
随着信息化的深入发展,大数据、云计算和人工智能等新技术在装备中的应用越来越广泛,装备信息化、网络化、数字化、智能化程度越来越高,这在提升武器装备作战效能的同时,也使其面临巨大的威胁,而供应链攻击是最重要的网络攻击形式之一,已经严重威胁到装备网络安全。近年来,一方面由于新冠肺炎疫情、中美关系不断恶化、俄乌冲突升级、全球经济动荡不断的形势,对全球供应链造成极大破坏,同时也对装备供应链安全造成严重冲击;另一方面随着开源代码、第三方组件 / 软件在装备中广泛应用,与之相关的所有安全漏洞也与装备软件共生,装备软件供应链遭受网络攻击的可能性愈发增加,对装备安全造成日益严重的影响。装备软件供应链安全事关国家安全、军队安全,一旦出现安全风险将会给国家和军队带来重大安全挑战,产生的后果不堪设想。
国内外针对工业互联网 、信息通信技术(Information Communications Technology,ICT)等领域的供应链安全,以及软件供应链安全 进行了研究,提出了各自的解决方案。不过,由于装备软件保密性、稳定性、可靠性要求高,且软件更新升级难度较大,而国内对该领域研究较少,亟须加强装备软件供应链安全研究。为此,厘清装备软件供应链面临的安全形势和安全风险,并在此基础上有针对性地构建完善的装备软件供应链安全体系和制定积极有效的应对策略,对于营造装备软件供应链良好的生态环境,更好地推动装备健康发展,具有十分重要的意义。
1 装备软件供应链面临的安全形势和安全风险
近年来,由于西方国家利用技术优势在重要进口软件中暗埋后门、装备软件大量使用未经充分安全测评的开源代码和第三方组件 / 软件等因素,软件供应链的各个环节均可成为攻击者的切入点,且软件供应链攻击成本低、回报高、检测难,从而导致软件供应链遭到破坏引发的网络安全事件数量不断上升,我国装备软件供应链安全风险急剧增加,面临的安全形势异常严峻。
1.1 装备软件供应链所有环节均有被网络攻击的风险
装备软件供应链安全涉及的角色和环节多、流程链条较长。以装备定制开发软件为例,除装备承研单位作为主要软件供方角色外,还有许多不受采购用户控制的其他软件开发者、软件供应商(如提供装备仿真软件)等第三方角色,从而扩大了潜在攻击面,使得软件供应链各个环节及其脆弱点都可能成为攻击者的切入点和目标,增加了装备软件不可控的安全风险,给装备软件埋下安全隐患。可以说,除软件供应链的原始组件和集成组件环节给装备软件带来安全问题外,在软件定义、软件开发、交付部署、运行维护等软件全生命周期的各个环节均可能引入安全隐患,导致出现软件漏洞、软件后门、恶意篡改、假冒伪劣、知识产权风险、供应中断、信息泄露等安全风险 ,如图 1 所示。
图 1 软件全生命周期各环节潜在的安全风险
1.2 西方军事强国通过技术垄断威胁我国装备软件安全
美国等军事强国依托技术垄断地位,政企勾结预置软件后门,严重威胁我国软件安全,极大推高了装备软件供应链网络安全风险。虽然我国在国防军工等领域大力推行国产化措施并取得一定成效,但装备研发生产领域许多高端软硬件设备还依赖国外进口,特别是 ICT 领域大量使用国外软硬件(如装备仿真设计软件等)产品极易被暗埋软件后门,使用不安全的仿真设计软件极易将安全风险引入其设计的各种装备软件中,很难从源头把控装备软件安全风险 。从近年来相继曝光的安全事件(如“棱镜门”事件 中可以发现,美国政府依托其在 IT 领域的技术与市场优势,强化与思科、微软、谷歌、英特尔等科技公司的合作,在这些公司研发、销售的相关软硬件产品中预置后门,对我国及其他主要国家(甚至是其盟友)进行全方位监控,窃取政治、经济、军事等重要信息,以达到继续维持其霸权地位的目的。