NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
使用采购流程提供了保护供应链的重要手段。有许多有用的工具和技术,包括掩盖系统或系统组件的最终用途、使用盲买或筛选购买、要求防篡改包装,或使用受信任或受控的分销渠道。供应链风险评估的结果可以指导并告知最适用于特定情况的策略、工具和方法。各种工具和技术可以在整个系统开发生命周期中提供防护,防止未经授权的生产、盗窃、篡改、伪造品的插入、恶意软件或后门的植入,以及不良开发实践。组织还会考虑为那些实施控制措施、提高其流程及安全和隐私做法透明度、提供包含禁止使用有瑕疵或假冒组件条款的合同语言,以及限制从不可信供应商处采购的供应商提供激励措施。组织考虑为人员提供有关供应链风险、可用缓解策略以及何时应实施这些计划的培训、教育和意识提升项目。审查和保护开发计划、文档及证据的方法应与组织的安全和隐私要求相适应。合同中可能会明确规定文档保护要求。
对手可能通过破坏关键系统组件的供应或扰乱供应商的运营来试图阻碍组织的运作。组织可以跟踪系统和组件的平均故障时间,以减轻临时或永久系统功能丧失的影响。为了确保关键系统组件的供应充足,控制措施包括在整个供应链中为已确定的关键组件使用多个供应商,储备备用组件以确保在关键任务期间的运行,以及识别功能相同或相似的组件,以便在必要时使用。
组件的类型决定了要进行的扫描类型(例如,如果组件是 web 应用程序,则进行 web 应用程序扫描)。
None.
组织内部人员或独立的外部实体对系统、组件、产品、工具和服务进行评估,以发现篡改的证据、无意或故意的漏洞,或违反供应链控制的证据。这些包括恶意代码、恶意进程、缺陷软件、后门和伪造品。评估可以包括各类评估;设计提案评审;目视或实物检查;静态和动态分析;目视、X射线或磁粉检测;模拟;白盒、灰盒或黑盒测试;模糊测试;压力测试;以及渗透测试(参见 SR-6(1))。在评估过程中生成的证据将被记录,以便组织采取后续行动。在对供应链要素进行组织或独立评估过程中产生的证据,可用于改进供应链流程并为供应链风险管理过程提供信息。这些证据可以在后续评估中加以利用。证据及其他文档可以根据组织协议进行共享。
假冒组件的来源包括制造商、开发商、供应商和承包商。反假冒政策和程序支持防篡改,并提供一定程度的保护,以防止恶意代码的引入。外部报告组织包括CISA。
数据、文档、工具或系统组件可以在系统开发生命周期的任何阶段进行处置(不仅仅是在生命周期的处置或退役阶段)。例如,处置可以发生在研发、设计、原型制作或运行/维护期间,并包括如磁盘清理、加密密钥移除、组件部分重用等方法。在处理过程中妥协的机会会影响物理和逻辑数据,包括纸质或数字文件中的系统文档;运输和交付文件;包含软件代码的存储设备;或包含永久存储介质的完整路由器或服务器,这些介质包含敏感或专有信息。此外,适当处置系统组件有助于防止这些组件流入灰色市场。
None.
