背 景

近期，美國(guó)政府以國(guó)家安全為名，強(qiáng)制采取了一系列供應(yīng)鏈管控手段，其中包括將華為公司加入實(shí)體清單，限制華為公司產(chǎn)品在美國(guó)的出口。隨著大國(guó)博弈的日益激烈，技術(shù)產(chǎn)業(yè)競(jìng)爭(zhēng)態(tài)勢(shì)逐漸加劇，供應(yīng)鏈安全的重要性不言而喻。美國(guó)近年來(lái)頻頻在供應(yīng)鏈問(wèn)題上大做文章，不僅通過(guò)加強(qiáng)管控以保護(hù)本國(guó)供應(yīng)鏈安全，更利用技術(shù)出口管制等手段遏制他國(guó)企業(yè)發(fā)展，阻斷他國(guó)供應(yīng)鏈，以此鞏固強(qiáng)化其世界霸權(quán)地位。

為了實(shí)現(xiàn)供應(yīng)鏈成本效益和創(chuàng)新，美國(guó)政府依靠商業(yè)信息和通信技術(shù)(ICT)部門提供支持關(guān)鍵任務(wù)網(wǎng)絡(luò)、系統(tǒng)和武器的組件和服務(wù)。這導(dǎo)致美國(guó)政府愈發(fā)依靠商業(yè)ICT供應(yīng)鏈的可信賴性。但是，由于全球化程度的提高以及陌生、未知和不斷變化的參與者在供應(yīng)鏈中的參與，商業(yè)ICT的可信賴性已變得不確定。美國(guó)政府必須解決這樣一個(gè)問(wèn)題，即ICT供應(yīng)鏈由于全球化而變得越來(lái)越容易被滲透，一些敵對(duì)勢(shì)力可以進(jìn)行未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、更改數(shù)據(jù)、中斷通信或破壞關(guān)鍵基礎(chǔ)設(shè)施。市場(chǎng)威脅眾所周知，但降低ICT供應(yīng)鏈風(fēng)險(xiǎn)的方法仍在探索。本篇據(jù)此介紹了美國(guó)政府針對(duì)該問(wèn)題提供的開(kāi)發(fā)國(guó)家安全系統(tǒng)(NSS)供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)初始能力的政策。

基本術(shù)語(yǔ)介紹

為了方便讀者理解，下面簡(jiǎn)單介紹一些在供應(yīng)鏈安全風(fēng)險(xiǎn)管理指導(dǎo)方針中常用的專業(yè)術(shù)語(yǔ)。

供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)：通過(guò)識(shí)別整個(gè)供應(yīng)鏈中的易感性、脆弱性和威脅，并制定緩解策略以應(yīng)對(duì)這些威脅的系統(tǒng)性流程，從而管理供應(yīng)鏈風(fēng)險(xiǎn)。這些威脅來(lái)自供應(yīng)商所供應(yīng)產(chǎn)品及其子組件全過(guò)程(例如，初始生產(chǎn)、包裝、裝卸、存儲(chǔ)、運(yùn)輸、任務(wù)運(yùn)營(yíng)和處置)。

供應(yīng)鏈風(fēng)險(xiǎn)：對(duì)手可能蓄意破壞、惡意引入不需要的功能，或以其它方式破壞供應(yīng)品或系統(tǒng)的設(shè)計(jì)、制造、生產(chǎn)、分發(fā)、安裝、操作或維護(hù)過(guò)程，從而監(jiān)視、拒絕、破壞或以其他方式降低系統(tǒng)的功能、使用或操作的風(fēng)險(xiǎn)。

全源情報(bào)：情報(bào)產(chǎn)品包括所有的信息來(lái)源，信息來(lái)源最常見(jiàn)的是人力資源情報(bào)、圖像情報(bào)、測(cè)量和簽名情報(bào)、信號(hào)情報(bào)和開(kāi)源數(shù)據(jù)等。

專用集成電路(ASIC)：定制設(shè)計(jì)或定制制造的集成電路。

關(guān)鍵任務(wù)元素：向系統(tǒng)交付關(guān)鍵任務(wù)功能的系統(tǒng)組件或子系統(tǒng)，或者由于系統(tǒng)設(shè)計(jì)而使關(guān)鍵任務(wù)功能出現(xiàn)漏洞的系統(tǒng)組件或子系統(tǒng)。