比如,思科公司多款主流路由器的虚拟专用网络(Virtual Private Network,VPN)隧道通信和加密模块中,被发现存在暗埋的“后门”,美国政府能够轻而易举地获取密钥等核心敏感数据,并实现信息监控 ;美国 RSA 信息安全公司与美国国家安全局(National Security Agency,NSA)达成协议,用其安全软件的优先或默认随机数生成算法替代双椭圆曲线算法,通过预置的“后门”,NSA 能够轻松破解各种加密数据 ;2022 年 2月 23 日,北京奇安盘古实验室披露了来自美国的后门——“电幕行动”(Bvp47),该后门由NSA 的黑客组织“方程式”制造,可以攻击多数 Linux 发行版、Solaris、SUN 等操作系统,入侵成功后将在网络空间里畅通无阻,能够隐秘控制受害组织网络并轻而易举地获取数据。
1.3 开源代码的广泛应用极易引入新的装备软件供应链安全风险
开源代码开放灵活、应用广泛,在软件开发中起着非常重要的作用,已成为软件供应链的重要环节,是软件生态不可或缺的组成部分。根据 WhiteSource 发布的 2020 年度《开源漏洞管理现状》,除非企业政策要求禁止使用外,96.8% 的开发人员依赖于开源软件;此外,据奇安信代码安全实验室分析,在所调查的国内软件项目中,几乎全部使用了开源代码,而有的项目最多使用了约 3 878 个开源软件,且项目中使用的开源软件数量大大超出了软件项目管理者和程序员自身的认知 。为了提高开发效率并降低开发成本,装备软件中使用的开源软件比例呈逐年上升趋势。比如,装备中采用的国产操作系统、数据库等基础软件及大量应用软件都使用了开源代码。不过,开源代码中存在大量安全漏洞。据统计,截至 2020 年年底,通用漏洞披露(Common Vulnerabilities & Exposures,CVE)、美国国家计算机通用漏洞数据库(National Vulnerability Database,NVD)、中国国家信息安全 漏 洞 库(China National Vulnerability Database of Information Security,CNNVD)、国家信息安全 漏 洞 共 享 平 台(China National Vulnerability Database,CNVD)等公开漏洞库中共收录开源软件相关漏洞 41 342 个,其中 2020 年度新增漏洞 5 366 个,而历史漏洞排名第一的大型开源项目 Linux Kernel 漏洞总数达到 4 139 个 。在软件产品国产化要求下,我国对包括开源 Linux 内核等在内的开源代码进行了消化吸收,发布了相关软件产品并得到大力推广,在武器装备制造领域也得到广泛应用。不过由于各种原因,还很难发现潜藏其中的安全漏洞或“后门”,难以准确评估这些重要国产软件存在的安全风险,而开源软件中存在的安全漏洞,也会延续到装备软件中,严重威胁装备的安全使用及其作战适应性。
此外,近年来针对开源软件的网络攻击持续走高。Sonatype 调查显示,通过渗透开源代码,并将后门植入软件产品,所引发的软件供应链攻击比上一年度增长了近 430%[17]。一旦装备软件中使用的开源代码存在安全漏洞,很容易被不法分子利用,势必对装备使用造成严重后果。
1.4 装备软件供应链管控与安全测评能力不足导致存在较大安全管理风险
伊朗核设施遭受“震网”病毒攻击事件 表明,与互联网物理隔离的网络和系统也不是绝对安全的,同样,武器装备网络也存在类似问题,攻击者除从内部发起攻击外,还可以通过软件供应链活动渗透装备网络,比如软件更新 / 升级服务、装备软件维护服务等活动。而黑客常常利用软件供应链中各方建立的信任机制发起攻击,如用户与软件产品提供者之间的信任关系、设备之间受用户信任的通信链路等。一旦软件供应链某个环节(如软件更新升级或维护等)被攻陷,黑客就能轻易攻击该环节的所有下游用户。
由于装备软件稳定性、安全性要求高,且在装备操作使用中很少有专职的网络安全人员参与,从而在使用与运维时很容易引入安全风险,因此,在装备交付部队使用之前开展充分的网络安全测试,并对装备软件供应链安全风险进行有效管控是非常必要的。不幸的是,大多数装备采购方(或需方)和供方(如装备承研单位、供应商等)并没有对装备软件供应链进行有效管控。
