12月14日，据路透社和《华盛顿邮报》报道，知名IT公司SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视，甚至可能与上周曝出的FireEye网络武器库被盗事件有关。美国国家安全委员会甚至因此在上周六召开紧急会议。

SolarWinds是全球流行的网络管理软件，客户群体覆盖了大量重要机构和超过9成的世界500强企业，在全球的机构用户超过30万家。根据该公司网站的介绍，其中包括美国军方的五大军种（海军、陆军、空军、美国海军陆战队、太空军）、五角大楼、美国国务院、美国司法部、美国国家航空航天局，总统办公室和国家安全局等军政司法机构。此外，美国十大电信公司也使用SolarWinds的产品。

今天，来聊聊供应链安全，后面将会从政策、主要问题、方法、美国ICT SCRM实践等方面谈谈供应链。

政策

供应链安全政策目前在行的监管标准或文件主要有《等级保护2.0标准》和《网络安全审查办法》，另外还有一部在编的《关键信息基础设施网络安全保护基本要求》，但还未颁布和实施。

《网络安全审查办法》

先说说《网络安全审查办法》，之前写过《办法》的解读，各位可自行参阅。主要是针对CII（关键信息基础设施）运营者的，即在采购关键设备或工具软件前，应提交审查申请，经国家相关审查就部分（ISCCC）对采购的产品进行安全审查。这里还涉及一份《网络安全法》第二十三条中提到的《网络关键设备和网络安全专用产品目录》，即ISCCC的IS产品安全认证。对于非CII运营者暂时不做要求。

关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。

《等级保护2.0》

再者是当前作为强监管要求的《等级保护2.0》标准，其中涉及供应链安全要求的部分主要集中在通用要求和云计算扩展要求部分。

8.1.9.10 服务供应商选择（通用）

b) 应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安全相关义务；

c) 应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。

标准主要强调以下几个方面：

• 与服务供应商签订的服务合同或安全责任书是否明确了后期的技术支持和服务承诺等内容；

• 服务供应商定期提交安全服务报告；

• 定期审核评价服务供应商所提供的服务及服务内容变更情况，且具有服务审核报告；

• 具有服务供应商评价审核管理制度，明确针对服务供应商的评价指标、考核内容等。

8.2.6.2 供应链管理（云计算）

b) 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户；

c) 应将供应商的重要变更及时传达到云服务客户，并评估变更带来的安全风险，采取措施对风险进行控制。

这里除了服务商以外，可能会涉及到第三方供应商（因为可能存在第四或N方供应商情况），这些服务商或供应商有义务讲供应链安全相关的信息和变化即使传到给用户，对于重要变更要进行安全风险评估，做好应对措施，保证风险的可控性。

最后是《关保》中的要求，可以看出对于供应链安全的重视程度很高，有关这部分的解读可以参考我之前的《关保笔记》。以下是《关保》稿件阶段的内容摘取，仅供参考。

《关键信息基础设施网络安全保护基本要求》

七、安全防护

7.2 安全管理制度

运营者应：

注 1：安全策略包括但不限于：安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略（配置、漏洞、补丁、病毒库）、供应链安全管理策略、安全运维策略等。

b）基于关键业务链、供应链等安全需求建立或完善安全策略和制度，并根据关键信息基础设施面临的安全风险和威胁的变化相应调整。

7.7.2 供应链安全保护

运营者应：

a）制定供应链安全管理策略，包括：风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等。

b）建立供应链安全管理制度，设置相应的供应链安全管理部门，提供用于供应链安全管理的资金、人员和权限等可用资源。

c）保证产品的设计、研发、交付、使用、废弃等各阶段，以及制造设备、工艺等的供应链安全风险基本可控。

d）选择有保障的供应商，防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。

e）在能提供相同产品的多个不同供应商中做选择，以防范供应商锁定风险。

f）要求供应商承诺不非法获取用户数据、控制和操纵用户系统和设备，或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。

g）采购、使用的网络关键设备和网络安全专用产品，应通过国家规定的检测认证。

h） 采购、使用的网络产品和服务，应符合法律、行政法规的规定和相关国家标准的要求，可能影响国家安全的，应当通过国家安全审查。

i）发现使用的网络产品、服务存在安全缺陷、漏洞等风险时，及时采取措施消除风险隐患，涉及重大风险的应当按规定向保护工作部门报告。

j）采购网络产品和服务时，明确提供者的安全责任和义务，要求提供者做出必要安全承诺，并签订安全保密协议，协议内容应包括安全职责、保密内容、奖惩机制、有效期等。

10.3 响应和处置

10.3.1 事件报告

b）及时将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员，并按照规定向关键业务供应链涉及的、与事件相关的其他组织通报安全事件。

10.3.3 事件通报

运营者应及时将安全事件及其处置情况通报到可能受影响的部门和相关人员，向关键业务供应链涉及的、与事件相关的其他组织提供安全事件信息，并按照规定通报相关部门。

主要问题

5大常见第三方网络差距问题

根据Panorays对近万名员工在2019-2020年间的调查显示，对于第三方网络安全的主要问题集中在以下6个方面，在2020年高风险服务暴露这一风险没有进入TOP 5的行列。

图：调查发现的供应商现存主要安全问题（来源：Panorays）

01 重要Web资产无WAF保护（48%）

网站和应用是各种攻击的目标，从爬取、DDoS到注入和跨站攻击。WAF已经成为必备的基本保护工具。并非所有资产都需要同等的安全措施。但是关键Web资产(例如处理支付数据的资产)需要特殊予以保护。

