背 景
近期,美国政府以国家安全为名,强制采取了一系列供应链管控手段,其中包括将华为公司加入实体清单,限制华为公司产品在美国的出口。随着大国博弈的日益激烈,技术产业竞争态势逐渐加剧,供应链安全的重要性不言而喻。美国近年来频频在供应链问题上大做文章,不仅通过加强管控以保护本国供应链安全,更利用技术出口管制等手段遏制他国企业发展,阻断他国供应链,以此巩固强化其世界霸权地位。
为了实现供应链成本效益和创新,美国政府依靠商业信息和通信技术(ICT)部门提供支持关键任务网络、系统和武器的组件和服务。这导致美国政府愈发依靠商业ICT供应链的可信赖性。但是,由于全球化程度的提高以及陌生、未知和不断变化的参与者在供应链中的参与,商业ICT的可信赖性已变得不确定。美国政府必须解决这样一个问题,即ICT供应链由于全球化而变得越来越容易被渗透,一些敌对势力可以进行未经授权的数据访问、更改数据、中断通信或破坏关键基础设施。市场威胁众所周知,但降低ICT供应链风险的方法仍在探索。本篇据此介绍了美国政府针对该问题提供的开发国家安全系统(NSS)供应链风险管理(SCRM)初始能力的政策。
基本术语介绍
为了方便读者理解,下面简单介绍一些在供应链安全风险管理指导方针中常用的专业术语。
供应链风险管理(SCRM):通过识别整个供应链中的易感性、脆弱性和威胁,并制定缓解策略以应对这些威胁的系统性流程,从而管理供应链风险。这些威胁来自供应商所供应产品及其子组件全过程(例如,初始生产、包装、装卸、存储、运输、任务运营和处置)。
供应链风险:对手可能蓄意破坏、恶意引入不需要的功能,或以其它方式破坏供应品或系统的设计、制造、生产、分发、安装、操作或维护过程,从而监视、拒绝、破坏或以其他方式降低系统的功能、使用或操作的风险。
全源情报:情报产品包括所有的信息来源,信息来源最常见的是人力资源情报、图像情报、测量和签名情报、信号情报和开源数据等。
专用集成电路(ASIC):定制设计或定制制造的集成电路。
关键任务元素:向系统交付关键任务功能的系统组件或子系统,或者由于系统设计而使关键任务功能出现漏洞的系统组件或子系统。
关键任务功能:任何系统功能,其折中都会降低该系统实现其设计核心任务的效率。
其它的一些术语缩略语详细介绍如下表:
术语 |
解释 |
SUPPLY CHAIN RISK MANAGEMENT(SCRM) |
供应链风险管理 |
National Security Systems(NSS) |
国家安全系统 |
information and communications technology (ICT) |
信息和通信技术 |
Comprehensive National Cybersecurity Initiative (CNCI) |
国家网络安全计划 |
Committee on National Security Systems Policy(CNSSP) |
国家安全系统政策委员会 |
National Security Directive (NSD)- |
国家安全指令 |
Office of the Director of National Intelligence (ODNI) |
国家情报局局长办公室 |
Office of the National Counterintelligence Executive (ONCIX) |
国家反情报执行办公室 |
Defense Microelectronic Activity (DMEA) |
国防微电子活动 |
Software Assurance (SwA) |
软件保证 |
专业术语对照表
指导方针
美国政府必须利用强化的政府行为,并在可能的情况下通过市场激励措施和竞争程序来推动改进商业行为,实现国家安全系统(NSS)、新技术和产品以及托管服务中的安全目标,以应对产生的动态威胁。
