背 景

近期，美國政府以國家安全為名，強(qiáng)制采取了一系列供應(yīng)鏈管控手段，其中包括將華為公司加入實(shí)體清單，限制華為公司產(chǎn)品在美國的出口。隨著大國博弈的日益激烈，技術(shù)產(chǎn)業(yè)競爭態(tài)勢逐漸加劇，供應(yīng)鏈安全的重要性不言而喻。美國近年來頻頻在供應(yīng)鏈問題上大做文章，不僅通過加強(qiáng)管控以保護(hù)本國供應(yīng)鏈安全，更利用技術(shù)出口管制等手段遏制他國企業(yè)發(fā)展，阻斷他國供應(yīng)鏈，以此鞏固強(qiáng)化其世界霸權(quán)地位。

為了實(shí)現(xiàn)供應(yīng)鏈成本效益和創(chuàng)新，美國政府依靠商業(yè)信息和通信技術(shù)(ICT)部門提供支持關(guān)鍵任務(wù)網(wǎng)絡(luò)、系統(tǒng)和武器的組件和服務(wù)。這導(dǎo)致美國政府愈發(fā)依靠商業(yè)ICT供應(yīng)鏈的可信賴性。但是，由于全球化程度的提高以及陌生、未知和不斷變化的參與者在供應(yīng)鏈中的參與，商業(yè)ICT的可信賴性已變得不確定。美國政府必須解決這樣一個問題，即ICT供應(yīng)鏈由于全球化而變得越來越容易被滲透，一些敵對勢力可以進(jìn)行未經(jīng)授權(quán)的數(shù)據(jù)訪問、更改數(shù)據(jù)、中斷通信或破壞關(guān)鍵基礎(chǔ)設(shè)施。市場威脅眾所周知，但降低ICT供應(yīng)鏈風(fēng)險的方法仍在探索。本篇據(jù)此介紹了美國政府針對該問題提供的開發(fā)國家安全系統(tǒng)(NSS)供應(yīng)鏈風(fēng)險管理(SCRM)初始能力的政策。

基本術(shù)語介紹

為了方便讀者理解，下面簡單介紹一些在供應(yīng)鏈安全風(fēng)險管理指導(dǎo)方針中常用的專業(yè)術(shù)語。

供應(yīng)鏈風(fēng)險管理(SCRM)：通過識別整個供應(yīng)鏈中的易感性、脆弱性和威脅，并制定緩解策略以應(yīng)對這些威脅的系統(tǒng)性流程，從而管理供應(yīng)鏈風(fēng)險。這些威脅來自供應(yīng)商所供應(yīng)產(chǎn)品及其子組件全過程(例如，初始生產(chǎn)、包裝、裝卸、存儲、運(yùn)輸、任務(wù)運(yùn)營和處置)。

供應(yīng)鏈風(fēng)險：對手可能蓄意破壞、惡意引入不需要的功能，或以其它方式破壞供應(yīng)品或系統(tǒng)的設(shè)計(jì)、制造、生產(chǎn)、分發(fā)、安裝、操作或維護(hù)過程，從而監(jiān)視、拒絕、破壞或以其他方式降低系統(tǒng)的功能、使用或操作的風(fēng)險。

全源情報(bào)：情報(bào)產(chǎn)品包括所有的信息來源，信息來源最常見的是人力資源情報(bào)、圖像情報(bào)、測量和簽名情報(bào)、信號情報(bào)和開源數(shù)據(jù)等。

專用集成電路(ASIC)：定制設(shè)計(jì)或定制制造的集成電路。

關(guān)鍵任務(wù)元素：向系統(tǒng)交付關(guān)鍵任務(wù)功能的系統(tǒng)組件或子系統(tǒng)，或者由于系統(tǒng)設(shè)計(jì)而使關(guān)鍵任務(wù)功能出現(xiàn)漏洞的系統(tǒng)組件或子系統(tǒng)。

關(guān)鍵任務(wù)功能：任何系統(tǒng)功能，其折中都會降低該系統(tǒng)實(shí)現(xiàn)其設(shè)計(jì)核心任務(wù)的效率。

其它的一些術(shù)語縮略語詳細(xì)介紹如下表：

專業(yè)術(shù)語對照表

指導(dǎo)方針

美國政府必須利用強(qiáng)化的政府行為，并在可能的情況下通過市場激勵措施和競爭程序來推動改進(jìn)商業(yè)行為，實(shí)現(xiàn)國家安全系統(tǒng)(NSS)、新技術(shù)和產(chǎn)品以及托管服務(wù)中的安全目標(biāo)，以應(yīng)對產(chǎn)生的動態(tài)威脅。

CNSSP第22號文件“國家安全系統(tǒng)的信息保證風(fēng)險管理政策”和國家綜合網(wǎng)絡(luò)安全計(jì)劃(CNCI)制定的策略中，確定了開發(fā)和部署功能的最低標(biāo)準(zhǔn)，用于保護(hù)NSS免受供應(yīng)鏈風(fēng)險。其要求供應(yīng)鏈風(fēng)險管理(SCRM)應(yīng)保護(hù)NSS的機(jī)密性、完整性和可用性，并減輕和管理上述威脅帶來的風(fēng)險。

[[326972]]

圖1 供應(yīng)鏈風(fēng)險管理

SCRM政策詳情

政策概況

美國政府部門和機(jī)構(gòu)應(yīng)建立組織供應(yīng)鏈風(fēng)險管理(SCRM)能力，通過使用全源情報(bào)提供的供應(yīng)鏈威脅信息，告知采購和工程緩解措施，在整個系統(tǒng)生命周期的早期及整個NSS中識別和管理NSS的供應(yīng)鏈風(fēng)險。

