供应链安全的学习笔记

写在开始，B总催稿许久，一直忙于锻炼身体和早睡早起，假装视而不见，终不忍辜负B总的嘘寒问暖，还是按期交稿，感谢B总，感谢村里的朋友们！

在疫情开始及之后，供应链安全这个话题特别火热，圈中好友也有聊天和讨论。这里，我把我看到的一些内容和学习，整理分享出来。因为，个人的时间和精力方面原因，未能全面学习，考虑不周，请多谅解。

这里仅代表个人学习和讨论的观点，特此声明与我工作和服务的组织并无相关关联关系。谢谢！

2019年我转入现在服务的组织中 Internal IT （内部信息技术部门），为提升我的“甲方”思维，自己付出很多时间和精力去学习，一家国际化企业在IT领域的各种规章制度；尤其是在信息安全，数据安全（数据合规），风险管理（风险控制）和隐私保护（隐私设计）方面，外企在内部都有很成熟的管理规章制度和一些内部培训材料。

在2021年初的时候，一位朋友咨询过 ISO 20243。如何确保组织的供应链安全？如何作为一家技术供应商来证明自身的供应链安全？如何在供应链体系中，不断提升自身安全能力建设？

带着这些问题，我有去查阅一些资料。我在查找资料过程中，发现这个标准也对应有开放标准，Open Trusted Technology Provider ™ Standard (O-TTPS)– Mitigating Maliciously Tainted and Counterfeit Products。两个标准在技术上相对等，The O-TTPS is technically equivalent to ISO/IEC 20243-1:2018. Throughout this document, the term O-TTPS is used when referring to The Open Trusted Technology Provider Standard (O-TTPS) (ISO/IEC 20243-1:2018).

本人之前做网络安全的项目比较多，主要看的都是ISO 27001的资料。网络安全这边我们会主要看几个标准，比如 NIST （美国国家标准与技术研究院）， ISO（国际标准化组织）， TC260（全国信息安全标准化技术委员会），GB 咱们的国家标准。公开的微信公众号中，已经有很多文章在讲述和讨论，供应链安全的管理经验和讨论，我的文章中可能也会有部分引用，如有侵权，请联系我删除及道歉。这里一并感谢那些在公众号发表的文章作者，给出思路和观点。

在讨论供应链安全之前，我们简单划定一下范围和界定我们这里讨论的内容。由于本人从事IT和信息安全工作，因此，这里尽量以IT和信息安全视角为主，在生产和制造领域的供应链安全，我们暂时不讨论和尽量不涉及。感谢理解。

第一部分：Open Trusted Technology Provider ™ Standard (O-TTPS)文档知识点：
这里，我把国内外的标准和指南中，定义的一些名词做个梳理。大部分场景下，我们讨论的都是，ICT（information and communication technology）信息通信技术领域的场景。

1.O-TTPS 讨论的内容和适用的组织
COTS ICT  commercial off-the-shelf (COTS) 商用货品  information and communication technology (ICT) 信息通信技术，COTS ICT  一般指，商用的信息通信技术货品（已成品，非定制）。
适用供应链安全的组织：
Original Equipment Manufacturer (OEM), Original Design Manufacturer (ODM), hardware and software component supplier 组件供应商, integrator 集成商, Value-Add Reseller (VAR) 增值销售商, Distributor, or Pass-Through Reseller. 分销或者转销商。technology provider  技术提供者。

看起来，信息技术通信，都可以适用于供应链安全，信息化和数字化无处不在的今天，这个适用面非常广阔。这里引用一下，The Open Group在公众号中关于O-TTPS的一段内容：
O-TTPS标准的价值确保全球范围内商用现货（COTS）与信息通信技术（ICT）产品的完整性和全球供应链的安全性，O-TTPS 标准可为企业带来如下价值：
• 提高技术供应商和客户之间交易的完整性和安全性
• 为全球创新行业提供支持
• 减少因法规漏洞而产生的危机
• 缩减风险和合规的成本
• 保障资金安全

