微軟邵江寧:供應鏈安全標準與實踐
責編:rhliu |2016-11-10 13:45:51邵江寧(微軟(中國)有限公司首席安全官):
主題:供應鏈安全標準與實踐
大家好。站在大家和大家的午飯之間,我的話題也是比較大。接到這個任務的時候也思考了一下供應鏈安全的話題,一方面它是一個非常大的話題,它是一個政策的話題,今天多邊雙邊的很多貿易問題都是供應鏈互相銜接邊界的根本定義的問題。
往小了看,供應鏈從它的發展演變歷史來看有一些技術問題,供應鏈是用信息工藝技術把產品制造所有環節從產品研發到產品生產、制造、到產品售后服務運維所有環節用信息技術把它連在一塊。
講到供應鏈安全,它一方面有貿易的問題,一方面跟隱私相關,另一方面還受到新科技技術飛速發展推動的影響,新的風險不斷的出現。從這個意義上來說都應該是一個非常大的話題。
好在我是從微軟來的,我們微軟是做軟件的,我們是技術公司,我們更多是想從微軟作為一個RCT主流廠商,我們今天從更個性化的,就像設備,還有生產力軟件平臺,還有更智能化的云平臺這一塊,我們在提供新型的技術產品和服務過程中我們對供應鏈安全標準的理解,還有我們在應對供應鏈安全標準和供應鏈風險在全球方面的體會。
我們講供應鏈安全的時候,我們大多數會定位到供應鏈風險,我們用什么樣的風險管控手段去降低風險,風險在這個世界上是隨處可在的,既有基礎技術的風險,也有國家治理、社會治理,也有國家合規方面的風險,風險本身,你不能說百分之百的消除掉,只能產生風險管控和緩解的方法去降低他。我們講風險,我們必須跟每種供應鏈發展的不同階段,放在他的時代背景去講。
供應鏈發展過程中可以大致分為這樣幾個階段,第一,最初的供應鏈傳統經典的代工時代,大家發現我采用分工專業化,主流的OEM廠商和配套廠商聯合在一塊,成本會降低,消費者會受益。第二,全球有一些主流的國家在技術能力方面有很大的進展,包括中國,中國從代工工廠變成了制造中心,由于我們科技的進步,我們很多公司具備了科技自主研發的能力,隨之,整個供應鏈在上下游環節之間的分工作協作出現了比較大的變化,中國的很多公司在軟件核心的設計和開發過程中擔任了軟件外包的工作,在這個過程中我的開發流程的可重復性問題,開發能力的重復性問題,知識產權保護、防偽和山寨的風險。
今天我們進入到一個新的時代,今天我們講的是移動互聯的時代,從產品為供應鏈焦點逐漸轉移到第三方或者是獨立的運營方、運營平臺提供增值的價值服務。比較典型的就是我們今天討論的云服務、CSK的服務模式,產品的提供和交付只是非常早的第一步。
我正好最近也在參加倫敦經濟學院一個教授的講座,他提到在全球今天的環境里面,我們面臨著從過去比較甜蜜的自如的放松監管的黃金30年,進化到今天,各個國家都使用起監管的工具,不僅是在歐盟、美國,在全球很多國家,關于科技技術和其他監管方面的法律法規,他的立項、頒布執行的力度都是空前的,中國也不例外,中國也是在新的全球網絡供應鏈的時代也在制訂很多標準,很多標準都是對背后的利益是負責的。
我們對完整性的挑戰,從大家熟知的斯諾登事件爆發以后,很多國家都在探討,軟件是不是存在后門,是不是存在被篡改的問題。這個挑戰不僅影響到以本國為主的本土公司,也面臨到一些跨國公司,我今天主要分享一下微軟在面對軟件完整性挑戰這一塊我們的一些做法,通過這些做法我們打造一個風險可控的軟件供應鏈。
安全的問題最后是信任問題,信任問題有很多面,簡單舉四個例子,主要是雙方供應鏈各個環節缺乏互相的溝通和了解,甚至對一些新技術本身缺乏了解。技術供應鏈的保護有很多方面的焦點,有知識產權的保護,有原代碼的保護,還有對軟件完整性的保護。在軟件開發的各個環節里面,風險的關注點是不一樣的,好在微軟通過多年時間,我們歸納出一整套的安全周期的理論,也全面貫徹SDL的理論,SDL有一個非常完整的理論,在整個軟件開發利用環節,都使用VC建模的模型,把其中的風險和可能應對的手段都做一個系統化的梳理,在軟件各個周期都能應對一些威脅,能夠把漏洞降到最低。
這是一個簡單的軟件開發漏洞模型的介紹,很多廠商在新的時代,尤其在做軟件供應鏈、物聯網開發這一塊都是大力采用了SDL的技術。
