白皮书简介
全球网络安全挑战
解决供应链风险,正当其时
安迪 • 珀迪
美国网络安全官
华为技术有限公司
2016年6月
这是华为发布的网络安全白皮书系列之第四版,这一系列探讨的是全球信息基础设施以及支持和依赖这些设施的组织所面临的棘手挑战,2016版白皮书关注供应链风险。组织和消费者需要能够充分利用全球供应链中的信息和通信技术。供应链风险管理并不只是为了确保产品和服务因需而达,还是一种产品生命周期管理方法,减少产品被恶意篡改的风险,减少产品被伪造或包含伪造部件并被恶意利用的风险。
内容选读
在全球环境和多样的供应链中,难以控制甚至识别所出现的各种风险,以及可能导致网络安全漏洞、事件或违规的条件。众所周知,不可能消减所有风险,至少在合理的成本范围内无法做到。因此,将网络安全风险纳入到组织风险管理中是至关重要的,包括要建立流程和机制,制定并实施消减计划,这些计划甚至也要涵盖极不可能出现的风险。
什么是供应链风险
供应链风险的定义是:“……对手可能故意破坏、恶意引入不需要的功能,或者破坏被保护系统的设计、完整性、制造、生产、分配、安装、运营或维护的风险,意在监视、阻止、干扰或者影响这些系统的功能、使用和运行”14,供应链威胁包括:妨害、篡改、伪造、盗版、偷盗、摧毁、毁坏、泄露、渗透、破坏、转移、出口管制违规、腐化、社会工程、内部人员威胁、伪内部人员威胁以及外部所有权。
当然,外部所有权本身不是此类供应链威胁,但是可能会引起网络安全相关的威胁,例如:在其他国家,对实体及其流程和资源的控制与可见度更少;操作可能需要接受第三国安全和隐私相关的管辖和监管;在承包商产品中应用安全和隐私要求时,可能会有困难或需要额外的成本。
更具体的威胁例子如下:(1)硬件或软件上安装恶意逻辑;(2)安装伪造硬件或软件;(3)关键产品/服务的生产或发布出现故障或中断;(4)技术服务依赖恶意或不合格服务供应商;(5)不小心在硬件或软件上安装漏洞。
华为网络安全白皮书系列
- 第一版白皮书《网络安全透视:21世纪的技术和安全— 一场艰难的联姻》(2012年9月发布)
- 第二版白皮书《构筑公司的网络安全基因——一套综合流程、政策与标准》(2013年10月发布)
- 第三版白皮书《网络安全透视:与你的技术供应商考虑端到端网络安全时的100个要求》(2014年12月发布)
- 第四版白皮书《全球网络安全挑战:解决供应链风险,正当其时》(2016年6月发布)
