裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與對(duì)策

摘要

隨著“震網(wǎng)”“NotPetya”“心臟滴血”“太陽風(fēng)”等攻擊事件的相繼發(fā)生，軟件供應(yīng)鏈安全引起各國高度關(guān)注，而國家間競(jìng)爭(zhēng)、地區(qū)沖突和全球性疫情等多種不利因素更加劇了對(duì)軟件供應(yīng)鏈安全生態(tài)的沖擊，也對(duì)裝備軟件供應(yīng)鏈安全提出嚴(yán)峻挑戰(zhàn)。首先，從軟件供應(yīng)鏈全鏈條安全、軟件源頭把控、開源代碼使用安全、軟件供應(yīng)鏈管控體系等幾個(gè)方面入手，分析裝備軟件供應(yīng)鏈面臨的網(wǎng)絡(luò)安全形勢(shì)和安全風(fēng)險(xiǎn)。然后，從形成裝備軟件供應(yīng)鏈的安全標(biāo)準(zhǔn)體系、安全監(jiān)管體系、安全測(cè)評(píng)體系和安全技術(shù)體系等角度，提出相應(yīng)對(duì)策措施，為裝備軟件供應(yīng)鏈安全提供支持。

所謂裝備供應(yīng)鏈，可以理解為與裝備相關(guān)的軟硬件產(chǎn)品及服務(wù)，或裝備在生產(chǎn)、流通、使用、維護(hù)更新等全生命周期內(nèi)，涉及的裝備研制單位或生產(chǎn)單位、第三方設(shè)備（包括軟硬件）提供者或生產(chǎn)者以及最終用戶等，通過與上游、下游組織連接而成的網(wǎng)鏈結(jié)構(gòu) 。軟件作為裝備的重要組成部分，在其功能實(shí)現(xiàn)上起到關(guān)鍵作用。軟件供應(yīng)鏈可以理解為通過一級(jí)或多級(jí)設(shè)計(jì)、開發(fā)階段編寫軟件，并通過軟件交付渠道將軟件從供應(yīng)商送往用戶的系統(tǒng) 。無論是自主研發(fā)軟件、現(xiàn)貨類軟件，還是定制開發(fā)軟件，其供應(yīng)鏈生命周期通常包括原始組件、集成組件、軟件產(chǎn)品和產(chǎn)品運(yùn)營 4 個(gè)環(huán)節(jié)，其中軟件產(chǎn)品和產(chǎn)品運(yùn)營環(huán)節(jié)涵蓋軟件生命周期 。軟件供應(yīng)鏈安全是軟件生產(chǎn)整個(gè)過程中所有安全問題的總和，包括軟件設(shè)計(jì)與開發(fā)的各個(gè)階段，涵蓋編碼過程、工具、設(shè)備、供應(yīng)商以及最終交付渠道等。

針對(duì)軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊，常常利用系統(tǒng)固有安全漏洞，或者預(yù)置的軟件后門開展攻擊活動(dòng)，并通過軟件供應(yīng)鏈形成的網(wǎng)鏈結(jié)構(gòu)將攻擊效果向下游傳播給供應(yīng)鏈中所有參與者（包括最終用戶）。近年來，軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊事件頻發(fā)，影響越來越大。據(jù) Accenture 公司調(diào)查，2016 年 60% 以上的網(wǎng)絡(luò)攻擊是供應(yīng)鏈攻擊。典型的軟件供應(yīng)鏈攻擊事件包括：2010 年發(fā)生的“震網(wǎng)（Stuxnet）”病毒事件 ，是美國、以色列針對(duì)伊朗核設(shè)施發(fā)動(dòng)的網(wǎng)絡(luò)攻擊，直接遲滯伊朗核計(jì)劃數(shù)年之久，“震網(wǎng)”病毒利用 Windows系 統(tǒng) 和 西 門 子 SIMATIC WinCC 系 統(tǒng) 的 多 個(gè) 漏洞；2014 年發(fā)生的“心臟滴血（HeartBleed）”漏洞事件 ，是由于基于安全套接字層 / 傳輸層安全協(xié)議（Secure Socket Layer/Transport Layer Security，SSL/TLS）的軟件和網(wǎng)絡(luò)服務(wù)廣泛使用存在漏洞的開源軟件包，從而感染了軟件和服務(wù)開發(fā)上游代碼和模塊，并沿著軟件供應(yīng)鏈對(duì)其下游造成了巨大傷害；2017 年發(fā)生的 NotPetya勒索病毒事件 ，與 WannaCry 利用的漏洞相同，黑客對(duì)含有“永恒之藍(lán)（EternalBlue）”漏洞的軟件更新發(fā)起攻擊，導(dǎo)致俄羅斯、烏克蘭等十多個(gè)國家的能源、交通、銀行、醫(yī)院、國家機(jī)構(gòu)及跨國企業(yè)受到影響，損失達(dá)上百億美元；2020 年底發(fā)生的“太陽風(fēng)”事件 ，黑客組織利用 SolarWinds 公司銷售的數(shù)據(jù)管理軟件的軟件更新過程中存在的安全漏洞，對(duì)包括美國在內(nèi)的幾十個(gè)國家的政府及非政府組織發(fā)起網(wǎng)絡(luò)攻擊。這些攻擊事件對(duì)各國軟件供應(yīng)鏈安全敲響了警鐘，也為我國軟件供應(yīng)鏈網(wǎng)絡(luò)安全發(fā)出了警示。

