上次我们在《网络安全之供应链安全（一）》谈到了了解风险，今天我们探讨第二部分“建立控制”。

　　二、建立控制

　　本文的原则将帮助组织获得并保持对供应链的控制。一旦组织能够更好地控制自己供应链，将能够分析它的战略风险。例如：

　　确定任何持续未能满足安全和性能期望的供应商。

　　确定关键资产和任何对单一供应商的过度依赖，将帮助组织在规划中建立选择多样性和冗余。

　　4. 向供应商传达组织对安全需求的看法

　　确保组织的供应商了解他们为组织合同信息和合同产品和服务提供适当保护的责任以及未能这样做的影响。

　　确保供应商遵守他们的安全责任，并在他们允许的任何子合同中包含任何相关的安全要求。应该决定是否允许供应商适当地分包和授权。

　　为供应商提供关于此类决定所用标准的明确指导（例如，他们可以让组织几乎/无追索权的类型合同，以及必须始终寻求事先批准和签字的合同类型）。

　　5. 为供应商设定和传达最低安全要求

　　应该为供应商设定合理、相称和可实现的最低安全要求。确保这些要求反映组织对安全风险的评估，但也要考虑到供应商安全安排的成熟度及其交付设定的要求的能力。

　　确定期望供应商满足最低安全要求不成比例的情况也可能是明智的。例如，这可能仅与那些只需要临时或偶尔访问有限和特定数据和/或访问场所的供应商相关。

　　应该记录这些注意事项，并就打算采取哪些步骤来管理这些活动提供指导。这种方法可以帮助减少组织的工作量并避免为这些方创建额外的、不必要的工作。

　　个案分享

　　考虑根据与合同相关的风险为不同类型的合同设置不同的保护要求 ， 避免在可能不相称或不合理的情况下强迫所有供应商提供相同的安全要求集的情况。向供应商解释这些要求的基本原理，以便他们了解对其要求。

　　在与供应商签订的合同中包括组织的最低安全要求，要求供应商将这些要求传递给他们可能拥有的任何分包商。

　　四个案例研究——设定最低标准

　　根据对供应链环境中安全风险的看法和理解，可以设置什么是最低安全要求？

　　最低安全要求会因情况而异。为了帮助阐明组织将如何设置最低要求，我们提供了四个案例研究来说明可以采取的不同方法。

　　这些要求不一定是累积的，但是可以为解决一个用例而实施的措施重新适用于其他用例。案例研究介绍不同的保证方法，可用于增强对一系列不同风险管理的信心。

　　保护与供应商共享的信息

　　必须保护组织与供应商共享的信息免遭任何未经授权的访问、修改或删除，可能会导致组织及其业务中断。

　　例子

　　一家 IT 承包商出售了从一家航空公司窃取的计算机，其中包含用于偿还债务的商业和军事飞行计划的详细信息。

　　供应商的遗留应用程序尚未完全修补，但托管了来自客户的一些敏感信息。

　　应该：

　　考虑要求供应商使用 Cyber Essentials 作为保护的基准级别。可以显著减少最常见的基于互联网的威胁（黑客和网络钓鱼）的漏洞。政府的所有供应商都必须证明他们将如何实现其技术控制。在这种程度的承诺不现实的情况下，小型企业网络安全指南可能会为供应商提供一种更可行的方法来开始提高其弹性。

　　在需要更大的保证并且组织希望供应商能够自信地识别其系统上存在任何潜在攻击者的情况下，要求供应商了解他们的系统、实施安全监控并开发事件响应能力。

　　为了防范更广泛的攻击，要求供应商按照网络安全 10 步骤、ISO27001（或类似标准）实施整体安全方法 。

　　在适当的情况下，需要人员、物理和程序控制以防止欺诈、盗窃和内部威胁。 应按照内阁办公室基准保护安全标准 （BPSS） 概述的原则对所有从事合同工作的员工进行筛选，并根据角色需要添加额外的检查（例如财务检查）。

　　要求实施 ICO 指南以保护和离岸个人信息，其中个人信息作为合同的一部分进行存储、处理或处理。

　　当供应商使用基于云的服务时，应该明白不可能将保护信息的全部责任或义务转移给该服务的提供者。在任何情况下都是如此。保护信息、系统和服务的安全要求应反映在与供应商签订的合同和服务协议中，并应告知他们对如何部署和交付云服务做出的选择。对于 HMG，  G-Cloud 数字市场提供了一系列可满足组织需求的服务产品。至少，建议供应商遵循相应的云安全原则来确定其安全需求。

　　如果信息保存在通用数据环境中，无论这是否基于云，建议使用 CPNI 网站https://www.cpni.gov.uk/上提供的“通用数据环境指南”进行审查 数字建造资产和环境。（注：本文节选自英国国家网络安全中心官网，故出现英国对应网站）

　　向供应商指定安全要求

　　必须确保已向供应商有效指定保护产品或服务所需的安全属性或要求。

　　例子

　　供应商正在为组织构建一项数字服务，用于处理非常敏感的信息。组织对自身的安全需求描述得很差，因此供应商提供的东西没有提供组织需要的安全性。

　　需要绝对清楚自身的安全和功能需求，必须清楚明确地向供应商描述。如果供应商正在交付 IT 系统 ，必须满足已指定的安全要求。例如，Cyber Essentials（英国的网络安全要略） 或组织设置的任何其他需求。

