數位供應鏈安全

數位供應鏈安全（Digital supply chain security）也稱為供應鏈資安（supply chain cyber security），是指強化供應鏈裡網路安全的措施，是供應鏈安全的一部份，著重在資訊系統、軟體及網路相關網路安全需求的管理。目前數位供應鏈安全的威脅包括網路恐怖主義、惡意軟體、資料竊取（英语：data theft）及高级长期威胁。典型降低風險的供應鏈資安行動包括只從可靠的軟體供應商購買軟體^[1]、關鍵的機器不要連接到外部網路，教育使用者有關網路威脅的知識，以及他們可以進行的保護措施。

2011年時，美國國土安全部國家防護與計畫司的代理副司長Greg Schaffer曾在聽證會中表示：他知道一些惡意軟體植入電子設備及電腦中，然後販售到美國的案例 ^[2]。

供應鏈資安威脅的例子

• 收到的網路設備或是電腦中已安裝了惡意軟體。
• 透過不同方式，在軟體或是硬體中加入了惡意軟體。
• 供應鏈中應用程式或網路的弱點被駭客所利用。
• 偽造的電腦硬件。

美國的對策

• 2008年訂定的Comprehensive National Cyber Initiative^[3]。
• 國防採購管制（Defense Procurement Regulations）：列在国防授权法案的section 806裡。
• 網絡空間國際戰略（International Strategy for Cyberspace）^[4]：是美國在2011年提出的戰略，也是美國第一次提出有關安全及開放的網路空間的願景，其中包括三個主題：國際合作、發展和防禦。

• 國際合作（Diplomacy）：此戰略會透過各國之間的共識，建立各國可以接受的國家行為規範，以「促進開放、互通、安全及可靠的資通訊基礎建設」。
• 發展（Development）: 透過此戰略，美國希望「通過雙邊組織或是多邊組織，建立世界各國的資安能力。」。目的是保護全世界的IT基礎建設，讓全世界的合作更加緊密，以維持開放和安全的網路。
• 防禦（Defense）：此戰略表示美國政府「會確保攻擊或是利用美國網路（對入侵者）所造成的風險，會遠大於其潛在的利益。」呼籲世界各國針對入侵及破壞網路系統的罪犯或是非國家行為體採取法律行動。

世界各國的對策

• 資訊技術安全評估共同準則（Common Criteria，CC）中的EAL 4中，有選項可以評估數位供應鏈安全中的各個層面，包括產品、開發環境、資訊系統安全性、人力資源的流程、實體安全，ALC_FLR.3（系統化瑕疵修補）模組中的內容，也包括安全更新的流程及方法，甚至還包括實際站點的訪查。若是有簽署SOGIS-MRA的國家，其EAL 4可以被雙方所承認。
• 俄羅斯：俄羅斯一直都有未公開的功能認證要求，也已開始了以開源軟體為基礎的國家軟體平台（National Software Platform），這反映了國家希望滅少對外國供應商的依賴。
• 印度：印度也在其國家網路安全戰略草案中提到供應鏈的風險。印度沒有考慮排除特定的軟體產品，而是用本土創新政策，優先考慮印度的資通訊供應商，在此領域建立強健且有國際競爭力的產業。
• 中華人民共和國：在「第十一個五年計劃」（2006年–2010年）中有相關的目標，中國提出的本土創新政策是以安全為基礎的積極創新政策，已要求建立針對政府採購使用的本土創新產品目錄，並且訂定多層保護架構(Multi-level Protection Scheme，MLPS），要求產品開發商及製造商需為中國公民或是法人，產品的核人技術及關鍵元件需有獨立的本土智慧財產權^[5]。

企業領域的對策

• 軟體產出物供應鏈層級^[6]（Supply-chain Levels for Software Artifacts，簡稱SLSA）是在軟體供應鏈中確保產出物完整性的端對端框架，此一需求是源於Google內部的Binary Authorization for Borg^[7]，已使用八年以上，所有Google的產出物都要經過此一授權。SLSA的目的是要提昇軟體產業（特別是開源軟體）對抗完整性威脅的能力。消費者可以根據SLSA知道其使用軟體的資安態勢（security posture），並作為採購時的依據^[8]。

相關條目

• 供應鏈
  • 軟體供應鏈
• 供應鏈風險管理（英语：Supply chain risk management）
• 供應鏈安全
• ISO 28000（英语：ISO 28000）
• 國家標準技術研究所
• 可信運算（英语：Trustworthy computing）
• 供應鏈攻擊

參考資料

1. Mayounga, Andre. Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest. May 2017 [2023-01-06]. （原始内容存档于2023-01-06） （英语）. 
2. Homeland Security: Devices, Components Coming In With Malware. InformationWeek. 2011-07-11 [2011-09-16]. （原始内容存档于2012-05-04）. 
3. Comprehensive National Cyber Initiative
4. International Strategy for Cyberspace (PDF). [2023-01-06]. （原始内容存档 (PDF)于2023-01-06）. 
5. Bridewell Consulting. [2023-01-07]. （原始内容存档于2022-12-08）.  Thursday, 22 April 2021
6. SLSA (Supply-chain Levels for Software Artifacts). [2023-01-07]. （原始内容存档于2023-04-12）. 
7. Binary Authorization for Borg. [2023-01-07]. （原始内容存档于2022-02-02）. 
8. Introducing SLSA, an End-to-End Framework for Supply Chain Integrity. Google Online Security Blog. [2021-06-17]. （原始内容存档于2023-03-15） （英语）. 

外部連結

• Financial Sector Information Sharing and Analysis Center （页面存档备份，存于互联网档案馆）
• International Strategy for Cyberspace （页面存档备份，存于互联网档案馆） (from the White House)
• NSTIC （页面存档备份，存于互联网档案馆）
• SafeCode Whitepaper （页面存档备份，存于互联网档案馆）
• Trusted Technology Forum and the Open Trusted Technology Provider Standard (O-TTPS) （页面存档备份，存于互联网档案馆）
• Cyber Supply Chain Security Solution （页面存档备份，存于互联网档案馆）
• Malware Implants in Firmware （页面存档备份，存于互联网档案馆）
• Supply Chain in the Software Era （页面存档备份，存于互联网档案馆）
• INFORMATION AND COMMUNICATIONS TECHNOLOGY SUPPLY CHAIN RISK MANAGEMENT TASK FORCE: INTERIM REPORT （页面存档备份，存于互联网档案馆）