02 Web服务器存在高危漏洞（40%）

补丁管理在安全领域是很常见又令人为难的一个话题，因为它涉及大量工作，并可能影响业务连续性。此外，远程办公的员工通常不愿意更新补丁。由于各种原因，大多数公司都在被迫地修补已知关键漏洞。在多数情况下，对未修补技术的攻击是机会主义的，而不是有针对性的。因此，最好从其他成本较低的缓解措施开始，如模糊技术版本、虚拟补丁和WAF。

03 CMS默认配置不当（34%）

WordPress之类的内容管理系统（Content Management System,CMS）很普遍，它们的安全漏洞也很常见。许多用户不更改默认密码、使用登录页面等默认配置，这使用户更容易受到网络攻击。每个CMS解决方案都有一个安全指南，应该制定并遵循它来确保使用安全。

04 安全团队人员不足（31%）

组织中，处理大量的安全职责需要足够的资源。应组件专业团队（如CISO办公室和SOC）并配备适当人员，以处理安全事件和网络相关需求的增长。这一类问题在2019年的Top 5网络问题中没有体现，这就引出了一个问题:为什么突然显现？可能是由于疫情导致员工被大幅裁员以及远程办公影响的结果。

05 支持老旧的SSL协议（25%）

大量公司仍然在使用老版本和易受攻击的协议，如SSL v2/TLS 1.0。这些协议多年来一直被提示存在隐患，使用不安全的加密协议，实际上已经失去了加密的意义。企业应该能够很容易地解决这一问题，这不属于支持客户遗留系统的问题。

对于一些甲方企业和头部公司来说，这些不过是一些日常基线工作，怎么可能成为TOP 5的主要问题？但事实如此，对于这些提供产品和服务的第三方/第四方供应商在这块的工作显然不足，仍然需要大幅改进。

如何选择供应商

在当今的网络世界中，公司评估和监控其供应商、提供商和商业伙伴的安全至关重要。黑客经常以第三方为目标，窃取企业敏感数据。此外，GDPR和NYDFS（纽约金融服务局）等法规（国内的等保、网安法、审查办法也有要求）也要求企业对第三方的网络安全负责，并对不遵守的企业实施严厉惩罚。

出于这些原因，企业需要仔细检查供应商的网络状况，对任何第三方的最初审查通常会以咨询或安全问卷形式展开。但这些问题可能会让人头疼，因为可能会有数百个问题，而其中许多问题都与眼前的供应商无关。很多公司希望尽可能减少询问的问题，但又不知道必须问的关键问题是什么。以下汇总了一些关键的，一定要问的重要问题以供参考。当然，作为供应商也可以针对自身情况去评估下是否符合这些要求。

01 在任何情况下，客户数据是否离开供应商的生产系统？

各种数据隐私法规（如GDPR和CCPA），要求公司能够快速跟踪客户数据。任何离开供应商领域的客户数据都可能引发问题，因为它很难被跟踪。

02 供应商是否支持内部系统和客户访问的单点登录？

从安全的角度来看，对于公司来说使用单点登录是正确选择。使用单点登录可以降低风险，确保员工使用正确的公司认证标准。让强密码策略更好的执行。

03 供应商是否遵守政策和法规，如SOC 2, GDPR, CCPA, NIST, COBIT和ISO-27001/2？

数据安全隐私法规要求公司制定保护客户数据的流程。在许多情况下，与供应商合作的公司也要对供应商的合规性负责。了解供应商遵守这些要求是评估网络态势和展示尽职调查的重要组成部分。

04 供应商的员工是否在“需要知道”(特权访问)的基础上访问数据？

不幸的是，许多公司授予员工访问公司数据的权限，而这些数据可能不应该被看到。因为可以接触到敏感数据的人增加，黑客有更多的机会针对员工窃取信息。限制对敏感数据的访问可以减少攻击面。限制员工数据访问权限对公司来说很重要。

05 供应商采用什么流程来识别可能的不当行为？

对于供应商来说，关键是要有适当的流程来标记某人是否对系统有未经授权的访问权。像SIEM软件这样的监视和警报系统对于实现这个目的特别有用。

06 供应商有员工安全意识培训计划吗？

大多数网络攻击还涉及以人为目标的攻击，包括社会工程、窃取凭证和网络钓鱼。因此，培训员工隐私保护意识很重要。可以通过教育员工关于数据管理、安全上网、网络威胁风险等安全意识培训计划来解决这一问题。

07 供应商是否允许Wi-Fi接入内部网络，如果是，供应商如何提供保护？

无限制的Wi-Fi接入可能带来安全风险，用户可能会无意中下载恶意程序或将受感染的设备连接到网络上。对于无线安全来说，使用WPA2是基本的，它具有强大的加密功能，而且被认为比WPA和WEP更安全。如果供应商确实允许Wi-Fi接入，但使用WEP或WPA，这显然表明他们的安全措施出了问题。

08 供应商对其服务器是否加固？

由于绝大多数计算资源是在线的，因此必须对服务器进行加固，以确保安全的网络环境。

09 供应商是否有适当的控制来防止对其应用、程序或源代码的未授权访问，以确保仅授权人员可访问？

与特权访问类似，该问题解决了通过实现诸如密码保护、双因素认证和防火墙等控制来限制对系统未授权访问的问题。访问控制安全有助于确保数据只被有权限的人查看。

10 供应商是否将敏感数据加密存储在系统中？

由于大量的个人信息被管理并存储在云端，任何敏感数据最好都要加密，这样任何人都不会在未经授权的情况下读取数据。此外，GDPR和CCPA等法规强烈建议公司加密客户敏感数据。由于这些原因，加密数据是保证数据安全的关键步骤。

来源：腾讯安全天幕团队