看美国如何应对“来自中国的供应链漏洞”之二:美国SCRM国家战略及其对我国的启示,识别供应链潜在威胁,缓解或应对未来供应威胁链。那么美国政府如何管理与中国制造的产品和服务以及中国公司参与其ICT供应链相关的风险?美国拟对ICT供应链风险实施以下五种综合管理方式:(1)采用自己适应的SCRM流程。美国国家标准技术研究院(NIST)一直在制定高质量、可实施的标准,以提高ICT系统的供应链安全和网络安全,但NIST制定的供应链控制仅适用于具有“重大影响”(high-影响)。政策制定者必须加强而不是阻碍NIST等成功合作实体的努力,并尽可能在非机密公共领域讨论供应链威胁。这些步骤将确保新的SCRM策略具有适应性、协作性和所有相关方的支持。(2)建立美国ICTSCRM的集中领导。目前没有统一的、整体的SCRM方法,大多数与SCRM相关的情报收集活动以人为本而不是基于技术,这使得联邦SCRM项目难以完全应对全球威胁并随着需求的增加而扩大规模。法律法规之间的冲突和混淆会导致漏洞、重复工作和政策执行不一致。国会和行政部门应鼓励信息共享并加强美国SCRM的领导,以优化收集和传播工作。为SCRM的中央领导配备适当的资源和人员,负责审查进入联邦IT网络的产品供应商和增值经销商达到规定的水平。SCRM的中央权力可以分配给管理和预算办公室(OMB)。SCRM中心将提供权威数据和持续监控,减少对特定机构SCRM的需求,并专注于特定配置和实施。OMB需要在非机密环境中运作,同时拥有与机密环境的直接联系和追溯权限,以确保它与已知威胁保持一致。(3)链接美国法规和拨款。建议:1.扩大Wolf条款,即《综合和进一步持续拨款法》的第515节,以适用于所有联邦机构和实体。2.利用年度报告为所有联邦政府实体建立“最佳实践库”,提高信息共享和不断变化的风险意识。(4)促进供应链透明度和与行业的伙伴关系。促进联邦ICT供应商和初级或一级供应商的公开上市,或至少向政府客户披露它们。政府应根据风险管理所需的严格程度,提高其供应链中所有供应商的透明度。(五)制定前瞻性政策。未来的风险将涉及软件、基于云的基础设施和超融合产品。供应商或制造商的商业联盟、投资来源以及联合研发也是风险来源。识别这些风险并创造性地解决它们是SCRM自适应方法的一部分。对中国的启示对我国来说,可以从产业竞争力、国家大战略和未来主导三个角度来考量:(1)高度重视和提高我国ICT产业自身供应链的安全水平,美国为了自身的政治经济利益和国家安全,将进一步提升产品供应链的安全审查水平。但这种审查不是保密的,要有效,必须建立协作和信息共享机制。因此,中国ICT产业供应链供应商应主动提升自身安全水平。另一方面,要高度重视和提高产品抵御全球供应链风险的能力,尽快建立包括产品和主体在内的全周期、可追溯的风险档案和风险管理预案机制。(二)从我国国家战略利益出发,进一步推动全球供应链和供应链伙伴关系的透明化,一方面需要依托自身供应链的溯源和管理,并与其他层面进行合作供应链供应商和实体;另一方面,可以进一步促进全球ICT供应链和供应链合作伙伴的透明度,从而发展壮大我国ICT产品的全球供应链业务。(3)提前关注软件供应链的风险管理,抢占规则制定的主导权。我国应提前布局,尽快建立一套自主研发的监测、识别、分析、存储、预警和治理的“未来ICT供应链风险管控”。制”,抢占技术制高点和先机。这一系列标准和规范形成体系后,还可以谋求成为国际标准,在未来ICT供应链上游的规则制定中占据主导地位。参考文献:[1]美国计划制定信息和通信技术的“供应链风险管理国家战略”以应对来自中国的供应链漏洞[EB/OL]。https://www.sohu.com/a/238092258_468736.[2]Tara,Beeny,Senior,Business,Analyst,Interos,Solutions,Inc.美国联邦信息和通信技术中来自中国的供应链漏洞[M].美国:InterosSolutions,2018.《TechnicalBranch》原稿,转载请联系原作者】点此查看该作者更多好文章