隨著信息化的深入發(fā)展，大數(shù)據(jù)、云計(jì)算和人工智能等新技術(shù)在裝備中的應(yīng)用越來越廣泛，裝備信息化、網(wǎng)絡(luò)化、數(shù)字化、智能化程度越來越高，這在提升武器裝備作戰(zhàn)效能的同時(shí)，也使其面臨巨大的威脅，而供應(yīng)鏈攻擊是最重要的網(wǎng)絡(luò)攻擊形式之一，已經(jīng)嚴(yán)重威脅到裝備網(wǎng)絡(luò)安全。近年來，一方面由于新冠肺炎疫情、中美關(guān)系不斷惡化、俄烏沖突升級(jí)、全球經(jīng)濟(jì)動(dòng)蕩不斷的形勢(shì)，對(duì)全球供應(yīng)鏈造成極大破壞，同時(shí)也對(duì)裝備供應(yīng)鏈安全造成嚴(yán)重沖擊；另一方面隨著開源代碼、第三方組件 / 軟件在裝備中廣泛應(yīng)用，與之相關(guān)的所有安全漏洞也與裝備軟件共生，裝備軟件供應(yīng)鏈遭受網(wǎng)絡(luò)攻擊的可能性愈發(fā)增加，對(duì)裝備安全造成日益嚴(yán)重的影響。裝備軟件供應(yīng)鏈安全事關(guān)國家安全、軍隊(duì)安全，一旦出現(xiàn)安全風(fēng)險(xiǎn)將會(huì)給國家和軍隊(duì)帶來重大安全挑戰(zhàn)，產(chǎn)生的后果不堪設(shè)想。

國內(nèi)外針對(duì)工業(yè)互聯(lián)網(wǎng) 、信息通信技術(shù)（Information Communications Technology，ICT）等領(lǐng)域的供應(yīng)鏈安全，以及軟件供應(yīng)鏈安全 進(jìn)行了研究，提出了各自的解決方案。不過，由于裝備軟件保密性、穩(wěn)定性、可靠性要求高，且軟件更新升級(jí)難度較大，而國內(nèi)對(duì)該領(lǐng)域研究較少，亟須加強(qiáng)裝備軟件供應(yīng)鏈安全研究。為此，厘清裝備軟件供應(yīng)鏈面臨的安全形勢(shì)和安全風(fēng)險(xiǎn)，并在此基礎(chǔ)上有針對(duì)性地構(gòu)建完善的裝備軟件供應(yīng)鏈安全體系和制定積極有效的應(yīng)對(duì)策略，對(duì)于營造裝備軟件供應(yīng)鏈良好的生態(tài)環(huán)境，更好地推動(dòng)裝備健康發(fā)展，具有十分重要的意義。

1 裝備軟件供應(yīng)鏈面臨的安全形勢(shì)和安全風(fēng)險(xiǎn)

近年來，由于西方國家利用技術(shù)優(yōu)勢(shì)在重要進(jìn)口軟件中暗埋后門、裝備軟件大量使用未經(jīng)充分安全測(cè)評(píng)的開源代碼和第三方組件 / 軟件等因素，軟件供應(yīng)鏈的各個(gè)環(huán)節(jié)均可成為攻擊者的切入點(diǎn)，且軟件供應(yīng)鏈攻擊成本低、回報(bào)高、檢測(cè)難，從而導(dǎo)致軟件供應(yīng)鏈遭到破壞引發(fā)的網(wǎng)絡(luò)安全事件數(shù)量不斷上升，我國裝備軟件供應(yīng)鏈安全風(fēng)險(xiǎn)急劇增加，面臨的安全形勢(shì)異常嚴(yán)峻。

1.1裝備軟件供應(yīng)鏈所有環(huán)節(jié)均有被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)

裝備軟件供應(yīng)鏈安全涉及的角色和環(huán)節(jié)多、流程鏈條較長。以裝備定制開發(fā)軟件為例，除裝備承研單位作為主要軟件供方角色外，還有許多不受采購用戶控制的其他軟件開發(fā)者、軟件供應(yīng)商（如提供裝備仿真軟件）等第三方角色，從而擴(kuò)大了潛在攻擊面，使得軟件供應(yīng)鏈各個(gè)環(huán)節(jié)及其脆弱點(diǎn)都可能成為攻擊者的切入點(diǎn)和目標(biāo)，增加了裝備軟件不可控的安全風(fēng)險(xiǎn)，給裝備軟件埋下安全隱患?？梢哉f，除軟件供應(yīng)鏈的原始組件和集成組件環(huán)節(jié)給裝備軟件帶來安全問題外，在軟件定義、軟件開發(fā)、交付部署、運(yùn)行維護(hù)等軟件全生命周期的各個(gè)環(huán)節(jié)均可能引入安全隱患，導(dǎo)致出現(xiàn)軟件漏洞、軟件后門、惡意篡改、假冒偽劣、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)、供應(yīng)中斷、信息泄露等安全風(fēng)險(xiǎn) ，如圖 1 所示。

