英國供應商安全評估：​網絡裝置安全性評估指南

我們知道，在關鍵資訊基礎設施安全保護要求中，有個重要組成部分就是供應鍊安全，供應鍊安全中最核心的一部分莫過于硬體提供商。今年初，英國釋出了《網絡裝置安全性評估指南》，雖然水土稍有不同，但它山之石可以攻玉的道理，在這裡還是可以參考一二的。

簡介

網絡裝置的安全性對于任何網絡的安全都至關重要。在選擇支援關鍵服務或關鍵基礎設施的裝置時，客戶應評估該裝置的安全性，并将該評估視為其采購和風險管理流程的一部分。

本指南提供了有關如何評估網絡裝置安全性的建議。它為支援公共電信營運商（公共電子通信網絡和服務提供商）履行《2021年電信（安全）法》規定的職責提供指導，并在政府咨詢後最終确定《2022年電子通信（安全措施）條例》時履行職責。例如，根據條例草案3。(3)（e），網絡提供商将被要求：

（e）在裝置的采購、配置、管理和測試中采取适當措施，以確定裝置和在裝置上執行的功能的安全

《電信安全業務守則》草案，特别是措施草案5.01和10.1中引用了這一準則。雖然本指南預計不會構成該準則的一部分（當它最終确定時），并且對于滿足新的供應鍊法律要求是必要或充分的，但供應商可以用來幫助他們遵守法規的重要建議。

雖然本指南中的建議是為了支援電信營運商，但對于依賴網絡裝置提供服務的其他關鍵服務或關鍵基礎設施提供商也可能有用。NCSC承認，在網絡裝置支援關鍵服務的情況下，本文檔中建議的網絡裝置安全性評估程度最合适。此外，為了有效地執行本文檔中描述的評估，客戶可能需要适當的合同權利來執行建議的稽核和測試。

在為網絡裝置做出選擇決策時，應使用此指南。但是，如下所述，安全是一項持續的活動。與其他性能領域一樣，客戶應繼續評估和保留供應商在裝置生命周期内的安全跟蹤記錄的證據，因為這将支援未來的安全評估。

本指南未考慮也無法減輕由于供應鍊中特定供應商特有的額外風險而可能産生的威脅。這些風險包括其可能受到影響或被要求采取違背客戶利益或其國家安全的行為的程度。在這種情況下，可能需要針對相關供應商的其他控制措施。

評估方法摘要

本文檔提供有關如何評估供應商的安全流程及其提供的網絡裝置的指導。該方法的目的是客觀地評估由于使用供應商裝置而導緻的網絡風險。這是通過收集有關供應商流程和網絡裝置安全性的客觀、可重複的證據來實作的。

評估供應商造成的網絡風險需要：

• 供應商自己的證據
• 測試以驗證供應商的聲明
• 第三方證據

對于本文檔中的每個标準，可以執行一系列特定于産品的抽查，并且可以直接從産品本身的實驗室測試中獲得證據。這三個元件一起将有助于了解供應商建構新産品的情況。

但是，這種方法總是容易出錯的。雖然證據将由客戶驅動，但它隻能提供供應商行為的例子。為了有效，方法和安全标準都需要維持多年，并記錄良好和不良做法的證據，以支援今後的安全評估和采購決定。

在評估供應商安全實踐時，NCSC建議營運商不要完全依賴供應商文檔來評估供應商安全性。安全評估應基于供應商實施的安全行為。這包括特定于産品線的抽查，以及從産品中提取的客觀證據。

外部審計和國際計劃

在評估網絡裝置的安全性時，最大的挑戰之一是生産區域或營運商特定版本的産品的行業實踐。如果供應商遵循這種做法，國際客戶就無法分擔獲得有關産品品質或安全性的證據或保證的責任，無論是通過互相合作還是通過國際測試計劃。

可以依靠獨立的外部來源來提供一些所需的證據，前提是：

它适用于客戶的産品（特别是相同的硬體和代碼庫）

所有證據都可以由客戶重新驗證，并且随機選擇一些證據進行重新驗證

一般而言，依賴供應商檔案的供應商審計或評價不可能提供有用的證據，除非有可能核實審計是否與網絡裝置的安全性有關。出于同樣的原因，審計背後的證據不能廣泛獲得和檢驗的審計或評價也不應被考慮。例如，按照目前的定義，根據SMA’s NESAS[1]計劃進行的私人紙質評估不太可能提供有用的證據來支援客戶對産品安全性的評估。

來自安全研究社群的支援

鑒于網絡裝置的範圍、規模和複雜性，全球安全研究界（包括商業實驗室和學術界）的參與對于支援客戶了解安全風險至關重要。出于這個原因，應鼓勵供應商對其安全實踐保持透明和公開，并應鼓勵支援負責任的獨立安全研究人員執行自己的測試和分析。

