权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2019年征订开始  
美国国家安全局(NSA)开发出协助保护供应链的软件
2019-03-28


[据安全大道网站2019321日报道]
美国国家安全局(NSA)和可信计算组织(TCG)行业联盟已经开发出一种验证软件,可以用于任何设备,并且可以很大程度上保护计算设备供应链的安全。



NSA表示,NSA研究部门与TCG及英特尔合作了两年,来为供应链验证过程开发软件和标准。实质上,由TCG定义且包含设备属性的证书是在设备制造期间创建的,并与可信平台模块(TPM)中的该设备一起交付,这一模块保证了在制造过程中的信息安全。NSA的运行时和启动时主机完整性(HIRS)软件会利用这些信息来验证组件的来源,并将其链接到制造商。



NSA表示,验证过程可以通过涉及多个供应商的多阶段产品应用于任何设备,并且能够识别各种可能的风险,包括将恶意组件替换为合法组件。



NSA首席信息安全官(CISOPeg
Mitchell
称:“为基于可信计算的供应链验证开发开源工具,增加了美国政府对于我们关键任务系统安全性的信心。将加密设备和外围设备绑定到可信平台制造商的可加密验证证书这一举措,将有助于减少供应链威胁。这项技术将加强NSA、美国国防部以及对其系统完整性要求高度信任的商业实体的安全态势。”



供应链是政府系统面临的最大网络风险之一,一旦设备在其制造商到进入政府系统的整个过程中稍有疏漏,后门和其他休眠的恶意软件就可能被插入到设备的硬件或软件中。



例如,201810月,彭博社报道了中国涉嫌利用服务器制造商Super
Micro
的主板硬件进行黑客攻击的事件。Super Micro向苹果、亚马逊等20多家公司出售主板。Super
Micro
、苹果、亚马逊和其他一些公司对于他们遭到黑客攻击这一说法进行了激烈的争辩,但是不管这次攻击是否成功,这份报告确实说明了这样的事情肯定会发生。正如美国政府问责办公室和美国国家情报总监办公室等机构所指出的那样,供应链安全是偶然的,对它的威胁是真实的,入侵攻击经常在发生。



MITRE的一份报告指出,供应链攻击“对我们的国家带来了挑战,无论是在硬实力还是软实力方面……它可能会导致崩溃,甚至逆转决策周期。”



埃森哲最新的网络威胁报告详细介绍了供应链攻击成为渗透受害组织有效手段的方式,并列举了俄罗斯和中国发起的攻击的例子。考虑到各国对供应链中硬件、软件和固件的弱化或给予武器化的“最高关注”,这些攻击很可能会继续下去。报告称:“被实力雄厚的国家或犯罪集团篡改的软件供应链,将继续被用作日益复杂的恶意软件的传递手段。”



美国国土安全部表示,供应链风险是复杂的,因为它们包括产品的整个生命周期、生产和使用的多个阶段,而且往往涉及硬件。美国国土安全部于201810月成立了信息和通信技术(ICT)供应链风险管理工作组,来协调政府与业界的工作,以制定整体的解决方案。



加强供应链安全性的建议之一是在采办过程中加强安全管理,五角大楼和国会都这样呼吁。NSA的验证软件有望成为朝着这个方向迈出的一步。NSATCG希望使这一过程能成为一种新的标准,类似于数字背景检查,其中证书提供的证据类似于出厂证明和历史记录。(工业和信息化部电子第一研究所  宋文文)



相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
DSTI简介 | 大事记 | 网站动态 | 产品介绍 | 广告服务 | 客户服务 | 联系方式 | 共建单位 | 合作媒体  
国防科技信息网 dsti.net © 2006 - 2019 版权所有 京ICP备10013389号