圖 1軟件全生命周期各環(huán)節(jié)潛在的安全風(fēng)險(xiǎn)

1.2西方軍事強(qiáng)國通過技術(shù)壟斷威脅我國裝備軟件安全

美國等軍事強(qiáng)國依托技術(shù)壟斷地位，政企勾結(jié)預(yù)置軟件后門，嚴(yán)重威脅我國軟件安全，極大推高了裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。雖然我國在國防軍工等領(lǐng)域大力推行國產(chǎn)化措施并取得一定成效，但裝備研發(fā)生產(chǎn)領(lǐng)域許多高端軟硬件設(shè)備還依賴國外進(jìn)口，特別是 ICT 領(lǐng)域大量使用國外軟硬件（如裝備仿真設(shè)計(jì)軟件等）產(chǎn)品極易被暗埋軟件后門，使用不安全的仿真設(shè)計(jì)軟件極易將安全風(fēng)險(xiǎn)引入其設(shè)計(jì)的各種裝備軟件中，很難從源頭把控裝備軟件安全風(fēng)險(xiǎn) 。從近年來相繼曝光的安全事件（如“棱鏡門”事件 中可以發(fā)現(xiàn)，美國政府依托其在 IT 領(lǐng)域的技術(shù)與市場(chǎng)優(yōu)勢(shì)，強(qiáng)化與思科、微軟、谷歌、英特爾等科技公司的合作，在這些公司研發(fā)、銷售的相關(guān)軟硬件產(chǎn)品中預(yù)置后門，對(duì)我國及其他主要國家（甚至是其盟友）進(jìn)行全方位監(jiān)控，竊取政治、經(jīng)濟(jì)、軍事等重要信息，以達(dá)到繼續(xù)維持其霸權(quán)地位的目的。比如，思科公司多款主流路由器的虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）隧道通信和加密模塊中，被發(fā)現(xiàn)存在暗埋的“后門”，美國政府能夠輕而易舉地獲取密鑰等核心敏感數(shù)據(jù)，并實(shí)現(xiàn)信息監(jiān)控 ；美國 RSA 信息安全公司與美國國家安全局（National Security Agency，NSA）達(dá)成協(xié)議，用其安全軟件的優(yōu)先或默認(rèn)隨機(jī)數(shù)生成算法替代雙橢圓曲線算法，通過預(yù)置的“后門”，NSA 能夠輕松破解各種加密數(shù)據(jù) ；2022 年 2月 23 日，北京奇安盤古實(shí)驗(yàn)室披露了來自美國的后門——“電幕行動(dòng)”（Bvp47），該后門由NSA 的黑客組織“方程式”制造，可以攻擊多數(shù) Linux 發(fā)行版、Solaris、SUN 等操作系統(tǒng)，入侵成功后將在網(wǎng)絡(luò)空間里暢通無阻，能夠隱秘控制受害組織網(wǎng)絡(luò)并輕而易舉地獲取數(shù)據(jù)。

1.3開源代碼的廣泛應(yīng)用極易引入新的裝備軟件供應(yīng)鏈安全風(fēng)險(xiǎn)

開源代碼開放靈活、應(yīng)用廣泛，在軟件開發(fā)中起著非常重要的作用，已成為軟件供應(yīng)鏈的重要環(huán)節(jié)，是軟件生態(tài)不可或缺的組成部分。根據(jù) WhiteSource 發(fā)布的 2020 年度《開源漏洞管理現(xiàn)狀》，除非企業(yè)政策要求禁止使用外，96.8% 的開發(fā)人員依賴于開源軟件；此外，據(jù)奇安信代碼安全實(shí)驗(yàn)室分析，在所調(diào)查的國內(nèi)軟件項(xiàng)目中，幾乎全部使用了開源代碼，而有的項(xiàng)目最多使用了約 3 878 個(gè)開源軟件，且項(xiàng)目中使用的開源軟件數(shù)量大大超出了軟件項(xiàng)目管理者和程序員自身的認(rèn)知 。為了提高開發(fā)效率并降低開發(fā)成本，裝備軟件中使用的開源軟件比例呈逐年上升趨勢(shì)。比如，裝備中采用的國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)軟件及大量應(yīng)用軟件都使用了開源代碼。不過，開源代碼中存在大量安全漏洞。據(jù)統(tǒng)計(jì)，截至 2020 年年底，通用漏洞披露（Common Vulnerabilities & Exposures，CVE）、美國國家計(jì)算機(jī)通用漏洞數(shù)據(jù)庫（National Vulnerability Database，NVD）、中國國家信息安全 漏 洞 庫（China National Vulnerability Database of Information Security，CNNVD）、國家信息安全 漏 洞 共 享 平 臺(tái)（China National Vulnerability Database，CNVD）等公開漏洞庫中共收錄開源軟件相關(guān)漏洞 41 342 個(gè)，其中 2020 年度新增漏洞 5 366 個(gè)，而歷史漏洞排名第一的大型開源項(xiàng)目 Linux Kernel 漏洞總數(shù)達(dá)到 4 139 個(gè) 。在軟件產(chǎn)品國產(chǎn)化要求下，我國對(duì)包括開源 Linux 內(nèi)核等在內(nèi)的開源代碼進(jìn)行了消化吸收，發(fā)布了相關(guān)軟件產(chǎn)品并得到大力推廣，在武器裝備制造領(lǐng)域也得到廣泛應(yīng)用。不過由于各種原因，還很難發(fā)現(xiàn)潛藏其中的安全漏洞或“后門”，難以準(zhǔn)確評(píng)估這些重要國產(chǎn)軟件存在的安全風(fēng)險(xiǎn)，而開源軟件中存在的安全漏洞，也會(huì)延續(xù)到裝備軟件中，嚴(yán)重威脅裝備的安全使用及其作戰(zhàn)適應(yīng)性。

