GB_T 43698-2024 网络安全技术 软件供应链安全要求.docx
《GB_T 43698-2024 网络安全技术 软件供应链安全要求.docx》由会员分享,可在线阅读,更多相关《GB_T 43698-2024 网络安全技术 软件供应链安全要求.docx(22页珍藏版)》请在课桌文档上搜索。
1、ICS35.030CCS1.80OB中华人民共和国国家标准GB/T436982024网络安全技术软件供应链安全要求Cybersecuritytechnology-Securityrequirementsforsoftwaresupplychain2024-04-25发布2024-11-01实施国家市场监督管理总局国家标准化管理委员会发布目次前言II范围12规范性引用文件13术语和定义14软件供应链安全目标25软件供应链安全保护框架26软件供应链安全风险管理要求31.1 基本流程31.2 软件供应链安全图谱31.3 软件供应链安全风险评估41.4 软件供应链安全风险处置47 需方安全要求47.1
2、 组织管理47.2 供应活动管理58 供方安全要求78.1 组织管理78.2 供应活动管理8附录A(资料性)软件供应链安全概述11附录B(资料性)关键软件资产15附录C(资料性)组织业务场景分类16附录D(资料性)软件供应链安全图谱17参考文献19本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAaTC260)提出并归口。本文件起草单位:中国信息安全测评中心、中国电子技术标准化研究院、华为技术有限公司、国家计算机网络应急技术处理协调中心
3、、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、诺基亚通信系统技术(北京)公司、奇安信网神信息技术(北京)股份有限公司、深信服科技股份有限公司、国网新疆电力有限公司电力科学研究院、麒麟软件有限公司、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心黑龙江分中心、深圳开源互联网安全技术有限公司、昆仑数智科技有限责任公司、联想(北京)有限公司、浪潮电子信息产业股份有限公司、中国网络安全审查技术与认证中心、杭州默安科技有限公司、北京天融信网络安全技术有限公司、三六零数字安全科技集团有限公司、长扬科技(北京)有限公司、上海观安信息技术股份有限公司、北京奇虎科技有限公司、北京快手科
4、技有限公司、云从科技集团股份有限公司、国网区块链科技(北京)有限公司、国家计算机网络应急技术处理协调中心北京分中心、上海三零卫士信息安全有限公司、北京大学、启明星辰信息技术集团股份有限公司、瀚高基础软件股份有限公司、北京威努特技术有限公司、蚂蚁科技集团股份有限公司、中国信息通信研究院、中电长城网际安全技术研究院(北京)有限公司、北京安普诺信息技术有限公司、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、北京中科微澜科技有限公司、OPPO广东移动通信有限公司、公安部第一研究所、中国科学院软件研究所、阿里云计算有限公司、湖南泛联新安信息科技有限公司、北京中测安华科技有限公司、中国科学院信息
5、工程研究所、苏州棱镜七彩信息科技有限公司、新华三技术有限公司、工业和信息化部电子第五研究所、北京源堡科技有限公司、北京人大金仓信息技术股份有限公司、上海大学、西安邮电大学、沈阳东软系统集成工程有限公司、中国电子科技集团公司第十五研究所、远江盛邦(北京)网络安全科技股份有限公司、上海文鳏信息科技有限公司。本文件主要起草人:李守鹏、王欣、王晓萌、王惠莅、薛勇波、吴润浦、林星辰、曾晋、上官晓丽、王嘉捷、万振华、陈冬青、沈蕾、辛伟、唐福宇、董国伟、常远、崔静、叶润国、高金萍、杨慧婷、吴倩、翟艳芬、董军平、王颉、张屹、滕征岑、邱林海、邓辉、郑明、李汝鑫、谢江、张大江、刘磊、梁利、陈靓、廖毅、柴思、跃、宋
6、桂香、申永波、孟瑾、白晓媛、孔耀晖、沈锡铺、杨剑、孙世国、李娜、王聪、赵华、韩煜、落红卫、武延军、张亚京、李军、张立、王栋、温婷婷、陈亮、查海平、高庆、姚叶鹏、赵军凯、冯明冉、王春霞、刘健、李汪蔚、林飞、宁戈、张涛、袁明坤、杨廷锋、王琦、王玮琪、杨牧天、李跃、李腾、万娟、吴敬征、王振远、刘井强、肖扬、梁大功、万晓兰、蔡一兵、梁露露、赵晓晖、彭晨、杨毅、张勇、冯全宝、程岩、聂万泉、付艳艳、霍珊珊、刘胖、王晶、权晓文、周浩威。网络安全技术软件供应链安全要求1范围本文件确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求。本文件适用于指导软件供应链中的
