开放可信技术供应商标准O-TTPS v1.0

开放可信技术供应商标准V1.0

——避免恶意感染或伪造产品

 

1引言

    1.1目标

【O-TTPS是一系列指南、要求和建议的集合，在实践应用中为技术获取者带来商业利益，减少获取恶意污染或假冒伪劣产品的风险。文档中给出了成熟的工业供应商所采取的最佳实践，通过严格评审且达成一致的过程，以及标准中给出的要求和建议，对建立一个减少风险的基础方法有很大的好处。采用这个标准的大或小的软硬件组件提供商或系统集成商等技术供应商做出了承诺，保证他们提供的硬件或软件商业成品（COTS）、信息和通信技术（ICT）产品的完整性。这个标准非常详细和规范，足以用于所有供应商的水平的提升，以及为评审过程提供保证的有意义的、可重复的方法。】

    1.2概述

【本标准是一系列指南、要求和建议的集合，指明了硬件和软件COTS ICT产品全生命周期中对完整性的特定威胁。本标准的初始目标是明确与恶意污染和假冒产品有关的威胁。

供应商的产品生命周期包括它在产品设计和开发过程中的工作以及生命周期中的供应链方面，是以下几个阶段的统称：设计、采购、构造、实施、分发、维持和废止。虽然本标准不能完全解决供应商控制范围之外所引起的威胁——例如，造假者生产了一个与OEM厂商没有任何关系的假冒的印刷集成电路板——标准中的实践细节会提供一定程度的减少方法。这种实践的一个例子是在产品合规性中使用安全标签技术。

标准中给出的获取者在他们的COTS ICT过程中所面临的两个主要威胁定义为：

1）恶意污染的产品——产品是由供应商生产的，也是由供应商授权的渠道获取的，但是被恶意篡改

2）假冒产品——产品不是由供应商生产的，或者不是由供应商的授权渠道提供的，表现为合法的产品，虽然实际上它不是。

可信技术供应商通过采用良好定义的、可监控的、有效的最佳实践来管理他们的产品生命周期，包括扩展的供应链。当供应商和提供商遵循了本标准中给出的要求和建议时产品的完整性就得到了加强。这是业界的共识，O-TTPF从以下几个领域给出了产品完整性的组成部分：产品开发/工程、安全开发/工程和供应链安全。此外，提供者、贸易伙伴、供应商遵循这些实践，以及获取客户在适当的时候保持产品的预期配置等行为也使产品完整性和供应链安全也得到了加强。

本标准关注的是供应链的安全，而不是供应链的商业管理方面。这个标准给出了作为一个可信技术提供商应该如何实现“构造完整性”的全面视图。这些实践包括：供应商在其组织内部的产品生命周期过程——产品开发过程中的“内部”的、能够有更多的直接管控的部分，此外还包括供应商的供应链安全实践所应该遵循的部分，如与第三方硬件或软件组件供应商合作，或依赖外部的生产商和传递、支持服务。

本标准对供应商和提供商进行了区分。提供商是为供应商或集成商提供组件或解决方案的上游厂商，供应商是直接为下游集成者或获取者直接供应COTS ICT产品的厂商。

理想状态下，本标准中的指南、要求和建议被所有规模的供应商和提供商所采纳，为整个业界提供益处。

对于本版本标准来说，以下内容不在考虑之列：

1）本标准不关注与获取者有关的指南、要求和建议。论坛将在本标准的后续版本中考虑这些内容。同时，获取者在保证获取的产品和组件的完整性方面并不扮演任何角色。获取者能够保证产品完整性的一个方法是要求他们的供应商和提供商、集成商是可信技术供应商，另外一种方法是不明确知道支持的是“灰色市场”，但要意识到如果获取者选择的是从灰色市场提供商获取硬件和软件支持，则他们自己要承担合法供应商影响之外的风险。

