數位供應鏈安全 (Digital supply chain security)也稱為供應鏈資安 (supply chain cyber security),是指強化供應鏈 裡網路安全 的措施,是供應鏈安全 的一部份,著重在資訊系統 、軟體 及網路 相關網路安全需求的管理。目前數位供應鏈安全的威脅包括網路恐怖主義 、惡意軟體 、資料竊取 高级长期威胁 。典型降低風險的供應鏈資安行動包括只從可靠的軟體供應商購買軟體[1]
2011年時,美國國土安全部 國家防護與計畫司的代理副司長Greg Schaffer曾在聽證會中表示:他知道一些惡意軟體植入電子設備及電腦中,然後販售到美國的案例 [2]
供應鏈資安威脅的例子 收到的網路設備或是電腦中已安裝了惡意軟體。 透過不同方式,在軟體或是硬體中加入了惡意軟體。 供應鏈中應用程式或網路的弱點被駭客 所利用。 偽造的電腦硬件。
美國的對策 2008年訂定的Comprehensive National Cyber Initiative[3] 國防採購管制(Defense Procurement Regulations):列在国防授权法案 的section 806裡。 網絡空間國際戰略(International Strategy for Cyberspace)[4] 國際合作(Diplomacy):此戰略會透過各國之間的共識,建立各國可以接受的國家行為規範,以「促進開放、互通、安全及可靠的資通訊基礎建設」。 發展(Development): 透過此戰略,美國希望「通過雙邊組織或是多邊組織,建立世界各國的資安能力。」。目的是保護全世界的IT基礎建設,讓全世界的合作更加緊密,以維持開放和安全的網路。 防禦(Defense):此戰略表示美國政府「會確保攻擊或是利用美國網路(對入侵者)所造成的風險,會遠大於其潛在的利益。」呼籲世界各國針對入侵及破壞網路系統的罪犯或是非國家行為體採取法律行動。
世界各國的對策 資訊技術安全評估共同準則 (Common Criteria,CC)中的EAL 俄羅斯:俄羅斯一直都有未公開的功能認證要求,也已開始了以開源軟體為基礎的國家軟體平台(National Software Platform),這反映了國家希望滅少對外國供應商的依賴。 印度:印度也在其國家網路安全戰略草案中提到供應鏈的風險。印度沒有考慮排除特定的軟體產品,而是用本土創新政策,優先考慮印度的資通訊供應商,在此領域建立強健且有國際競爭力的產業。 中華人民共和國:在「第十一個五年計劃」(2006年–2010年)中有相關的目標,中國提出的本土創新政策是以安全為基礎的積極創新政策,已要求建立針對政府採購使用的本土創新產品目錄,並且訂定多層保護架構(Multi-level Protection Scheme,MLPS),要求產品開發商及製造商需為中國公民或是法人,產品的核人技術及關鍵元件需有獨立的本土智慧財產權[5]
企業領域的對策 軟體產出物供應鏈層級[6] [7] [8]
相關條目
參考資料 ^ Mayounga, Andre. Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest. May 2017 (英语) . ^ Homeland Security: Devices, Components Coming In With Malware. InformationWeek. 2011-07-11 [2011-09-16 ] . ^ Comprehensive National Cyber Initiative ^ International Strategy for Cyberspace ^ Bridewell Consulting. ^ SLSA (Supply-chain Levels for Software Artifacts) ^ Binary Authorization for Borg ^ Introducing SLSA, an End-to-End Framework for Supply Chain Integrity. Google Online Security Blog. [2021-06-17 ] (英语) .
外部連結 Financial Sector Information Sharing and Analysis Center International Strategy for Cyberspace (from the White House) NSTIC SafeCode Whitepaper Trusted Technology Forum and the Open Trusted Technology Provider Standard (O-TTPS) Cyber Supply Chain Security Solution Malware Implants in Firmware Supply Chain in the Software Era INFORMATION AND COMMUNICATIONS TECHNOLOGY SUPPLY CHAIN RISK MANAGEMENT TASK FORCE: INTERIM REPORT
數位供應鏈安全, digital, supply, chain, security, 也稱為供應鏈資安, supply, chain, cyber, security, 是指強化供應鏈裡網路安全的措施, 是供應鏈安全的一部份, 著重在資訊系統, 軟體及網路相關網路安全需求的管理, 目前的威脅包括網路恐怖主義, 惡意軟體, 資料竊取, 英语, data, theft, 及高级长期威胁, 典型降低風險的供應鏈資安行動包括只從可靠的軟體供應商購買軟體, 關鍵的機器不要連接到外部網路, 教育使用者有關網路威脅的知識, 以及. 