डिजिटल सप्लाई चैन सिक्यूरिटी: Difference between revisions
(Created page with "डिजिटल [[आपूर्ति श्रृंखला सुरक्षा]] आपूर्ति श्रृंखला के भीतर साइ...") |
No edit summary |
||
Line 1: | Line 1: | ||
डिजिटल | डिजिटल [[आपूर्ति श्रृंखला]] सुरक्षा आपूर्ति श्रृंखला के भीतर [[साइबर सुरक्षा]] को बढ़ाने के प्रयासों को संदर्भित करती है। यह आपूर्ति श्रृंखला सुरक्षा का एक उपसमूह है और सूचना प्रौद्योगिकी प्रणालियों, [[ सॉफ़्टवेयर |सॉफ़्टवेयर]] और [[ संगणक संजाल |संगणक संजाल]] के लिए साइबर सुरक्षा आवश्यकताओं के प्रबंधन पर केंद्रित है, जो साइबर-आतंकवाद, [[मैलवेयर]], [[डेटा चोरी]] और उन्नत लगातार खतरे (एपीटी) जैसे खतरों से प्रेरित हैं। ). जोखिमों को कम करने के लिए विशिष्ट आपूर्ति श्रृंखला साइबर सुरक्षा गतिविधियों में केवल विश्वसनीय विक्रेताओं से खरीदारी शामिल है,<ref>{{cite book |last1=Mayounga |first1=Andre |title=Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest |date=May 2017 |url=https://www.proquest.com/openview/1c623efadef0122d52f6b4c275e49160/1?pq-origsite=gscholar&cbl=18750&diss=y |language=en}}</ref> बाहरी नेटवर्क से महत्वपूर्ण मशीनों को डिस्कनेक्ट करना, और उपयोगकर्ताओं को उन खतरों और सुरक्षात्मक उपायों के बारे में शिक्षित करना जो वे उठा सकते हैं। | ||
संयुक्त राज्य अमेरिका के होमलैंड सिक्योरिटी विभाग के राष्ट्रीय सुरक्षा और कार्यक्रम निदेशालय के कार्यवाहक उप अवर सचिव, ग्रेग शेफ़र ने एक सुनवाई में कहा कि उन्हें पता है कि ऐसे उदाहरण हैं जहां संयुक्त राज्य अमेरिका में बेचे जाने वाले आयातित इलेक्ट्रॉनिक और कंप्यूटर उपकरणों पर मैलवेयर पाया गया है। राज्य. | संयुक्त राज्य अमेरिका के होमलैंड सिक्योरिटी विभाग के राष्ट्रीय सुरक्षा और कार्यक्रम निदेशालय के कार्यवाहक उप अवर सचिव, ग्रेग शेफ़र ने एक सुनवाई में कहा कि उन्हें पता है कि ऐसे उदाहरण हैं जहां संयुक्त राज्य अमेरिका में बेचे जाने वाले आयातित इलेक्ट्रॉनिक और कंप्यूटर उपकरणों पर मैलवेयर पाया गया है। राज्य.<ref>{{cite news | ||
<ref>{{cite news | |||
| url=http://informationweek.com/news/government/security/231001333 | | url=http://informationweek.com/news/government/security/231001333 | ||
| title=Homeland Security: Devices, Components Coming In With Malware | | title=Homeland Security: Devices, Components Coming In With Malware |
Revision as of 20:03, 27 September 2023
डिजिटल आपूर्ति श्रृंखला सुरक्षा आपूर्ति श्रृंखला के भीतर साइबर सुरक्षा को बढ़ाने के प्रयासों को संदर्भित करती है। यह आपूर्ति श्रृंखला सुरक्षा का एक उपसमूह है और सूचना प्रौद्योगिकी प्रणालियों, सॉफ़्टवेयर और संगणक संजाल के लिए साइबर सुरक्षा आवश्यकताओं के प्रबंधन पर केंद्रित है, जो साइबर-आतंकवाद, मैलवेयर, डेटा चोरी और उन्नत लगातार खतरे (एपीटी) जैसे खतरों से प्रेरित हैं। ). जोखिमों को कम करने के लिए विशिष्ट आपूर्ति श्रृंखला साइबर सुरक्षा गतिविधियों में केवल विश्वसनीय विक्रेताओं से खरीदारी शामिल है,[1] बाहरी नेटवर्क से महत्वपूर्ण मशीनों को डिस्कनेक्ट करना, और उपयोगकर्ताओं को उन खतरों और सुरक्षात्मक उपायों के बारे में शिक्षित करना जो वे उठा सकते हैं।
