X

供应链网络的净土

日本经济产业省(METI)商务信息政策局网络安全课在今年4月份正式公开了《网络/物理安全对策框架》(CPSF)及其配套的一系列行动计划。经产省是在基于高度融合网络空间与物理空间实现“社会5.0”、通过互联创造新附加价值的“互联工业”指针下,针对确保新型供应链的整体安全,梳理产业所需安全对策的全景,制定出了该框架。

该框架及其配套行动计划的制定出自经产省于2018年2月7日成立的“产业网络安全研究会工作小组1(WG1)”(制度、技术、标准化)。WG1在经产省的定位是:METI⇒审议会与研究会⇒制造/信息/流通与服务⇒产业网络安全研究会⇒工作组1(WG1)。

框架出台的背景

在工业4.0时代,网络空间安全问题全球多发,仅看最近一年,就发生了如下影响巨大的网络攻击事件:2018年5月,丹麦铁路公司DSB遭DDoS攻击功能停止;7月,新加坡医疗机构新加坡150万患者资料被黑客窃取,包括李显龙开药记录;8月,台积电遭到勒索病毒入侵停止生产;9月,英国航空公司含信用结算信息的39万人信息泄漏;12月,美国万豪集团信息泄漏,影响3.8亿人;2019年3月,挪威全球最大铝生产商海德鲁遭勒索病毒暂时停产;同月,台湾华硕实时更新服务器被黑挂毒,百万用户成为牺牲品。

针对如上类似重大问题,各国政府采取了积极对策及行动。美国、欧洲、中国等都采取了应对措施。2018年8月,美国总统特朗普签署2019财年《国家防御授权法案》。11月,美国公布《僵尸网络攻击强韧对策技术路线图》。同月,美国国土安全部启动《ICT供应链风险管理任务组》。2019年1月,美国发布DNS劫持紧急指令。

欧洲各国也很重视安全问题。2018年5月,欧洲《通用数据保护条例》生效。10月,英国公开了《消费类物联网设备安全行为准则》。11月,法国发布《巴黎网络空间信任和安全倡议》。2019年3月,欧盟委员发出关于欧盟共同应对5G网络安全的建议。

为贯彻落实《中华人民共和国网络安全法》,深入推进实施国家网络安全等级保护制度,2018年6月,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》。而《个人信息出境安全评估办法》是为保障数据跨境流动中的个人信息安全,根据相关法律法规制定的,由国家互联网信息办公室于2019年6月13日发布征求意见稿。

其他国家也出台了相关政策。2018年8月,澳大利亚排除接受外国政府不当指示的5G供应商。2019年1月,越南网络安全法实施(未发行实施规则)。2019年2月,俄罗斯下议院通过了与外国互联网断开法案。

在上述全球环境下,日本经产省的“产业网络安全研究会”(2017年12月成立)及其工作组1致力于日本规则的制定与实施。

工作组认为,在高度融合的网络空间与物理空间,要提供精细、对应多样需求的物品及服务,在兼顾经济发展与解决社会课题的超智能社会“社会5.0”、基于多样互联创造新附加价值的“互联工业”中,供应链将从以往的定型、直线型向更加灵活、动态方向变化。

图1:“社会5.0”下的社会示意图

这一新形态的供应链被定义为“价值创造过程”,作为基于“社会5.0”、“互联工业”扩展的供应链概念所需安全对应指针,需要推进《网络/物理安全框架》的制定。

在工作组讨论过程中,公开了框架的草案,在2018年和2019年分两次收集公众意见。在广泛接受国内外建议的同时,还在WG1下设的“跨领域子工作组”(SWG)中,基于公共建议、有识之士的意见,与国际标准进行整合并讨论。在这些研讨基础上,WG1及SWG制定了CPSF 1.0版。目标是通过CPSF应用,落实日本产业供应链整体网络安全的确保机制。今后,针对CPSF实施,各产业领域从产业结构及商业习惯视角出发,基于应该保护的对象、可容许风险的不同等实际情况,在主要产业领域普及CPSF,推进各产业领域所需具体的安全对策的讨论。同时,针对跨产业对策所要的《不同数据类别的安全对策》、《有转录功能设备进与系统所需安全对策》、《软件管理方法等 (含OSS——开源软件)》,设置特别任务组(task force,TF),促进讨论。