　　此外，应该考虑：

　　请注意 Cyber Essentials 等计划覆盖范围内的任何已知差距。

　　需要额外的控制来为要交付的产品或服务提供保证。例如，如果合同涉及新软件工具的开发或组件的制造，将需要指定供应商在这些领域遵循最佳实践。

　　在供应链使用协作数字工程系统交付项目或资产/设施管理的情况下，此类缓解方法将无效，可在…处获得进一步指导。

　　在交付云服务时，应该遵循上面用例中详述的指南。

　　将供应商的系统连接到组织系统

　　必须确保与第三方的任何网络连接或数据共享不会引入可能影响组织业务系统安全的非托管漏洞。

　　这是所有包括与供应商系统连接的合同的关键考虑因素。将需要决定供应商要如何以组织的名义执行工作。他们会在组织的场所工作还是在他们的场所工作？他们需要多少访问和连接来执行此操作？

　　例子

　　网络犯罪分子利用未受保护的供应商连接攻击了一家大型商业公司，这些连接用于管理客户的环境控制系统，导致数据严重丢失、业务中断以及公司声誉严重受损。

　　当供应商的系统连接到组织系统时，应该：

　　确保对系统、服务、信息和场所的访问受到限制、控制和监控。应定期审查这些访问权限，并在不再需要时将其删除。

　　如果打算让供应商在组织的系统和场所执行合同工作，请确保将它们与网络的其余部分适当隔离。 网络安全的 10 个步骤，网络安全向展示如何做到这一点。

　　对合同相关信息、合同产品或服务的访问应在“最低权限”的基础上进行限制。

　　有一种安全的方式与供应商交换硬拷贝和软拷贝信息。无论是硬拷贝还是软拷贝，都需要遵循一定的安全指南。

　　当组织将运营技术用作系统的一部分或提供服务时，与其他技术一样，应该被视为“不受信任”，并进行相应的管理。

　　国家安全 - 国家行为者可能针对组织

　　必须确信自己供应链安全可以应对国家行为者的攻击和企图颠覆，仅限于组织的威胁模型保证的情况。

　　例子

　　一名与国防公司签约的保安人员偷窃并试图将详细描述用于保护英国和北约船只的电子战系统的文件出售给外国情报机构。 这点，我们国家每年都会曝光出多个间谍事件，其实在此我们可以理解它山之石可以攻玉，借鉴过来思考我们周围的网络安全即可。

　　在此类国家安全案件中，英国需要向 NCSC 和 CPNI 寻求专业建议，而我们则需要寻求网信办和公安、国安部门的专业建议。

　　事项可能包括：

　　采用定制的安全方法。

　　使用高保证产品，并改进人员和物理安全安排。

　　制造或构建过程中可能出现的漏洞。

　　保护签约合作伙伴及其采购活动的隐私和身份的其他措施。

　　6. 将安全考虑纳入合同流程，同时要求供应商遵循这一原则

　　将安全考虑纳入正常签约流程，帮助组织管理整个合同的安全性，包括终止和将服务转移给另一个供应商。

　　证据

　　要求潜在供应商提供证据，证明他们的安全方法以及他们满足在合同竞争的不同阶段设定的最低安全要求的能力 。

　　提供支持

　　制定适当的支持指南、工具和流程，以便和供应商在各个层面有效管理供应链。

　　应该：

　　确保在合同中加入的安全考虑是相称的，并与合同过程的各个阶段保持一致。

　　要求在合同中采用它们，并对所有各方进行使用培训。

　　检查支持指南、工具和流程是否在整个供应链中得到使用。

　　要求以适当的时间间隔续签合同，同时要求重新评估相关风险。

　　确保供应商理解并支持组织的提出的安全方法，并且只要求他们采取行动或提供支持供应链安全风险管理所需的信息。

　　确保合同明确规定了供应商在终止或转让合同时返还和删除组织的信息和资产的具体要求。

　　7. 履行作为供应商和消费者的安全责任

　　确保执行并满足对作为供应商的任何要求。提供向上报告并将安全要求传递给分包商。

　　欢迎客户可能进行的任何审计干预，告诉他们组织遇到的任何问题，并主动与他们合作以进行改进。

　　如果未提供涵盖客户安全需求的指导，请向客户提出挑战，并确保他们对组织所采取的措施感到满意。

　　8. 提高供应链内的安全意识

　　使用他们可以理解的语言向供应商解释安全风险。鼓励他们确保关键员工（例如采购、安全、营销）接受培训并了解这些风险，以及他们帮助管理这些风险的责任。

　　设立目标

　　为适当的员工建立供应链安全意识和教育。 NCSC 和 CPNI 意识材料可能有用。

　　信息共享

　　促进和采用跨供应链的安全信息共享，以便更好地了解和预测新出现的安全攻击。在网络安全信息共享合作伙伴 （CISP）是一个免费的网络安全信息共享服务的一个很好的例子。

　　9. 为安全事件提供支持

　　虽然我们期望供应商按照合同要求管理安全风险是合理的，但还是应该准备在必要时提供支持和帮助，以防安全事件有可能影响组织业务或更广泛的供应链。

　　明确要求

　　应该在合同中明确规定管理和报告安全事件的要求。这些应该澄清供应商就此类事件向组织提供建议的责任（报告时间表、向谁报告等） 。供应商还应该清楚如果发生事件，他们可以从组织那里得到什么支持， 所需的“清理”行动、发生的损失等。

　　在欧洲，GDPR 包括将任何事件告知信息专员的相当短的时间表，因此组织和供应链需要为此做好准备。 在我国有关事件上报，在法律法规中也有明确，在此方面需要认证执行。

　　经验教训

　　如果从安全事件中吸取了教训，请将这些教训传达给所有供应商，以帮助他们成为“已知且可管理”攻击的受害者。