下载掌阅APP,畅读海量书库
立即打开
随着数字经济的蓬勃发展,数字化与日常生活深度融合。数字技术不仅成为新形势下促进国民经济发展的新动能,也是实现国家治理现代化的重要支撑和有力保障。尤其是在疫情期间,数字技术在疫情防控上发挥了重要作用。
然而,网络安全是数字经济时代的基石。只有保障网络安全,才能夯实数字经济发展的基础。中、美等国家将网络安全上升到国家安全战略层面,特别是在各自完成网络安全相关的基础性立法和初步形成相关网络安全监管体系后,面对开源技术滥用、软件供应链攻击频发等错综复杂的网络安全新形势,都及时采取了针对性措施,以加强对重点方向的监管。
在科洛尼尔管道运输公司被网络攻击事件发生后不久,美国发布了《改善国家网络安全行政令》(EO 14028:Executive Order on Improving the Nation’s Cybersecurity),提出改善美国国家网络安全和保护联邦政府网络的新路线。在《改善国家网络安全行政令》的第4节“加强软件供应链安全”的e条款中,要求:初步指南发布90天内(不迟于2022年2月6日),NIST应发布加强软件供应链安全实践的指南,并明确指南需要包含的内容
(见表4-1)。
表4-1 EO 14028 4(e)条款要求指南包含的具体内容
对此,NIST修订了其2020年4月发布的“Secure Software Development Framework V1.0”(即SSDF V1.0),并于2022年2月正式推出“Secure Software Development Framework V1.1”(即SSDF V1.1),主要内容如表4-2所示。
表4-2 SSDFV1.1的主要内容
(续)
(续)
SSDF V1.1汇集了一组基于已有软件安全开发框架、标准、指南和被认为成功的软件开发安全实践而进一步提出的可靠的更高水平的最佳实践,有助于采纳者实现软件开发安全目标。SSDF V1.1的重点在于实现安全软件开发实践,没有明确相应的工具、技术和机制等。SSDF V1.1并不要求所有组织设定相同的安全目标和优先级、采取完全相同的安全实践。SSDF V1.1中的建议(分类、实践和任务)恰恰反映了各种可能的独特安全预期和安全需求。每个实践实现的程度和形式都根据软件安全开发的预期进行相应调整。
对比SSDF V1.1中的实践任务与行政令(EO 14028)对SSDF指南的具体要求,不难看出:
1)SSDF和DevSecOps理念高度一致,其中涉及的各项安全任务均可作为安全活动集成到DevSecOps流程中。部分任务可以通过安全工具链如威胁建模、IAST、SCA、SAST等实现。
2)SBOM(Software Bill Of Materia,软件物料清单)的重要性,可以明确软件组件依赖,确保软件供应链安全可追溯。供应商需提供SBOM并公布。
3)针对开发环境的攻击,是近年来供应链攻击方式之一,通过对开发环境的保护,可以防范如SolarWinds等供应链攻击事件发生。
2021年8月17日,国务院发布了《关键信息基础设施安全保护条例》(以下简称《条例》)。《条例》的出台不仅旨在落实《中华人民共和国网络安全法》第31条授权性立法条款的要求,为深入开展关键信息基础设施安全保护工作提供有力的法治保障,同时也是结合实践对《中华人民共和国网络安全法》中就构建关键信息基础设施安全保护体系提出的顶层设计所做的进一步细化,进而为开展关键信息基础设施安全保护工作提供更为明确的指导。
具体来说,《条例》不仅明确了关键信息基础设施范围、保护工作原则目标、监管体制、运行者责任义务、保障促进措施以及相关法律责任,还完善了关键信息基础设施认定机制。
《条例》明确,重点行业和领域的重要网络设施,可能严重危害国家安全、国计民生、公共利益的重要网络设施,信息系统属于关键信息基础设施,应当被重点保护。《条例》明确,保护工作应当坚持统筹协调、分工负责、依法推进,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。依据《中华人民共和国网络安全法》,按照“谁主管谁负责”的原则,《条例》明确,国家网信部门负责统筹协调、国务院公安部门负责指导监督关键信息基础设施安全保护工作,以及国务院电信主管部门和其他有关部门在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。《条例》除了原则性地规定了运营者负有保障关键信息基础设施安全稳定运行和维护数据完整性、保密性和可用性的责任外,还通过设立专章细化了运营者的各项相关义务和要求。《条例》明确,建立网络安全信息共享机制、关键信息基础设施网络安全监测预警制度、网络安全定期检查检测机制、网络安全事件应急预案等,以及建立对能源、电信等关键信息基础设施安全运行的优先保障制度。《条例》明确了运营者、有关主管部门及相关工作人员的法律责任,任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,以及实施上述非法行为的相应罚则。