此外，近年來針對(duì)開源軟件的網(wǎng)絡(luò)攻擊持續(xù)走高。Sonatype 調(diào)查顯示，通過滲透開源代碼，并將后門植入軟件產(chǎn)品，所引發(fā)的軟件供應(yīng)鏈攻擊比上一年度增長了近 430%[17]。一旦裝備軟件中使用的開源代碼存在安全漏洞，很容易被不法分子利用，勢(shì)必對(duì)裝備使用造成嚴(yán)重后果。

1.4裝備軟件供應(yīng)鏈管控與安全測(cè)評(píng)能力不足導(dǎo)致存在較大安全管理風(fēng)險(xiǎn)

伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊事件表明，與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)和系統(tǒng)也不是絕對(duì)安全的，同樣，武器裝備網(wǎng)絡(luò)也存在類似問題，攻擊者除從內(nèi)部發(fā)起攻擊外，還可以通過軟件供應(yīng)鏈活動(dòng)滲透裝備網(wǎng)絡(luò)，比如軟件更新 / 升級(jí)服務(wù)、裝備軟件維護(hù)服務(wù)等活動(dòng)。而黑客常常利用軟件供應(yīng)鏈中各方建立的信任機(jī)制發(fā)起攻擊，如用戶與軟件產(chǎn)品提供者之間的信任關(guān)系、設(shè)備之間受用戶信任的通信鏈路等。一旦軟件供應(yīng)鏈某個(gè)環(huán)節(jié)（如軟件更新升級(jí)或維護(hù)等）被攻陷，黑客就能輕易攻擊該環(huán)節(jié)的所有下游用戶。

由于裝備軟件穩(wěn)定性、安全性要求高，且在裝備操作使用中很少有專職的網(wǎng)絡(luò)安全人員參與，從而在使用與運(yùn)維時(shí)很容易引入安全風(fēng)險(xiǎn)，因此，在裝備交付部隊(duì)使用之前開展充分的網(wǎng)絡(luò)安全測(cè)試，并對(duì)裝備軟件供應(yīng)鏈安全風(fēng)險(xiǎn)進(jìn)行有效管控是非常必要的。不幸的是，大多數(shù)裝備采購方（或需方）和供方（如裝備承研單位、供應(yīng)商等）并沒有對(duì)裝備軟件供應(yīng)鏈進(jìn)行有效管控。

一是裝備軟件供應(yīng)鏈安全的軍用標(biāo)準(zhǔn)尚未建立，安全管控體系不健全。我國相繼出臺(tái)了《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》、GB/T 36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》等法規(guī)標(biāo)準(zhǔn)，且與軟件供應(yīng)鏈安全強(qiáng)相關(guān)的標(biāo)準(zhǔn)《信息安全技術(shù) 軟件供應(yīng)鏈安全要求》也將正式發(fā)布 ，這些標(biāo)準(zhǔn)為軟件供應(yīng)鏈安全管理提供了有效指導(dǎo)。與裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全管控和風(fēng)險(xiǎn)管理有關(guān)的軍用法規(guī)標(biāo)準(zhǔn)尚未建立，軟件供應(yīng)鏈網(wǎng)絡(luò)安全測(cè)評(píng)規(guī)范缺乏，安全測(cè)評(píng)體系還未形成，裝備采購方和承研單位軟件供應(yīng)鏈的管理制度和監(jiān)管機(jī)制尚不完備，安全管控的連續(xù)性與持久性（由裝備采購方延伸至承研單位及更遠(yuǎn)）還不夠，尤其缺乏針對(duì)軟件交付、更新升級(jí)等重要環(huán)節(jié)的安全管控措施。

