自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

从第三方引入开始思考供应链安全

文 | 杨文斌

杨文斌

某电商公司

安全管理

供应链概述

企业发展或者产品生产过程中从第三方引入的硬件、软件、人员都属于供应链范畴，整个过程中任何一个节点的任何一种因素出现安全问题都会引发供应链安全问题。从供应链安全全流程角度分析出发，同样分为事前、事中、事后，事前需要对第三方供应商及产品的引入从管理和技术角度加强管控，事中需要建立常态化的风险应对处置流程，确保及时发现安全问题，供应商快速提供解决方案，事后总结复盘，加强供应商风险管控。

硬件供应链

对供应链安全最早的认知是棱镜门事件，随着在网络设备等基础设施在企业内的大量普及，作为数据存储和信息处理的核心，将很容易被利用，一方面是自带后门导致，另一方面是由于设备在研发过程中安全问题处理不到位存在脆弱性。为了避免跨境供应链安全风险，应严格遵从国家安全战略和策略，在总体安全政策的指引下，建立供应链引入安全流程，明确海外设备使用条件。应加强国内自主可控技术研究，核心技术特别是关键基础设施使用方面应使用国内设备。

在每年国家网络安全演练活动中，都会不同程度爆出大量关于安全设备的零day漏洞，安全防护设备作为企业最重要的边界防护设施，是纵深防御体系建设中必不可少的组成部分，是对内部信息化网络安全建设的屏障。当一个企业安全防护的大门出现问题，相当于攻击者可以长驱直入，核心业务和重要数据等重要权限的获取将变得轻而易举。

当下绝大多数的中小型企业在网络安全建设中投入的资源较少，安全团队缺失，安全设备成了唯一也是被认为依赖性最高的防护手段，安全设备的购买就是整个企业供应链的一个环节，一方面在购买选着阶段需要了解供应商的市场成熟度和有效性，确保产品引入当下不会存在安全风险，另一方面企业应针对安全设备的引入建立规范化的约束流程，严格执行保密性和健全的售后服务保障措施，在设备存在安全问题时可以第一时间完成风险应对，最小化甚至杜绝漏洞引发的直接或间接损失。

人员供应链

随着企业业务的持续扩展，人员需求急速增长，多数企业特别是国企央企采用了人力外包的用工模式，也就是第三方人员引入，应建立完善的第三方用工服务体系。在管理方面采用安全保密协议及人员背景调查等方面对引入人员严格审核，入职后应加强安全意识培训和最小化权限管控，重点是企业内敏感信息和账号权限的安全管控，在技术方面应建立对第三方人员的行为监控和终端管控等措施，对办公终端开展常态化行为监控和网络管控，如果使用的是个人电脑，最重要的在第三方人员离场时需认真执行技术检测，确保公司相关资料的销毁和回收。

从供应商服务的角度，也会引入供应商驻场服务的第三方人员，此类人员通常是提供技术服务或运维服务的高端人员，他们会被授予较高的访问权限，特殊场景下甚至会被开放互联网后门操作权限，从安全的角度分析，这部分人员是供应链安全非常关键的人为因素，如果安全意识不到位，可以演变成内鬼，甚至更加严重的“间谍”，风险将是最高的。企业应针对此类服务群体建立明确的管理制度和管控流程，最小化规避风险。

软件供应链

随着互联网产业数字化高速发展，信息技术产品需要满足各种业务场景发展需求，软件的使用是不可或缺的一部分，特别是近几年软件供应链的安全事件频发，造成的经济损失也是非常惨重的。软件供应链安全问题已经提升为非常重要的安全领域，软件的引入无处不在，场景也多种多样。特别是开源生态和开源社区的建立，还有云服务模式的演进导致软件供应链越来越趋于复杂化和多样化，安全风险不断加剧，软件供应链网络攻击也随之增加，软件供应链安全已发展成为一个全球性的问题。

业务快速迭代的需要将开源软件的使用推向了新高峰，开源软件可以极大的提高研发效率，降低人力成本，开源软件大量被引用，也给业务系统引入了众多安全问题，需建立针对开源软件使用全生命周期引入安全监管机制，消除开源软件安全问题。一方面从业务系统研发全流程加强安全管控，特别时开源软件引入环节的安全性监测，将开源软件的风险消除在研发初期，另一方面应建立针对开源软件漏洞管理机制，从分析、预警、处置、监测全流程完成闭环管理，同时应建立完善的开源软件资产备案流程及风险知识库，有效关联组织资产，达到出现问题精准定位及时响应的效果。开源软件是作为业务系统研发的基础单元要素，除了从技术角度解决问题，也需要提高研发团队及安全团队的供应链安全意识，建立形成开源软件制度规范，提高对开源软件的使用习惯，减小不安全组件的使用。

除了业务系统开发过程中的引入，还有一部分是直接使用了第三方提供的软件产品，对第三方提供的软件产品应建立明确的引入机制和管控流程，软件是漏洞最容易寄生的环境，一方面是软件的研发质量不能直观的体现，另一方面一般从第三方购买的软件产品都是企业信息化建设中最重要的基础设施，一旦出现安全隐患，后果不堪设想。

最后

供应链安全涉及企业的方方面面，需要梳理企业内部所有涉及供应链的硬件、软件、人等所有相关因素，形成供应链资产清单，针对不同环节、不同类型的供应链资产分析对应的供应链风险点，建立对应的应急预案和安全防护措施，供应链安全问题无形中扩大了企业的风险暴漏面。供应链是网络边界模糊的非常主要的决定因素，供应链的任何一个环节出现问题，意味着核心业务和重要资产都有被攻击的可能。当下上了网络安全热搜榜的数据安全也会被供应链安全牵制，国家安全也会受制于供应链安全。全社会每个人都应关注供应链安全问题，一起致力于供应链安全治理工作。

诸子笔会 |11月征文合集《供应链安全》

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在