2.O-TTPS中供应链面对的挑战：
全球化供应链
全生命周期路径
所有链成分的标准和良好实践
公开注册信任供应商，奖励信任供应商
全球化广泛使用，一些关键组件被多个解决方案使用，这些ICT解决方案无处不在。

3.O-TTPS强调基于威胁的供应链安全管理， 污染和仿冒风险。在技术发展和供应链安全两个维度建立全生命周期管理。

在O-TTPS Framework 中，对供应链模型有详细讲解，我们这里略去细节部分。

4.O-TTPS 中的一些方式和模式
软件和系统开发适用Development Method开发模型，硬件和芯片类适用Engineering Method工程模式。
Development Method System (or Software) Development Life Cycle (SDLC) development-based method. Applicable to all forms of software-based products.
Engineering Method Method that is focused on manufacturing or development processes and practices for products with significant hardware-based technology components (chips, firmware, systems, etc.).
Product Development/Engineering Method 产品开发的工程学方法
Secure Engineering/Development Method 安全工程学的开发方法

5. Open Trusted Technology Provider Framework (O-TTPFTM) Best Practice Attributes 良好实践的指引（特定技术和实现）
在PD SE SC，三个领域都有 O-TTPF Best Practice Categories 良好实践目录： Best Practice Attributes （必备属性和活动）和Industry Best Practices （公认的行业标准）。

6.O-TTPS 安全要求列表：（部分）因为篇幅有限，这里仅搬运O-TTPS的一个list，从名字大致能看出，这些评估和要求的流程和制度。
The O-TTPS value-add options list for integrators and VARs (taken from the O-TTPS attributes (high- level categories of requirements in the O-TTPS)):
注意，这里的PD有五种，SE有6种，其余部分都是SC 供应链方面的安全要求。

• PD部分，Product Development/Engineering-related requirements: PD
  • ·  PD_DES: Software/Firmware/Hardware Design Process 设计流程
  • ·  PD_CFM: Configuration Management  配置管理
  • ·  PD_MPP: Well-defined Development/Engineering Method Process and Practices 流程和实践
  • ·  PD_QAT: Quality and Test Management  测试和质量管理
  • ·  PD_PSM: Product Sustainment Management 产品支持管理
• SE部分，Secure Development/Engineering methods: SE
  • ·  SE_TAM: Threat Analysis and Mitigation  基于威胁分析和缓解
  • ·  SE_RTP: Run-time Protection Techniques  运行时保护
  • ·  SE_VAR: Vulnerability Analysis and Response 漏洞分析和响应
  • ·  SE_PPR: Product Patching and Remediation 产品补丁和修补
  • ·  SE_SEP: Secure Engineering Practices 安全开发（软件和硬件）设计实践
  • ·  SE_MTL: Monitor and Assess the Impact of Changes in the Threat Landscape  对开发/工程实践、工具和技术进行监控并评估威胁环境变化的潜在影响。
• SC部分，Supply Chain-related requirements: SC
  • ·  SC_RSM: Risk Management  风险管理
  • ·  SC_PHS: Physical Security  物理安全
  • ·  SC_ACC: Access Controls  访问控制
  • ·  SC_ESS: Employee and Supplier Security and Integrity  员工和供应商安全及诚信
  • ·  SC_BPS: Business Partner Security   合作伙伴安全
  • ·  SC_STR: Supply Chain Security Training  供应链安全培训
  • ·  SC_ISS: Information Systems Security  信息系统安全
  • ·  SC_TTC: Trusted Technology Components  信任技术组件
  • ·  SC_STH: Secure Transmission and Handling  安全传输和处理
  • ·  SC_OSH: Open Source Handling  开源处理
  • ·  SC_CTM: Counterfeit Mitigation  冒用缓解 （设备回收，数据清理，防止未授权使用）
  • ·  SC_MAL: Malware Detection  恶意软件检测

