CISA ICT SCRM Task Force Guidelines 信息和通信技术供应链风险管理指南培训课件

CISAICTSCRMTaskForceGuidelines信息和通信技术供应链风险管理指南培训课件汇报人：XXXXXXICT供应链风险管理概述风险管理角色与责任ICT供应链风险管理流程关键风险领域与应对措施工具与资源支持案例分析与最佳实践目录CATALOGUE01ICT供应链风险管理概述定义与核心概念指对手可能破坏、恶意引入不必要功能或以其他方式颠覆供应品或系统的设计、完整性、制造、生产、分销、安装、操作或维护，从而监视、拒绝、破坏或以其他方式降低系统的功能、使用或操作的风险。供应链风险定义涉及创建、开发、发布、生产和分发数字产品所使用的人员、流程、软件库、组件及技术，其风险集中于软件或固件被破坏的可能性，例如恶意代码注入或开源组件漏洞利用。软件供应链特殊性包括供应商、开源社区等外部实体带来的潜在威胁，如商业软件中未披露的后门或免费工具中的隐蔽恶意功能。第三方风险范畴全球ICT供应链安全挑战地缘政治冲突影响国家间技术制裁和贸易限制导致关键组件断供，例如半导体芯片的跨国供应链易受政治干预，可能引发"卡脖子"风险。01硬件篡改威胁在跨国生产环节中，设备可能被植入微型芯片或旁路电路，2019年超微服务器主板事件表明此类攻击具有隐蔽性和广泛连锁效应。软件漏洞规模化开源组件依赖加剧风险传导，单个库漏洞（如Log4j）可影响数百万系统，而软件更新渠道可能成为SolarWinds式供应链攻击的入口。技术标准碎片化不同国家和地区对ICT产品的安全认证要求存在差异，导致跨国企业需应对多重合规压力，增加供应链管理复杂度。020304风险管理框架与标准ISO28000体系提供供应链安全管理规范，要求组织识别从原材料采购到最终交付的全流程风险要素，并验证安全措施是否符合法规要求。提出网络安全供应链风险管理(C-SCRM)系统方法，涵盖供应商评估、产品漏洞分析及响应策略制定等技术性控制措施。通过COBIT实现战略层治理目标对齐，结合ITIL的运维流程管理，构建覆盖ICT供应链全生命周期的风险管控体系。NISTSP800-161r1指南COBIT与ITIL整合应用02风险管理角色与责任采购方（Acquirer）职责持续监控与响应建立供应商绩效监控机制，定期验证交付产品的漏洞状态，对供应链中断或安全事件（如恶意代码注入）实施应急响应计划，确保业务连续性。供应商审查与合同约束通过审核供应商的安全实践（如ISO28000或GB/T36637-2018合规性），在合同中纳入安全条款，要求供应商提供软件物料清单（SBOM）或硬件物料清单（HBOM）以增强透明度。需求定义与风险评估采购方需明确ICT产品的安全需求，识别潜在供应链风险（如组件来源、供应商资质），并制定基于NISTSP800-161r1标准的评估框架，确保采购决策包含网络安全和供应链韧性指标。集成商需对所有第三方组件（包括开源和专有软件）进行溯源分析，验证其是否符合CISA的HBOM框架要求，确保组件无已知漏洞或后门。组件溯源与验证绘制多级供应商网络图谱，识别关键依赖项（如单一来源组件），制定替代方案以应对地缘政治或运营中断风险。供应链映射与依赖管理在系统组装阶段实施严格的渗透测试和代码审计，识别供应链攻击面（如依赖项漏洞），参照NISTSP800-161r1的"防御性设计"原则降低集成风险。安全集成测试向采购方提供完整的安全文档，包括组件来源证明、测试报告和配置指南，确保终端用户能追溯产品生命周期各环节的安全状态。安全交付与文档集成商（Integrator）职责01020304安全开发实践主动公开产品安全属性，包括依赖库清单、补丁策略和已知漏洞，通过标准化格式（如SPDX或CycloneDX）支持采购方的SCRM决策。透明化披露漏洞响应与修复建立漏洞管理流程，对上报的安全缺陷（如Log4j类漏洞）提供及时修复，并通过可信渠道发布更新，减少客户暴露窗口期。供应商需遵循安全开发生命周期（SDL），在编码、测试和发布阶段嵌入安全控制（如静态代码分析、漏洞扫描），防止软件被武器化（如SolarWinds事件中的供应链攻击）。供应商（Supplier）职责03ICT供应链风险管理流程规划与准备阶段01.建立管理团队组建跨职能的供应链安全管理团队，明确各成员角色与职责，确保涵盖采购、安全、法务等关键部门，为后续风险管理奠定组织基础。02.明确供应链范围通过绘制供应链图谱界定核心供应商、次级供应商及关键产品/服务边界，重点识别涉及敏感数据或关键基础设施的环节。03.制定安全目标根据业务需求与合规要求（如NISTSP800-161）设定可量化的安全目标，例如供应商安全合规率、漏洞修复时效等指标。风险识别与评估硬件篡改风险分析针对关键设备供应商，评估固件植入后门、组件替换等硬件级威胁场景，结合供应链层级分析潜在攻击路径。第三方依赖评估识别对单一供应商或开源组件的过度依赖风险，量化中断可能性及对业务连续性的影响程度。网络威胁映射结合MITREATT&CK供应链矩阵，梳理供应商可能引入的恶意软件、数据泄露等网络攻击向量。多维度风险量化采用FAIR等模型，从威胁发生概率（如供应商历史事件频率）和业务影响（财务损失、声誉损害）两个维度生成风险热力图。