數位供應鏈安全 Digital supply chain security 也稱為供應鏈資安 supply chain cyber security 是指強化供應鏈裡網路安全的措施 是供應鏈安全的一部份 著重在資訊系統 軟體及網路相關網路安全需求的管理 目前數位供應鏈安全的威脅包括網路恐怖主義 惡意軟體 資料竊取 英语 data theft 及高级长期威胁 典型降低風險的供應鏈資安行動包括只從可靠的軟體供應商購買軟體 1 關鍵的機器不要連接到外部網路 教育使用者有關網路威脅的知識 以及他們可以進行的保護措施 2011年時 美國國土安全部國家防護與計畫司的代理副司長Greg Schaffer曾在聽證會中表示 他知道一些惡意軟體植入電子設備及電腦中 然後販售到美國的案例 2 目录 1 供應鏈資安威脅的例子 2 美國的對策 3 世界各國的對策 4 企業領域的對策 5 相關條目 6 參考資料 7 外部連結供應鏈資安威脅的例子 编辑收到的網路設備或是電腦中已安裝了惡意軟體 透過不同方式 在軟體或是硬體中加入了惡意軟體 供應鏈中應用程式或網路的弱點被駭客所利用 偽造的電腦硬件 美國的對策 编辑2008年訂定的Comprehensive National Cyber Initiative 3 國防採購管制 Defense Procurement Regulations 列在国防授权法案的section 806裡 網絡空間國際戰略 International Strategy for Cyberspace 4 是美國在2011年提出的戰略 也是美國第一次提出有關安全及開放的網路空間的願景 其中包括三個主題 國際合作 發展和防禦 國際合作 Diplomacy 此戰略會透過各國之間的共識 建立各國可以接受的國家行為規範 以 促進開放 互通 安全及可靠的資通訊基礎建設 發展 Development 透過此戰略 美國希望 通過雙邊組織或是多邊組織 建立世界各國的資安能力 目的是保護全世界的IT基礎建設 讓全世界的合作更加緊密 以維持開放和安全的網路 防禦 Defense 此戰略表示美國政府 會確保攻擊或是利用美國網路 對入侵者 所造成的風險 會遠大於其潛在的利益 呼籲世界各國針對入侵及破壞網路系統的罪犯或是非國家行為體採取法律行動 世界各國的對策 编辑資訊技術安全評估共同準則 Common Criteria CC 中的EAL 英语 Evaluation Assurance Level 4中 有選項可以評估數位供應鏈安全中的各個層面 包括產品 開發環境 資訊系統安全性 人力資源的流程 實體安全 ALC FLR 3 系統化瑕疵修補 模組中的內容 也包括安全更新的流程及方法 甚至還包括實際站點的訪查 若是有簽署SOGIS MRA的國家 其EAL 4可以被雙方所承認 俄羅斯 俄羅斯一直都有未公開的功能認證要求 也已開始了以開源軟體為基礎的國家軟體平台 National Software Platform 這反映了國家希望滅少對外國供應商的依賴 印度 印度也在其國家網路安全戰略草案中提到供應鏈的風險 印度沒有考慮排除特定的軟體產品 而是用本土創新政策 優先考慮印度的資通訊供應商 在此領域建立強健且有國際競爭力的產業 中華人民共和國 在 第十一個五年計劃 2006年 2010年 中有相關的目標 中國提出的本土創新政策是以安全為基礎的積極創新政策 已要求建立針對政府採購使用的本土創新產品目錄 並且訂定多層保護架構 Multi level Protection Scheme MLPS 要求產品開發商及製造商需為中國公民或是法人 產品的核人技術及關鍵元件需有獨立的本土智慧財產權 5 企業領域的對策 编辑軟體產出物供應鏈層級 6 Supply chain Levels for Software Artifacts 簡稱SLSA 是在軟體供應鏈中確保產出物完整性的端對端框架 此一需求是源於Google內部的Binary Authorization for Borg 7 已使用八年以上 所有Google的產出物都要經過此一授權 SLSA的目的是要提昇軟體產業 特別是開源軟體 對抗完整性威脅的能力 消費者可以根據SLSA知道其使用軟體的資安態勢 security posture 並作為採購時的依據 8 相關條目 编辑供應鏈 軟體供應鏈 供應鏈風險管理 英语 Supply chain risk management 供應鏈安全 ISO 28000 英语 ISO 28000 國家標準技術研究所 可信運算 英语 Trustworthy computing 供應鏈攻擊參考資料 编辑 Mayounga Andre Cyber Supply Chain Visibility A Grounded Theory of Cybersecurity with Supply Chain Management ProQuest May 2017 英语 Homeland Security Devices Components Coming In With Malware InformationWeek 2011 07 11 2011 09 16 Comprehensive National Cyber Initiative International Strategy for Cyberspace Bridewell Consulting Thursday 22 April 2021 SLSA Supply chain Levels for Software Artifacts Binary Authorization for Borg Introducing SLSA an End to End Framework for Supply Chain Integrity Google Online Security Blog 2021 06 17 英语 外部連結 编辑Financial Sector Information Sharing and Analysis Center International Strategy for Cyberspace from the White House NSTIC SafeCode Whitepaper Trusted Technology Forum and the Open Trusted Technology Provider Standard O TTPS Cyber Supply Chain Security Solution Malware Implants in Firmware Supply Chain in the Software Era INFORMATION AND COMMUNICATIONS TECHNOLOGY SUPPLY CHAIN RISK MANAGEMENT TASK FORCE INTERIM REPORT 取自 https zh wikipedia org w index php title 數位供應鏈安全 amp oldid 75408605, 维基百科,wiki ,书籍,书籍,图书馆,
文章 ,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。