多样化系统、系统组件和服务的供应可以降低对手成功识别和针对供应链的可能性,并能减轻供应链事件或受损的影响。识别多个替代组件供应商可以降低替代组件变得不可用的概率。雇用多样化的开发人员或物流服务提供商可以减少自然灾害或其他供应链事件的影响。组织会考虑在系统设计中包含多样化的材料和组件。
为了实施供应链风险管理计划,组织会建立一个协调的、基于团队的方法,以识别和评估供应链风险,并通过使用程序化和技术性的缓解方法来管理这些风险。团队方法使组织能够对其供应链进行分析,与内部和外部合作伙伴或利益相关者进行沟通,并就供应链风险管理所需的适当资源达成广泛共识。SCRM 团队由组织内部拥有不同职责和角色的人员组成,负责领导和支持 SCRM 活动,包括风险管理、信息技术、合同、信息安全、隐私、任务或业务、法律、供应链与物流、采购、业务连续性及其他相关职能。SCRM 团队的成员参与软件开发生命周期(SDLC)的各个方面,整体上,他们对采购流程、法律实践、漏洞、威胁和攻击向量都有一定的了解并提供专业知识,同时还理解系统的技术方面及其依赖关系。SCRM 团队可以作为安全和隐私风险管理流程的扩展,也可以作为组织风险管理团队的一部分。
了解组织供应链中的人员和事物对于获得供应链活动的可见性至关重要。对供应链活动的可见性同样重要,因为它有助于监控和识别高风险事件和活动。如果无法合理了解供应链的各个元素、流程和人员,组织就很难理解和管理风险,并降低其对不利事件的脆弱性。供应链元素包括用于系统及系统组件的研发、设计、制造、采购、交付、集成、运营、维护和处置的组织、实体或工具。供应链流程包括硬件、软件和固件的开发流程;运输和处理程序;配置管理工具、技术和措施以维护源流;人员和物理安全计划;或与供应链要素的生产和分配相关的其他计划、流程或程序。供应链人员是指在系统或系统组件的研发、设计、制造、采购、交付、集成、运行与维护以及处置等环节中承担特定角色和职责的个人。识别方法足以在供应链发生变化时支持调查(例如如果购买了一家供应公司)、妥协,或事件。
对系统或系统组件进行防篡改性和检测性的检查,包括物理篡改和逻辑篡改,适用于从组织控制区域移出的系统和系统组件。需要进行检查的迹象包括包装、规格、工厂地点或采购零件的实体发生变化,以及个人从高风险地区旅行返回时。
可以实施的控制措施,以降低对手成功识别和针对供应链的可能性,包括避免购买定制或非标准化配置,使用在行业内有良好声誉的认可供应商名单,遵循预先商定的维护计划及更新和补丁交付机制,并在供应链出现问题时保持应急预案。通过使用提供对承诺或义务的例外的采购例外条款、使用多样化的交付路线,以及尽量缩短采购决策与交付之间的时间来释放压力。
系统开发生命周期包括研究与开发、设计、制造、采购、交付、集成、运营与维护以及处置。组织使用硬件和软件技术的组合来实现防篡改和检测。组织使用混淆和自我检查来使逆向工程和修改对对手来说更加困难、耗时且昂贵。系统和系统组件的定制可以更容易发现替换行为,从而限制损害。
建立协议和流程有助于供应链各实体之间的沟通。及时通知供应链中可能影响或已经影响组织系统或系统组件的漏洞和潜在漏洞,对于组织有效应对此类事件至关重要。评估或审计的结果可能包括促成某一决策或结果的开源信息,并可用于帮助供应链实体解决问题或改进其流程。
供应链风险管理政策和程序涉及SR系列中的控制,以及在系统和组织中实施的其他系列中的供应链相关控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在制定供应链风险管理政策和程序时进行协作非常重要。通常情况下,组织层面的安全和隐私项目政策和程序是更可取的,并且可能不需要针对具体任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致供应链风险管理政策和程序更新的事件包括评估或审计发现、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。简单地重复控制措施并不构成组织的政策或程序。
