導航:首頁 > 網路安全 > 網路安全審查視角下的供應鏈風險

網路安全審查視角下的供應鏈風險

發布時間:2023-07-13 10:17:19

⑴ 供應鏈貨運安全的主要風險有哪些

供應鏈貨運安全的主要風險有:
1.運輸途中產品遭受破壞或失竊。在長距離運輸過程中,產品容易遭受物理損壞、溫度變化影響等,也可能遭受盜竊或搶告備劫。這會導致產品損失或延遲交付。
2. 運輸工具發生事故。如車禍、火災等會對產品和運營造成重大損失和影響。
3. 產品在運輸節點遭受破壞或變質。在裝卸、倉儲、轉運等節點,產品也面臨損壞、泄露、變質等啟友旦風險。
4. 運輸資料填報不實或錯誤。如產品名稱、數量、重量等資料填報不實,會導致運輸計劃和資源浪費,也會對產品造成安全隱患。
5. 運輸過程中的欺詐或犯罪行為。如偽造單據、走私等非法行為會對供應鏈安全造成威脅。
6. 網路安全風險。如運輸管理系統遭黑客入侵,會導致運單、位置信息泄露,對產品造悄擾成安全威脅。
7. 人為操作失誤。如裝箱不當、裝卸不慎會導致產品損壞;倉庫管理混亂也會損壞產品。這類失誤對供應鏈安全有較大影響。
除此之外,還有其他風險如自然災害、疫情影響等也會對供應鏈貨運安全產生影響。總的來說,要提高供應鏈安全,需要從運輸管理、運輸監控、網路安全、倉儲管理等各個環節入手進行風險控制和運作優化。

軟體供應鏈安全及防護工具研究

文 中國信息通信研究院雲計算與大數據研究所雲計算部工程師 吳江偉

隨著 5G、雲計算、人工智慧、大數據、區塊鏈等技術的日新月異,數字化轉型進程逐步推進,軟體已經成為日常生產生活必備要素之一,滲透到各個行業和領域。容器、中間件、微服務等技術的演進推動軟體行業快速發展核嫌,同時帶來軟體設計開發復雜度不斷提升,軟體供應鏈也愈發復雜,全鏈路安全防護難度不斷加大。近年來,軟體供應鏈安全事件頻發,對於用戶隱私、財產安全乃至國家安全造成重大威脅,自動化安全工具是進行軟體供應鏈安全防禦的必要方式之一,針對軟體供應鏈安全及工具進行研究意義重大,對於維護國家網路空間安全,保護用戶隱私、財產安全作用深遠。


一、軟體供應鏈安全綜述

軟體供應鏈定義由傳統供應鏈的概念延伸擴展而來。備睜業界普遍認為,軟體供應鏈指一個通過一級或多級軟體設計、開發階段編寫軟體,並通過軟體交付渠道將軟體從軟體供應商送往軟體用戶的系統。軟體供應鏈安全指軟體供應鏈上軟體設計與開發的各個階段中來自本身的編碼過程、工具、設備或供應鏈上游的代碼、模塊和服務的安全,以及軟體交付渠道安全的總和。軟體供應鏈攻擊具有低成本、高效率的特點,根據其定義可知,相比傳統針對軟體自身安全漏洞的攻擊,針對軟體供應鏈,受攻擊面由軟體自身擴展為了軟體自身內部的所有代碼、模塊和服務及與這些模塊、服務相關的供應鏈上游供應商的編碼過程、開發工具、設備,顯著降低了攻擊者的攻擊難度。同時,軟體設計和開發所產生的任何安全問題都會直接影響供應鏈中所有下游軟體的安全,擴大了攻擊所造成的影響。

近年來,軟體自身安全防禦力度不斷加大,攻擊者把攻擊目標由目標軟體轉移到軟體供應鏈最薄弱的環節,軟體供應鏈安全事件頻發,對用戶隱私及財產安全乃至國家安全造成重大威脅。最典型的如 2020 年 12 月,美國網路安全管理軟體供應商「太陽風」公司(SolarWinds)遭遇國家級 APT 組織高度復雜的供應鏈攻擊,直接導致包括美國關鍵基礎設施、軍隊、政府等在內的超過 18000 家客戶全部受到影響,可任由攻擊者完全操控。