一是装备软件供应链安全的军用标准尚未建立,安全管控体系不健全。我国相继出台了《中华人民共和国网络安全法》《网络安全审查办法》、GB/T 36637—2018《信息安全技术 ICT 供应链安全风险管理指南》等法规标准,且与软件供应链安全强相关的标准《信息安全技术 软件供应链安全要求》也将正式发布 ,这些标准为软件供应链安全管理提供了有效指导。与装备软件供应链网络安全管控和风险管理有关的军用法规标准尚未建立,软件供应链网络安全测评规范缺乏,安全测评体系还未形成,装备采购方和承研单位软件供应链的管理制度和监管机制尚不完备,安全管控的连续性与持久性(由装备采购方延伸至承研单位及更远)还不够,尤其缺乏针对软件交付、更新升级等重要环节的安全管控措施。
二是装备软件在交付前没有进行充分的网络安全测试,装备网络安全底数不清。虽然试验主管部门对装备网络安全测试进行了要求,但仍处于起步阶段,且对软件供应链安全测试还缺乏明确要求。由于缺乏标准化的软件供应链安全测评方法,装备软件在交付前通常只进行软件测评,并没有开展网络安全测评,更没有针对其供应链进行安全测评,难以尽早发现并消除软件中潜在的安全隐患。在要求装备软件国产化的同时,却对其中的开源代码安全管控不够重视,造成开源代码随意使用而不进行安全评估。此外,由于装备承研等单位软件安全测评能力不够,尤其是在恶意代码检测、漏洞挖掘分析、协议逆向工程等技术能力方面存在严重不足,难以对装备软件中的开源代码进行严格安全测试。
三是对国外软件安全审查不严格。虽然我国颁布了《网络产品和服务安全审查办法(试行)》,重点审查软件产品研发、测试、交付、技术支持过程中的供应链安全风险,但在 ICT等重点领域的网络安全审查尚处于起步阶段,并且较少涉及我军所采购的仿真设计软件、程序开发工具等国外软件产品及其衍生产品,对国外软件供应链的网络安全审查与评估等配套标准需进一步完善。
2 装备软件供应链网络安全对策
建立和完善装备软件供应链的安全标准体系、安全监管体系、安全测评体系和安全技术体系,是应对装备软件供应链网络安全风险的有效举措。
2.1 完善装备软件供应链网络安全标准体系,加强软件安全风险管理
一是加快制定装备软件供应链安全管理的军用标准规范。充分借鉴《信息安全技术 软件 供 应 链 安 全 要 求( 征 求 意 见 稿)》、GB/T36637—2018《信息安全技术 ICT 供应链安全风险管理指南》《信息技术产品供应链安全要求(征求意见稿)》、行业标准《网络产品供应链安全要求》等国家和行业相关供应链安全标准,以及涉及软件供应链安全内容的相关信息安全标准,制定装备软件供应链安全管理、风险管理等标准,规范装备软件供应链的组织管理(如机构管理、制度管理、人员管理、供应商管理、知识产权管理等)和供应活动管理(如软件采购、外部组件使用、软件交付、软件运维、软件废止等),指导装备软件采购方、承研单位、供应商和服务商等供应链各个角色制定本级软件供应链安全管理制度和措施,确保装备软件供应链各个环节均安全可控。
二是建立装备软件供应链网络安全测评标准规范。在相关信息安全测评标准基础上,结合装备软件网络安全实际,补充完善装备软件供应链安全测评要求和测评方法,并针对不同业务领域、不同供应链活动环节制定相应的软件供应链安全测评标准和测评方法。与国家网络安全审查法等法规配合,从而形成“通专结合”的装备软件供应链网络安全测评标准体系,为装备软件安全测评提供支持。
三是完善装备安全管理法规制度,实施软件供应链网络安全风险管理。装备软件供应链网络安全与其各环节中的人员、工具、环境等因素密切相关,网络安全风险可能由各环节中任一因素引入。因此,需要借鉴 GB/T 36637—2018《信息安全技术 ICT 供应链安全风险管理指南》、ISO 28000《供应链安全管理体系》和ISO/IEC 27005《信息安全技术 风险管理》等相关风险管理标准,制定装备软件供应链安全管理制度,对装备采购、研制、测试、交付、部署、运行、维护等过程中的网络安全风险进行监管和控制。同时对装备及其中的软硬件产品实施风险管理,摸清装备软件供应链中面临的安全威胁和脆弱性,采取有效应对措施,将装备软件供应链安全风险降至最低,做到风险可控。