二是裝備軟件在交付前沒有進(jìn)行充分的網(wǎng)絡(luò)安全測(cè)試，裝備網(wǎng)絡(luò)安全底數(shù)不清。雖然試驗(yàn)主管部門對(duì)裝備網(wǎng)絡(luò)安全測(cè)試進(jìn)行了要求，但仍處于起步階段，且對(duì)軟件供應(yīng)鏈安全測(cè)試還缺乏明確要求。由于缺乏標(biāo)準(zhǔn)化的軟件供應(yīng)鏈安全測(cè)評(píng)方法，裝備軟件在交付前通常只進(jìn)行軟件測(cè)評(píng)，并沒有開展網(wǎng)絡(luò)安全測(cè)評(píng)，更沒有針對(duì)其供應(yīng)鏈進(jìn)行安全測(cè)評(píng)，難以盡早發(fā)現(xiàn)并消除軟件中潛在的安全隱患。在要求裝備軟件國產(chǎn)化的同時(shí)，卻對(duì)其中的開源代碼安全管控不夠重視，造成開源代碼隨意使用而不進(jìn)行安全評(píng)估。此外，由于裝備承研等單位軟件安全測(cè)評(píng)能力不夠，尤其是在惡意代碼檢測(cè)、漏洞挖掘分析、協(xié)議逆向工程等技術(shù)能力方面存在嚴(yán)重不足，難以對(duì)裝備軟件中的開源代碼進(jìn)行嚴(yán)格安全測(cè)試。

三是對(duì)國外軟件安全審查不嚴(yán)格。雖然我國頒布了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》，重點(diǎn)審查軟件產(chǎn)品研發(fā)、測(cè)試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險(xiǎn)，但在 ICT等重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全審查尚處于起步階段，并且較少涉及我軍所采購的仿真設(shè)計(jì)軟件、程序開發(fā)工具等國外軟件產(chǎn)品及其衍生產(chǎn)品，對(duì)國外軟件供應(yīng)鏈的網(wǎng)絡(luò)安全審查與評(píng)估等配套標(biāo)準(zhǔn)需進(jìn)一步完善。

2 裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全對(duì)策

建立和完善裝備軟件供應(yīng)鏈的安全標(biāo)準(zhǔn)體系、安全監(jiān)管體系、安全測(cè)評(píng)體系和安全技術(shù)體系，是應(yīng)對(duì)裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有效舉措。

2.1完善裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，加強(qiáng)軟件安全風(fēng)險(xiǎn)管理

一是加快制定裝備軟件供應(yīng)鏈安全管理的軍用標(biāo)準(zhǔn)規(guī)范。充分借鑒《信息安全技術(shù) 軟件 供 應(yīng) 鏈 安 全 要 求（ 征 求 意 見 稿）》、GB/T36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》《信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求（征求意見稿）》、行業(yè)標(biāo)準(zhǔn)《網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求》等國家和行業(yè)相關(guān)供應(yīng)鏈安全標(biāo)準(zhǔn)，以及涉及軟件供應(yīng)鏈安全內(nèi)容的相關(guān)信息安全標(biāo)準(zhǔn)，制定裝備軟件供應(yīng)鏈安全管理、風(fēng)險(xiǎn)管理等標(biāo)準(zhǔn)，規(guī)范裝備軟件供應(yīng)鏈的組織管理（如機(jī)構(gòu)管理、制度管理、人員管理、供應(yīng)商管理、知識(shí)產(chǎn)權(quán)管理等）和供應(yīng)活動(dòng)管理（如軟件采購、外部組件使用、軟件交付、軟件運(yùn)維、軟件廢止等），指導(dǎo)裝備軟件采購方、承研單位、供應(yīng)商和服務(wù)商等供應(yīng)鏈各個(gè)角色制定本級(jí)軟件供應(yīng)鏈安全管理制度和措施，確保裝備軟件供應(yīng)鏈各個(gè)環(huán)節(jié)均安全可控。

二是建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測(cè)評(píng)標(biāo)準(zhǔn)規(guī)范。在相關(guān)信息安全測(cè)評(píng)標(biāo)準(zhǔn)基礎(chǔ)上，結(jié)合裝備軟件網(wǎng)絡(luò)安全實(shí)際，補(bǔ)充完善裝備軟件供應(yīng)鏈安全測(cè)評(píng)要求和測(cè)評(píng)方法，并針對(duì)不同業(yè)務(wù)領(lǐng)域、不同供應(yīng)鏈活動(dòng)環(huán)節(jié)制定相應(yīng)的軟件供應(yīng)鏈安全測(cè)評(píng)標(biāo)準(zhǔn)和測(cè)評(píng)方法。與國家網(wǎng)絡(luò)安全審查法等法規(guī)配合，從而形成“通專結(jié)合”的裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測(cè)評(píng)標(biāo)準(zhǔn)體系，為裝備軟件安全測(cè)評(píng)提供支持。

