上次我們在《網(wǎng)絡(luò)安全之供應(yīng)鏈安全（一）》談到了了解風(fēng)險(xiǎn)，今天我們探討第二部分“建立控制”。

　　二、建立控制

　　本文的原則將幫助組織獲得并保持對供應(yīng)鏈的控制。一旦組織能夠更好地控制自己供應(yīng)鏈，將能夠分析它的戰(zhàn)略風(fēng)險(xiǎn)。例如：

　　確定任何持續(xù)未能滿足安全和性能期望的供應(yīng)商。

　　確定關(guān)鍵資產(chǎn)和任何對單一供應(yīng)商的過度依賴，將幫助組織在規(guī)劃中建立選擇多樣性和冗余。

　　4. 向供應(yīng)商傳達(dá)組織對安全需求的看法

　　確保組織的供應(yīng)商了解他們?yōu)榻M織合同信息和合同產(chǎn)品和服務(wù)提供適當(dāng)保護(hù)的責(zé)任以及未能這樣做的影響。

　　確保供應(yīng)商遵守他們的安全責(zé)任，并在他們允許的任何子合同中包含任何相關(guān)的安全要求。應(yīng)該決定是否允許供應(yīng)商適當(dāng)?shù)胤职褪跈?quán)。

　　為供應(yīng)商提供關(guān)于此類決定所用標(biāo)準(zhǔn)的明確指導(dǎo)（例如，他們可以讓組織幾乎/無追索權(quán)的類型合同，以及必須始終尋求事先批準(zhǔn)和簽字的合同類型）。

　　5. 為供應(yīng)商設(shè)定和傳達(dá)最低安全要求

　　應(yīng)該為供應(yīng)商設(shè)定合理、相稱和可實(shí)現(xiàn)的最低安全要求。確保這些要求反映組織對安全風(fēng)險(xiǎn)的評估，但也要考慮到供應(yīng)商安全安排的成熟度及其交付設(shè)定的要求的能力。

　　確定期望供應(yīng)商滿足最低安全要求不成比例的情況也可能是明智的。例如，這可能僅與那些只需要臨時或偶爾訪問有限和特定數(shù)據(jù)和/或訪問場所的供應(yīng)商相關(guān)。

　　應(yīng)該記錄這些注意事項(xiàng)，并就打算采取哪些步驟來管理這些活動提供指導(dǎo)。這種方法可以幫助減少組織的工作量并避免為這些方創(chuàng)建額外的、不必要的工作。

　　個案分享

　　考慮根據(jù)與合同相關(guān)的風(fēng)險(xiǎn)為不同類型的合同設(shè)置不同的保護(hù)要求 ， 避免在可能不相稱或不合理的情況下強(qiáng)迫所有供應(yīng)商提供相同的安全要求集的情況。向供應(yīng)商解釋這些要求的基本原理，以便他們了解對其要求。

　　在與供應(yīng)商簽訂的合同中包括組織的最低安全要求，要求供應(yīng)商將這些要求傳遞給他們可能擁有的任何分包商。

　　四個案例研究——設(shè)定最低標(biāo)準(zhǔn)

　　根據(jù)對供應(yīng)鏈環(huán)境中安全風(fēng)險(xiǎn)的看法和理解，可以設(shè)置什么是最低安全要求？

　　最低安全要求會因情況而異。為了幫助闡明組織將如何設(shè)置最低要求，我們提供了四個案例研究來說明可以采取的不同方法。

　　這些要求不一定是累積的，但是可以為解決一個用例而實(shí)施的措施重新適用于其他用例。案例研究介紹不同的保證方法，可用于增強(qiáng)對一系列不同風(fēng)險(xiǎn)管理的信心。

　　保護(hù)與供應(yīng)商共享的信息

　　必須保護(hù)組織與供應(yīng)商共享的信息免遭任何未經(jīng)授權(quán)的訪問、修改或刪除，可能會導(dǎo)致組織及其業(yè)務(wù)中斷。

