背景近日,美国政府以国家安全为名,采取一系列供应链管控措施,包括将华为列入实体清单,限制华为产品出口至美国。美国。随着大国竞争日趋激烈,科技行业竞争日趋激烈,供应链安全的重要性不言而喻。近年来,美国频频在供应链问题上大做文章。它不仅通过加强管控保护自身供应链安全,还通过技术出口管制等手段遏制他国企业发展,封锁他国供应链,巩固和强化其霸权地位。在世界上。.为实现供应链成本效率和创新,美国政府依靠商业信息和通信技术(ICT)部门提供支持关键任务网络、系统和武器的组件和服务。这导致美国政府越来越依赖商业ICT供应链的可信度。然而,由于全球化的加剧以及供应链中不熟悉、未知和不断变化的参与者的参与,商业ICT的可信度变得不确定。美国政府必须解决这样一个事实,即ICT供应链因全球化而变得越来越脆弱,使敌对势力能够未经授权访问数据、更改数据、中断通信或破坏关键基础设施。市场威胁众所周知,但降低ICT供应链风险的方法仍在探索之中。本文相应地介绍了美国政府在此问题上的政策,以开发国家安全系统(NSS)供应链风险管理(SCRM)的初始能力。基本术语介绍为方便读者,下面简要介绍一些供应链安全风险管理指南中常用的技术术语。供应链风险管理(SCRM):通过识别整个供应链中的易感性、脆弱性和威胁并制定缓解策略来应对这些威胁来管理供应链风险的系统过程。这些威胁来自供应商及其子组件提供的产品的整个过程(例如,初始生产、包装、处理、存储、运输、任务操作和处置)。供应链风险:对手可能会破坏、恶意引入不需要的功能,或以其他方式破坏供应或系统的设计、制造、生产、分销、安装、操作或维护,以监控、拒绝、破坏或以其他方式降低风险系统的功能、使用或操作。全源情报:情报产品包括所有信息来源。最常见的信息来源是人力资源情报、图像情报、测量和签名情报、信号情报和开源数据。专用集成电路(ASIC):定制设计或定制制造的集成电路。关键任务元素:向系统提供关键任务功能的系统组件或子系统,或者由于系统设计而易受关键任务功能影响的系统组件或子系统。关键任务功能:任何系统功能,其妥协会降低系统在完成其设计的核心任务时的有效性。其他一些术语缩写在下表中详细介绍:网络安全倡议(CNCI)国家安全系统政策委员会(CNSSP)国家安全系统政策委员会国家安全指令(NSD)-国家安全指令国家情报总监办公室(ODNI)国家反情报执行办公室(ONCIX)国防微电子活动(DMEA)国防微电子活动软件保障(SwA)软件保障词汇表指南通过市场激励和竞争流程来推动改进业务行为,以实现国家安全系统(NSS)、新技术和产品以及托管服务中的安全目标,应对CNSSP第22号文件“信息保障风险管理政策”产生的动态威胁国家安全系统”和国家综合网络安全倡议(CNCI)制定的战略,规定了开发和部署保护NSS免受供应链风险影响的能力的最低标准。它需要供应链风险管理(SCRM)来保护NSS的机密性、完整性和可用性,并减轻和管理上述威胁带来的风险。图1供应链风险管理SCRM政策详情在生命周期的早期和整个NSS中管理NSS供应链风险。SCRM过程中关键任务元素的采购和运行NSS建议按如下方式实施:A.在整个生命周期(包括业务元素或子元素)中控制软件、硬件和系统的质量、配置和安全性。B.检测恶意事件的发生并降低其发生的可能性,从而减轻伪造或恶意植入带来的风险。C.通过增强测试和评估来开发需求或能力,以检测定制商品硬件和软件中是否存在漏洞。D.通过在整个系统生命周期内实施系统安全工程来增强安全性。E.优化供应链中的采购流程和合同,优先考虑能够将供应链风险最小化的供应商,并针对低成本、快速部署或新功能等其他合理因素评估安全性。F.实施采购流程、记录和监控,并在整个系统生命周期内提供文档更新。政策特定职责美国政府部门和机构负责人应制定并记录与部门或机构特定SCRM能力计划开发一致的战略,其中应包括:A.将SCRM实践和风险缓解措施整合到部门或机构特定系统和采购中生命周期过程。B.在本指令发布之日起一年内启动SCRM功能,开始分阶段实施,并获得必要的经验来确定和开发实现完整SCRM功能所需的计划、工具和技能。最初的SCRM职能应包括:a)与国家情报总监办公室(ODNI)和国家反情报执行官办公室(ONCIX)协调,为来自威胁源的所有信息的使用制定流程和政策。b)制定和实施威胁评估的最低标准,为NSS关键任务要素的风险管理决策提供信息。c)确定NSS并确定其优先级以初步实施SCRM最佳实践。C.在本指令发布之日起六年内实现实施完整SCRM功能以保护NSS的主要里程碑。D.为SCRM确定NSS关键任务要素的优先级并在NSS的整个生命周期(包括系统采购和商品采购)中应用SCRM的过程。E.确定一个合适的牵头组织来管理和支持整个SCRM功能。BestPracticesSCRM的最佳实践主要包括在政府系统中的应用。(1)在政府部门,2010年6月提出NISTIR7622草案,在联邦信息系统中进行供应链风险管理试点。本文档为高影响级别的信息系统提供了一套实践。旨在促进信息系统的获取、开发和操作,以满足全球化环境中与对手的成本、进度和性能要求。(2)此外,还提出了国防工业协会系统保障项目。文档中提供了有关如何在整个生命周期内为系统构建保证的指南。它确定并讨论系统工程活动、过程、工具和注意事项,以解决系统保证问题。(3)US-CERT维护着软件保障(SwA)袖珍指南系列,介绍了软件保障在采购和外包、系统开发、系统生命周期和度量方面的应用。SwA袖珍指南是与SwA论坛和工作组合作开发的,它们作为一个利益相关者社区,欢迎参与推进和改进软件安全。图2政府部门SCRM最佳实践总结过去,无论是从国家和地方层面,还是从各个经济管理部门的角度,都普遍以发展为导向,以技术为导向。我们整个产业链的安全管理体系基本缺失。我认为,随着疫情的发展、中美贸易摩擦的升级、全球供应链的调整,产业链安全管理应该成为产业发展的制约性和前提性工作。我们所有的产业发展政策和战略,都要在产业链安全管理体系框架下研究制定,为我国未来的供应链安全评估和风险预警管理建立长效机制,真正使我们能够更有效地应对中美贸易摩擦、全球技术变革、流行病灾难甚至战争等突发事件。【本文为《中国保密协会科学技术分会》专栏作者原创稿件,转载请联系原作者】点此查看该作者更多好文
