IT供應(yīng)鏈完整性對(duì)信息安全產(chǎn)業(yè)的影響

2013-10-16 11:42:22 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

據(jù)Gartner最新報(bào)告顯示，企業(yè)IT供應(yīng)鏈將會(huì)成為被破壞的目標(biāo)，因此企業(yè)都在被迫思考如何對(duì)供應(yīng)鏈的完整性進(jìn)行管理。IT供應(yīng)鏈的完整性是全球2000名IT領(lǐng)導(dǎo)者最關(guān)心的三大安全問(wèn)題之一，Gartner分析師Neil MacDonal

據(jù)Gartner調(diào)查顯示，IT供應(yīng)鏈最近幾年變得越來(lái)越復(fù)雜，而且廣泛分布于全球各地。硬件供應(yīng)商外包的不僅是生產(chǎn)，還把設(shè)計(jì)的任務(wù)也外包給OEM供應(yīng)商和國(guó)外承包商。既有的亞洲供應(yīng)商還會(huì)把任務(wù)外包給其他國(guó)家的公司，所以增加了供應(yīng)鏈被破壞的幾率。Gartner研究員MacDonald表示，“IT供應(yīng)鏈的完整性問(wèn)題確實(shí)存在，而且會(huì)在未來(lái)五年對(duì)主流IT企業(yè)產(chǎn)生影響。”

Gartner對(duì)IT供應(yīng)鏈威脅的擔(dān)心并非孤立的。Northrop Gruman今年早些時(shí)候?yàn)槊?/span>-中經(jīng)濟(jì)和安全評(píng)估會(huì)議準(zhǔn)備了一份報(bào)告，里面就警告稱(chēng)“對(duì)供應(yīng)鏈的成功滲透，如電信行業(yè)可能導(dǎo)致系統(tǒng)，為國(guó)家安全或公共安全提供架構(gòu)支持的網(wǎng)絡(luò)等出現(xiàn)癱瘓。”

GAO也表示出了同樣的擔(dān)憂，承認(rèn)政府的IT供應(yīng)鏈威脅包括軟硬件上的惡意邏輯;假冒軟硬件的安裝;生產(chǎn)過(guò)程或是重要產(chǎn)品或服務(wù)的分銷(xiāo)過(guò)程中出現(xiàn)問(wèn)題;因技術(shù)性能問(wèn)題而依賴(lài)于不合格的服務(wù)供應(yīng)商;軟硬件上無(wú)意中安裝的漏洞。

Gartner研究副主席Valdes說(shuō)，IT系統(tǒng)是由來(lái)自世界各地的產(chǎn)品組裝而成，因此IT供應(yīng)鏈的完整性非常重要。企業(yè)，政府和個(gè)人都不能對(duì)IT供應(yīng)鏈表示完全信任，IT堆棧很容易被破壞。MacDonald和Valdes在報(bào)告中強(qiáng)調(diào)稱(chēng)，“自從大多數(shù)硬件系統(tǒng)成為各個(gè)廠商所生產(chǎn)組件與子系統(tǒng)的組裝物候，就出現(xiàn)了一個(gè)復(fù)雜的問(wèn)題。”

GAO信息安全主管Gregory Wilshusen在2012年3月告訴立法者，稱(chēng)隨著采購(gòu)的范圍遍及全球各地，政府機(jī)構(gòu)也需要對(duì)生產(chǎn)制造和運(yùn)輸過(guò)程中間可能出現(xiàn)的漏洞進(jìn)行排查。Wilshusen談到，“全球的IT供應(yīng)鏈會(huì)帶來(lái)風(fēng)險(xiǎn)，如果這些風(fēng)險(xiǎn)成為現(xiàn)實(shí)，就會(huì)損害聯(lián)邦信息系統(tǒng)的私密性，完整性和可用性。”

Gartner分析師在報(bào)告的推測(cè)部分提到，2018年的時(shí)候，至少會(huì)有一家資金過(guò)億，與西方標(biāo)準(zhǔn)看齊的IT供應(yīng)商與中國(guó)的子公司一起作為一個(gè)完全獨(dú)資的實(shí)體，使用獨(dú)立的工程和生產(chǎn)技術(shù)緩解人們對(duì)供應(yīng)鏈完整性的顧慮。