為了支援日益安全和開放的電信裝置的發展，DCMS表示打算建立英國國家電信實驗室（UKTL）。這将是一個安全的研究設施，将彙集電信營運商，現有和新的供應商，學術界和政府，以建立具有代表性的網絡，以研究和測試提高安全性和互操作性的新方法。

評估方法

評估供應商的安全方法需要四層方法：

評估

評估供應商提供的安全聲明。這應該說明供應商的安全方法，以及供應商對其客戶做出的安全承諾。為了發展安全生态系統，NCSC建議供應商公開釋出其安全聲明。這為客戶提供了信心，即供應商的方法對所有客戶和産品線都是一緻的，并允許更廣泛的安全社群參與安全讨論。

檢查

對供應商針對特定的、獨立選擇的産品版本實施的安全流程執行抽查。由于供應商應在自己的系統中随時獲得所有詳細資訊，是以無需提前通知選擇。

分析

對裝置進行實驗室測試。測試應針對所有裝置，或者應從供應商提供的裝置中随機選擇裝置。實驗室測試應盡可能自動化，以便以低成本輕松重複。獨立于客戶執行的實驗室測試應針對客戶使用的相同産品版本軌道、硬體、軟體、固件和配置。

維持

在客戶與供應商關系的整個期間要求供應商遵守安全聲明中的标準。客戶應分析問題的根本原因并記錄供應商的安全性能，以確定将來的評估具有嚴格的證據基礎。

下文提供了應用這種四層方法的建議。

評估供應商安全績效

在評估供應商安全實踐時，一個重要的資料來源是供應商的安全性能。客戶應考慮供應商的安全文化和行為，如以下方面所證明的那樣：

• 供應商風險評估和安全評估流程的成熟度
• 供應商透明度、開放性以及與安全研究社群的協作
• 供應商評估、管理和支援客戶與任何安全漏洞和事件有關
• 供應商遵守安全義務和要求
• 供應商對産品群組件支援的方法

安全事件本身并不能證明安全實踐不佳。所有大公司都可能受到安全事件的影響，根據其原因和處理方式，安全事件可能會提供良好實踐的示例。客戶應考慮是否可以合理地避免該事件，或者是否可以合理地減少其影響。

同樣，産品安全漏洞或問題本身并不是不良安全實踐的證據，因為此類問題将出現在所有産品中。但是，如果問題過于簡單，或者由于産品管理或維護不善，這可能是不良實踐的證據。

供應商安全評估标準

下表可用于幫助評估供應商及其網絡裝置的安全流程。該表描述了客戶在安全聲明中應期望的資訊、應考慮收集證據的抽查以及客戶或第三方應考慮對裝置進行的實驗室測試。對于抽查和實驗室測試，假設客戶将有足夠的通路權限通路供應商流程和裝置，以便在根據此評估做出決策之前進行有效的評估。