《条例》还从我国国情出发,借鉴国外通行做法,明确了关键信息基础设施的认定程序,其中,具体包括由保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并组织认定本行业、本领域的关键信息基础设施,以及在发生较大变化时重新认定。
《条例》指出,要保护关键信息基础设施这个经济社会运行的神经中枢,就应当坚持综合协调、分工负责、依法保护,强化和落实运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。虽然《条例》强调监管部门分工协作、依法推进的引导作用,和充分发挥政府和社会各界群策群力办大事的优良传统,但是毕竟运营者才是直接控制和管理关键信息基础设施运营的主体,本着“谁运营、谁负责”的原则,只有始终强调运营者在关键信息基础设施综合保护体系中的主体责任,压实关键信息基础设施运营者的主体责任,才是将整个关键信息基础设施安全保护工作落到实处的关键所在,这也是《条例》在第1章第4条强调“强化和落实运营者主体责任”和在第3章第12条至第21条集中规定运营者应当履行的义务的用意所在。
《条例》第3章第12条至第21条集中规定运营者义务主要表现在:
1)落实安全措施三同步原则的要求,确保安全保护措施与关键信息基础设施同步规划、同步建设、同步使用。
2)建立健全网络安全保护制度和责任制,落实一把手负责制。
3)设置专门安全管理机构,具体履行安全保护职责,参与网络安全和信息化相关决策制定,以及落实机构关键角色的安全背景审查。
4)落实对关键信息基础设施的定期安全检测和风险评估,以及重大网络安全事件、重大网络安全威胁报告制度。
5)倡导优先采购安全可信的网络产品和服务,以及落实对可能影响国家安全的网络产品和服务的安全审查制度。
6)落实保密制度,促使运营者与供应商根据国家网络安全规定签订安全保密协议,履行保密义务。
7)落实运营者主体重大变化报告制度。运营者主体重大变化主要是指运营者发生合并、分立、解散等情况。运营者主体发生重大变化时,应当及时报告和按照保护要求对关键信息基础设施进行相应处置。
在关键信息基础设施安全保护工作实践中,对于广大企业来说,《条例》不仅是评价被认定为关键信息基础设施运营者的企业的安全保护工作是否合法的主要依据,还对潜在的关键信息基础设施运营者和有意愿主动将《条例》相关规定落实到自身信息系统运营者有着显著的指导示范作用。
《条例》第3章第12条至第21条对运营者落实主体责任时应当履行的各项义务如表4-3所示。
表4-3 运营者落时主体责任时履行的义务明细
《条例》中明确的各项义务大多数聚焦在运营者在关键信息基础设施相关的安全能力建设、关键信息基础设施安全保护制度建设等方面,广泛覆盖了传统的网络安全问题,但其中一些条款也涉及新形势下的网络安全问题,并对关键信息基础设施运营者提出了直接或间接的要求,以避免关键信息基础设施、重要信息系统被破坏、失能和数据泄露,进而严重危害国家安全、国计民生、公共利益。
其中,《条例》第12条的安全措施三同步原则,即要求安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,就直接反映了安全在关键信息基础设施设计、构建、运营过程中的重要性和必要性。虽然安全保护措施的同步规划、同步建设、同步使用可以确保传统的外挂式安全保护措施分别落实到关键信息基础设施设计、构建、运营的每个阶段,但推进关键信息基础设施内建安全能力建设无疑才是确保安全在各个阶段全覆盖的有效手段。
同理,《条例》第15条第1款第(7)项规定专门安全管理机构职责在于对关键信息基础设施设计、建设、运行、维护等服务实施安全管理,也是在间接地强调安全前置的重要性,即在设计阶段就应当考虑到安全问题。安全管理可以是一些传统安全开发、运营模式下的安全实践,例如传统的威胁建模、安全架构设计评审、白盒覆盖测试、黑盒扫描测试等,但是这些实践都是非轻量级安全活动,并不适合整合集成和实现自动化,进一步将安全融入关键信息基础设施设计、建设、运营(包括运行和维护)全过程,或是形成一条与之并行的关键信息基础设施安全管理流水线。因此,实现关键信息基础设施设计、建设、运行、维护等过程的安全管理自动化无疑是最佳实践。
《条例》第19条规定了运营者应当优先采购安全可信的网络产品和服务,并落实安全审查制度。上述条款内容直接反映了新形势下开源技术滥用、软件供应链攻击频发等热点网络安全问题,隐含地表达了上述攻击对关键信息基础设施造成危害的关切,以及强调运营者采取有力措施。即便是运营者或者供应链上游供应商采用了开源技术,通过落实安全可信的网络产品、服务采购和安全审查制度,同样能够在准入侧消除开源技术滥用带来的安全和合规风险,避免源头污染。
2021年10月20日,中国人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》(以下简称《意见》)