CPSF内容构成

日本经产省商务情报政策局网路安全课从供应链结构变化、三层结构与六个构成要素、总体概要、今后的举措等4大方面,发布了CPSF的要点。

在“社会5.0”下,包含数据的流通与应用,能构建更为灵活、动态的供应链。另一方面,从网络安全出发,需要应对网络攻击起点的扩散、物理空间影响增大等这类新风险。鉴于上述供应链结构的变化,产业网络安全研究会WG1梳理了“社会5.0”中安全性对策的全景,归纳出产业界企业用对策中的安全对应案例,据此制定了该框架。

图2:社会5.0的特征及相应的安全问题

针对网络物理一体化社会的安全确保,CPSF提出了新模式:CPSF针对产业、社会变化所带来的网络攻击的威胁增大,提出了准确捕捉风险源、无遗漏研讨的安全对策新模型——三层结构与六个构成要素。将“社会5.0”中的产业社会归纳为三层,第一层是企业之间的关联,基于妥当管理,确保各主体的可靠性;第二层是物空间与网络空间的关联,物理与网络空间之间转录功能的可靠性保障;第三层是网络空间中的关联,面向自由流通,加工、创造服务,确保数据的可靠性。作为研究对策的构成单元,将组成供应链的要素整理为6个,分别是:机构、人、物、数据、流程、系统。

未来,工作组任务聚焦在框架的具体化,推进实施。为实现CPSF的具体应用,针对《不同数据类别的安全对策》、《有转录功能设备进与系统所需安全对策》、《软件管理方法等》,在产业网络安全研究会WG1的跨领域子工作小组(SWG)之下,设置实施跨领域横向讨论的任务组(TF,task force)。各TF与产业网络安全研究会WG1下的SWG的讨论相结合,推进CPSF产业界应用。

图3:每个层级中的措施概述

一揽子行动计划

2018年5月提出的4个一揽子政策构成的“行动计划”,并取得了很大进步。这些一揽子配套措施要点如下:

供应链网络安全强化配套措施。2018年9月面向东盟,在东京首次召开了与美国国土安全部合作的日美共同演习。2018年11月,在产业技术综合研究所(AIST)设立网络安全研究中心。2019年4月CPSF制定出台等。

网络安全经营强化配套措施。如2019年3月,日本公布网络安全经营实践集,并启动网络安全救助队的地域实证业务等。

网络安全人才培养、参与度促进配套举措。如2018年秋季在一桥大学、情报处理推进机构IPA下成立的产业网络安全中心(ICSCoE)等启动面向战略管理层的讲习。或者与高专机构合作启动,派遣讲师进行培训。

安全业务生态系统创造配套举措。如针对安全业务的信赖性可视化,2018年7月启动审查登记制度。作为官民交换意见平台的“合作论坛”的召开(至今为止共计7次)等等。

与此同时,为进一步加快以行动计划为中心的机制落实,将从以下3个方面强化重点措施。一是要引领“全球”网络安全实施;二是创造“可信价值”,将“验证”与可信关联,使之转化成事业;三是将网络安全渗透到整个社会、中小企业、各个地域。

在中美贸易摩擦中,美国以安全为由,试图阻止我国ICT行业有全球影响力企业的发展。日本在反对贸易双边化、倡导开放创新的同时,又在安全问题上迎合美国。在这一特殊环境下出台的CPSF,值得我们仔细的参考与研读。

作者(李颖:中信所研究员)

更多精彩原创内容,请关注微信公众号“知识自动化”