自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

　　曾任某全国性股份制商业银行数据安全技术专家、海航科技集团信息安全技术总架构师等职务。十余年金融业、铁路交通业、航空业工作经历，一直从事信息安全、数据管理、风险管理等领域，曾获得银监会风险管理课题研究成果、人民银行科技发展奖等多项行业奖项，在数据安全领域有深入研究和实施经验，对网络安全法、GDPR、等保等法律法规有深刻理解。

　　本文讨论的供应链安全是指由信息通信技术供应链产生安全的问题。2009年S. Boyson和H. Rossman提出信息通信技术供应链的概念，信息通信技术供应链被认为“是其他所有供应链的基础，是供应链的供应链”。信息通信技术供应链包括硬件供应链和软件供应链，通常涵盖采购、开发、外包、集成等环节。信息通信技术供应链最终的安全很大程度上取决于这些关键环节，并涉及到采购方、系统集成方、网络提供方以及软硬件供应商等。

　　我国某金融机构的供应链安全事件。2021年我国某银行部分源代码被泄露到互联网，随着这一事件的发生，供应链安全再次成为金融机构和安全从业者讨论的重点。近几年来，不只银行，微软、Adobe、联想、AMD、高通、华为海思等大量知名企业都曾经发生过类似的供应链安全事件。

　　金融机构要警示开源软件的风险。根据Synopsys新思科技发布的《开源安全和风险分析报告》显示，开源软件在金融行业的渗透率已超过60%。因此开源软件的漏洞也同步渗透到金融行业中，在国家互联网应急中心公布的《2021 年开源软件供应链安全风险研究报告》中，2020年开源软件漏洞数量达到5728项，因此金融行业一定要提高对开源软件安全的管控能力。

　　中国人民银行副行长范一飞在2020年金融街论坛上强调，金融机构供应链安全可控迫在眉睫，必须提前谋划、构建安全可控的供应链体系。本文作者认为，金融行业主管单位应组织或要求开展金融行业供应链安全检查与完善工作，及早解决金融行业信息通信技术供应链安全隐患。

　　在《网络安全法》中要求使用的关键信息基础设施，要选择《网络关键设备和网络安全专用产品目录》产品。

　　在《网络安全等级保护基本要求》中，从通用要求和云计算扩展要求两部分，提出了供应链安全管控措施。在通用要求中，主要从对供应商的选择、监督、评审等角度进行说明；在云计算扩展要求中，主要从供应链安全事件信息、安全威胁信息以及供应链上重要信息同步的角度进行说明。

　　《关键信息基础设施网络安全保护基本要求》尤其重视供应链安全，要求建立供应链安全管理制度、明确安全管理策略、供应商选择保障、采购过程规范、响应处置及时，保证产品的设计、研发、交付、使用、废弃等各阶段安全可控。

　　2021年10月27日中国人民银行、中央网信办等五部门为规范金融机构合理应用开源技术，提高应用水平和自主可控能力，促进开源技术健康可持续发展提出若干《关于规范金融业开源技术应用与发展的意见》。意见要求金融机构在使用开源技术时应遵循安全可控、合规使用、问题导向、开放创新的原则。并应建立健全金融机构使用开源技术的协调机制、制度体系、技术路线、风险管控、合规审查、标准制度与知识产权保护能力。

　　2014年爆发的HeartBleed就是一种典型的软件供应链安全事件，影响全球50万台WEB服务器，ALEXA排名前10000的网站中，1300个包含此漏洞。2012年安全行业广为使用的OpenSSL软件包中引入了一段缺少边界检查，会导致缓冲区读取越界内存信息泄漏的代码。由于OpenSSL软件包是非常底层、非常基础、使用非常广泛的安全开发组件，大量业务系统和安全系统基于该软件包开发个性化业务功能。因此，这些基于OpenSSL软件包的上层软件也天然继承了此漏洞。HeartBleed事件体现了一个软件模块存在漏洞，在该软件模块被引入下游软件的开发流程后，所能造成的惊人的影响和潜在的巨大破坏力。

　　一个典型的软件供应链方法如下：攻击者下载目标代码包，如流行的开发工具、广泛的使用的代码包、已经被打包的应用程序等；攻击者在下载的代码中植入恶意代码，然后将其上传的互联网供开发者下载；开发人员下载代码包后，基于其开发功能，并打包成可以运行的系统，此时恶意代码已经被打包至业务系统中；开发人员发布代码到互联网或交付给最终用户；终端用户安装部署此含有恶意代码的系统；在系统运行时，隐藏在系统中的恶意代码也在悄悄的运行，收集用户隐私、加密用户数据，达到其攻击的目的。

