【公益译文】供应商安全评估

一

概述

网络设备安全是任何网络安全的关键。在选择将支持关键服务或关键基础设施的设备时，客户应对该设备的安全进行评估，并将此评估作为其采购和风险管理流程的一部分。

本指南就如何评估网络设备安全提供了建议。它指导公共电信运营商（公共电子通信网络和服务提供商）履行《2021年电信（安全）法案》规定的职责以及政府征求意见后在《2022年电子通信（安全措施）条例》中最终确定的职责。例如，条例草案3.(3)(e)要求网络提供商：

(e) 在设备的采购、配置、管理和测试中采取适当措施，确保设备的安全以及在设备上执行的功能的安全。

《电信安全实务守则》草案，特别是措施草案5.01和10.1中引用了本指南。虽然本指南预计不会构成该守则（最终敲定版）的一部分，不需要或不足以满足新的供应链法律要求，但它是供应商可以用来帮助其实现合规的重要建议。

本指南中的建议虽然旨在支持电信运营商，但对于依赖网络设备提供服务的其他关键服务或关键基础设施提供商也可能有用。英国国家网络安全中心（NCSC）承认，当网络设备支持关键服务时，本文件中建议的网络设备安全评估程度最合适。此外，为了有效进行本文件中所述的评估，客户可能需要适当的合同权利来进行建议的审计和测试。

在对网络设备进行选择决策时，应使用本指南。然而，如下文所述，安全是一项持续进行的活动。与其他表现领域一样，客户应持续评估并保留供应商在设备使用寿命期间的安全记录证据，为今后的安全评估提供参考。

本指南未考虑、也无法缓解由于供应链中特定供应商的其他风险而可能产生的威胁。这些风险包括供应商在多大程度上可能受到影响或被要求采取损害客户利益或其国家安全的行为。在这些情况下，可能需要对在考虑范围内的供应商进行其他控制。

二

评估方法总结

本文件就如何评估供应商的安全流程及其提供的网络设备提供了指导。该方法的目的是客观评估因使用供应商设备而产生的网络风险。这是通过收集关于供应商流程和网络设备安全的客观、可重复的证据来实现的。

评估因供应商产生的网络风险需要：

· 供应商自己提供的证据

· 通过测试来验证供应商的声明

· 第三方证据

对于本文件中的每个标准，可以进行一系列针对具体产品的抽查，并且可以直接从产品本身的实验室测试中获得证据。这三部分合在一起将有助于理解供应商构建新产品的能力。

然而，这种方法总是容易出错。虽然证据将以客户为导向，但它只能举例说明供应商的行为。为了达到效果，该方法和安全标准都需要维持多年，同时需要记录正面实践和反面实践，为今后的安全评估和采购决策提供参考。

在评估供应商安全实践时，NCSC建议运营商不要完全依赖供应商文档来评估供应商安全。安全评估应基于供应商实施的安全行为。这包括针对具体产品线的抽查以及从产品中获取的客观证据。

三

外部审计和国际计划

在评估网络设备安全时，最大的挑战之一是生产区域性产品或具体运营商产品的行业实践。如果供应商依照行业惯例，国际客户无论是通过相互合作还是通过国际测试计划，都不能分担获取产品质量或安全相关的证据或保障的责任。

可以依靠独立的外部来源提供一些所需的证据，前提是：

· 适用于客户的产品（特别是相同的硬件和代码库）

· 客户可以重新验证所有证据，并且随机选择了一些证据进行重新验证

通常，依赖供应商文档的供应商审计或评估不太可能提供有用的证据，除非能够核实审计是否与网络设备安全相关。出于同样的原因，如果审计背后的证据没得到广泛使用且不可测试，也不应考虑进行审计或评估。例如，根据目前的定义，根据全球移动通信系统协会（GSMA）的网络设备安全保障计划（NESAS）进行的私人纸质评估不太可能提供有用的证据来支持客户的产品安全评估。

四

评估方法

评估供应商的安全方法包括四个层级：

评估

评估供应商提供的“安全声明”。“安全声明”应该说明供应商的安全方法以及供应商对其客户作出的安全承诺。为了发展安全生态系统，NCSC建议供应商公开发布其“安全声明”。“安全声明”使客户相信供应商对所有客户和产品线提供的方法都是一致的，允许更多的安全社区参与安全讨论。

检查

针对特定的、独立选择的产品版本，对供应商实施的安全流程进行抽查。由于供应商在自己的系统内随时可以获取所有细节信息，因此无需提前通知供应商有哪些抽查项。

分析

对设备进行实验室测试。要么对所有设备进行测试，要么从供应商提供的设备中随机选择设备进行测试。在可能的情况下，实验室测试应该是自动化的，这样就可以很容易地以低成本进行重复测试。不受客户影响的实验室测试应针对客户使用的相同产品版本路径、硬件、软件、固件和配置。

维持

在客户与供应商的整个合作过程中，确保供应商遵守“安全声明”中的标准。客户应分析问题的根本原因，并记录供应商的安全表现，以确保今后的评估具有严谨的证据。

下面给出了应用这四层方法的建议。

五

评估供应商的安全表现

在评估供应商安全实践时，一个重要的数据源是供应商的安全表现。客户应考虑供应商的安全文化和行为。安全文化和行为具体表现为：

· 供应商风险评估和安全评估流程的成熟度

· 供应商的透明度、开放性以及与安全研究社区的协作

· 供应商对安全漏洞和事件进行的评估、管理和客户支持

· 供应商遵守安全义务和要求的情况

· 供应商对产品和组件的支持方法

安全事件本身并不表明存在不规范的安全实践。所有大公司都可能受到安全事件的影响。客户应考虑是否可以合理规避安全事件，或是否可以合理减轻安全事件的影响。

同样，产品安全漏洞或问题本身也并不表明存在不规范的安全实践。这是因为所有产品都会出现此类问题。然而，如果问题过于简单化，或者由于产品管理或维护不善，就可能表明存在不规范的安全实践。

六

供应商安全评估标准

下表可用于帮助评估供应商及其网络设备的安全流程。该表描述了客户在“安全声明”中应期望的信息、收集证据时应考虑的“抽查”以及客户或第三方应考虑对设备进行的“实验室测试”。对于“抽查”和“实验室测试”，假设客户将获得充分的权限访问供应商流程和设备，以便在根据此评估作出决策之前进行有效评估。

当使用第三方时，客户应确信第三方具有足够的独立性和技术能力、已获得有关供应商日常实践的充足信息，从而向其提供所需的可靠证据。

· 免责声明 ·

该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的，为业内人士提供参考，促进思考与交流，不作任何商用。如有侵权事宜沟通，请联系littlebee@nsfocus.com邮箱。

· 文章信息 ·

发布机构：英国国家网络安全中心（NCSC）

发布日期：2022年3月22日

原文链接：https://www.ncsc.gov.uk/files/NCSC-Vendor-Security-Assessment.pdf

小蜜蜂翻译组公益译文项目，旨在分享国外先进网络安全理念、规划、框架、技术标准与实践，将网络安全战略性文档翻译为中文，为网络安全从业人员提供参考，促进国内安全组织在相关方面的思考和交流。