7. O-TTPS标准里面有针对开源软件的处理，评估工作的指导意见。
O-TTPS标准强调Process Evidence  流程证据， 评估过程更多强调组织能够提供流程和直接证据，代表其能满足这些要求。组织需要演示其在整个COTS ICT产品生命周期有适当的流程，以确保其内部发展和供应链的安全性，包括设计、采购、建造、实现、分配、维护和处置阶段。支持由评审员（Assessor）进行评估或者组织自行评审。能够被O-TTPS认证的机构可以被认定为公开信任技术提供商，并成为可信赖提供商的公开注册成员。这将有助于确保企业和客户之间“实现商业的完整性，保障采购安全“。
Open Source Handling   开源软件处理 确保在开发生命周期工具中跟踪和标识开放源代码组件的谱系。
Assessment Guidance 评估指引 因为，随着技术的不断发展，将会有大量的安全技术和机制用于确保安全，建议评估这些机制和方法发布环境的风险，评审员认真记录包含补充的评估方式方法。

8.Supply Chain Integrity Method  供应链诚信
可信技术提供商通过应用定义、监控和验证的供应链流程来管理其供应链。确保供应链在整个产品设计、采购、制造、交付、支持和报废过程中的完整性。
Product Evaluation 产品评估, Process Assessment 流程评估, and Certification Programs 认证程序，这三部分也有对应的行业最佳实践和实践属性。
成品的弹性及仿冒：硬件供应商还需减少未经验证和未验证软件的使用以及防止假冒硬件或软件的方法。
Identifying Risks to the Technology Supply Chain 供应链技术风险识别
技术供应链的两个主要风险：
被恶意污染的产品-产品由提供商生产，并通过提供商的授权渠道获得，但已被恶意篡改。
假冒产品-产品不是由供应商商生产的，也不是为供应商生产的，或者由授权的渠道以外的其他渠道供应商，即使它不是合法的，也被认为是合法的。

9. O-TTPF 包含与这些实践相关的属性和一致性要求。

10. 在国内外供应链安全的文章中， 均提到针对Critical infrastructure ，关键基础设施，进行供应链安全管理。

第二部分，网络供应链风险管理案例研究：

在完成这篇文章过程中，本人刚好也花时间研究几个案例。希捷 Seagate，Palo Alto网络公司，其它，例如华为 （已拿到O-TTP认证，您可以自行百度搜这份报告）。

1.希捷公司：
面对国际化的供应链， Lifecycle Security is Risk Management 将风险管理融入安全生命周期中。应用网络供应链风险管理CSCRM  ， Cyber Supply Chain Risk Management (C-SCRM) 网络供应链风险管理, 清晰内部目标，联合内部四个支持部门，引入标准化，获得供应商的支持。
内部深入事件（incident）管理，持续改进，质量管理提升。
信息共享和主动跨部门协作，简化事件处理流程，简化SCRM流程。
这里先不展开，后面单独一节讨论网络供应链风险管理（C-SCRM）。

2.Palo Alto网络公司：
做为一家网络安全公司，既有生产网络安全产品的能力，网络安全产品供应商做为供应链一环。
端到端的风险管理能力，持续提升，跨部门的安全委员会每六个月进行一次调整。安全委员会管理端到端风险管理框架，在内部，Palo Alto Networks拥有强大的安全文化。基于角色的物理和逻辑控制确保只有授权的个人才能访问知识产权、组件、成品和客户信息。这包括所有PA网络和CM（Contract Manufacture）设施的多层周边和内部物理安全。网络安全培训广泛提供，且安全被认为是每个员工职责的一部分。
衡量供应商风险，质量管理和持续提升，事件响应和恢复。SCRC(supply chain risk and compliance)团队评估工程确定的组件要求，评估潜在供应商，通过评估多个维度(包括组件的相对敏感性、网络安全风险、供应商的财务状况、替代来源的可用性和合规性风险(例如，危险物质指令II义务的限制))来确定风险分值。由于任何计划都不可能投入无限的安全资源，因此组织应投资于成熟和动态的优先排序流程。建议在项目设计过程的早期就让跨职能的高层领导参与进来。