三是完善裝備安全管理法規(guī)制度，實(shí)施軟件供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全與其各環(huán)節(jié)中的人員、工具、環(huán)境等因素密切相關(guān)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能由各環(huán)節(jié)中任一因素引入。因此，需要借鑒 GB/T 36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》、ISO 28000《供應(yīng)鏈安全管理體系》和ISO/IEC 27005《信息安全技術(shù) 風(fēng)險(xiǎn)管理》等相關(guān)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，制定裝備軟件供應(yīng)鏈安全管理制度，對(duì)裝備采購、研制、測(cè)試、交付、部署、運(yùn)行、維護(hù)等過程中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)管和控制。同時(shí)對(duì)裝備及其中的軟硬件產(chǎn)品實(shí)施風(fēng)險(xiǎn)管理，摸清裝備軟件供應(yīng)鏈中面臨的安全威脅和脆弱性，采取有效應(yīng)對(duì)措施，將裝備軟件供應(yīng)鏈安全風(fēng)險(xiǎn)降至最低，做到風(fēng)險(xiǎn)可控。

2.2建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全監(jiān)管體系，實(shí)施軟件全方位安全管控

一是建立裝備軟件供應(yīng)鏈安全監(jiān)管體制機(jī)制，對(duì)各方實(shí)施監(jiān)管。在裝備研制或采購過程中，裝備采購方需要對(duì)裝備承研單位、供應(yīng)商等相關(guān)供方單位進(jìn)行充分調(diào)研、審查與監(jiān)管。在資質(zhì)要求方面，裝備承研方應(yīng)具備安全保密資質(zhì)等，對(duì)于軟件供應(yīng)鏈上的供應(yīng)商需要提供證明其軟件安全開發(fā)能力的企業(yè)級(jí)資質(zhì)，并要求其在軟件安全開發(fā)的過程管理、質(zhì)量管理、配置管理、人員能力等方面提供證明，以證明其有能力把安全融入軟件開發(fā)全過程。在質(zhì)量管理及安全開發(fā)標(biāo)準(zhǔn)規(guī)范方面，要求承研單位、參與單位或供應(yīng)商提供質(zhì)量管理體系認(rèn)證證明，對(duì)于軟件供應(yīng)鏈上的供應(yīng)商，需要審查其內(nèi)部軟件安全開發(fā)標(biāo)準(zhǔn)與規(guī)范，能夠?qū)M開發(fā)軟件的不同應(yīng)用場(chǎng)景、不同架構(gòu)設(shè)計(jì)、不同開發(fā)語言進(jìn)行約束和參考。此外，建立裝備采購黑、白名單，實(shí)施獎(jiǎng)懲機(jī)制。對(duì)于信譽(yù)好、網(wǎng)絡(luò)安全問題少、售后服務(wù)響應(yīng)快的供應(yīng)商或軟硬件產(chǎn)品，將其納入白名單；對(duì)于信譽(yù)差、網(wǎng)絡(luò)安全問題多、售后服務(wù)響應(yīng)慢的供應(yīng)商或軟硬件產(chǎn)品，將其納入黑名單。定期對(duì)黑、白名單進(jìn)行更新，并將黑、白名單向全機(jī)構(gòu)公布。

二是落實(shí)裝備軟件供應(yīng)鏈各方主體責(zé)任。按照裝備軟件研制或采購實(shí)際情況，確定軟件產(chǎn)品研制、采購、使用等供應(yīng)鏈流程，分析各個(gè)環(huán)節(jié)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)活動(dòng)并對(duì)其進(jìn)行約束，嚴(yán)格要求裝備軟件承研單位、供應(yīng)商和服務(wù)商加強(qiáng)自身安全開發(fā)、集成、運(yùn)維的能力，落實(shí)供應(yīng)鏈安全的主體責(zé)任。對(duì)于裝備軟件采購方，應(yīng)將網(wǎng)絡(luò)安全人員納入采購小組，參與裝備采購評(píng)審全流程，對(duì)裝備軟件網(wǎng)絡(luò)安全負(fù)責(zé)。網(wǎng)絡(luò)安全人員應(yīng)熟悉裝備軟件供應(yīng)鏈安全要求等相關(guān)標(biāo)準(zhǔn)規(guī)范，在裝備軟件采購時(shí)，需要充分了解裝備采購所有供應(yīng)商 / 研制方信息、產(chǎn)品信息（版本、License、更新 / 升級(jí)方式等）、維護(hù)單位與人員信息，以及其他與網(wǎng)絡(luò)安全相關(guān)的信息，建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全檔案，為裝備軟件安全風(fēng)險(xiǎn)管理提供技術(shù)支持，并為裝備驗(yàn)收測(cè)試中的軟件供應(yīng)鏈安全測(cè)評(píng)提供支撐。

2.3建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測(cè)評(píng)體系，加強(qiáng)軟件安全測(cè)評(píng)能力建設(shè)