7、供需双方开展风险管理、组织管理和供应活动管理,为第三方机构开展软件供应链安全检测和评估提供依据,供主管监管部门参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T250692022信息安全技术术语GB/T366372018信息安全技术ICT供应链安全风险管理指南3术语和定义GB/T250692022和GB/T366372018界定的以及下列术语和定义适用于本文件。3.1软件产品softwareproduct计算机软件、信息系统或设
8、备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。注1:软件产品包含计魅理序代码、规程、相关臧、文档和相关服务。注2:本文件中软件产品简称为软件。来源:GB/T364752018,3.1.1,有修改3.2软件产品信息softwareproductinformation软件产品版本、标识、来源、授权以及关联软件等信息的总称。3.3需方acquirer从其他组织获取软件产品的组织。注:本文件中需方指软件产品的购买者和使者。来源:GB/T366372018,3.1,有修改3.4供方supplier开展软件产品开发、交付、运维、废止等生命周期活动的组织。注1:本文件中供方
9、指需方的第级值拼供应商;此外还包括软件产品的开发商、各级销售和f诞商、系雌成商,也包括软件或应用商店、代码托管平台、第三方下载站点以及基于开源代码提供软件产品的组织等。注2:开放源代码社区本身不是供方。注3:供方与需方共同决定软件产品的生命周期结束时间。3.5供应关系supplierrelation需方(3.3)和供方(3.4)之间为开展业务、提供软件产品而建立的协议、合同等契约关系。注:在供应链中,上游的需方同时也是下游的供方。来源:GB/T366372018,3.3,有修改3.6供应活动supplyactivity需方3)和供方(3.4)为维持日常生产基于供应关系5)进行的软件采购、开发、
10、获取、交付、运维、废止等活动的总称。3.7软件供应链softwaresplychain需方和供方基于供应关系(3.5),开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。来源:GB/T366372018,3.4,有修改3.8软件翎清单softwarebillofmaterials软件产品中所包含的所有组件、相关许可协议的清单,以及所有组件之间依赖关系的描述。3.9软件供应链安全图谱softwaresplychainsecuritygraph软件产品信息(3.2)、软件物料清单(3.8)、安全信息等内容及其关联关系的描述和表示。注:一般以文本形式存储,支持通过知识图谱方
11、式展示。3.10开放源代码社区opensourcecommunity用于开源代码和数据开发、维护的一种工程组织和运作方式。注:开放源代码社区也称开源社区或开源代码社区。3.11外部组件externalcomponent由供方以外的组织或人员开发的程序代码、文档或数据,通常是由二进制程序文件或者源代码程序文件构成。注:外部组件包括软件中使用的开源组件和第三方组件。4软件供应链安全目标软件供应链安全目标是建立软件供应链安全风险管理能力体系并持续改进,增强软件供应链安全风险管理、组织管理和供应活动管理能力,防范软件供应链中的供应关系风险(例如:软件供应中断、软件功能受限、软件服务降级等),防范供应活
12、动引入的技术安全风险和知识产权风险(例如:软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行。5软件供应偌安全保护框架基于软件供应链模型、软件供应链实体角色分析和软件供应链安全构成(见附录A),确立了软件供应链安全保护框架。该框架规定了供需双方(即“组织”)的软件供应链安全风险管理要求,并从组织管理和供应活动两个方面规定了需方安全要求和供方安全要求,如图1所示。图1软件供应链安全保护框架6软件供应错安全风险管理要求6.1 基本流程基本流程对组织要求如下。a)应确定软件供应链风险管理的目标及策略,按照第7章、第8章安全要求建设软件供应链组织管理和供应活动管理能力。b)应识别