當使用第三方時，客戶應确信第三方具有足夠的獨立性，具有足夠的技術能力，并獲得有關供應商日常實踐的足夠資訊，以向他們提供所需的可靠證據。

主題	安全期望值	重要原因	評價：安全申報	評估：客戶或第三方抽查	評估：客戶或第三方實驗室測試
V.A:産品生命周期管理
V.A: 總體目标	供應商的産品在産品的整個生命周期内都得到适當的支援。	提供供應商對産品進行成熟管理的信心，在支援的生命周期内接收更新和安全關鍵修複産品。	作為安全聲明的一部分，供應商描述了如何支援産品。	-	-
V.A.1: 産品生命周期流程	供應商清楚地辨別了每個産品的生命周期。 供應商應制定生命周期終止政策，詳細說明産品在銷售終止後将支援多長時間。	提供在給定日期之前支援産品的信心。此外，供應商的支援日期适用于全球，這意味着供應商可能會在此期間繼續投資于産品維護。	供應商在安全聲明中描述其産品的生命周期。 對于産品線中的每個版本，供應商會在适用時立即在其網站上釋出終止銷售日期。生命周期終止政策應詳細說明在宣布銷售終止日期後，産品将獲得多長時間的支援以及以支援何種方式。此資訊的位置在安全聲明中引用。	檢視産品釋出曆史記錄。了解供應商如何使元件保持最新狀态。	-
V.A.2: 軟體維護	每個産品都在其釋出的生命周期中進行維護。此維護至少涵蓋産品的安全修複程式。	確定産品可以針對産品在其支援的生命周期内發現的安全問題進行修補。	供應商清楚地描述了他們将如何支援産品在其生命周期内，包括他們将在每個支援類下提供哪些支援。	檢視顯示應用于産品的安全修補程式曆史記錄的記錄，包括解決任何未解決漏洞的路線圖。	為客戶選擇的産品選擇已知漏洞的示例，并檢查如何以及何時根據供應商的政策修補這些漏洞。（見V.A.7）。 測試産品以驗證裝置不再容易受到漏洞或漏洞變體的影響。
.A.3: 軟體版本控制	每個産品都有一個版本控制的代碼存儲庫，用于記錄每個代碼修改。此稽核日志将詳細說明： -修改、添加或删除了哪些代碼 -為什麼進行更改 -誰做出了改變 -進行更改時 -已釋出的代碼已内置哪個版本的代碼産品。	為了提供信心，供應商可以準确跟蹤産品中部署的代碼。這對于有效調查供應鍊攻擊至關重要。	供應商描述了他們如何維護其代碼庫的完整性。	供應商示範如何基于正常流程進行更改，以及如何拒絕通過其他方式進行更改。 探索更改并驗證是否遵循了流程。
V.A.4: 軟體版本	每個産品都經過嚴格的軟體釋出周期，包括在釋出版本以正式釋出之前進行内部測試。如果軟體不符合下面詳述的安全工程要求，則不會釋出軟體。每個産品都應由獨立的第三方定期進行外部測試。	此要求的存在是為了提供供應商測試其軟體版本并驗證其内部安全工程流程是否已得到遵循的信心。 測試還應確定不會重新引入以前解決的安全漏洞。	供應商描述其軟體釋出周期，包括門和執行的測試。	檢視生成和測試過程。 檢視針對客戶選擇的産品線和版本執行的測試。檢查測試工具是否配置正确并檢視測試結果。驗證是否包含測試以檢查以前解決的漏洞和問題。 供應商證明由于任何失敗的測試而正确修複了問題。	通過在客戶或第三方的實驗室中重複測試來檢查一組供應商測試結果的準确性。
V.A.5: 開發流程和功能開發	該産品有一個主要釋出系列。 新版本的分叉被最小化。必要時，客戶特定的功能作為可選子產品提供。 在标準開發路線圖期間，任何新功能都會引入主産品線。	此要求的存在是為了讓他們确信供應商正在向他們提供産品的正式釋出版本，以便他們知道可以使用正常支援路由在産品的整個生命周期内獲得支援。 供應商極不可能正确支援特定于功能的産品版本的激增。	安全聲明描述了供應商的開發過程，包括如何以及何時釋出新産品版本，以及如何将版本數保持在可管理的水準。
V.A.6: 國際釋出和分叉	供應商為每個産品維護一個全局版本行。其他版本的數量最少（理想情況下沒有）。	此要求的存在是為了提供産品受到全球支援的信心，并且發現的任何問題都可以輕松緩解。 供應商極不可能正确支援客戶特定産品版本的激增。	供應商釋出其産品的所有已釋出版本的詳細資訊，包括二進制哈希。預計此資訊将在供應商的網站上提供。 供應商在其安全聲明中引用其公開的産品版本清單。	供應商描述産品的完整釋出系列，包括建立每個版本的原因。	根據供應商釋出的資訊或其他方式，測試供應商提供的産品版本是否為“全局”版本，并具有比對的二進制哈希。
V.A.7: 工具、軟體和庫的使用	對産品内部和産品開發中使用的第三方工具（例如代碼編譯器）、軟體元件和軟體庫進行清點。上述任何對供應商軟體的安全性至關重要的内容都将在其整個生命周期内進行維護。	不支援的工具、軟體元件、軟體或庫不太可能使用現代安全功能。如果暴露，它們可能會導緻已知漏洞嵌入到産品中。 必須修補産品關鍵安全保護中的漏洞，以最大程度地減少漏洞利用的影響。	安全聲明描述了如何維護第三方軟體元件，明确說明何時（如果有）在任何産品版本中包含不支援的元件，并說明理由。	對于客戶選擇的産品，供應商提供對産品安全至關重要的第三方元件清單（例如，通過接口公開的元件）。驗證這些元件是否仍處于主動維護狀态，并且産品生命周期内是否有支援計劃。	掃描産品界面以清點已知的第三方工具，并确定它們是否正在維護。 檢查産品以驗證供應商的元件清單是否準确。
V.A.8: 軟體文檔	供應商提供最新且技術上準确的文檔以及産品的新版本。本文檔至少應詳細說明如何安全地配置、管理和更新産品。	這為客戶提供了所需的資訊，以幫助他們在網絡中的整個生命周期内安全地部署和管理産品，并獨立評估該配置的安全性。 這有助于減少客戶在供應商上的持續依賴。	安全聲明承諾向客戶釋出産品文檔。	使用文檔，設定、操作、配置和更新産品，而無需供應商的支援。

>>>了解詳表見可索取網絡裝置安全性評估指南翻譯版<<<

英國供應商安全評估：網絡裝置安全性評估指南