軟體供應鏈安全影響重大,各國高度重視,紛紛推行政策法規推動軟體供應鏈安全保護工作。2021 年 5 月 12 日,美國總統拜登簽署發布《改善國家網路安全行政令》,明確提出改善軟體供應鏈安全,要求為出售給政府的軟體開發建立基線安全標准,不僅提供應用程序,而且還必須提供軟體物料清單,提升組成該應用程序組件的透明度,構建更有彈性且安全的軟體供應鏈環境,確保美國的國家安全。同年 7 月,美國國家標准與技術所(NIST)發布《開發者軟體驗證最低標准指南》,為加強軟體供應鏈安全加碼,明確提出關於軟體驗證的 11 條建議,包括一致性自動化測試,將手動測試最少化,利用靜態代碼掃描查找重要漏洞,解決被包含代碼(庫、程序包、服務)等。

我國對軟體供應鏈安全問題也給予了高度重視,2017 年 6 月,我國發布實施《網路產改滾手品和服務安全審查辦法》,將軟體產品測試、交付、技術支持過程中的供應鏈安全風險作為重點審查內容。2019 年12 月 1 日,《信息安全技術 網路安全等級保護基本要求》2.0 版本正式實施,在通用要求及雲計算擴展部分明確要求服務供應商選擇及供應鏈管理。


二、軟體供應鏈安全挑戰

目前,軟體供應鏈安全受到高度重視,但仍面臨多重現實挑戰,可以總結分為以下五大類。

1. 軟體設計開發復雜化成為必然趨勢

隨著容器、中間件、微服務等新技術的演進,軟體行業快速發展,軟體功能及性能需求也不斷提升,軟體設計開發復雜化已經成為必然趨勢。這一現狀同時帶來了軟體設計、開發及維護難度陡增,設計與開發過程不可避免的產生安全漏洞,為軟體供應鏈安全埋下隱患。

2. 開源成為主流開發模式

當前,開源已經成為主流開發模式之一,軟體的源代碼大多數是混源代碼,由企業自主開發的源代碼和開源代碼共同組成。根據新思 科技 《2021 年開源安全和風險分析》報告顯示,近 5 年,開源代碼在應用程序中所佔比例由 40% 增至超過 70%。開源的引入加快了軟體的研發效率,但同時也將開源軟體的安全問題引入了軟體供應鏈,導致軟體供應鏈安全問題多元化。

3. 快速交付位於第一優先順序

由於業界競爭環境激烈,相較於安全,功能快速實現,軟體快速交付仍處於第一優先順序,雖然軟體通常實現了安全的基本功能需求,如身份認證鑒權、加解密、日誌安全審計等,但整體安全防護機制相對滯後,以後期防護為主,前期自身安全性同步建設往往被忽視,軟體自身代碼安全漏洞前期清除存在短板。

4. 軟體交付機制面臨安全隱患

軟體交付指軟體由軟體供應商轉移到軟體用戶的過程。傳統軟體交付以光碟等存儲設備為載體,隨著互聯網等技術的發展,通過網路對於軟體進行快速分發已經成為基本模式,不安全的分發渠道同樣會對軟體供應鏈安全產生重大影響。

5. 使用時軟體補丁網站攻擊

針對軟體供應鏈安全防護,軟體的生命周期並非結束於軟體交付之後,而是直到軟體停用下線。軟體在設計及開發過程中難免存在安全缺陷,通過補丁下發部署是修復軟體缺陷漏洞的最通用方式。軟體補丁的下發部署同樣受分發渠道影響,受污染的補丁下載站點同樣會造成軟體供應鏈安全問題。


三、軟體供應鏈安全防護工具

軟體供應鏈安全涉及眾多元素及環節,參考業界常見劃分,軟體供應鏈環節可抽象成開發環節、交付環節、使用環節三部分。針對交付環節及使用環節安全防護,主要通過確保分發站點及傳輸渠道安全。開發環節與軟體源代碼緊密相關,安全防護較為復雜,囊括編碼過程、工具、設備及供應鏈上游的代碼、模塊和服務的安全,涉及四類安全工具,包括軟體生產過程中的工具和軟體供應鏈管理工具。