SCRM流程

NSS內(nèi)任務(wù)關(guān)鍵要素的采購和運(yùn)營建議按下述流程實(shí)施：

A.在整個生命周期(包括商業(yè)元素或子元素)中控制軟件、硬件和系統(tǒng)的質(zhì)量、配置及安全性。

B.檢測惡意事件發(fā)生的情況，并減少其發(fā)生的可能性，從而減輕偽造或惡意植入造成的風(fēng)險。

C.通過增強(qiáng)的測試和評估來開發(fā)需求或能力，以檢測定制商品硬件和軟件中的漏洞的發(fā)生。

D.通過在整個系統(tǒng)生命周期中實(shí)施系統(tǒng)安全工程來增強(qiáng)安全性。

E.優(yōu)化供應(yīng)鏈中的采購過程和合同，優(yōu)先考慮能以可驗(yàn)證的方式使供應(yīng)鏈風(fēng)險最小化的供應(yīng)商，并以其它合理因素(例如低成本、快速部署或新功能)評估安全性。

F.實(shí)施采購流程，進(jìn)行記錄和監(jiān)視，并在整個系統(tǒng)生命周期內(nèi)提供文檔更新。

政策具體職責(zé)

美國政府部門和機(jī)構(gòu)負(fù)責(zé)人應(yīng)制定符合部門或機(jī)構(gòu)特定的SCRM能力計(jì)劃發(fā)展戰(zhàn)略并記錄，其中應(yīng)包括：

A.將SCRM實(shí)踐和風(fēng)險緩解措施集成到部門或代理商特定的系統(tǒng)和購置生命周期流程。

B.在本指令發(fā)布之日起一年內(nèi)啟動SCRM功能，開始逐步實(shí)施，并獲得確定和開發(fā)實(shí)現(xiàn)全面SCRM功能所需的計(jì)劃、工具和技能所需的經(jīng)驗(yàn)。初始SCRM功能應(yīng)包括：

a)與國家情報(bào)局長辦公室(ODNI)、國家反情報(bào)執(zhí)行辦公室(ONCIX)協(xié)調(diào)，建立所有使用來源存在威脅的信息的流程和政策。

b)制定和實(shí)施威脅評估的最低標(biāo)準(zhǔn)，以便為NSS的關(guān)鍵任務(wù)元素提供風(fēng)險管理決策。

c)確定和優(yōu)先考慮NSS，以初步實(shí)施SCRM最佳實(shí)踐。

C.在實(shí)現(xiàn)本指令發(fā)布之日起的六年內(nèi)實(shí)施全面SCRM功能以保護(hù)NSS的主要里程碑。

D.為SCRM優(yōu)先考慮NSS的關(guān)鍵任務(wù)元素的流程，并在NSS的生命周期中應(yīng)用SCRM，包括系統(tǒng)收購和商品購買。

E.確定適當(dāng)?shù)臓款^組織，以管理和支持全面的SCRM功能。

最佳實(shí)踐

SCRM的最佳實(shí)踐主要包括了政府系統(tǒng)中的應(yīng)用。

(1)在政府部門中，2010年6月提出了NISTIR 7622草案，在聯(lián)邦信息系統(tǒng)中進(jìn)行供應(yīng)鏈風(fēng)險管理試點(diǎn)。此文檔提供了一套面向高影響力級別的信息系統(tǒng)的實(shí)踐。旨在促進(jìn)信息系統(tǒng)的獲取、開發(fā)和運(yùn)行，以在全球化環(huán)境中與對手一起滿足成本，進(jìn)度和性能要求。

(2)此外，還提出了國防工業(yè)協(xié)會的系統(tǒng)保證工程。在文檔中提供了有關(guān)如何在整個生命周期內(nèi)將保證構(gòu)建到系統(tǒng)中的指南。它確定并討論了系統(tǒng)工程活動、過程、工具和注意事項(xiàng)，以解決系統(tǒng)保證問題。

(3)US-CERT維護(hù)軟件保證(SwA)袖珍指南系列，介紹軟件保證在采購和外包、系統(tǒng)開發(fā)、系統(tǒng)生命周期和度量方面的應(yīng)用。SwA口袋指南是由SwA論壇和工作組合作開發(fā)的，這些論壇和工作組作為一個利益相關(guān)者社區(qū)，歡迎更多的人參與推進(jìn)和改進(jìn)軟件安全。

圖2 SCRM在政府部門的最佳實(shí)踐

總 結(jié)

過去不論是從國家地方層面來看，還是從各個經(jīng)濟(jì)管理部門角度來看，整體上都是發(fā)展導(dǎo)向的，都是技術(shù)趕超導(dǎo)向的。我們整個產(chǎn)業(yè)鏈的安全管理體系基本上是缺失的。我認(rèn)為隨著疫情的發(fā)展，隨著中美貿(mào)易摩擦的升級，隨著全球供應(yīng)鏈的調(diào)整，產(chǎn)業(yè)鏈安全管理應(yīng)該成為產(chǎn)業(yè)發(fā)展的一個約束性和前置性的工作。我們所有的產(chǎn)業(yè)發(fā)展的政策和戰(zhàn)略應(yīng)當(dāng)放在產(chǎn)業(yè)鏈安全管理體系這個大的框架下來研究和制訂，這樣才能為未來中國的供應(yīng)鏈安全評估和風(fēng)險預(yù)警管理建立一種長效機(jī)制，才能真正使得我們能更加有效的應(yīng)對中美貿(mào)易摩擦，應(yīng)對全球技術(shù)變化，應(yīng)對疫情災(zāi)害甚至戰(zhàn)爭等等一些突發(fā)性事件。

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文