2.2 建立装备软件供应链网络安全监管体系,实施软件全方位安全管控
一是建立装备软件供应链安全监管体制机制,对各方实施监管。在装备研制或采购过程中,装备采购方需要对装备承研单位、供应商等相关供方单位进行充分调研、审查与监管。在资质要求方面,装备承研方应具备安全保密资质等,对于软件供应链上的供应商需要提供证明其软件安全开发能力的企业级资质,并要求其在软件安全开发的过程管理、质量管理、配置管理、人员能力等方面提供证明,以证明其有能力把安全融入软件开发全过程。在质量管理及安全开发标准规范方面,要求承研单位、参与单位或供应商提供质量管理体系认证证明,对于软件供应链上的供应商,需要审查其内部软件安全开发标准与规范,能够对拟开发软件的不同应用场景、不同架构设计、不同开发语言进行约束和参考。此外,建立装备采购黑、白名单,实施奖惩机制。对于信誉好、网络安全问题少、售后服务响应快的供应商或软硬件产品,将其纳入白名单;对于信誉差、网络安全问题多、售后服务响应慢的供应商或软硬件产品,将其纳入黑名单。定期对黑、白名单进行更新,并将黑、白名单向全机构公布。
二是落实装备软件供应链各方主体责任。按照装备软件研制或采购实际情况,确定软件产品研制、采购、使用等供应链流程,分析各个环节存在的网络安全风险活动并对其进行约束,严格要求装备软件承研单位、供应商和服务商加强自身安全开发、集成、运维的能力,落实供应链安全的主体责任。对于装备软件采购方,应将网络安全人员纳入采购小组,参与装备采购评审全流程,对装备软件网络安全负责。网络安全人员应熟悉装备软件供应链安全要求等相关标准规范,在装备软件采购时,需要充分了解装备采购所有供应商 / 研制方信息、产品信息(版本、License、更新 / 升级方式等)、维护单位与人员信息,以及其他与网络安全相关的信息,建立装备软件供应链网络安全档案,为装备软件安全风险管理提供技术支持,并为装备验收测试中的软件供应链安全测评提供支撑。
2.3 建立装备软件供应链网络安全测评体系,加强软件安全测评能力建设
一是构建全流程装备软件供应链安全评估机制。建立集法规政策、管理和技术为一体的,涵盖软件定义、设计开发、交付部署、运行维护等软件生命周期各环节在内的全流程软件供应链安全评估机制,并对装备软件中使用的开源代码及其他原始组件和集成组件进行测试评估,全面评估装备软件供应链各环节的安全风险。不断完善装备软件安全测评体系,加强软件供应链安全测评技术研究及相关安全测评工具研制,形成系统化、标准化的软件供应链安全解决方案,不断促进装备软件供应链安全测评工作的落地实施。
二是加强装备软件供应链安全测评能力建设。采取“军民融合、地理分布、逻辑一体”的方式,开展装备软件安全测评条件建设,形成装备软件安全测评能力体系。在第三方试验机构、装备研制单位分别建设软件安全测评环境,开展装备软件供应链安全测评工作。军队试验机构可以借助地方优势安全测评、安全审查机构的能力,为装备软件供应链提供安全测评与安全审查服务。在开源代码安全测评方面,积极推动安全测评机构、安全企业开展开源代码安全检测服务,要求装备软件中使用的开源代码必须经过安全测评,以便有效管控装备软件安全风险。