संयुक्त राज्य अमेरिका के होमलैंड सिक्योरिटी विभाग के राष्ट्रीय सुरक्षा और कार्यक्रम निदेशालय के कार्यवाहक उप अवर सचिव, ग्रेग शेफ़र ने एक सुनवाई में कहा कि उन्हें पता है कि ऐसे उदाहरण हैं जहां संयुक्त राज्य अमेरिका में बेचे जाने वाले आयातित इलेक्ट्रॉनिक और कंप्यूटर उपकरणों पर मैलवेयर पाया गया है। राज्य.[2]
आपूर्ति श्रृंखला साइबर सुरक्षा खतरों के उदाहरण
- नेटवर्क या कंप्यूटर हार्डवेयर जो पहले से ही स्थापित मैलवेयर के साथ वितरित किया जाता है।
- मैलवेयर जो सॉफ़्टवेयर या हार्डवेयर में डाला जाता है (विभिन्न माध्यमों से)
- दुर्भावनापूर्ण हैकर (कंप्यूटर सुरक्षा) द्वारा खोजी गई आपूर्ति श्रृंखला के भीतर सॉफ़्टवेयर अनुप्रयोगों और नेटवर्क में कमजोरियाँ
- नकली कंप्यूटर हार्डवेयर
संबंधित अमेरिकी सरकार के प्रयास
- व्यापक राष्ट्रीय साइबर पहल
- रक्षा खरीद विनियम: राष्ट्रीय रक्षा प्राधिकरण अधिनियम की धारा 806 में उल्लेखित
- साइबरस्पेस के लिए अंतर्राष्ट्रीय रणनीति: व्हाइट हाउस ने पहली बार सुरक्षित और खुले इंटरनेट के लिए अमेरिका के दृष्टिकोण को सामने रखा। रणनीति तीन मुख्य विषयों की रूपरेखा तैयार करती है: कूटनीति, विकास और रक्षा।
- कूटनीति: यह रणनीति राष्ट्रों के बीच सर्वसम्मति के माध्यम से निर्मित स्वीकार्य राज्य व्यवहार के मानदंडों की स्थापना करके "एक खुले, अंतर-संचालनीय, सुरक्षित और विश्वसनीय सूचना और संचार बुनियादी ढांचे को बढ़ावा देने" के लिए निर्धारित की गई है।
- विकास: इस रणनीति के माध्यम से सरकार "विदेशों में, द्विपक्षीय रूप से और बहुपक्षीय संगठनों के माध्यम से साइबर सुरक्षा क्षमता निर्माण की सुविधा प्रदान करना चाहती है।" इसका उद्देश्य वैश्विक आईटी बुनियादी ढांचे की रक्षा करना और खुले और सुरक्षित नेटवर्क को बनाए रखने के लिए करीबी अंतरराष्ट्रीय साझेदारी बनाना है।
- रक्षा: रणनीति कहती है कि सरकार "यह सुनिश्चित करेगी कि हमारे नेटवर्क पर हमला करने या शोषण करने से जुड़े जोखिम संभावित लाभों से कहीं अधिक हैं" और सभी देशों से घुसपैठ करने वाले अपराधियों और गैर-राज्य अभिनेताओं की जांच करने, उन्हें पकड़ने और उन पर मुकदमा चलाने का आह्वान किया गया है। नेटवर्क सिस्टम को बाधित करें।
दुनिया भर में संबंधित सरकारी प्रयास
- सामान्य मानदंड मूल्यांकन आश्वासन स्तर (ईएएल) 4 के साथ डिजिटल आपूर्ति श्रृंखला सुरक्षा के सभी प्रासंगिक पहलुओं जैसे उत्पाद, विकास पर्यावरण, आईटी सिस्टम सुरक्षा, मानव संसाधन में प्रक्रियाएं, भौतिक सुरक्षा और मॉड्यूल एएलसी_एफएलआर के साथ मूल्यांकन करने का अवसर प्रदान करता है। .3 (व्यवस्थित दोष निवारण) भौतिक साइट विज़िट द्वारा भी सुरक्षा अद्यतन प्रक्रियाएं और विधियां। EAL 4 उन देशों में पारस्परिक रूप से मान्यता प्राप्त है, जिन्होंने Common_Criteria#Mutual_recognition_arrangement|SOGIS-MRA पर हस्ताक्षर किए हैं और ELA 2 तक उन देशों में पारस्परिक रूप से मान्यता प्राप्त है, जिन्होंने Common_Criteria#Mutual_recognition_arrangement पर हस्ताक्षर किए हैं, लेकिन इसमें ALC_FRL.3 भी शामिल है।