风险处置与监控风险规避策略对高风险供应商实施替代方案，如要求关键芯片供应商提供可信制造环境认证（如ISO28000）。控制措施分层部署结合NISTCSF框架，优先实施加密通信、代码签名验证等技术控制，辅以供应商安全能力培训等管理措施。持续监控机制通过自动化工具监控供应商安全评级（如SIG问卷得分）、实时追踪漏洞公告（如CVE数据库），建立动态风险仪表盘。04关键风险领域与应对措施硬件篡改风险供应链环节篡改硬件在制造、运输或交付过程中可能被植入恶意组件或后门，需建立严格的供应链审计机制，对关键硬件进行物理安全检查和X光扫描验证。伪造元器件威胁攻击者可能通过假冒芯片、劣质替代品或翻新器件引入漏洞，应实施元器件溯源验证系统，采用可信供应商清单和正品认证技术。固件级篡改硬件设备的底层固件可能被植入恶意代码，需部署安全启动机制和固件完整性校验，定期更新经过数字签名的官方固件版本。调试接口滥用未禁用的JTAG、UART等硬件调试接口可能成为攻击入口，必须在生产环节物理熔断调试接口或启用强认证机制。设备出厂时预装的系统软件或驱动可能包含恶意功能，需建立纯净镜像验证流程，对预装软件进行哈希校验和行为分析。预装软件污染供应链中使用的开源软件库可能包含未修复漏洞或被故意植入后门，应维护SBOM（软件物料清单），实时监控组件漏洞情报。开源组件漏洞软件更新渠道可能被劫持以分发恶意更新包，必须实施代码签名验证、TLS加密传输及多因素更新授权机制。更新劫持攻击恶意软件植入风险第三方服务依赖风险云服务API滥用集成的第三方API服务可能因安全缺陷导致数据泄露，需实施严格的API权限最小化原则和流量监控，定期审计第三方安全合规证明。02040301维护服务渗透第三方远程维护通道可能成为入侵跳板，必须限制维护会话的时空范围，采用零信任网络接入和会话录制审计。外包开发隐患委托开发的软件模块可能隐藏恶意逻辑，应要求供应商提供可验证的构建流水线，实施代码所有权交接前的全面安全测试。跨境数据风险依赖境外服务商时可能面临司法管辖冲突，需评估数据主权法律要求，部署数据本地化或加密隔离措施。05工具与资源支持提供涵盖网络安全、信息技术、物理安全、采购/获取、法律、物流、市场营销和产品开发等多部门代表的团队建设指南，确保各层级人员接受与其职能相关的安全程序培训。CISASCRM任务组资源跨部门协作框架基于NIST等行业标准，制定涉及安全、完整性、韧性和质量的政策与程序文档，帮助组织系统化实施供应链风险管理（SCRM）。安全合规管理文档包含评估供应商安全文化和SCRM计划的协议模板，支持企业验证上游供应商是否符合自身风险管控要求，例如通过安全审计和持续监控机制。第三方供应商验证工具结构化问卷用于识别供应商在网络安全、知识产权保护及物流可靠性等方面的潜在风险，支持量化评分以辅助决策。标准化格式记录ICT组件（硬件/软件/服务）的供应链层级信息，包括原始制造商、中间分销商及版本控制数据，增强供应链透明度。对照联邦指令（如BOD）和行业规范设计的检查项，帮助组织快速验证供应商是否符合强制性安全要求。模板中嵌入应急联络流程和责任矩阵，确保在供应链中断或安全事件发生时能快速协调供应商采取补救措施。标准化问卷模板应用供应商风险评估模板组件溯源追踪表合规性检查清单事件响应协作指南中小型企业（SMB）实践指南资源集约化策略针对SMB有限的人力与预算，提供分阶段实施SCRM的路径图，优先处理高风险供应商或关键ICT组件。整合CISA发布的SLTT（州/地方/部落/地区）网络安全资源、CDM仪表盘操作课程等，帮助SMB员工掌握基础风险识别与监控技能。指导SMB通过简化版合同条款、定期绩效评估等方式，在不增加管理负担的前提下提升供应链韧性。培训材料库供应商关系管理手册06案例分析与最佳实践公共部门采购案例标准化采购流程的示范价值美国国土安全部通过采用CISA发布的硬件物料清单(HBOM)框架，在政府采购中实现了硬件组件透明化，为其他公共机构提供了可复用的风险评估模板。澳大利亚数字转型署联合财政部建立ICT采购联合审查机制，通过共享供应商安全评级数据，将供应链风险筛查时间缩短40%。新加坡政府科技局(GovTech)将SCRM要求嵌入电子招标系统，自动拦截不符合网络安全标准的投标方案，从源头降低供应链漏洞。跨部门协同的典型模式政策落地的创新实践美国国防部通过“可信代工计划”(TrustedFoundryProgram)，建立军用芯片的国内生产闭环，减少对海外晶圆厂的依赖。以色列国防军定期对ICT供应商进行渗透测试，模拟APT攻击场景验证供应链应急响应能力，2023年累计发现23%的供应商存在隐蔽后门。国防领域通过构建多层防护体系，将供应链安全与国家安全战略深度绑定，形成“技术+制度+国际合作”的立体防御模式。关键组件国产化替代北约组织成员国通过“EDISON”平台实时交换供应商漏洞数据，利用区块链技术确保情报的可追溯性与不可篡改性。动态威胁情报共享红队测试常态化国防领域供应链安全实践苹果公司实施“深度映射”(DeepMapping)项目，对2000家核心供应商的生产环境进行数字孪生建模，实时监控设备固件变更和人员访问记录。亚马逊AWS开发供应商风