技術供應鏈保護我們都在討論有什么樣的做法,我們怎么降低風險,怎么做,在這一塊有兩大不同的思路,我們有一個標準,在軟件供應鏈、風險建模、風險評估這一塊有已知的標準,他可以借助通行的標準來做軟件開發過程中或者進行軟件貿易的過程中拿出彼此大家都能夠接受的協議,能夠接受對軟件風險處理的結果。這是比較好的結果。另外一個方法是我在一項新的技術和新的領域內,我們沒有比較固定的已頒布的標準,我們就必須采用一個從底層開始甚至風險評估的方法來做評估。
在做供應鏈安全風險管理工作我們要有一個策略,它涵蓋供應鏈周期的所有環節,在風險評估這一塊,我們談到有兩種做法,一種是基于標準的風險評估或者管控辦法,另外一種,如果沒有評估標準,我們要采用積極的風險管控辦法,原理都是差不多的,我們從四個環節把它細化成六個環節。在標準這一塊,很多的都是專家,我這邊做了一個簡單的匯總,在供應鏈安全這一塊,我們在信息安全這一塊有ISO27002的標準,在經典供應鏈這一塊有產品的保全、供應鏈業務連續性,供應鏈各個環節的風險管控,有ISO28000的標準,還有各國政府制訂的采購的相應的要求。這些標準都對我們在供應鏈安全管控的時候,把標準做一個很好的影射,把它跟我們整個制造、服務提供的各個環節按照這些要求進行實際的操作。
這是一個簡單的舉例,告訴大家怎么去做風險評估。一方面是我們可能面對的很多標準的要求。另一方面,實際對應到我們供應鏈每個環節里面可能面臨的風險,我們做了一個整體式的打分,把風險最大的環節找出來。如果沒有成熟的標準,我們需要先進行業務流程的分析,把各個業務流程從業務流程的整個環節中進行細致的建模,進行相應的評估。
風險評估的方法可能非常多,這邊是一個非常簡單的分析辦法、非常實踐,我們簡單分了三級的風險,主要是希望能夠聚焦在最高的風險、少數的風險。我們在提高自己供應鏈安全可控的方面,我們也有四個我們認為比較成功的做法,四個控制的辦法非常有效的減少了在軟件開發過程中有可能有人為的有意或者無意的失誤造成軟件本身的缺陷。第一個是對身份和訪問控制的管理。在軟件開發過程里面有一個費率管理表轉的要求,通過研究費率管理,我們可以減少軟件本身的BUG。第二,安全開發生命周期,也就是SDL,我們制訂了一套輪崗的戰略,我們也開發了很多的輔助工具,通過這個輔助工具,進行人工智能、大數據的分析,能夠自動降低我們實施SDL的成本。第三,軟件完整性政策和程序。我們有可信的機制,都可以做這方面的工作。第四,防偽這一塊我們也有具體的方法來做,比如說代碼的數據簽名,通過嚴謹的簽名機制能夠保證我們發布出來的商業化代碼不被第三方機構惡意仿造。
講完我們做的做法,在軟件和供應鏈這一塊的一些威脅和風險管控的實踐辦法之后,我想簡單提一下,我們在面臨著一個新的舊時代的互聯網時代的大爆發,我們可能會面臨一些新的挑戰,這個新的挑戰是由于物聯網技術本身帶來的對供應鏈安全可靠這一塊新的視角,微軟前期也做了一些思考,我們可能沒有一個成形的解決辦法,我們先把這些思考跟大家分享出來。
第一,設備信任問題,將來在萬物互聯的時代,我們面對設備的數量級別會非常多,它跟人和機器之間的連接非常多,現在我們每個人三四塊屏幕,將來每個人身上會有幾百甚至上千個芯片,這些芯片支持著我們日常生活的活動,甚至包括健康的行為。
這些設備有非常大的設備,也有非常小的設備,甚至植入人體的設備,我們在構造物聯網的供應鏈的時候,我們怎么考慮設備性的問題,怎么在不同的顆粒度和使用度上去延伸的問題,這是我們在新時代由于新機制的推動,對供應鏈安全這一塊的非常大的挑戰。
前面華為的同仁講到信任根的問題,可能是比較好的一個方向。設備可信這一塊,這是我們分析的模型,我們不僅要解決安全和隱私的問題,還要解決可靠性和安危的問題,因為互聯網世界把傳統的物理世界的安全可靠和虛擬世界的網絡安全連在一塊了,它造成的后果可能是對人的生命和關鍵服務直接相關。
第二,我們在萬物互聯的環境里面一定有一個責任劃分的問題,在互聯網的世界里面,我們面臨各種各樣的參與方,我們在討論安全的時候,我們的責任劃分非常重要,誰承擔主要責任,我們保護的最終目標是什么,我們怎么進行目標的劃分,這是一個很關鍵的問題,我們在定義供應鏈標準的時候,責任劃分要有一個合理的符合基礎方案的模型。