每个系统及系统组件都有其起源,并且在其存在期间可能会发生变化。来源是系统或系统组件及其相关数据的起源、发展、所有权、位置和变更的时间顺序。它还可能包括与系统、组件或相关数据进行交互或进行修改所使用的人员和流程。组织应考虑制定程序(见 SR-1),用于分配系统及系统组件源信息的创建、维护和监控的职责;在组织之间转移源信息文档和责任;以及防止和监控对源信息记录的未经授权的更改。组织有方法记录、监控和维护系统、系统组件及相关数据的有效来源基线。这些措施有助于跟踪、评估和记录来源的任何变化,包括供应链元素或配置的变化,并有助于确保来源信息和来源变更记录的不可否认性。在整个系统开发生命周期中都会考虑来源问题,并在适当情况下将其纳入合同和其他安排中。
为了有效且全面地管理供应链风险,组织必须确保在供应链的各个层级都纳入供应链风险管理控制措施。这包括确保一级(主要)承包商已经实施了流程,以便将供应链风险管理控制措施“向下传递”给下级承包商。受下传影响的控制已在 SR-3b 中标明。
供应商风险的评估和审查包括安全和供应链风险管理流程、外国所有权、控制或影响(FOCI),以及供应商有效评估下属第二层和第三层供应商及承包商的能力。这些审查可以由组织进行,也可以由独立的第三方进行。审查会考虑已记录的流程、已记录的控制措施、全方位来源的情报以及与供应商或承包商相关的公开可获得信息。组织可以利用公开来源的信息监测是否存在信息被窃、开发和质量控制不良、信息泄露或假冒产品的迹象。在某些情况下,根据适用的规则、政策或组织间的协议或合同,共享评估和审查结果给其他组织可能是适当的或必要的。
供应链要素包括用于系统及系统组件的研究与开发、设计、制造、采购、交付、集成、运营和维护以及处置的组织、实体或工具。供应链流程包括硬件、软件和固件开发流程;运输和处理程序;人员安全和物理安全计划;配置管理工具、技术和措施,用于维护来源;或与系统及系统组件的开发、获取、维护和处置相关的其他程序、流程或程序。供应链要素和流程可能由组织、系统集成商或外部提供商提供。供应链要素或流程中的弱点或不足代表潜在的漏洞,可能被对手利用以对组织造成伤害,并影响其执行核心任务或业务功能的能力。供应链人员是指在供应链中承担角色和责任的个人。
有关系统组件内部组成以及技术、产品和服务来源的权威信息为信任提供了坚实的基础。对技术、产品和服务的内部组成和来源进行验证,被称为血统。在微电子领域,这包括组件的材料组成。对于软件,这包括开放源代码和专有代码的组成,包括特定时间点组件的版本。血统可以增加对供应商关于其提供的产品、服务和技术的内部组成和来源所作声明的有效性的信心。内部组成和来源的验证可以通过制造商和供应商在技术、产品和服务的研究与开发、设计、制造、采购、交付、集成、运营与维护以及处置过程中产生的各种证据性文物或记录来实现。证据性工件包括但不限于软件识别(SWID)标签、软件组件清单、制造商对平台属性的声明(例如序列号、硬件组件清单)以及与硬件本身紧密绑定的测量值(例如固件哈希值)。
供应链操作安全将操作安全的范围扩展到供应商和潜在供应商。操作安全(OPSEC)是一个过程,包括识别关键信息、分析与行动及其他活动相关的友方行为,以确定潜在对手可能观察到的行为,确定潜在对手可能获得并能够在足够时间内解读或拼凑以获取信息,从而对组织造成损害的指标,实施防护或对策以消除或降低可利用的漏洞和风险至可接受水平,并考虑汇总信息可能如何暴露用户或供应链的特定用途。供应链信息包括用户身份;系统、系统组件和系统服务的用途;供应商身份;安全和隐私要求;系统和组件配置;供应商流程;设计规范;以及测试和评估结果。供应链作战安全可能要求组织对供应商保密任务或业务信息,并可能包括使用中介来隐藏系统、系统组件或系统服务的最终用途或用户。