- रूस: रूस में कई वर्षों से गैर-प्रकटीकरण कार्यक्षमता प्रमाणन आवश्यकताएं हैं और हाल ही में ओपन-सोर्स सॉफ़्टवेयर पर आधारित राष्ट्रीय सॉफ़्टवेयर प्लेटफ़ॉर्म प्रयास शुरू किया है। यह विदेशी आपूर्तिकर्ताओं पर निर्भरता कम करते हुए राष्ट्रीय स्वायत्तता की स्पष्ट इच्छा को दर्शाता है।
- भारत: राष्ट्रीय साइबर सुरक्षा रणनीति के मसौदे में आपूर्ति श्रृंखला जोखिम की पहचान। बहिष्करण के लिए विशिष्ट उत्पादों को लक्षित करने के बजाय, यह स्वदेशी नवाचार नीतियों पर विचार कर रहा है, इस क्षेत्र में एक मजबूत, विश्व स्तर पर प्रतिस्पर्धी राष्ट्रीय उपस्थिति बनाने के लिए घरेलू आईटीसी आपूर्तिकर्ताओं को प्राथमिकता दे रहा है।
- चीन: 11वीं पंचवर्षीय योजना (2006-2010) के लक्ष्यों से आगे बढ़ते हुए, चीन ने सुरक्षा-केंद्रित और आक्रामक स्वदेशी नवाचार नीतियों का मिश्रण पेश किया और उसे आगे बढ़ाया। चीन को अपनी सरकारी खरीद और बहु-स्तरीय सुरक्षा योजना (एमएलपीएस) को लागू करने के लिए एक स्वदेशी नवाचार उत्पाद सूची का उपयोग करने की आवश्यकता है, जिसके लिए (अन्य चीजों के अलावा) उत्पाद डेवलपर्स और निर्माताओं को चीनी नागरिक या कानूनी व्यक्ति, और उत्पाद कोर प्रौद्योगिकी और कुंजी की आवश्यकता होती है। घटकों के पास स्वतंत्र चीनी या स्वदेशी बौद्धिक संपदा अधिकार होने चाहिए।[3]
निजी क्षेत्र के प्रयास
- SLSA (सॉफ़्टवेयर कलाकृतियों के लिए आपूर्ति-श्रृंखला स्तर) संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला में सॉफ़्टवेयर कलाकृतियों की अखंडता सुनिश्चित करने के लिए एक एंड-टू-एंड फ़्रेमवर्क है। आवश्यकताएँ Google के आंतरिक बाइनरी ऑथराइजेशन फॉर बोर्ग से प्रेरित हैं जो पिछले 8+ वर्षों से उपयोग में है और यह सभी के लिए अनिवार्य है। Google का उत्पादन कार्यभार. एसएलएसए का लक्ष्य सबसे गंभीर अखंडता खतरों से बचाव के लिए उद्योग की स्थिति में सुधार करना है, विशेष रूप से खुले स्रोत में। एसएलएसए के साथ, उपभोक्ता अपने द्वारा उपभोग किए जाने वाले सॉफ़्टवेयर की सुरक्षा स्थिति के बारे में सूचित विकल्प चुन सकते हैं।[4]
अन्य सन्दर्भ
- वित्तीय क्षेत्र सूचना साझाकरण और विश्लेषण केंद्र
- साइबरस्पेस के लिए अंतर्राष्ट्रीय रणनीति (व्हाइट हाउस से)
- NSTIC
- सेफकोड श्वेतपत्र
- ट्रस्टेड टेक्नोलॉजी फोरम और ओपन ट्रस्टेड टेक्नोलॉजी प्रोवाइडर स्टैंडर्ड (O-TTPS)
- साइबर आपूर्ति श्रृंखला सुरक्षा समाधान
- फ़र्मवेयर में मैलवेयर प्रत्यारोपण
- सॉफ्टवेयर युग में आपूर्ति श्रृंखला
- सूचना और संचार प्रौद्योगिकी आपूर्ति श्रृंखला जोखिम प्रबंधन कार्य बल: अंतरिम रिपोर्ट
यह भी देखें
- आपूर्ति श्रृंखला
- आपूर्ति श्रृंखला जोखिम प्रबंधन
- आपूर्ति श्रृंखला सुरक्षा
- आईएसओ/पीएएस 28000
- एनआईएसटी
- भरोसेमंद कंप्यूटिंग
संदर्भ
- ↑ Mayounga, Andre (May 2017). Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest (in English).
- ↑ "Homeland Security: Devices, Components Coming In With Malware". InformationWeek. 2011-07-11. Retrieved 2011-09-16.
- ↑ "Bridewell Consulting". Thursday, 22 April 2021
- ↑ "एसएलएसए का परिचय, आपूर्ति श्रृंखला अखंडता के लिए एक एंड-टू-एंड फ्रेमवर्क". Google Online Security Blog (in English). Retrieved 2021-06-17.