IT供應(yīng)鏈完整性對(duì)信息安全產(chǎn)業(yè)的影響

Gartner稱(chēng)，對(duì)信息安全產(chǎn)品信任度的缺乏將導(dǎo)致新型信息安全市場(chǎng)的50%被分割。操作系統(tǒng)和其他IT系統(tǒng)架構(gòu)軟件的分離還需要一些時(shí)間。MacDonald和Valdes稱(chēng)，到2018年，G20國(guó)家中一半的國(guó)家需要采購(gòu)重要的非軍事用途的架構(gòu)，而且他們會(huì)明確禁止某些敵對(duì)國(guó)家，地理政治性團(tuán)體的供應(yīng)商生產(chǎn)的IT系統(tǒng)。以最近美國(guó)國(guó)會(huì)報(bào)告中對(duì)中國(guó)華為和中興的排斥為例，國(guó)會(huì)報(bào)告認(rèn)為這兩家公司不被信任，不能采購(gòu)他們的網(wǎng)絡(luò)設(shè)備，而且還暗指兩家公司于中國(guó)軍方有聯(lián)系。但是華為和中興都否定了自己與中國(guó)政府有關(guān)聯(lián)。

Gartner分析師稱(chēng)，供應(yīng)鏈的問(wèn)題不會(huì)僅僅因?yàn)橄到y(tǒng)已經(jīng)交給終端用戶(hù)就終結(jié)。用戶(hù)仍然要依賴(lài)其他國(guó)家進(jìn)行維護(hù)和更新。供應(yīng)鏈的完整性必須擴(kuò)展到“操作性供應(yīng)鏈”問(wèn)題，如更新。

以政治為目的的攻擊逐漸增多

IT供應(yīng)鏈的完整性問(wèn)題日益突出是因?yàn)楣粽叩膭?dòng)機(jī)在不斷改變。攻擊者現(xiàn)在更喜歡為政治，軍事或是金融目的進(jìn)行有針對(duì)性的攻擊。IT供應(yīng)鏈的攻擊者的攻擊方向并不受限于智力和防御目標(biāo)，他們可能攻擊生產(chǎn)制造，金融服務(wù)和制藥等。

IT企業(yè)可以采取一些步驟保護(hù)自己的供應(yīng)鏈。企業(yè)應(yīng)該從IT供應(yīng)商處尋求供應(yīng)鏈的證物，要周期性的采樣和產(chǎn)品測(cè)試，以確保供應(yīng)鏈不會(huì)被損壞。企業(yè)應(yīng)該加強(qiáng)采購(gòu)環(huán)節(jié)，并直接與IT供應(yīng)商交易，可能的話，也可以通過(guò)受信任的有資質(zhì)的銷(xiāo)售商交易。Gartner還建議要“明確禁止從eBay等公共拍賣(mài)網(wǎng)站購(gòu)買(mǎi)新舊IT軟硬件。”

企業(yè)傾向于軟件定義型IT架構(gòu)

據(jù)Valdes透露，大多數(shù)硬件系統(tǒng)包括基于軟件的要素，如固件和設(shè)備。更多的程序邏輯都轉(zhuǎn)換到了軟件堆棧。運(yùn)行于標(biāo)準(zhǔn)硬件的軟件定義型IT架構(gòu)會(huì)帶來(lái)更多透明度，使得人們更容易信任供應(yīng)鏈，因?yàn)檐浖蛹?jí)會(huì)更容易測(cè)試。

即便有了軟件，企業(yè)也需要確保自己使用的是正版軟件，且應(yīng)用都具備可靠的數(shù)字證書(shū)。“數(shù)字認(rèn)證的東西不一定可信。如果盲目相信證書(shū)，那么偷竊的或損壞的代碼簽署證書(shū)將是主要的威脅。”分析師警告稱(chēng)。企業(yè)應(yīng)該多使用基于社區(qū)的證書(shū)和文件聲譽(yù)服務(wù)的認(rèn)證代碼。

還要注意，開(kāi)源組件不會(huì)緩解供應(yīng)鏈完整性的問(wèn)題，因?yàn)槲粗暮瓦^(guò)時(shí)的庫(kù)和架構(gòu)可能帶來(lái)企業(yè)巨大威脅。企業(yè)應(yīng)該確認(rèn)開(kāi)源產(chǎn)品中使用的所有架構(gòu)和庫(kù)都合法且得到及時(shí)更新，而且所用的編譯器未被損壞。MacDonald總結(jié)稱(chēng)，企業(yè)的IT部門(mén)必須保護(hù)自己的系統(tǒng)和信息，因?yàn)樗械?/span>IT系統(tǒng)都可疑。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