1. 靜態應用程序安全測試工具

靜態應用程序安全測試(SAST)是指不運行被測程序本身,僅通過分析或者檢查源程序的語法、結構、過程、介面等來檢查程序的正確性。源代碼靜態分析技術的發展與編譯技術和計算機硬體設備的進步息息相關,源代碼安全分析技術多是在編譯技術或程序驗證技術的基礎上提出的,利用此類技術能夠自動地發現代碼中的安全缺陷和違背安全規則的情況。目前,主流分析技術包括:(1)詞法分析技術,只對代碼的文本或 Token 流與已知歸納好的缺陷模式進行相似匹配,不深入分析代碼的語義和代碼上下文。詞法分析檢測效率較高,但是只能找到簡單的缺陷,並且誤報率較高。(2)抽象解釋技術,用於證明某段代碼沒有錯誤,但不保證報告錯誤的真實性。該技術的基本原理是將程序變數的值映射到更加簡單的抽象域上並模擬程序的執行情況。因此,該技術的精度和性能取決於抽象域對真實程序值域的近似情況。(3)程序模擬技術,模擬程序執行得到所有執行狀態,分析結果較為精確,主要用於查找邏輯復雜和觸發條件苛刻的缺陷,但性能提高難度大。主要包括模型檢查和符號執行兩種技術,模型檢查將軟體構造為狀態機或者有向圖等抽象模型,並使用模態/時序邏輯公式等形式化的表達式來描述安全屬性,對模型遍歷驗證這些屬性是否滿足;符號執行使用符號值表示程序變數值,並模擬程序的執行來查找滿足漏洞檢測規則的情況。(4)定理證明技術,將程序錯誤的前提和程序本身描述成一組邏輯表達式,然後基於可滿足性理論並利用約束求解器求得可能導致程序錯誤的執行路徑。該方法較為靈活性,能夠使用邏輯公式方便地描述軟體缺陷,並可根據分析性能和精度的不同要求調整約束條件,對於大型工業級軟體的分析較為有效。(5)數據流分析技術,基於控制流圖,按照某種方式掃面控制流圖的每一條指令,試圖理解指令行為,以此判斷程序中存在的威脅漏洞。數據流分析的通用方法是在控制流圖上定義一組方程並迭代求解,一般分為正向傳播和逆向傳播,正向傳播就是沿著控制流路徑,狀態向前傳遞,前驅塊的值傳到後繼塊;逆向傳播就是逆著控制流路徑,後繼塊的值反向傳給前驅塊。

2. 動態應用程序安全測試工具

動態應用程序安全測試(DAST)技術在測試或運行階段分析應用程序的動態運行狀態。它模擬黑客行為對應用程序進行動態攻擊,分析應用程序的反應,從而確定該應用是否易受攻擊。以 Web 網站測試為例對動態應用程序安全測試進行介紹,主要包括三個方面的內容:(1)信息收集。測試開始前,收集待測試網站的全部 URL,包括靜態資源和動態介面等,每一條 URL 需要包含路徑和完整的參數信息。(2)測試過程。測試人員將測試所需的 URL列表導入到測試工具中。測試工具提供「檢測風險項」的選擇列表,測試人員可根據測試計劃選擇不同的風險檢測項。測試工具在測試過程中,對訪問目標網站的速度進行控制,保證目標網站不會因為同一時刻的請求數過高,導致網站響應變慢或崩潰。測試人員在設定測試任務的基本信息時,根據目標網站的性能情況填入「每秒請求數」的最大值。測試工具在測試過程中保證每秒發送請求的總數不超過該數值。(3)測試報告。在安全測試各步驟都完成後,輸出測試報告。測試報告一般包含總覽頁面,內容包括根據測試過程產生的各種數據,輸出目標網站安全性的概要性結論;測試過程發現的總漏洞數,以及按照不同安全等級維度進行統計的漏洞數據。