2）本标准并不意味着在供应商构造硬件或软件的时候必须遵从的所有实践。供应商应该实施的用于生成高质量产品的更加全面的最佳基本实践集合可以参照O-TTPF白皮书。

3）本版本的标准不适用于基础设施在线服务的运维和托管，但可以用于利用这些服务产生的COTS ICT产品。

本标准是对现有产品安全功能和产品信息保证的标准的补充，如ISO/IEC 15408（CC）。】

    1.3一致性

【OTTF计划将针对O-TTPS开发一致性准则，并建立认证策略和过程，作为所有对供应链安全有兴趣的组织的有用工具。如果没有相关的一致性准则和认证过程，就无法确保组织根据O-TTPS开展实践。

O-TTPS认证过程、一致性准则、一致性评估方法、策略、成员和他们的角色将会在本标准的1.0版本发布之后定义并提供。】

    1.4术语

    1.5未来发展方向

【OTTF计划在未来发布的标准中通过要求和建议的最佳实践明确可能存在的、额外的威胁和风险。OTTF也计划提供一致性准则和O-TTPS认证程序。】

2业务内容和概述

    2.1商业环境摘要

【全球化是商业环境的内在。全球化的快速发展对COTS ICT产品的客户来说带来的不仅仅是收益，还有风险。全球化是构造、传递和支持特色丰富的COTS ICT硬件和软件的能力的重要因素，而且由全球化导致的规模经济也是一个巨大的收益。事实上，没有全球化的发展，就没有当今的COTS ICT产品市场——全球生产环境对于技术行业来说非常重要。

随着网络攻击行为变得更加复杂、隐蔽和严重，全球政府和大型企业也开始采用更加全面的风险管理方法，用于保证产品的完整性和供应链安全。除了通过提高覆盖整个企业的安全实践来加强信息安全外，政府和企业还开始寻找这样一些实践措施来供COTS ICT厂商使用，以保证他们的产品和服务在全球供应链中开发和周转时的完整性。首先，人们必须了解运行场景，以便更深入地理解全球供应链的内容。】

        2.1.1运行场景

【】

    2.2经营理念

        2.2.1业务驱动

【获取者和提供商都理解全球化的需要，也需要对产品开发和生产的全球化采购过程中的内在风险进行明确识别。政府和商业客户对理解这些风险表示了极大的兴趣，而且也通过询问提供商下列问题来了解提供商如何管理这些风险的：

1）对于软件和硬件来说，供应链中内嵌的潜在安全风险有哪些？设备原厂商如何评估和管理这些风险？

2）在典型的供应链攻击中，哪些供应链安全措施能够减少潜在的风险？

3）客户采购假冒组件和产品所导致的对客户环境或关键基础设施带来的机密性、完整性和可用性风险有哪些？

4）什么样的软件或技术开发或工程实践能够有助于减少产品完整性风险？

5）通过采用业界最佳实践和保证程序，产品的完整性和风险是如何管理的？

由于COTS ICT产品广泛应用于私营行业和政府采购中，企业客户和政府客户之间存在一个利益联盟。理解对COTS ICT产品和供应链安全有关因素，识别那些能够提高产品完整性和供应链安全的实践，

】

         2.2.2目标和效益

【技术供应链变得越来越全球化、分段化、专业化。所有的商业和政府获取者、集成商、软件开发商、硬件提供商、制造商都是全球技术供应链的成员。继而，这个全球社区的每个成员都有责任确保端到端的技术供应链安全。OTTF将促进O-TTPF和O-TTPF有关标准的改进，以允许提供商明确供供应链范围内的任何改变并在新的威胁出现的出现的时候及时识别。

OTTF还将提供一个认证程序，便于符合O-TTPS要求和建议的提供商通过认证，并在一个公共认证注册平台上被广泛认知，使得行业和政府客户在从那些可信技术供应商中购买产品时更具有信心。

论坛的工作将对以下组织带来益处：

1）提供商

2）供应商

3）集成商

4）获取者

5）大型市场：OTTF工作成果的大范围使用，能够帮助加强全球信息基础设施的安全，提升可信性、可审计性和全球变革。

OTTF的成员都带来了他们自身的最佳实践，并汇总形成了这个标准和未来标准中的最佳实践的要求和建议的集合。】

     2.3认识COTS ICT内容

【在这个关于要求和建议的最佳实践的标准中，给出COTS ICT内容和限定的定义是非常重要的。识别自我强化的、实际的限定能够促进企业关注于改进那些关键领域，来帮助实现本标准的核心部分的使用改善措施。为了避免关注与有形改进工作无关的内容，清晰地识别这些限定是非常重要的。例如：