13、软件资产,梳理一般软件资产和关键软件资产(见附录B),按照6.2的要求构建软件供应链安全图谱。C)应确定软件供应链风险管理的对象、范围和边界,包括但不限于软件、环境及工具、外部组件等。d)应依据软件供应链安全图谱等建立组织管理、供应活动管理等方面的供应链安全信息采集和跟踪机制。e)应定期或基于安全需求开展软件供应链安全检测和风险评估,依据上述结论采取相应的供应链风险防范、风险缓解或风险消除措施。f)应定期或根据实际业务需要开展软件供应链安全要求执行情况的监督检查,研判a)e)的有效性,并根据研判结果进行调整。6.2 软件供应链安全图谱软件供应链安全图谱对组织要求如下。a)应根据不同类别的业务场
14、景(见附录C)确定软件供应链安全图谱的等级,并清晰准确地构建软件供应链安全图谱(见附录D):1) 一般业务场景中构建的软件供应链安全图谱,应至少包含软件产品信息;2)重要业务场景中构建的软件供应链安全图谱,应包含1)中信息以及软件来源信息、软件组件成分信息、组件漏洞信息、合规信息等;3)核心业务场景中构建的软件供应链安全图谱,应至少包含2)中信息,宜包含软件部署和运行所依赖的其他软件产品信息。b)应定期(至少每年一次)或软件发生重要更新时,及时更新维护软件供应链安全图谱。c)应将软件供应链安全图谱作为重要资产管理,采取相应安全保护措施,防止软件供应链安全图谱泄露。6.3 软件供应捱安全风险评估
15、软件供应链安全风险评估对组织要求如下。a)应按照GB/T366372018中6.3风险评估流程,定期开展软件供应链安全风险评估,识别现有或预计产生的组织管理和供应活动管理相关的安全风险,重点关注以下安全风险:D发行版本或升级补丁停止交付或部署;2)供方提供的服务部分或完全中断;3)激活等软件授权措施受影响导致软件功能降级或服务能力受限;4)供应活动在软件中引入的安全风险破坏发行版本或升级补丁的完整性、安全性和合规性。b)应对a)的影响进行研判,至少对如下问题做出明确结论:1)是否会影响到现有系统的正常安全运行,以及影响范围的大小;2)是否会影响到现有系统的日常维护工作,如:故障排查、故障部件更
16、换、安全事件处置等;3)是否会影响到系统的重新部署、备份、迁移、升级、扩容等工作。6.4 软件供应链安全风险处需方应满足第7章安全要求,供方应满足第8章要求,以防范6.3a)中的安全风险或缓解6.3b)中的影响。7需方安全要求7.1 mra7.1.1 机构管理机构管理对需方要求如下。a)应明确软件供应链安全管理组织机构或人员及其职责范围,提供保隙软件供应链安全所需的资源(如有关资金、场地、人力等),并在预算管理过程中予以重点考虑。b)应组织构建并管理软件供应链安全图谱,定期(至少每年一次)开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作,包括但不限于软件成分分析、源代码和二进制代码
17、安全漏洞分析和6.3等。O应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。d)对于重要或核心业务场景,宜设立专职软件供应链管理机构开展软件供应链安全管理工作。7.1.2 制度地制度管理对需方要求如下。a)应确定软件供应链安全的总体方针、安全制度和策略(可作为单独的文件,也可作为相关文件中的一部分),至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。b)应制定软件供应链安全风险持续监测、风险评估和事件响应制度,明确不同等级安全事件的报告、处置、响应的流程和机制,规定安全事件的现场处理、事件报告和后期恢复等要求。c)应制定软件采购、获取、运维、废止等供应活动安
18、全管理制度,例如安全开发、交付部署和验收、故障处理和维护升级等管理制度、规程或机制。d)应将软件供应链安全相关内容应纳入人员管理制度,例如人员权限、能力、资质、背景、技能培训等;对于重要岗位人员(如采购人员、安全测试人员、配置管理人员、漏洞管理人员等)应明确并开展背景审查工作的要求。e)应制定供应商管理制度,包括但不限于供应商资质审核、供应商分类分级、供应商不良行为处理等。D应制定知识产权管理制度,包括但不限于软件授权证书、专利、软件著作权、许可协议等内容。7.1.3 人员IfiS人员管理对需方要求如下。a)应明确人员需具备的软件供应链实体要素的识别和安全分析能力,如软件资产识别分析、软件漏洞