对外部供应商的产品、系统和服务的依赖,以及与这些供应商关系的性质,会给组织带来越来越高的风险。可能增加安全或隐私风险的威胁行为包括未经授权的生产、伪造品的插入或使用、篡改、盗窃、恶意软件和硬件的插入,以及供应链中不良的制造和开发实践。供应链风险可能在系统元素或组件、系统、组织、行业或国家中是地方性的或系统性的。管理供应链风险是一项复杂且多方面的工作,需要整个组织协调努力,以建立信任关系并与内外部利益相关者进行沟通。供应链风险管理(SCRM)活动包括识别和评估风险、确定适当的风险应对措施、制定SCRM计划以记录应对措施,以及监控计划执行情况。SCRM计划(在系统级别)具有特定的实施性质,提供政策执行、要求、限制和影响。它可以是独立存在的,也可以融入系统安全和隐私计划中。SCRM 计划涉及 SCRM 控制的管理、实施和监控,以及支持任务和业务功能的系统在整个系统开发生命周期(SDLC)中的开发与维护。由于供应链在组织之间及组织内部可能存在显著差异,供应链风险管理(SCRM)计划会根据具体的项目、组织和运营环境进行定制。定制的SCRM计划为判断某项技术、服务、系统组件或系统是否适用提供了基础,因此相应的控制措施也需要进行相应的定制。量身定制的供应链风险管理(SCRM)计划帮助组织根据任务和业务要求以及其风险环境,将资源集中在最关键的任务和业务功能上。供应链风险管理计划包括对组织供应链风险容忍度的表达、可接受的供应链风险缓解策略或控制措施、持续评估和监控供应链风险的流程、实施和传达计划的方法、所采取的供应链风险缓解措施的描述及其理由,以及相关的职责和角色。最后,供应链风险管理计划应解决开发可信、安全、保护隐私且具有弹性的系统组件和系统的要求,包括在基于生命周期的系统安全工程过程中实施的安全设计原则的应用(参见 SA-8)。
防篡改技术、工具和技术手段为系统、系统组件和服务提供了一定的保护,能够抵御包括逆向工程、修改和替换在内的多种威胁。强大的身份识别结合防篡改和/或篡改检测对于在分发过程中及使用时保护系统和组件至关重要。
供应链中各实体与流程之间的关系,包括开发和交付,都会被考虑在内。供应链的要素包括用于系统、系统组件或系统服务的研发、设计、制造、采购、交付、集成、运营、维护和处置的组织、实体或工具。供应链流程包括供应链风险管理计划;SCRM 策略和实施方案;人员和物理安全计划;硬件、软件和固件开发流程;用于维护来源的配置管理工具、技术和措施;运输和处理程序;以及与供应链要素的生产和分销相关的程序、流程或步骤。供应链参与者是在供应链中具有特定角色和职责的个人。在对供应链要素、流程和参与者进行分析和测试过程中产生和收集的证据会被记录下来,并用于为组织的风险管理活动和决策提供信息。
在开发和运输活动中跟踪系统及其组件的唯一标识,为建立和维护来源提供了基础身份结构。例如,系统组件可以使用序列号进行标记,或使用射频识别标签进行标记。标签和标记可以帮助更好地了解系统或系统组件的来源。一个系统或系统组件可能有多个唯一标识符。识别方法足以在供应链遭到破坏或发生事件后支持取证调查。
对于许多系统和系统组件,尤其是硬件,有技术手段可以确定这些物品是否为正品或是否被篡改,包括光学和纳米技术标签、物理不可克隆功能、侧信道分析、加密哈希验证或数字签名,以及可见的防篡改标签或贴纸。控制措施还可以包括监控超出规格的性能,这可能是篡改或伪造的指示。组织可以利用供应商和承包商的流程来验证系统或组件是真实的且未被更改,并用于更换可疑的系统或组件。在接收交付之前,某些篡改迹象可能是可见并可处理的,例如包装不一致、封条破损以及标签错误。当怀疑系统或系统组件被篡改或为假冒时,供应商、承包商或原始设备制造商可能能够更换该物品,或提供取证能力以确定假冒或被篡改物品的来源。组织可以为人员提供培训,教他们如何识别可疑的系统或组件交付。