供应链安全风险管理工具：
其实也有专业工具软件，来提供供应链的管理视图，风险视图，提供安全响应能力。

第三部分：网络供应链风险管理 CSCRM   

1.Cyber Supply Chain Risk Management (C-SCRM) 网络供应链风险管理
Managing cyber supply chain risk requires ensuring the integrity, security, quality, and resilience of the supply chain and its products and services.
管理网络供应链风险需要确保供应链及其产品和服务的完整、安全、质量和弹性。

2.NIST focuses on: NIST对外企的影响较深，根据网上搜索，大部分的外企中，都有采用SCRM的风险管理模式。

• Foundational practices: C-SCRM lies at the intersection of information security and supply chain management. Existing supply chain and cybersecurity practices provide a foundation for building an effective risk management program.
• Enterprise-wide practices: Effective C-SCRM is an enterprise-wide activity that involves each tier (Organization, Mission/Business Processes, and Information Systems) and is implemented throughout the system development life cycle.
  Risk management Processes: C-SCRM should be implemented as part of overall risk management activities. That involves identifying and assessing applicable risks and determining appropriate response actions, developing a C-SCRM Strategy and Implementation Plan to document selected response actions, and monitoring performance against that plan.
  • Risk: Cyber supply chain risk is associated with a lack of visibility into, understanding of, and control over many of the processes and decisions involved in the development and delivery of cyber products and services acquired by federal agencies.
  • Threats and Vulnerabilities: Effectively managing cyber supply chain risks requires a comprehensive view of threats and vulnerabilities. Threats can be either “adversarial” (e.g., tampering, counterfeits) or “non-adversarial” (e.g., poor quality, natural disasters). Vulnerabilities may be “internal” (e.g., organizational procedures) or “external” (e.g., part of an organization’s supply chain) 
• Critical Systems: Cost-effective supply chain risk mitigation requires organizations to identify those systems/components that are most vulnerable and will cause the largest organizational impact if compromised.

 3. NIST有给出一些关键实践，NIST.IR.8276 Key Practices in Cyber Supply Chain Risk Management ，The Key Practices are:

1. Integrate C-SCRM Across the Organization 跨部门整合
2. Establish a Formal C-SCRM Program 创立正式的计划
3. Know and Manage Critical Suppliers  熟悉和管理关键供应商
4. Understand the Organization’s Supply Chain 理解组织的供应链
5. Closely Collaborate with Key Suppliers  同关键供应商紧密协作
6. Include Key Suppliers in Resilience and Improvement Activities 将关键供应商纳入弹性和提升活动
7. Assess and Monitor Throughout the Supplier Relationship 评估和监控供应商关系
8. Plan for the Full Life Cycle 全生命周期计划
文末的建议（Recommendations）部分，给出基于第一代和第二代案例研究、审查标准和最佳实践文件的24项关键建议。 附录A提供关键实践的建议映射，附录C提供各种供应链安全资源的建议映射。
文档很长，各位有空下载回去，慢慢看。https://doi.org/10.6028/NIST.IR.8276

第四部分：关于风险控制

1. NIST SP 800-161 REV. 1 (DRAFT)（丢个大尾巴，我没能认真读完）
Draft NIST SP 800-161 Rev. 1, Cyber Supply Chain Risk Management Practices for Systems and Organizations
时间有限，也是很粗略的读过去，感觉有很多内容未能理解和吸收，其实还是没有能够有机会在实践中，去落地和实际操作经验。这里，从组织架构，集成风险管理，到PMO（program management office）的领导力（established）和组织（drive），非常细致深入讲解 C-SCRM的Implementation（实现） 和 control （控制），第四章详细讲解20个控制族（control families）。附录给出很多参考文档。