　　例子

　　一家 IT 承包商出售了從一家航空公司竊取的計(jì)算機(jī)，其中包含用于償還債務(wù)的商業(yè)和軍事飛行計(jì)劃的詳細(xì)信息。

　　供應(yīng)商的遺留應(yīng)用程序尚未完全修補(bǔ)，但托管了來自客戶的一些敏感信息。

　　應(yīng)該：

　　考慮要求供應(yīng)商使用 Cyber Essentials 作為保護(hù)的基準(zhǔn)級別?？梢燥@著減少最常見的基于互聯(lián)網(wǎng)的威脅（黑客和網(wǎng)絡(luò)釣魚）的漏洞。政府的所有供應(yīng)商都必須證明他們將如何實(shí)現(xiàn)其技術(shù)控制。在這種程度的承諾不現(xiàn)實(shí)的情況下，小型企業(yè)網(wǎng)絡(luò)安全指南可能會為供應(yīng)商提供一種更可行的方法來開始提高其彈性。

　　在需要更大的保證并且組織希望供應(yīng)商能夠自信地識別其系統(tǒng)上存在任何潛在攻擊者的情況下，要求供應(yīng)商了解他們的系統(tǒng)、實(shí)施安全監(jiān)控并開發(fā)事件響應(yīng)能力。

　　為了防范更廣泛的攻擊，要求供應(yīng)商按照網(wǎng)絡(luò)安全 10 步驟、ISO27001（或類似標(biāo)準(zhǔn)）實(shí)施整體安全方法 。

　　在適當(dāng)?shù)那闆r下，需要人員、物理和程序控制以防止欺詐、盜竊和內(nèi)部威脅。 應(yīng)按照內(nèi)閣辦公室基準(zhǔn)保護(hù)安全標(biāo)準(zhǔn) （BPSS） 概述的原則對所有從事合同工作的員工進(jìn)行篩選，并根據(jù)角色需要添加額外的檢查（例如財(cái)務(wù)檢查）。

　　要求實(shí)施 ICO 指南以保護(hù)和離岸個人信息，其中個人信息作為合同的一部分進(jìn)行存儲、處理或處理。

　　當(dāng)供應(yīng)商使用基于云的服務(wù)時，應(yīng)該明白不可能將保護(hù)信息的全部責(zé)任或義務(wù)轉(zhuǎn)移給該服務(wù)的提供者。在任何情況下都是如此。保護(hù)信息、系統(tǒng)和服務(wù)的安全要求應(yīng)反映在與供應(yīng)商簽訂的合同和服務(wù)協(xié)議中，并應(yīng)告知他們對如何部署和交付云服務(wù)做出的選擇。對于 HMG，  G-Cloud 數(shù)字市場提供了一系列可滿足組織需求的服務(wù)產(chǎn)品。至少，建議供應(yīng)商遵循相應(yīng)的云安全原則來確定其安全需求。

　　如果信息保存在通用數(shù)據(jù)環(huán)境中，無論這是否基于云，建議使用 CPNI 網(wǎng)站https://www.cpni.gov.uk/上提供的“通用數(shù)據(jù)環(huán)境指南”進(jìn)行審查 數(shù)字建造資產(chǎn)和環(huán)境。（注：本文節(jié)選自英國國家網(wǎng)絡(luò)安全中心官網(wǎng)，故出現(xiàn)英國對應(yīng)網(wǎng)站）

　　向供應(yīng)商指定安全要求

　　必須確保已向供應(yīng)商有效指定保護(hù)產(chǎn)品或服務(wù)所需的安全屬性或要求。

　　例子

　　供應(yīng)商正在為組織構(gòu)建一項(xiàng)數(shù)字服務(wù)，用于處理非常敏感的信息。組織對自身的安全需求描述得很差，因此供應(yīng)商提供的東西沒有提供組織需要的安全性。

　　需要絕對清楚自身的安全和功能需求，必須清楚明確地向供應(yīng)商描述。如果供應(yīng)商正在交付 IT 系統(tǒng) ，必須滿足已指定的安全要求。例如，Cyber Essentials（英國的網(wǎng)絡(luò)安全要略） 或組織設(shè)置的任何其他需求。

　　此外，應(yīng)該考慮：

　　請注意 Cyber Essentials 等計(jì)劃覆蓋范圍內(nèi)的任何已知差距。

　　需要額外的控制來為要交付的產(chǎn)品或服務(wù)提供保證。例如，如果合同涉及新軟件工具的開發(fā)或組件的制造，將需要指定供應(yīng)商在這些領(lǐng)域遵循最佳實(shí)踐。