19、挖掘、后门检测、访问控制管理、完整性保护等。b)应划分人员的职责定位、权限级别,采用最小授权机制并建立操作规范,创建操作日志。O应定期(至少每年一次)开展软件供应链安全和保密培训,培训内容包括但不限于a)和b)中涉及的内容。d)应建立并执行离职离岗人员账号、权限、材料的交接和清理机制和规程。e)对于核心业务场景,宜配置软件供应链安全保障团队,并根据需要开展相关人员的背景调查。f)对于核心业务场景,宜具备防范各类软件供应链安全风险能力,例如软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析等。7.1.4供应商管理对需方要求如下。a)应分类分级建立合格的供应目录,对供应目录及相关信息进行集中管
20、理,并定期或按照实际需求进行更新维护。b)应优先选择供应目录中满足条件的供应商。c)根据软件供应链中供应关系、供应活动的不同,供应商应符合&2的安全要求。d)应制定供应商选择策略和制度,对供应商进行风险分析,包括但不限于背景、资质、能力以及能否持续安全提供产品或服务等方面的风险。e)应要求供方开展软件供应链安全检测和风险评估工作,明确相关内容和范围;确需第三方机构的,应明确对第三方机构的能力、资质等要求。f)应要求供方配合相关部门开展软件供应链安全审查、监督和检查。g)应在供应关系、供应商股权等信息发生变更时,对变更带来的安全风险进行评估,并采取相应的风险控制措施。h)应建立供应商替代方案或具
21、备相应软件的自主维护能力,防范软件供应链中断风险。7.1.5 知识产权管理知识产权管理对需方要求如下。a)应防止因知识产权问题导致的法律风险,或具备防范相应法律风险的能力和机制。b)应充分熟悉所使用或在研软件产品和服务的知识产权,对知识产权进行规范管理,防止侵权。c)在核心业务场景中,宜对所使用的软件产品或服务相关的国内外知识产权情况进行详细识别分析,建立相关知识产权风险的应对方案。7.2 供应活动Ira7.21 基本流程a)应在开展供应活动前,以协议、合同等方式与供方建立供应关系。b)应在协议、合同等文件中明确对供应活动的安全要求,并签署相应的保密协议。c)应按照约定的内容和范围开展软件供应
22、活动管理。7.22软件采购对需方要求如下。a)应邀请软件供应链安全、网络空间安全等领域专家(或具备相应网络空间安全能力的评标人员)参与招标采购过程。b)应结合软件应用的实际业务场景,明确对软件供应链安全图谱的要求;需要供方提供软件供应链安全图谱的应明确图谱的内容,如安全图谱的等级、可追溯层级等。c)应根据国家和行业已发布标准以及自身业务要求制定软件的安全需求基线和防护架构,如软件应具备的安全防护能力、保护个人信息和重要数据等不被泄露的能力。d)应确定所采购软件的授权使用期限及相应的技术协助要求,在授权方式可选的条件下,明确软件的激活、授权需求,优先选择离线永久激活模式,其次是完全在国内线上永久
23、激活,再次是完全在国内实现的周期性线上激活、国外线上激活(永久或周期性)。e)应制定从多个源厂商获得兼容的产品和服务的方案,确保软件来源的多样性。对于单一来源的软件,应制定风险消减措施。D对于定制研发软件,应要求供方具备安全开发相关资质或建立安全开发规范,建立和维护安全的开发环境、建立工具和设备的安全管理和准入控制等。g)应要求供方提供验证产品是否来自原厂商且获得许可的途径或方法。h)应明确对运维技术团队及相应技术能力的要求,包括但不限于风险监测识别、漏洞修复、完整性保护、安全测试等。D应要求软件开发、交付、部署、测试等工具和设备具备可操作的替代方案。j)应考虑政治、外交、贸易、自然灾害、公共
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB_T 43698-2024 网络安全技术 软件供应链安全要求 43698 2024 网络安全 技术 软件 供应 安全 要求
链接地址:https://www.desk33.com/p-1411524.html