　　金融机构信息通信技术供应链是一个以金融机构以为核心，以众多供应商为外围的网状结构。在此供应链结构中存在主要供应商与次要供应商，主要供应商提供核心产品以及核心产品维护，次要供应商提供外围产品以及外围产品维护。

　　我国金融机构特别是银行业，信息化起步较早，经过多年建设，形成了非常全面的IT业务架构。与此同时，也面临着业务系统多、供应商多、核心产品来源单一、核心产品外部依赖严重等问题。

　　通过上面的金融机构信息技术供应链图示可以看到，外部供应商的安全风险会逐渐侵入到金融机构中。例如，金融机构采购了某供应商的OA系统，而此OA系统中存在开发环节的漏洞或此OA系统采用的基础开发包存在漏洞，则此OA系统中的漏洞会随着采购、安装、运行等实施工作进入了金融机构内网，从而为金融机构信息安全埋下隐患。与此同时，金融机构信息通信技术供应链还面临着供应商服务中断、服务质量等安全风险。

　　为分析金融机构信息通信技术供应链面对的复杂安全形势，我们需要建立威胁分析模型，以结构化的方式来认识和评估金融机构信息通信技术供应链安全威胁。

　　如下图所示，将金融机构信息通信技术供应链安全威胁分为外部威胁和内部威胁两个方面。外部威胁包括：自然灾害、恐怖事件、突发事件等。内部威胁包括：供应商安全、供给安全、服务安全、信息安全。其中供应商安全是指供应商是否具备资质、供应商是否主动发起攻击等；供给安全是指供应商因为主观或客观原因中断供应，比如最近发生的“卡脖子”就属于供给安全；服务安全是指供应商提供的产品或服务质量能否达到要求等；信息安全是指供应商提供的产品或服务面临的网络攻击、数据泄露等信息安全威胁。

　　基于金融机构信息通信技术供应链安全面临的内部与外部威胁，建立威胁分析模型，包括外部威胁评估模型与内部威胁评估模型。外部威胁模型由自然灾害评估、恐怖事件评估、突发事件评估三部分组成，内部威胁模型由供应商安全评估、供给安全评估、服务安全评估、信息安全评估四部分组成。

　　基于威胁分析评估，构建金融机构供应链安全评估模型。供应链外部安全评估由自然灾害评估、恐怖事件评估、突发事件构成，属于供应链外部宏观评估。供应链内部安全评估由供应商安全评估、供给安全评估、服务安全评估、信息安全评估，属于供应链内部微观评估。下面我们将重点论述信息安全评估的组成要素。

　　供应链安全中的信息安全涉及的三个阶段。信息通信技术供应链可以软件供应链为基础参照系，分成三个阶段：开发阶段、交付阶段、使用阶段。在开发阶段，包括金融机构本身的自研产品和外采产品。从金融机构角度观察，供应商开发软硬件系统，虽然这个过程不在金融机构完成，而且不属于金融机构管理范围，但是如果此供应商需要与金融机构合作，那么金融机构就要通过测试分析工具评估其交付物的安全性。对于金融机构自研产品的开发过程，金融机构需要设置并执行软件安全开发流程，保障开发过程安全。需要对金融机构内部研发团队将的软硬件产品执行安全检测，保障交付物安全可信。在交付阶段，金融机构需要建议安全交付机制，对交付物进行安全检测、对实施人员以及交付实施过程涉及的终端、网络、存储进行安全管控。在使用阶段，这个阶段属于典型信息安全保护范畴，金融机构应按我国的《网络安全法》、《数据安全法》、《个人信息安全法》、《等级保护要求》、《网络安全审查办法》等法律法规与标准实施信息安全管理与技术措施。

　　针对供应链软硬件系统的攻击方式。通过分析大量供应链安全事件，可以发现针对软硬件系统、网络的攻击可以分成以下四种情况：一攻击开发工具，在开发工具中放入恶意代码，在软件打包里将恶意代码打包到上层软件中；二攻击源代码，在源代码中嵌入恶意代码留下后门，在软件运行时潜入或向外发送信息；三攻击下载网络，在用户下载软件系统时拦截并嵌入恶意代码；四攻击补丁网站，在软硬件系统连接服务器或更新服务器时，拦截网络包嵌入恶意代码，或将恶意代码以补丁的形式发放到软硬件系统，从而达到攻击的目的。

　　供应链信息安全威胁分析模型。采用信息安全领域广泛使用的信息安全威胁分析STRIDE模型来分析软件供应链所面临的信息安全威胁，包括软硬件系统数据泄露威胁、系统拒绝服务威胁、权限提升威胁、操作抵懒威胁、数据篡改威胁、伪装用户威胁六类。