    1）明确未解决的问题

    2）允许超出简洁构造的问题描述的范围

同样的，把关注点放在与特定目标的供应链攻击有关的供应链风险上，对于优化标准的使用也非常重要。各种供应链商业风险时完全不同的，那些风险都与特定的供应链攻击有关。两个主要的有针对性的攻击领域是污染产品和假冒产品。供应商和客户都应该正确考虑这些领域，本标准第三章讨论这些内容。对这些风险领域的最佳实践的关注导致购买者和销售者所需要的关键提升，以及围绕可信供应商和可信产品的全球市场的提升。

许多其他的商业风险也需要考虑，但并不是供应链攻击的目标，因此并不是这些最佳实践的关注点。例如，质量低劣的产品所带来的风险就是这样的。对于软件和硬件来说，产品检测包括非预期的代码或设计错误。必须使用多个补丁来解决软件缺陷的成本在有些情况下是隐性成本，可能影响系统的整体成本和有效性。提供商在减少非预期的缺陷中也得到了很大利益，因为那些缺陷可能会破坏他们的品牌形象，并在生成和测试补丁过程中增加商业成本。然而，软件和硬件的天然特性造成：

    1）不可能验证一个组件或产品是否完全没有缺陷

    2）有些缺陷是“安全漏洞”，例如，对于具有相关知识的用户，可以利用漏洞来看绕过安全机制

    3）一旦安全漏洞被利用，则包含这个组件或产品的系统的机密性、完整性、可用性就会收到广泛的影响。

这对于政府开发的或者COTS ICT的硬件和软件组件都是适用的。

无论漏洞对购买者和销售者来说多么重要，它是一个购买任何产品的风险。既然漏洞不能被完全消除，本标准就提供了最佳实践要求来帮助限制它们，这些是与特定的漏洞分析和响应有关的最佳实践要求的集合。

使用COTS软件和硬件的另外一个内在属性是要求客户清楚COTS产品是用于满足特定的商业市场片段。无论软件或硬件是否“针对特定目的”（包括“针对它将面临的特定安全威胁”），是一个必须由客户理解的商业和系统设计决策，因为COTS的定义不是“专用目的，客户定制”。因此，“针对特定目的的决定”并不包括本标准的最佳实践的范围内。

最后，即使污点是本标准关注的一个领域，关于改善特定污点风险的最佳实践还是有限制的。其中最主要的一个问题是恶意的、还未完全授权的内部人员的故意破坏或污染，就是植入了非预期的功能，或破坏原有功能。简单来说，想要阻止一个未检测到的、完全授权的内部人员的代码改变行为是不可能的，即使你知道到什么地方来查找破坏代码。这里给出的实践也可以用来减少恶意内部人员和外部人员所带来的风险。

识别这些COTS ICT现实性并给出漏洞分析工具和技术的持续改进措施，本标准识别哪些风险领域的最佳实践要求和建议。如果同时遵从本标准中识别的其他最佳实践，将有助于减少在产品生命周期过程中引入恶意代码的可能性，对进一步改善包括可信提供商和可信产品的全球市场的目标的显著促进。

】

     2.4概述

        2.4.1 O-TTPF框架概述

【本框架把最佳实践分成了如下四类：

    1）产品开发/工程方法

    2）安全开发/工程方法

    3）供应链安全方法

    4）产品评估方法

这些方法中的最佳实践都是在保护客户以避免其购买的产品完整性和供应链安全风险为不可接受的级别的最有效的实践措施。这些方法识别了通过实施风险管理和保证措施，能够对COTS ICT产品的质量和完整性产生巨大影响的开发和生产过程的基本领域。随着可信技术提供商识别和采用新的通用方法和技术，这些实践和方法也将随之改进。