　　在供應(yīng)鏈?zhǔn)褂脜f(xié)作數(shù)字工程系統(tǒng)交付項(xiàng)目或資產(chǎn)/設(shè)施管理的情況下，此類緩解方法將無效，可在…處獲得進(jìn)一步指導(dǎo)。

　　在交付云服務(wù)時，應(yīng)該遵循上面用例中詳述的指南。

　　將供應(yīng)商的系統(tǒng)連接到組織系統(tǒng)

　　必須確保與第三方的任何網(wǎng)絡(luò)連接或數(shù)據(jù)共享不會引入可能影響組織業(yè)務(wù)系統(tǒng)安全的非托管漏洞。

　　這是所有包括與供應(yīng)商系統(tǒng)連接的合同的關(guān)鍵考慮因素。將需要決定供應(yīng)商要如何以組織的名義執(zhí)行工作。他們會在組織的場所工作還是在他們的場所工作？他們需要多少訪問和連接來執(zhí)行此操作？

　　例子

　　網(wǎng)絡(luò)犯罪分子利用未受保護(hù)的供應(yīng)商連接攻擊了一家大型商業(yè)公司，這些連接用于管理客戶的環(huán)境控制系統(tǒng)，導(dǎo)致數(shù)據(jù)嚴(yán)重丟失、業(yè)務(wù)中斷以及公司聲譽(yù)嚴(yán)重受損。

　　當(dāng)供應(yīng)商的系統(tǒng)連接到組織系統(tǒng)時，應(yīng)該：

　　確保對系統(tǒng)、服務(wù)、信息和場所的訪問受到限制、控制和監(jiān)控。應(yīng)定期審查這些訪問權(quán)限，并在不再需要時將其刪除。

　　如果打算讓供應(yīng)商在組織的系統(tǒng)和場所執(zhí)行合同工作，請確保將它們與網(wǎng)絡(luò)的其余部分適當(dāng)隔離。 網(wǎng)絡(luò)安全的 10 個步驟，網(wǎng)絡(luò)安全向展示如何做到這一點(diǎn)。

　　對合同相關(guān)信息、合同產(chǎn)品或服務(wù)的訪問應(yīng)在“最低權(quán)限”的基礎(chǔ)上進(jìn)行限制。

　　有一種安全的方式與供應(yīng)商交換硬拷貝和軟拷貝信息。無論是硬拷貝還是軟拷貝，都需要遵循一定的安全指南。

　　當(dāng)組織將運(yùn)營技術(shù)用作系統(tǒng)的一部分或提供服務(wù)時，與其他技術(shù)一樣，應(yīng)該被視為“不受信任”，并進(jìn)行相應(yīng)的管理。

　　國家安全 - 國家行為者可能針對組織

　　必須確信自己供應(yīng)鏈安全可以應(yīng)對國家行為者的攻擊和企圖顛覆，僅限于組織的威脅模型保證的情況。

　　例子

　　一名與國防公司簽約的保安人員偷竊并試圖將詳細(xì)描述用于保護(hù)英國和北約船只的電子戰(zhàn)系統(tǒng)的文件出售給外國情報(bào)機(jī)構(gòu)。 這點(diǎn)，我們國家每年都會曝光出多個間諜事件，其實(shí)在此我們可以理解它山之石可以攻玉，借鑒過來思考我們周圍的網(wǎng)絡(luò)安全即可。

　　在此類國家安全案件中，英國需要向 NCSC 和 CPNI 尋求專業(yè)建議，而我們則需要尋求網(wǎng)信辦和公安、國安部門的專業(yè)建議。

　　事項(xiàng)可能包括：

　　采用定制的安全方法。

　　使用高保證產(chǎn)品，并改進(jìn)人員和物理安全安排。

　　制造或構(gòu)建過程中可能出現(xiàn)的漏洞。

　　保護(hù)簽約合作伙伴及其采購活動的隱私和身份的其他措施。

　　6. 將安全考慮納入合同流程，同時要求供應(yīng)商遵循這一原則

　　將安全考慮納入正常簽約流程，幫助組織管理整個合同的安全性，包括終止和將服務(wù)轉(zhuǎn)移給另一個供應(yīng)商。

　　證據(jù)