一是構(gòu)建全流程裝備軟件供應(yīng)鏈安全評(píng)估機(jī)制。建立集法規(guī)政策、管理和技術(shù)為一體的，涵蓋軟件定義、設(shè)計(jì)開發(fā)、交付部署、運(yùn)行維護(hù)等軟件生命周期各環(huán)節(jié)在內(nèi)的全流程軟件供應(yīng)鏈安全評(píng)估機(jī)制，并對(duì)裝備軟件中使用的開源代碼及其他原始組件和集成組件進(jìn)行測(cè)試評(píng)估，全面評(píng)估裝備軟件供應(yīng)鏈各環(huán)節(jié)的安全風(fēng)險(xiǎn)。不斷完善裝備軟件安全測(cè)評(píng)體系，加強(qiáng)軟件供應(yīng)鏈安全測(cè)評(píng)技術(shù)研究及相關(guān)安全測(cè)評(píng)工具研制，形成系統(tǒng)化、標(biāo)準(zhǔn)化的軟件供應(yīng)鏈安全解決方案，不斷促進(jìn)裝備軟件供應(yīng)鏈安全測(cè)評(píng)工作的落地實(shí)施。

二是加強(qiáng)裝備軟件供應(yīng)鏈安全測(cè)評(píng)能力建設(shè)。采取“軍民融合、地理分布、邏輯一體”的方式，開展裝備軟件安全測(cè)評(píng)條件建設(shè)，形成裝備軟件安全測(cè)評(píng)能力體系。在第三方試驗(yàn)機(jī)構(gòu)、裝備研制單位分別建設(shè)軟件安全測(cè)評(píng)環(huán)境，開展裝備軟件供應(yīng)鏈安全測(cè)評(píng)工作。軍隊(duì)試驗(yàn)機(jī)構(gòu)可以借助地方優(yōu)勢(shì)安全測(cè)評(píng)、安全審查機(jī)構(gòu)的能力，為裝備軟件供應(yīng)鏈提供安全測(cè)評(píng)與安全審查服務(wù)。在開源代碼安全測(cè)評(píng)方面，積極推動(dòng)安全測(cè)評(píng)機(jī)構(gòu)、安全企業(yè)開展開源代碼安全檢測(cè)服務(wù)，要求裝備軟件中使用的開源代碼必須經(jīng)過安全測(cè)評(píng)，以便有效管控裝備軟件安全風(fēng)險(xiǎn)。

三是在推進(jìn)裝備網(wǎng)絡(luò)安全測(cè)試的同時(shí)要積極開展軟件供應(yīng)鏈安全測(cè)評(píng)。為了避免和消除裝備軟件中的安全漏洞，盡可能地減輕安全風(fēng)險(xiǎn)，確保裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全，需要在軟件安全測(cè)評(píng)活動(dòng)中開展全面的供應(yīng)鏈安全測(cè)評(píng)，力爭(zhēng)在裝備交付使用前將安全風(fēng)險(xiǎn)降至最低，并在裝備軟件全生命周期的各個(gè)環(huán)節(jié)持續(xù)開展網(wǎng)絡(luò)安全測(cè)試活動(dòng)。在軟件開發(fā)環(huán)節(jié)，采用軟件安全開發(fā)生命周期流程方法，并利用基于靜態(tài)應(yīng)用安全測(cè)試、交互式應(yīng)用安全測(cè)試和模糊測(cè)試技術(shù)的安全開發(fā)工具，開展安全測(cè)試。在軟件使用、運(yùn)行維護(hù)等環(huán)節(jié)，依據(jù)信息安全相關(guān)標(biāo)準(zhǔn)規(guī)范，實(shí)施安全風(fēng)險(xiǎn)管理活動(dòng)。對(duì)裝備軟件中使用的第三方組件和開源代碼，需充分驗(yàn)證測(cè)試其網(wǎng)絡(luò)安全性，并采取必要的技術(shù)手段和管理手段，以便確保所使用第三方組件和開源代碼的安全性。

2.4完善裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全技術(shù)體系，加強(qiáng)軟件安全防護(hù)能力建設(shè)

在加強(qiáng)裝備軟件供應(yīng)鏈標(biāo)準(zhǔn)、管控、測(cè)評(píng)體系能力建設(shè)的同時(shí)，還需要從技術(shù)層面防范供應(yīng)鏈安全風(fēng)險(xiǎn)，特別需要注重裝備軟件供應(yīng)鏈安全管理知識(shí)圖譜等基礎(chǔ)能力、軟件供應(yīng)鏈全鏈條縱深安全防御能力、安全審計(jì)與應(yīng)急響應(yīng)能力等方面的能力建設(shè)。