前面三类方法在本标准的范围内。框架中提到的产品评估方法的概念主要关注产品安全性。这个版本的标准中并不包括针对个别产品的安全功能和信息保障要求的评估的最佳实践。

】

         2.4.2标准概述

【】

         2.4.3与其他标准的关系

【】

3 O-TTPS - 受污染和假冒的风险

【假冒产品因为其完整性不可验证，可能会为组织带来巨大风险。此外，由于假冒产品无法得到原厂商的技术支持可能导致巨大的金融风险和生产率丧失。这损害了客户，购买的产品在关键时刻失效；也损害的供应商，现金流和品牌形象遭到带破坏。即使假冒产品是对原产品的逐个字节的复制，客户也可能因为假冒产品无法获得支持服务而遭受损失，供应商可能因为现金流的损失遭到破坏。

污染也由于类似的原因变得很重要：一个被破坏的产品不能完成预期的功能。实际上，污染可能会造成产品无法实现预期的功能，也能使得攻击者对使用受污染产品的组织进行特定的攻击。失败、性能降低、流氓功能、安全机制弱化等都是受污染产品可能的后果。

受污染产品和假冒产品两者之间可能容易混淆，所以这里针对每个概念都举出了例子。一个与受污染产品有关的攻击实例就是“恶意软件”，它可能在其他的产品中引入未授权的功能，对提供商或者获取者来说可能会产品无法预期的后果。

与假冒产品有关的例子是使用废料或者不合格组件，尤其是在供应链的早期可能会将某些质量不达标，或者已经报废的组件引入供应链。

在充分理解受污染产品和假冒产品这两个概念和他们之间的联系后，在针对供应链的讨论中还应该理解在这个链条中风险可能适用的地方。从一个提供者的角度来说，技术、开发和供应链活动都可以包含“上游”和“下游”因素，上游供应软硬件组件（如新品厂商的驱动开发者），下游负责集成和分发渠道以将产品提供给获取者。从整体上了解了风险的适用点之后可能告知提供商采取一定的措施来减少风险。例如，上游风险可以通过合同语言、协议过程等方式介绍。表2中给出了受污染产品与假冒产品与某些严重风险之间的关系，特别是：

恶意软件：用于破坏系统或数据的机密性、完整性、可用性的功能模块（如病毒、蠕虫、恶意代码等）

非授权“组件”：在产品或组件中引入的潜在的危险模块（如伪装成从提供商的授权渠道得到的微处理器的设备驱动）

非授权配置：在控制设置、攻击面等方面引入潜在的有危险的变更

废料/不合格品：在供应链中引入的前阶段已经废弃的组件，这些组件可能是质量不达标，或者已经到了报废阶段

非授权产品：产品本身未得到生产商或者销售者的授权

】

4 O-TTPS - 确认受污染和假冒产品的需求

    4.1技术开发

        4.1.1 PD ：产品开发/工程方法

            4.1.1.1 PD_DES ：软件/固件/硬件设计过程

            4.1.1.2 PD_CFM：配置的管理

            4.1.1.3 PD_MPP：良好定义的开发/工程方法过程和实践

            4.1.1.4 PD_QAT：质量和测试管理

            4.1.1.5 PD_PSM：产品维持管理

        4.1.2 SE：安全开发/工程方法

            4.1.2.1 SE_TAM ：威胁分析和减少

            4.1.2.2 SE_RTP ：运行时保护技术

            4.1.2.3 SE_VAR ：脆弱性分析和响应

            4.1.2.4 SE_PPR ：产品修补和修复

            4.1.2.5 SE_SEP ：安全工程实践

            4.1.2.6 SE_MTL ：对威胁环境变化情况产生的影响的监控和评估

    4.2供应链安全

【保证生命周期过程中的供应链安全的过程和方法】

        4.2.1 SC ：供应链安全

            4.2.1.1 SC_RSM ：风险管理

            4.2.1.2 SC_PHS ：物理安全

            4.2.1.3 SC_ACC ：访问控制

            4.2.1.4 SC_ESS ：员工和供应商的安全和完整性

            4.2.1.5 SC_BPS ：业务合作伙伴安全

            4.2.1.6 SC_STR ：供应链安全培训

            4.2.1.7 SC_ISS ：信息系统安全

            4.2.1.8 SC_TTC ：可信技术组件

            4.2.1.9 SC_STH ：安全传输和处理

            4.2.1.10 SC_OSH ：开源处理

            4.2.1.11 SC_CTM ：减少假冒

            4.2.1.12 SC_MAL ：恶意软件检测