。
《意见》
开宗明义,说明了发布的背景,指出了制定的目的:规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康、可持续发展。
《意见》中首先明确了其管理对象,即确定了何为金融机构应用的开源技术,框定了监管范围。为了规范金融机构应用开源技术,《意见》中提出了金融机构使用开源技术应当遵循的原则,即“坚持安全可控;坚持合规使用;坚持问题导向;坚持开放创新”的原则。《意见》中鼓励金融机构合理应用开源技术,并鼓励在开源技术应用过程中从规划、组织协调、管理等维度建立健全的相关制度、体系、机制,促进开源技术的合理应用。《意见》中提倡要善于推进开源技术应用工作,例如根据自身业务场景制定合理的开源技术应用策略。《意见》中鼓励金融机构充分利用开源技术来提高自身能力以及加强开源技术研究储备、掌握其核心内容和促进其迭代升级,鼓励金融机构提升对开源技术的评估能力、合规审查能力、应急处置能力和供应链管理能力,以综合提升金融机构开源技术应用水平和自主可控能力。《意见》中鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验和研究成果,鼓励金融机构加强产学研结合,鼓励金融机构加入开源组织和积极参与相关活动,同时鼓励开源技术提供商提升自身技术创新能力,合法合规提供基于开源技术的商业软件或服务,进而促进开源技术健康、可持续发展。
《意见》还就监管部门如何规范金融机构应用开源技术、提高自主可控能力和促进开源技术健康可持续发展进行工作布局。《意见》强调相关监管部门要加强统筹协调,形成跨部门协作和信息共享机制,完善金融机构开源技术应用指导政策,推动金融机构合理使用开源技术;提出要探索建立开源技术公共服务平台,推动金融机构提升开源技术应用水平;加强开源技术及应用标准化建设,推动金融行业开源技术及应用高质量发展等。
《意见》的出台表明:相关监管机构充分认识到了开源技术在金融行业的广泛应用。总体来说,《意见》鼓励金融机构继续应用开源技术,并强调开源技术的规范应用,同时鼓励金融机构和开源技术提供商自主创新,掌握核心内容,发展自主可控能力。
事实上,在规范金融机构应用开源技术、引导其提升自身能力和推进开源技术健康可持续发展的同时,《意见》也在反复强调金融机构使用开源技术过程中存在的风险,例如安全问题和合规问题,并在多个条款中引导性地提出了金融机构为消减安全和合规风险应采取的举措。例如:《意见》第5条提出面对开源技术使用过程中的安全问题和合规问题,金融机构应建立健全的开源技术应用管理体系,规范开源技术的引入审批、合规使用、漏洞检测、应急处置等,降低开源技术使用的风险;《意见》第7条进一步提出金融机构应建立开源技术应用台账和进行常态化管理,以规避安全和合规等风险;对于合规问题,《意见》第10条专门提出金融机构要对开源技术进行事前合规审查,避免版权、专利、商标、声明等法律纠纷,消减知识产权纠纷等风险;《意见》第11条提出金融机构要制定应急处置预案,以应对开源技术应用带来的安全问题;《意见》第12条更是明确提出要加强开源技术供应链管理,要求开源技术提供商负起安全合规义务和责任以及确保提供的开源技术是经过技术评估、合规审查并满足安全和合规要求的。
在大多数金融机构实施消减安全和合规风险举措的过程中,受于工具以及传统安全管理方式等的限制,这些举措往往是零散地分布在软件开发、运营过程的各个阶段,并不能形成高效的、体系化的开源技术应用管理最佳实践。
2018年10月10日,国家市场监督管理总局和中国国家标准化管理委员会正式发布国家标准GB/T 36637—2018《信息安全技术—ICT供应链安全风险管理指南》。
GB/T 36637—2018的出台有助于补足我国标准体系在ICT供应链安全相关领域的缺失,为提高ICT供应链安全管理水平提供了有力支撑。
GB/T 36637—2018规范了ICT供应链安全风险管理流程,通过背景分析—风险评估—风险处理“三步走”加强ICT供应链安全风险管理流程管理,并通过在上述过程中加强风险监督、检测以及风险沟通,进一步提升ICT供应链安全风险管理水平。ICT供应链安全风险管理以风险评估为核心,从产品生命周期出发,针对性地对产品生命周期各个环节的风险进行识别、分析、评级、处理,建立对具体风险的闭环管理,以实现ICT供应链安全性和完整性。GB/T 36637—2018还列出了可以有效应对ICT供应链安全风险的措施集合。不同的组织,包括ICT采购方或供应方,均可视情况选择合适的安全风险控制措施,应对发现的供应链安全风险。
GB/T 36637—2018标准中,明确推荐在关键信息基础设施或重要信息系统中使用,以提高其供应链安全管理水平。具体来说,GB/T 36637—2018不仅被认为适用于指导ICT产品和服务的供应方和采购方加强供应链安全管理,还被认为可作为参考供第三方测评机构对ICT供应链进行安全风险评估。