一是建立裝備安全管理知識(shí)庫，構(gòu)建裝備軟件供應(yīng)鏈安全知識(shí)圖譜。建立裝備管理基礎(chǔ)庫，廣泛收集裝備中軟件、硬件、數(shù)據(jù)庫、中間件、組件 / 固件、控制器、數(shù)據(jù)總線等與網(wǎng)絡(luò)安全有關(guān)的資產(chǎn)信息，以及各種軟件開發(fā)、運(yùn)行、編譯環(huán)境信息。建立裝備供應(yīng)鏈管理庫，收集裝備軟件及其組件、開發(fā)工具、設(shè)計(jì)軟件等供應(yīng)鏈各環(huán)節(jié)中的信息，如開發(fā)者、參與者、第三方組件 / 軟件供應(yīng)商、服務(wù)商、使用的開源代碼等，要求裝備及其軟硬件供應(yīng)鏈信息均可追溯。建 立 裝 備 網(wǎng) 絡(luò) 安 全 漏 洞 庫， 收 集 來 自 CVE、NVD、CNNVD 及其他漏洞源的安全漏洞。建立裝備威脅情報(bào)庫，幫助安全人員明確單位重要資產(chǎn)的安全狀況，根據(jù)單位自身資產(chǎn)的重要程度和影響面，進(jìn)行相關(guān)的漏洞修復(fù)和風(fēng)險(xiǎn)管理。以各類裝備安全管理數(shù)據(jù)庫為基礎(chǔ)，利用知識(shí)圖譜技術(shù)，構(gòu)建裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全知識(shí)圖譜，能夠讓安全管理人員提前了解軟件供應(yīng)鏈中潛在的漏洞或缺陷，準(zhǔn)確評(píng)估其安全風(fēng)險(xiǎn)，及時(shí)采取有效安全措施規(guī)避或消減安全風(fēng)險(xiǎn)，以便從全局把控裝備軟件供應(yīng)鏈安全的整體態(tài)勢(shì)。

二是全面使用網(wǎng)絡(luò)安全技術(shù)和手段，建立縱深防御體系，提升裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全防御能力。裝備軟件供應(yīng)鏈的各個(gè)環(huán)節(jié)都有可能成為潛在攻擊面，從而需要對(duì)軟件供應(yīng)鏈各環(huán)節(jié)的關(guān)鍵資產(chǎn)、存在的安全漏洞、面臨的安全威脅進(jìn)行全面分析，并采取針對(duì)性的網(wǎng)絡(luò)安全技術(shù)手段防御、檢測(cè)并響應(yīng)供應(yīng)鏈攻擊。在軟件開發(fā)環(huán)節(jié)，對(duì)項(xiàng)目中使用的開源代碼、第三方軟件等，利用軟件安全測(cè)評(píng)、漏洞掃描、漏洞挖掘、滲透測(cè)試及惡意代碼識(shí)別等技術(shù)，發(fā)現(xiàn)其中可能存在的安全漏洞或惡意軟件，并開發(fā)相應(yīng)補(bǔ)丁進(jìn)行安全加固或清除惡意代碼。在交付與更新升級(jí)環(huán)節(jié)，可以利用網(wǎng)絡(luò)劫持檢測(cè)與安全防范、加密驗(yàn)證等技術(shù)，以防在交付與更新升級(jí)環(huán)節(jié)被劫持。在軟件部署使用和運(yùn)行環(huán)節(jié)，可以對(duì)裝備系統(tǒng)采用零信任架構(gòu)和內(nèi)生安全思想進(jìn)行安全防護(hù)體系設(shè)計(jì)，并應(yīng)用安全態(tài)勢(shì)感知、訪問控制、可信密碼及擬態(tài)防御等技術(shù)進(jìn)行主動(dòng)防御。

三是重視安全審計(jì)與應(yīng)急響應(yīng)能力建設(shè)。網(wǎng)絡(luò)安全審計(jì)有助于系統(tǒng)管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患，對(duì)系統(tǒng)網(wǎng)絡(luò)安全起著非常重要的作用。“太陽風(fēng)”攻擊事件就是由火眼公司（FireEye）審計(jì)人員在審查其內(nèi)部安全日志時(shí)發(fā)現(xiàn)端倪的，并最終揭開了整個(gè)勒索事件的全貌 。一方面，要加強(qiáng)安全審計(jì)與應(yīng)急響應(yīng)技術(shù)研究和系統(tǒng)建設(shè)，針對(duì)裝備軟件供應(yīng)鏈各個(gè)環(huán)節(jié)提出安全審計(jì)與應(yīng)急響應(yīng)能力要求，部署安全審計(jì)系統(tǒng)，形成全鏈條一體的安全審計(jì)與應(yīng)急響應(yīng)聯(lián)動(dòng)體系。另一方面，要注重安全審計(jì)與應(yīng)急響應(yīng)人才隊(duì)伍建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全人才培養(yǎng)與引進(jìn)，提升安全審計(jì)、逆向工程、漏洞挖掘分析等各類網(wǎng)絡(luò)安全人員的業(yè)務(wù)能力。

3 結(jié)語

隨著裝備信息化、數(shù)字化、智能化水平的提升，其作戰(zhàn)能力越來越依賴于軟件對(duì)其功能的實(shí)現(xiàn)，而裝備系統(tǒng)的網(wǎng)絡(luò)安全性在很大程度上取決于系統(tǒng)中使用軟件的安全性，軟件供應(yīng)鏈安全是軟件安全的重要部分。為了確保裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全，應(yīng)盡快建立與我軍裝備軟件供應(yīng)鏈發(fā)展相適應(yīng)的安全標(biāo)準(zhǔn)體系、安全監(jiān)管體系、安全測(cè)評(píng)體系和安全技術(shù)體系，這是當(dāng)前保障裝備軟件網(wǎng)絡(luò)安全的一項(xiàng)重要工作。