CNSSP第22号文件“国家安全系统的信息保证风险管理政策”和国家综合网络安全计划(CNCI)制定的策略中,确定了开发和部署功能的最低标准,用于保护NSS免受供应链风险。其要求供应链风险管理(SCRM)应保护NSS的机密性、完整性和可用性,并减轻和管理上述威胁带来的风险。
图1 供应链风险管理
SCRM政策详情
政策概况
美国政府部门和机构应建立组织供应链风险管理(SCRM)能力,通过使用全源情报提供的供应链威胁信息,告知采购和工程缓解措施,在整个系统生命周期的早期及整个NSS中识别和管理NSS的供应链风险。
SCRM流程
NSS内任务关键要素的采购和运营建议按下述流程实施:
A.在整个生命周期(包括商业元素或子元素)中控制软件、硬件和系统的质量、配置及安全性。
B.检测恶意事件发生的情况,并减少其发生的可能性,从而减轻伪造或恶意植入造成的风险。
C.通过增强的测试和评估来开发需求或能力,以检测定制商品硬件和软件中的漏洞的发生。
D.通过在整个系统生命周期中实施系统安全工程来增强安全性。
E.优化供应链中的采购过程和合同,优先考虑能以可验证的方式使供应链风险最小化的供应商,并以其它合理因素(例如低成本、快速部署或新功能)评估安全性。
F.实施采购流程,进行记录和监视,并在整个系统生命周期内提供文档更新。
政策具体职责
美国政府部门和机构负责人应制定符合部门或机构特定的SCRM能力计划发展战略并记录,其中应包括:
A.将SCRM实践和风险缓解措施集成到部门或代理商特定的系统和购置生命周期流程。
B.在本指令发布之日起一年内启动SCRM功能,开始逐步实施,并获得确定和开发实现全面SCRM功能所需的计划、工具和技能所需的经验。初始SCRM功能应包括:
a)与国家情报局长办公室(ODNI)、国家反情报执行办公室(ONCIX)协调,建立所有使用来源存在威胁的信息的流程和政策。
b)制定和实施威胁评估的最低标准,以便为NSS的关键任务元素提供风险管理决策。
c)确定和优先考虑NSS,以初步实施SCRM最佳实践。
C.在实现本指令发布之日起的六年内实施全面SCRM功能以保护NSS的主要里程碑。
D.为SCRM优先考虑NSS的关键任务元素的流程,并在NSS的生命周期中应用SCRM,包括系统收购和商品购买。
E.确定适当的牵头组织,以管理和支持全面的SCRM功能。
最佳实践
SCRM的最佳实践主要包括了政府系统中的应用。
(1)在政府部门中,2010年6月提出了NISTIR 7622草案,在联邦信息系统中进行供应链风险管理试点。此文档提供了一套面向高影响力级别的信息系统的实践。旨在促进信息系统的获取、开发和运行,以在全球化环境中与对手一起满足成本,进度和性能要求。
(2)此外,还提出了国防工业协会的系统保证工程。在文档中提供了有关如何在整个生命周期内将保证构建到系统中的指南。它确定并讨论了系统工程活动、过程、工具和注意事项,以解决系统保证问题。
(3)US-CERT维护软件保证(SwA)袖珍指南系列,介绍软件保证在采购和外包、系统开发、系统生命周期和度量方面的应用。SwA口袋指南是由SwA论坛和工作组合作开发的,这些论坛和工作组作为一个利益相关者社区,欢迎更多的人参与推进和改进软件安全。
图2 SCRM在政府部门的最佳实践
总 结
过去不论是从国家地方层面来看,还是从各个经济管理部门角度来看,整体上都是发展导向的,都是技术赶超导向的。我们整个产业链的安全管理体系基本上是缺失的。我认为随着疫情的发展,随着中美贸易摩擦的升级,随着全球供应链的调整,产业链安全管理应该成为产业发展的一个约束性和前置性的工作。我们所有的产业发展的政策和战略应当放在产业链安全管理体系这个大的框架下来研究和制订,这样才能为未来中国的供应链安全评估和风险预警管理建立一种长效机制,才能真正使得我们能更加有效的应对中美贸易摩擦,应对全球技术变化,应对疫情灾害甚至战争等等一些突发性事件。
【本文为51CTO专栏作者“中国保密协会科学技术分会”原创稿件,转载请联系原作者】