3. 互動式應用程序安全測試工具

互動式應用程序安全測試(IAST)通過插樁技術,基於請求及運行時上下文綜合分析,高效、准確地識別安全缺陷及漏洞,確定安全缺陷及漏洞所在的代碼位置,主要在三方面做工作:流量採集、Agent監控、交互掃描。(1)流量採集,指採集應用程序測試過程中的 HTTP/HTTPS 請求流量,採集可以通過代理層或者服務端 Agent。採集到的流量是測試人員提交的帶有授權信息有效數據,能夠最大程度避免傳統掃描中因為測試目標許可權問題、多步驟問題導致掃描無效;同時,流量採集可以省去爬蟲功能,避免測試目標爬蟲無法爬取到導致的掃描漏水問題。(2)Agent 監控,指部署在 Web 服務端的 Agent 程序,一般是 Web 服務編程語言的擴展程序,Agent通過擴展程序監控 Web 應用程序性運行時的函數執行,包括 SQL 查詢函數、命令執行函數、代碼執行函數、反序列化函數、文件操作函數、網路操作函數,以及 XML 解析函數等有可能觸發漏洞利用的敏感函數。(3)交互掃描,指 Web 應用漏洞掃描器通過Agent 監控輔助,只需要重放少量採集到的請求流量,且重放時附帶掃描器標記,即可完成對 Web 應用程序漏洞的檢測。例如,在檢測 SQL 注入漏洞時,單個參數檢測,知名開源 SQL 注入檢測程序 SQLMAP需要發送上千個 HTTP 請求數據包;交互掃描只需要重放一個請求,附帶上掃描器標記,Agent 監控SQL 查詢函數中的掃描器標記,即可判斷是否存在漏洞,大大減少了掃描發包量。

4. 軟體組成分析軟體組成分析

(SCA)主要針對開源組件,通過掃描識別開源組件,獲取組件安全漏洞信息、許可證等信息,避免安全與法律法規風險。現有的開源組成掃描技術分為五種。(1)通過進行源代碼片段式比對來識別組件並識別許可證類型。(2)對文件級別提取哈希值,進行文件級哈希值比對,若全部文件哈希值全部匹配成功則開源組件被識別。(3)通過掃描包配置文件讀取信息,進行組件識別從而識別組件並識別許可證類型。(4)對開源項目的文件目錄和結構進行解析,分析開源組件路徑和開源組件依賴。(5)通過編譯開源項目並對編譯後的開源項目進行依賴分析,這種方式可以識別用在開源項目中的開源組件信息。


四、軟體供應鏈安全研究建議

1. 發展軟體安全工具相關技術

軟體供應鏈安全防護的落地離不開安全工具的發展使用。大力發展軟體安全工具技術,解決安全開發難點需求,進行安全前置,實現安全保護措施與軟體設計、開發同步推進。

2. 提升軟體供應鏈安全事件的防護、檢測和響應能力

軟體供應鏈安全防護需要事前、事中、事後的全方位安全防禦體系。軟體供應鏈安全攻擊事件具有隱蔽性高、傳播性強、影響程度深的特點,軟體供應鏈作為一個復雜、龐大的系統,難免存在脆弱節點,應提升對軟體供應鏈安全攻擊事件的防護、檢測和響應能力,避免安全事件造成重大影響。

3. 構建完善軟體供應鏈安全相關標准體系

通過科研院所及標准機構完善軟體供應鏈安全標准體系,普及軟體供應鏈安全防範意識,提升企業組織對軟體供應鏈安全的重視程度,進行軟體供應鏈安全投入,推進安全建設工作落實。

4. 建立軟體供應鏈安全可信生態

實現軟體供應鏈安全需要各領域企業的共同努力。企業共建安全可信生態將滿足不同用戶、不同行業、不同場景的安全可信需求,提升業界整體軟體供應鏈安全水平。

(本文刊登於《中國信息安全》雜志2021年第10期)

閱讀全文

與網路安全審查視角下的供應鏈風險相關的資料

熱點內容
億聯網路股票是哪個板塊 瀏覽:289
計算機網路支撐技術包括 瀏覽:133
vpm蘋果網路加速 瀏覽:900
蘋果6怎麼修改網路 瀏覽:953
全球手機網路最貴的國家是 瀏覽:541
計算機網路空間技術是干什麼的 瀏覽:445
電視上如何添加網路 瀏覽:683
數據網路基帶需要多少錢 瀏覽:318
wifi算有線還是無線網路 瀏覽:510
區域網有網卡驅動怎麼連接網路 瀏覽:881
專升本計算機網路 瀏覽:349
藍牙音響怎麼連接電腦上的網路 瀏覽:22
怎麼看蘋果手機網路鎖 瀏覽:824
共建網路安全成全國共識 瀏覽:635
網路連接訪問網址 瀏覽:586
真我Q25g網路模式選哪個 瀏覽:374
網路上的評論在哪裡找 瀏覽:263
手機沒有網路怎麼緊急呼叫 瀏覽:750
拔了網線找不到wifi網路 瀏覽:783
網路語鏟鏟是什麼意思 瀏覽:774

友情鏈接