2024年6月25日,全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》,该指南提出了对大型互联网平台开展网络安全评估的内容和方法,可用于指导大型互联网平台开展网络安全评估活动。其中,该指南“4.3关键软硬件产品供应链安全性”中的评估内容对供应链安全做了明确说明,如评估软硬件的透明性、来源多样性、渠道可靠性,检测恶意后门和超级权限等等。
以下为 @引用《网络安全标准实践指南——大型互联网平台网络安全评估指南》4.3 关键软硬件产品供应链安全性 原文内容。
4.3 关键软硬件产品供应链安全性
评估内容包括:
a) 关键软硬件产品安全性、开放性、透明性、来源多样性,以及供应渠道的可靠性;
b) 关键软硬件产品是否可能因为政治、外交、贸易等因素导致供应中断;
c) 关键软硬件产品是否可能发生被恶意植入后门、不明功能、超级权限;
d) 其他可能影响关键软硬件产品供应的可能性因素;
e) 过去一年中,核心业务是否发生过供应链安全事件;评估上述事件发生后,针对核心业务是否采取整改、缓解、预防措施,以及措施的有效性;还需评估如果导致安全事件的威胁再次产生,可能造成的安全影响以及当前平台的应对抵御效果。
注:供应链安全事件主要是指,因政治、外交、贸易、专利授权等非技术因素导致产品和服务供应中断、不及时、不足量的供应,以及被恶意植入代码或后门所引起的安全事件。
声明:本文来自全国网安标委,版权归作者所有。转载目的在于传递更多信息。如有侵权,请联系我们处理。