《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 網(wǎng)絡(luò)安全之供應(yīng)鏈安全(一)

網(wǎng)絡(luò)安全之供應(yīng)鏈安全(一)

2021-10-26
來源:祺印說信安
關(guān)鍵詞: 供應(yīng)鏈安全

  介紹

  今天我們一起探討提高組織對供應(yīng)鏈安全的認(rèn)識,并通過繼續(xù)采用良好實踐幫助提高這方面的基本能力水平。

  大多數(shù)組織依靠供應(yīng)商來交付產(chǎn)品、系統(tǒng)和服務(wù)。自己可能有許多供應(yīng)商,這就是我們開展業(yè)務(wù)的方式。

  供應(yīng)鏈可能龐大而復(fù)雜,涉及許多供應(yīng)商做許多不同的事情。有效地保護(hù)供應(yīng)鏈可能很困難,因為漏洞可能是固有的,或者在供應(yīng)鏈的任何一點被引入和利用。脆弱的供應(yīng)鏈可能會造成系統(tǒng)業(yè)務(wù)損害和中斷。

  盡管存在風(fēng)險,許多公司卻忽視了他們的供應(yīng)鏈安全。根據(jù)2016年安全漏洞調(diào)查,很少有英國組織為其供應(yīng)商設(shè)定最低安全標(biāo)準(zhǔn),那么反觀我們國內(nèi)呢?大家各自都可以做一番考察或考量。

  一系列針對組織的高調(diào)、極具破壞性的攻擊表明,攻擊者有利用供應(yīng)鏈安全漏洞的意圖和能力,趨勢是真實的并且正在增長。因此,是時候采取行動面對供應(yīng)鏈安全了,其必要性是顯而易見的。

  12條原則

  這些原則旨在幫助組織獲得并保持對供應(yīng)鏈安全的必要控制水平

  一、了解風(fēng)險

  前三個原則涉及信息收集階段。

  除非對供應(yīng)鏈有一個清晰的了解,否則很難對其進(jìn)行任何有意義的控制,了解風(fēng)險非常有必要,組織需要投入適當(dāng)?shù)呐唾Y源來實現(xiàn)這一目標(biāo)。

  1. 了解需要保護(hù)的內(nèi)容以及原因

  你應(yīng)該知道:

  出租或?qū)⒊鲎獾暮贤拿舾行浴?/p>

  作為合同的一部分,供應(yīng)商持有、將持有、有權(quán)訪問或處理的組織信息或資產(chǎn)的價值。

  考慮需要供應(yīng)商為組織的資產(chǎn)和信息提供何種程度的保護(hù),以及他們將作為合同的一部分提供的產(chǎn)品或服務(wù)。

  2. 了解供應(yīng)商是誰并了解他們的安全狀況

  應(yīng)該知道:

  誰是組織的供應(yīng)商。需要考慮在供應(yīng)鏈中走多遠(yuǎn)才能獲得對供應(yīng)商的理解和信心。

  可能不得不依賴直接供應(yīng)商提供有關(guān)分包商的信息,并且可能需要一些時間來確定供應(yīng)鏈的全部范圍。

  供應(yīng)商當(dāng)前安全安排的成熟度和有效性。 例如,可以使用 CPNI 人員安全成熟度模型來評估供應(yīng)商人員安全安排的成熟度。這個評估我個人暫時不知道在國內(nèi)是否有對應(yīng)的手段,不過為我們提供了一種思考和思路。

  要求直接供應(yīng)商提供哪些安全保護(hù),以及他們又要求任何分包商做什么:

  確定供應(yīng)商及其分包商是否提供了要求的安全要求。

  了解供應(yīng)商對系統(tǒng)、場所和信息的訪問權(quán)限(物理和邏輯)以及將如何控制它們。

  了解直接供應(yīng)商如何控制他們雇用的任何分包商對信息和/或資產(chǎn)(包括系統(tǒng)和場所)的訪問和使用。

  應(yīng)該在這方面的工作重點放在供應(yīng)商業(yè)務(wù)或系統(tǒng)中用于處理合同信息或交付合同產(chǎn)品或服務(wù)的部分。

  3. 了解供應(yīng)鏈帶來的安全風(fēng)險

  評估這些安排對信息或資產(chǎn)、要交付的產(chǎn)品或服務(wù)以及更廣泛的供應(yīng)鏈構(gòu)成的風(fēng)險。

  風(fēng)險來源

  進(jìn)出供應(yīng)鏈的風(fēng)險可以有多種形式。例如,供應(yīng)商可能無法充分保護(hù)他們的系統(tǒng),可能有惡意的內(nèi)部人員,或者供應(yīng)商的員工可能無法正確處理或管理客戶組織信息。

  可能是沒有很好地傳達(dá)客戶組織安全需求,因此供應(yīng)商做了錯誤的事情,或者供應(yīng)商可能故意通過惡意行為來破壞客戶系統(tǒng)(這可能受到國家安全應(yīng)用程序的影響)。

  使用最好的信息來了解這些安全風(fēng)險。例如:

  常見的網(wǎng)絡(luò)攻擊 - 減少影響

  內(nèi)幕數(shù)據(jù)收集報告

  內(nèi)幕風(fēng)險評估

  CPNI 員工風(fēng)險整體管理 (HomER)。

  此處還提供了對供應(yīng)鏈的四種已知網(wǎng)絡(luò)攻擊(第三方軟件提供商、網(wǎng)站建設(shè)者、第三方數(shù)據(jù)存儲和水坑攻擊)的描述 。

  正確緩解

  了解與供應(yīng)鏈相關(guān)的風(fēng)險是確保安全措施和緩解措施相稱、有效和響應(yīng)迅速的關(guān)鍵。

  使用這種理解來決定希望供應(yīng)鏈中的供應(yīng)商為任何合同信息以及合同產(chǎn)品或服務(wù)提供的適當(dāng)保護(hù)級別。

  行動計劃

  根據(jù)以下考慮,將不同的工作、合同或供應(yīng)商分為不同的風(fēng)險狀況可能會很有用:任何損失、損壞或中斷對用戶運(yùn)營的影響、可能威脅的能力、他們提供的服務(wù)的性質(zhì)正在提供的信息、他們正在處理的信息的類型和敏感性等。每個配置文件都需要稍微不同的處理,以反映客戶組織對相關(guān)風(fēng)險的看法。這可能會使事情更容易管理和控制。

  客戶組織應(yīng)該記錄這些決定并與供應(yīng)商分享。例如,可能會決定,提供文具或清潔服務(wù)等基本商品的合同與提供關(guān)鍵服務(wù)或產(chǎn)品的合同需要非常不同的管理方法。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。