APPENDIX A: C-SCRM CONTROL SUMMARY
APPENDIX B: RISK EXPOSURE FRAMEWORK
APPENDIX C: C-SCRM ACTIVITIES IN THE RISK MANAGEMENT PROCESS
APPENDIX D: C-SCRM TEMPLATES

Fig. 1-2: Cyber Supply Chain Risk

2.风险管理流程Risk management process (Frame, Assess, Respond, and Monitor)
将C-SCRM对应风险管理流程的四个阶段，并标注供应链威胁注意事项三级模式，针对供应链威胁数据收集，威胁数据分析，威胁场景定义，威胁源定义及范围等。
篇幅有限，我们这里就先打住吧。

Fig. C-2: C-SCRM Activities in The Risk Management Process
Table C-2: Supply Chain Threat Considerations（表格非常详细，我们这里略过吧，篇幅有限）

还记得文章前面的那几个分析案例吗？采用统一的实践标准，引入风险控制方法论，跨组织和部门的协作，根据自身环境的精简和特色化，同时获得第三方供应商的理解和支持，共用的框架，威胁情报跟踪，事件响应计划与编排。这些，都是做好供应链安全的关键细节。

第五部分：供应链安全之思考

最近花时间看过一些公开的公众号文章，也看到有一些供应链安全的经验分享。这里想讨论一个话题，供应链安全是一次性行为呢？还是一个长期的管理和控制。这里就需要针对每一个组织的实际运营情况区别分析，组织架构和决策流程会导致供应链管理的方式、方法，完全不同。
很多文章都在强调，监管和审查。其实，供应商安全管理工作，还有很多细节部分需要思考。给出一些仅供参考：

• Training培训，行为准则，规范。
• Segregation of Duties (SOD) 职责划分
• Management Self Assessment of Control(MSAC) 自我评价管理
• Audit内审，内部审计。
• 贸易合规，进出口管制。
• 资产保护，设备数据清除处理。
• 认证和身份，两步验证，多因素认证（MFA），API安全。
• Application Systems Controls and Auditability (ASCA)  DevSecOps 这里简单提一下开发安全。
• Protecting build pipelines Verify materials 物料 Verify source code 源代码
• 安全开发生命周期，开源软件的安全问题，威胁情报对软件漏洞的跟踪，漏洞报告和修补流程。
• Software Bills of Materials (SBOMs) 软件开发的物料收集工作，软件的源代码部分，开源软件的版本耦合问题，都是软件开发安全的可见性问题。
• product incident response teams (PSIRTs)  产品和服务事件响应团队及流程。

CISO BISO Compliance：

在外企中， BISO （Business Information Security Officers）CISO （Chief Information Security Officer)）,分别掌管业务安全和信息安全，首席风险官，首席数据官，这些关键人物，都是供应链安全的重要关键人物（key stackholders），获得组织高层的重视和支持，同样重要。

第六部分：安全架构实践的公理（我也没全读，感觉有些内容非常有用）：

2020年7月15日，The Open Group正式发布《安全架构实践的公理》。这里，我们简单推荐几个供参考。
公理1: 业务风险驱动安全，安全架构应基于业务风险驱动，并且应该是对这些风险进行适当响应。
公理10: 流程驱动 ，安全开发过程应涵盖所需的计划期并以清晰的生命周期引入利益相关方。
公理12: 清晰的沟通，安全应使用有利于业务和技术利益相关方之间进行有效沟通的通用术语。安全术语和技术术语。

