本题考查ICT 供应链安全威胁识别参考相关内容。
《信息安全技术ICT 供应链安全风险管理指南》描述:ICT 是Information and Communication Technology 的缩写。ICT 供应链风险管理的主要目标如下:
• 完整性。确保在ICT 供应链的所有环节中,产品、系统、服务及其所包含的组件、部件、元器件、数据等不被植入、篡改、替换和伪造。
• 保密性。确保ICT 供应链上传递的信息不被泄露给未授权者。
• 可用性。确保需方对ICT 供应链的使用不会被不合理地拒绝。
• 可控性。可控性是指需方对ICT 产品、服务或供应链的控制能力。
ICT 供应链主要面临恶意篡改、假冒伪劣、供应中断、信息泄露或违规操作和其他威胁五类安全威胁。
ICT 供应链的各类安全威胁分析如下:
(1)恶意篡改。在ICT 供应链的设计、开发、采购、生产、仓储、物流、销售、维护、返回等某一环节,对ICT 产品或上游组件进行恶意修改、植入、替换等,以嵌入包含恶意逻辑的软件或硬件,危害产品和数据的保密性、完整性和可用性。典型的安全威胁方式有植入恶意程序、插入硬件木马、篡改外来组件、未经授权的配置、供应信息篡改。恶意篡改的案例也时有发生,根据网上公开报道,美国NSA 设计了一个带有缺陷的随机数生成算法并通过NIST 确立为国家标准。然后NSA 通过买通RSA 公司,将Dual_EC_DRBG 这一带有缺陷的随机数生成算法作为BSAFE 中的首选随机数生成算法。BSAFE 是RSA 公司开发的一个面向开发者的软件工具。
(2)假冒伪劣。ICT 产品或上游组件存在侵犯知识产权、质最低劣等问题。例如未经授权,对已受知识产权保护的产品进行复制和销售,或由未经供应商授权的渠道提供给供应商并被包装成合法正规产品。
(3)供应中断。由于人为的或自然的原因,造成ICT 产品或服务的供应量或质量下降,甚至ICT 供应链中断或终止。典型的安全威胁方式包括突发事件中断、基础设施中断、国际环境影响、不正当竞争行为、不被支持的组件等。供应中断的实际案例有许多,例如微软停止提供Windows XP 补丁和安全更新服务,迫使用户自行对自己的WindowsXP 操作系统进行升级。
(4)信息泄露或违规操作。信息泄露是指ICT 供应链上传递的敏感信息被非法收集、处理或泄露。典型的安全威胁方式包括共享信息泄露、违规收集或使用用户数据、滥用大数据分析、商业秘密泄露。此类威胁的实际案例如Facebook 数据安全事件。Facebook 将大量用户的信息拿出来与数据分析公司Cambridge Analytica 分享,涉及5000 万用户。
(5)其他威胁。典型的安全威胁方式包括合规差异性挑战、内部人员破坏、外包人员攻击或操作不当、全球化外包管理挑战。