關(guān)鍵任務(wù)功能：任何系統(tǒng)功能，其折中都會(huì)降低該系統(tǒng)實(shí)現(xiàn)其設(shè)計(jì)核心任務(wù)的效率。

其它的一些術(shù)語(yǔ)縮略語(yǔ)詳細(xì)介紹如下表：

專業(yè)術(shù)語(yǔ)對(duì)照表

指導(dǎo)方針

美國(guó)政府必須利用強(qiáng)化的政府行為，并在可能的情況下通過(guò)市場(chǎng)激勵(lì)措施和競(jìng)爭(zhēng)程序來(lái)推動(dòng)改進(jìn)商業(yè)行為，實(shí)現(xiàn)國(guó)家安全系統(tǒng)(NSS)、新技術(shù)和產(chǎn)品以及托管服務(wù)中的安全目標(biāo)，以應(yīng)對(duì)產(chǎn)生的動(dòng)態(tài)威脅。

CNSSP第22號(hào)文件“國(guó)家安全系統(tǒng)的信息保證風(fēng)險(xiǎn)管理政策”和國(guó)家綜合網(wǎng)絡(luò)安全計(jì)劃(CNCI)制定的策略中，確定了開(kāi)發(fā)和部署功能的最低標(biāo)準(zhǔn)，用于保護(hù)NSS免受供應(yīng)鏈風(fēng)險(xiǎn)。其要求供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)應(yīng)保護(hù)NSS的機(jī)密性、完整性和可用性，并減輕和管理上述威脅帶來(lái)的風(fēng)險(xiǎn)。

[[326972]]

圖1 供應(yīng)鏈風(fēng)險(xiǎn)管理

SCRM政策詳情

政策概況

美國(guó)政府部門和機(jī)構(gòu)應(yīng)建立組織供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)能力，通過(guò)使用全源情報(bào)提供的供應(yīng)鏈威脅信息，告知采購(gòu)和工程緩解措施，在整個(gè)系統(tǒng)生命周期的早期及整個(gè)NSS中識(shí)別和管理NSS的供應(yīng)鏈風(fēng)險(xiǎn)。

SCRM流程

NSS內(nèi)任務(wù)關(guān)鍵要素的采購(gòu)和運(yùn)營(yíng)建議按下述流程實(shí)施：

A.在整個(gè)生命周期(包括商業(yè)元素或子元素)中控制軟件、硬件和系統(tǒng)的質(zhì)量、配置及安全性。

B.檢測(cè)惡意事件發(fā)生的情況，并減少其發(fā)生的可能性，從而減輕偽造或惡意植入造成的風(fēng)險(xiǎn)。

C.通過(guò)增強(qiáng)的測(cè)試和評(píng)估來(lái)開(kāi)發(fā)需求或能力，以檢測(cè)定制商品硬件和軟件中的漏洞的發(fā)生。

D.通過(guò)在整個(gè)系統(tǒng)生命周期中實(shí)施系統(tǒng)安全工程來(lái)增強(qiáng)安全性。

E.優(yōu)化供應(yīng)鏈中的采購(gòu)過(guò)程和合同，優(yōu)先考慮能以可驗(yàn)證的方式使供應(yīng)鏈風(fēng)險(xiǎn)最小化的供應(yīng)商，并以其它合理因素(例如低成本、快速部署或新功能)評(píng)估安全性。

F.實(shí)施采購(gòu)流程，進(jìn)行記錄和監(jiān)視，并在整個(gè)系統(tǒng)生命周期內(nèi)提供文檔更新。

政策具體職責(zé)

美國(guó)政府部門和機(jī)構(gòu)負(fù)責(zé)人應(yīng)制定符合部門或機(jī)構(gòu)特定的SCRM能力計(jì)劃發(fā)展戰(zhàn)略并記錄，其中應(yīng)包括：