　　要求潛在供應(yīng)商提供證據(jù)，證明他們的安全方法以及他們滿足在合同競爭的不同階段設(shè)定的最低安全要求的能力 。

　　提供支持

　　制定適當(dāng)?shù)闹С种改?、工具和流程，以便和供?yīng)商在各個層面有效管理供應(yīng)鏈。

　　應(yīng)該：

　　確保在合同中加入的安全考慮是相稱的，并與合同過程的各個階段保持一致。

　　要求在合同中采用它們，并對所有各方進(jìn)行使用培訓(xùn)。

　　檢查支持指南、工具和流程是否在整個供應(yīng)鏈中得到使用。

　　要求以適當(dāng)?shù)臅r間間隔續(xù)簽合同，同時要求重新評估相關(guān)風(fēng)險(xiǎn)。

　　確保供應(yīng)商理解并支持組織的提出的安全方法，并且只要求他們采取行動或提供支持供應(yīng)鏈安全風(fēng)險(xiǎn)管理所需的信息。

　　確保合同明確規(guī)定了供應(yīng)商在終止或轉(zhuǎn)讓合同時返還和刪除組織的信息和資產(chǎn)的具體要求。

　　7. 履行作為供應(yīng)商和消費(fèi)者的安全責(zé)任

　　確保執(zhí)行并滿足對作為供應(yīng)商的任何要求。提供向上報(bào)告并將安全要求傳遞給分包商。

　　歡迎客戶可能進(jìn)行的任何審計(jì)干預(yù)，告訴他們組織遇到的任何問題，并主動與他們合作以進(jìn)行改進(jìn)。

　　如果未提供涵蓋客戶安全需求的指導(dǎo)，請向客戶提出挑戰(zhàn)，并確保他們對組織所采取的措施感到滿意。

　　8. 提高供應(yīng)鏈內(nèi)的安全意識

　　使用他們可以理解的語言向供應(yīng)商解釋安全風(fēng)險(xiǎn)。鼓勵他們確保關(guān)鍵員工（例如采購、安全、營銷）接受培訓(xùn)并了解這些風(fēng)險(xiǎn)，以及他們幫助管理這些風(fēng)險(xiǎn)的責(zé)任。

　　設(shè)立目標(biāo)

　　為適當(dāng)?shù)膯T工建立供應(yīng)鏈安全意識和教育。 NCSC 和 CPNI 意識材料可能有用。

　　信息共享

　　促進(jìn)和采用跨供應(yīng)鏈的安全信息共享，以便更好地了解和預(yù)測新出現(xiàn)的安全攻擊。在網(wǎng)絡(luò)安全信息共享合作伙伴 （CISP）是一個免費(fèi)的網(wǎng)絡(luò)安全信息共享服務(wù)的一個很好的例子。

　　9. 為安全事件提供支持

　　雖然我們期望供應(yīng)商按照合同要求管理安全風(fēng)險(xiǎn)是合理的，但還是應(yīng)該準(zhǔn)備在必要時提供支持和幫助，以防安全事件有可能影響組織業(yè)務(wù)或更廣泛的供應(yīng)鏈。

　　明確要求

　　應(yīng)該在合同中明確規(guī)定管理和報(bào)告安全事件的要求。這些應(yīng)該澄清供應(yīng)商就此類事件向組織提供建議的責(zé)任（報(bào)告時間表、向誰報(bào)告等） 。供應(yīng)商還應(yīng)該清楚如果發(fā)生事件，他們可以從組織那里得到什么支持， 所需的“清理”行動、發(fā)生的損失等。

　　在歐洲，GDPR 包括將任何事件告知信息專員的相當(dāng)短的時間表，因此組織和供應(yīng)鏈需要為此做好準(zhǔn)備。 在我國有關(guān)事件上報(bào)，在法律法規(guī)中也有明確，在此方面需要認(rèn)證執(zhí)行。

　　經(jīng)驗(yàn)教訓(xùn)

　　如果從安全事件中吸取了教訓(xùn)，請將這些教訓(xùn)傳達(dá)給所有供應(yīng)商，以幫助他們成為“已知且可管理”攻擊的受害者。