安全架构公理也仅仅是在安全架构方面的一些，建议和指导，在供应链安全过程中，安全架构方面也需要多多关注。

写在最后：

在公众号的公开发表文章里面，也有很多专业的文章和专家学者的思考。思路很多，要点很多，建议很多。这里，我就不班门弄斧啦。只是从最近看到的，听到的，学到的各种知识和经验，进行一个小的汇总和收集。供应链安全的问题也带来一些场景化思考。不同的部门进行主导，会带来不同的效果和结果。

资产管理能力，供应链安全大多是由采购部门发起，在货品或者产品采购到货时提供，安全评估报告。由技术部门，进行评估和审查，软件物料清单，明确软件组成部分，提升可视化。

生命周期管理能力，比如，软件供应链安全问题，在产品大规模使用开源和第三方组织提供服务时。经常会面临设计缺陷，逻辑缺陷，老旧软件漏洞数量较多，版本管理混乱。身份管理薄弱，API接口开放过于宽松，资产和台账制度缺失。

处置能力，产品漏洞响应机制和流程缺失，技术部门需要承担更多。在供应链安全中，组织的安全部门更多在组织内部进行供应链安全检查和评估，持续评估。拥有发现能力，处置能力。

分析能力，对技能要求确实太高，单纯软件开发部门或者技术部门，没有如此能力的安全分析师，部分网络安全团队在分析层面也需要依赖部分自动化分析工具，人工分析效率和能力普遍较难。

防护能力，安全团队应该更多依赖于有效的威胁情报体系，充分利用现有网络安全防护能力。

自动化和人工智能技术的利用，RPA（机器人流程自动化）也应该引入供应链安全。

供应链安全不是一次性有效，不是一劳永逸。参考业界良好实践，确立供应链安全管理的工作目标、工作流程、检测和分析内容，成立跨部门的高级别安全委员会，划定责任部门，并给予相应的所需权力。

供应链安全需要跨部门的沟通和协作，在应急响应和处置能力上需要更多配合和协同。供应链安全需要提升可视性，供应链安全需要定期回顾和重新审视，持续全生命周期动态进行安全评估和定期审查，供应链安全需要持续提升和不断改进。

参考文献：
The O-TTPS Part 1 is freely available at: www.opengroup.org/library/c185-1.
The O-TTPS is technically equivalent to ISO/IEC 20243-1:2018 and is available at: www.iso.org/standard/74399.html.
at: https://collaboration.opengroup.org/ttf/?gpid=644.   
Cyber Supply Chain Risk Management C-SCRM  
https://csrc.nist.gov/projects/cyber-supply-chain-risk-management   
Key Practices in Cyber Supply Chain Risk Management
https://doi.org/10.6028/NIST.IR.8276
SP 800-161 Rev. 1 (Draft) Cyber Supply Chain Risk Management Practices for Systems and Organizations 
https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/draft   
The Open Group
https://mp.weixin.qq.com/s/Jyoj10DqDFBCbFkhqH0QPw  The Open Group 发布O-TTPS认证
https://mp.weixin.qq.com/s/Ytk3Te0GmFWGfsAziQ6gEg  安全架构实践的公理
https://www.opengroup.org.cn/system/files/download/2020-09/g192%E5%AE%89%E5%85%A8%E6%9E%B6%E6%9E%84%E5%AE%9E%E8%B7%B5%E7%9A%84%E5%85%AC%E7%90%86.pdf
软件供应链安全最佳实践白皮书:
https://github.com/cncf/tag-security/blob/master/supply-chain-security/supply-chain-security-paper/CNCF_SSCP_v1.pdf
ICT供应链安全标准化体系及实践应用
https://mp.weixin.qq.com/s/28Y5t1AeYMBBajOmrDE25w
美国ICT供应链风险管理特别任务组工作观察及启示
https://mp.weixin.qq.com/s/sy1BdgZ7MJxxZKRBSy8Dew
PSIRT Services Framework
https://www.first.org/standards/frameworks/psirts/FIRST_PSIRT_Services_Framework_v1.1.pdf

祝好！郑磊 于 2021.06.21