A.將SCRM實(shí)踐和風(fēng)險(xiǎn)緩解措施集成到部門或代理商特定的系統(tǒng)和購(gòu)置生命周期流程。

B.在本指令發(fā)布之日起一年內(nèi)啟動(dòng)SCRM功能，開(kāi)始逐步實(shí)施，并獲得確定和開(kāi)發(fā)實(shí)現(xiàn)全面SCRM功能所需的計(jì)劃、工具和技能所需的經(jīng)驗(yàn)。初始SCRM功能應(yīng)包括：

a)與國(guó)家情報(bào)局長(zhǎng)辦公室(ODNI)、國(guó)家反情報(bào)執(zhí)行辦公室(ONCIX)協(xié)調(diào)，建立所有使用來(lái)源存在威脅的信息的流程和政策。

b)制定和實(shí)施威脅評(píng)估的最低標(biāo)準(zhǔn)，以便為NSS的關(guān)鍵任務(wù)元素提供風(fēng)險(xiǎn)管理決策。

c)確定和優(yōu)先考慮NSS，以初步實(shí)施SCRM最佳實(shí)踐。

C.在實(shí)現(xiàn)本指令發(fā)布之日起的六年內(nèi)實(shí)施全面SCRM功能以保護(hù)NSS的主要里程碑。

D.為SCRM優(yōu)先考慮NSS的關(guān)鍵任務(wù)元素的流程，并在NSS的生命周期中應(yīng)用SCRM，包括系統(tǒng)收購(gòu)和商品購(gòu)買。

E.確定適當(dāng)?shù)臓款^組織，以管理和支持全面的SCRM功能。

最佳實(shí)踐

SCRM的最佳實(shí)踐主要包括了政府系統(tǒng)中的應(yīng)用。

(1)在政府部門中，2010年6月提出了NISTIR 7622草案，在聯(lián)邦信息系統(tǒng)中進(jìn)行供應(yīng)鏈風(fēng)險(xiǎn)管理試點(diǎn)。此文檔提供了一套面向高影響力級(jí)別的信息系統(tǒng)的實(shí)踐。旨在促進(jìn)信息系統(tǒng)的獲取、開(kāi)發(fā)和運(yùn)行，以在全球化環(huán)境中與對(duì)手一起滿足成本，進(jìn)度和性能要求。

(2)此外，還提出了國(guó)防工業(yè)協(xié)會(huì)的系統(tǒng)保證工程。在文檔中提供了有關(guān)如何在整個(gè)生命周期內(nèi)將保證構(gòu)建到系統(tǒng)中的指南。它確定并討論了系統(tǒng)工程活動(dòng)、過(guò)程、工具和注意事項(xiàng)，以解決系統(tǒng)保證問(wèn)題。

(3)US-CERT維護(hù)軟件保證(SwA)袖珍指南系列，介紹軟件保證在采購(gòu)和外包、系統(tǒng)開(kāi)發(fā)、系統(tǒng)生命周期和度量方面的應(yīng)用。SwA口袋指南是由SwA論壇和工作組合作開(kāi)發(fā)的，這些論壇和工作組作為一個(gè)利益相關(guān)者社區(qū)，歡迎更多的人參與推進(jìn)和改進(jìn)軟件安全。

圖2 SCRM在政府部門的最佳實(shí)踐

總 結(jié)

過(guò)去不論是從國(guó)家地方層面來(lái)看，還是從各個(gè)經(jīng)濟(jì)管理部門角度來(lái)看，整體上都是發(fā)展導(dǎo)向的，都是技術(shù)趕超導(dǎo)向的。我們整個(gè)產(chǎn)業(yè)鏈的安全管理體系基本上是缺失的。我認(rèn)為隨著疫情的發(fā)展，隨著中美貿(mào)易摩擦的升級(jí)，隨著全球供應(yīng)鏈的調(diào)整，產(chǎn)業(yè)鏈安全管理應(yīng)該成為產(chǎn)業(yè)發(fā)展的一個(gè)約束性和前置性的工作。我們所有的產(chǎn)業(yè)發(fā)展的政策和戰(zhàn)略應(yīng)當(dāng)放在產(chǎn)業(yè)鏈安全管理體系這個(gè)大的框架下來(lái)研究和制訂，這樣才能為未來(lái)中國(guó)的供應(yīng)鏈安全評(píng)估和風(fēng)險(xiǎn)預(yù)警管理建立一種長(zhǎng)效機(jī)制，才能真正使得我們能更加有效的應(yīng)對(duì)中美貿(mào)易摩擦，應(yīng)對(duì)全球技術(shù)變化，應(yīng)對(duì)疫情災(zāi)害甚至戰(zhàn)爭(zhēng)等等一些突發(fā)性事件。

【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文