第三,設備規模挑戰問題,我們在不同階段面臨的設備故障是不一樣的,研發階段可能只有幾十個、幾百個,一旦進入到集體生產環節里面,他是上億,甚至幾千萬億的,我們在考慮供應鏈安全的時候,由于設備數量本身帶來的安全的挑戰怎么做。而且我們很多的設備本身不具備進行自由配置和管理的接口。我們怎么去做。
第四,設備大數據的挑戰。我們隨時隨地發布各種各樣的遙測數據,我們根據這些數據反應和細調產品和服務對人本身的個性化的服務,由于輸入數據非常大,如果我們要把它監管起來,意味著我們監管平臺要處理海量的數據,但是如果把一千億規模的互聯網世界,你想用監管的手段管理起來,你監管的手段有多大,你如何處理這些數據,監管有效性在哪,監管本身給供應鏈帶來的壓力有多大,他的經濟性怎么考慮。
第五,基于硬件的信任問題。我們過去在經典的環境里面有數據中心,有物理安全,各種各樣的環境控制。在未來得物聯網環境里面,他是一塊蠻荒之地,我們怎么確認這是可以信任的,我在供應鏈這一塊信任根在哪。他是實體的供應鏈,還是虛擬的信任供應鏈。
第六,設備安全態勢感知。你需要知道威脅的來源,從服務的角度來說,提供一個安全可靠的服務,因為供應鏈被無限的擴展,它的生命周期遠遠超過了設備本身交付的生命周期。
第七,設備供應鏈網絡。過去我們傳統的自控領域或者風控領域,它的概念和網絡供應鏈的概念是不一樣的。我們怎么編寫一個雙方都能夠編寫的供應鏈的標準,這是非常考驗的,你不能說那是網絡供應鏈的標準,公共的說他是公共的供應鏈的標準,不能產生沖突。
第八,軟件組建漏洞追蹤。我們進行結構性分析的時候面臨大量的問題,我們所說的RCT的設備,層層分解起來,如果我們要保證供應鏈安全安全,它應該是端對端的,第三方的支持廠商和組件怎么保證安全?這是我們供應鏈安全標準必須考慮的問題。
第九,設備服務安全壽命周期的問題,前一段時間美國爆發的被服務器攻擊的時候,主要是一些互聯網廠商提供的攝像機有漏洞。但是他由于在制造這個產品的時候根本沒有考慮軟件壽命周期的問題,他寫死了。
第十,網絡安全深度防御,我們可以從全體的角度上考慮它的安全防護,需要考慮的因素非常多。通常講云、管、端。每個端都要全面考慮它的風險。
最后跟大家分享一下微軟提出的供應鏈可信賴基本原則。原則有四大塊:
第一塊是安全,包括開發安全、物理安全、邏輯安全和運維安全。我對于人工智能用于個人決策相關的意見,我們在考慮迎接人工智能時代到來的時候,我們也必須在安全這一塊做更深入的考慮,我們是不是能夠接受人工智能來進入我們的生活。現在我們考慮要把公平和道德寫到算法里面去,我們怎么在供應鏈環節把這一塊考慮進去。
第二塊是隱私。包括法律、權利定義的隱私,還有個人保護的要求。我們今天依靠數據進行個性化服務,我們要把隱私關在籠子里面,保證個人隱私不會遭到侵犯和濫用。
第三是合規,全球有全球的標準,我們國家也在制訂自己的標準。我比較欣賞華為的專家分享,我們需要在標準合規這一塊為新的技術的發展演變提供一定的自由度。讓技術能夠快速的成熟起來。
第四是透明。不僅考慮到對國家的監管,還考慮到對消費者本身,對數據本身操作的透明。這是我們講可信賴的四個大原則。
在安全標準這一塊我們也提出了一些基本的想法。
第一是創新,第二是靈活,第三、互惠互利,供應鏈標準不能自己關起門來只為本國服務,或者國外的進不來,互惠互利是一個制度。第四,面向風險,我們是考慮實際的廠商、消費者、多元利益方各方面的原則。第五,面向標準,標準保證我們能夠面向世界,面向國際通用標準,對中國本土的標準也是有幫助的。第六是透明。
安全是共同的責任,安全不是單方面的責任,既有國家主體的責任,還有監管方的責任,還有標準制訂方的責任,我們需要在整個生態系統里面各個成員通力合作,最終打造通用的安全。
微軟希望能夠跟中國本土的這些伙伴們有很好的合作,推動本土的創新,邁向更高的水平。謝謝大家!
主持人:感謝邵總非常全面的匯報,不僅介紹了供應鏈的標準,還結合微軟在風險評估的實踐,同時還對供應鏈安全國家標準的制訂也提出了非常好的建議,今天上午的網絡安全標準化的分論壇就結束了,非常感謝各位專家的聆聽。CSS同時還有一些其他的論壇在進行,希望大家積極參與。感謝各位對CSS論壇的支持,對中國電子標準化研究院,以及對騰訊這次大會的支持。謝謝大家!