三是在推进装备网络安全测试的同时要积极开展软件供应链安全测评。为了避免和消除装备软件中的安全漏洞,尽可能地减轻安全风险,确保装备软件供应链网络安全,需要在软件安全测评活动中开展全面的供应链安全测评,力争在装备交付使用前将安全风险降至最低,并在装备软件全生命周期的各个环节持续开展网络安全测试活动。在软件开发环节,采用软件安全开发生命周期流程方法,并利用基于静态应用安全测试、交互式应用安全测试和模糊测试技术的安全开发工具,开展安全测试。在软件使用、运行维护等环节,依据信息安全相关标准规范,实施安全风险管理活动。对装备软件中使用的第三方组件和开源代码,需充分验证测试其网络安全性,并采取必要的技术手段和管理手段,以便确保所使用第三方组件和开源代码的安全性。
2.4 完善装备软件供应链网络安全技术体系,加强软件安全防护能力建设
在加强装备软件供应链标准、管控、测评体系能力建设的同时,还需要从技术层面防范供应链安全风险,特别需要注重装备软件供应链安全管理知识图谱等基础能力、软件供应链全链条纵深安全防御能力、安全审计与应急响应能力等方面的能力建设。
一是建立装备安全管理知识库,构建装备软件供应链安全知识图谱。建立装备管理基础库,广泛收集装备中软件、硬件、数据库、中间件、组件 / 固件、控制器、数据总线等与网络安全有关的资产信息,以及各种软件开发、运行、编译环境信息。建立装备供应链管理库,收集装备软件及其组件、开发工具、设计软件等供应链各环节中的信息,如开发者、参与者、第三方组件 / 软件供应商、服务商、使用的开源代码等,要求装备及其软硬件供应链信息均可追溯。建 立 装 备 网 络 安 全 漏 洞 库, 收 集 来 自 CVE、NVD、CNNVD 及其他漏洞源的安全漏洞。建立装备威胁情报库,帮助安全人员明确单位重要资产的安全状况,根据单位自身资产的重要程度和影响面,进行相关的漏洞修复和风险管理。以各类装备安全管理数据库为基础,利用知识图谱技术,构建装备软件供应链网络安全知识图谱,能够让安全管理人员提前了解软件供应链中潜在的漏洞或缺陷,准确评估其安全风险,及时采取有效安全措施规避或消减安全风险,以便从全局把控装备软件供应链安全的整体态势。
二是全面使用网络安全技术和手段,建立纵深防御体系,提升装备软件供应链网络安全防御能力。装备软件供应链的各个环节都有可能成为潜在攻击面,从而需要对软件供应链各环节的关键资产、存在的安全漏洞、面临的安全威胁进行全面分析,并采取针对性的网络安全技术手段防御、检测并响应供应链攻击。在软件开发环节,对项目中使用的开源代码、第三方软件等,利用软件安全测评、漏洞扫描、漏洞挖掘、渗透测试及恶意代码识别等技术,发现其中可能存在的安全漏洞或恶意软件,并开发相应补丁进行安全加固或清除恶意代码。在交付与更新升级环节,可以利用网络劫持检测与安全防范、加密验证等技术,以防在交付与更新升级环节被劫持。在软件部署使用和运行环节,可以对装备系统采用零信任架构和内生安全思想进行安全防护体系设计,并应用安全态势感知、访问控制、可信密码及拟态防御等技术进行主动防御。
三是重视安全审计与应急响应能力建设。网络安全审计有助于系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患,对系统网络安全起着非常重要的作用。“太阳风”攻击事件就是由火眼公司(FireEye)审计人员在审查其内部安全日志时发现端倪的,并最终揭开了整个勒索事件的全貌 。一方面,要加强安全审计与应急响应技术研究和系统建设,针对装备软件供应链各个环节提出安全审计与应急响应能力要求,部署安全审计系统,形成全链条一体的安全审计与应急响应联动体系。另一方面,要注重安全审计与应急响应人才队伍建设,加强网络安全人才培养与引进,提升安全审计、逆向工程、漏洞挖掘分析等各类网络安全人员的业务能力。
3 结 语
随着装备信息化、数字化、智能化水平的提升,其作战能力越来越依赖于软件对其功能的实现,而装备系统的网络安全性在很大程度上取决于系统中使用软件的安全性,软件供应链安全是软件安全的重要部分。为了确保装备软件供应链网络安全,应尽快建立与我军装备软件供应链发展相适应的安全标准体系、安全监管体系、安全测评体系和安全技术体系,这是当前保障装备软件网络安全的一项重要工作。
全部0条评论
快来发表一下你的评论吧 !