看美國如何應對“來自中國的供應鏈漏洞”下篇:美國SCRM國家戰略和對我國的啟示
美國建立SCRM國家戰略和協調機制
有效的供應鏈風險管理SCRM應能夠預測供應鏈的未來發展,識別供應鏈面臨的潛在威脅,減輕或解決供應鏈未來可能面臨的威脅。那么美國政府是如何管理與中國制造的產品和服務以及中國公司參與其ICT供應鏈相關風險的呢?美國擬實施的ICT供應鏈風險的***管理方法有以下五種:
(1)采用自適應SCRM流程。美國國家標準和技術研究所(NIST)一直制定高質量、可實施的標準,以改善供應鏈安全和信通技術系統的網絡安全,但NIST開發的供應鏈控制僅適用于具有“顯著影響”(high- impact)的美國信息系統。決策者必須增強而不是阻礙NIST 等成功合作實體的努力,并在非保密的公共領域盡可能多地討論供應鏈威脅。這些步驟將確保新的SCRM策略能夠自適應、協作并獲得所有相關方的認可。
(2)建立美國信通技術SCRM的集中領導。目前沒有統一的、整體的SCRM方法,大多數與SCRM相關的情報收集活動都是以人為本而不是以技術為基礎,這使得聯邦SCRM計劃難以全面應對全球威脅,也難以隨著需求的增加而擴展。法律法規之間的沖突和混亂導致漏洞、重復勞動和政策執行不一致。
國會和行政部門應鼓勵信息共享和鞏固美國SCRM領導,以優化收集和傳播工作。為SCRM的中央領導配備適當的資源和人員,負責將進入聯邦IT網絡的產品供應商和增值轉銷商按規定的級別審查。管理和預算辦公室 (OMB)可以進行SCRM的中央權利分配。SCRM中心將提供權威數據和持續監測,減少對特定機構SCRM的需求,并將重點放在特定配置和實施情況上。OMB需要在非保密的世界中運作,同時與保密環境有直接聯系和追溯權,以確保其與已知威脅保持一致。
(3)將美國法規條例與撥款掛鉤。建議:1.擴大Wolf條款,或《綜合和進一步持續撥款法》的第515條,以適用于所有聯邦機構和實體。2.利用年度報告為所有聯邦政府實體建立一個“***實踐庫”,提高信息共享和對不斷變化的風險的認識。
(4)促進供應鏈透明度和與工業界伙伴關系。促進聯邦信通技術提供商以及初級或一級供應商的公開上市,或至少向政府客戶披露這些信息。政府應根據所需的風險管理嚴格程度推動自身供應鏈中的所有供應商提高透明度。
(5)制定前瞻性政策。未來的風險將涉及軟件、基于云的基礎架構和超融合產品。供應商或制造商的業務聯盟、投資來源以及聯合研發也是風險的來源。識別這些風險并創造性地解決它們是SCRM適應性方法的一部分。
對我國的啟示
對中國來說,可以從產業競爭力、 國家大戰略和未來主導權三個角度來考慮:
(1)高度重視并提升我國 ICT 產業自身供應鏈安全等級
美國為了自身的政治經濟利益和國家安全,將會進一步提升產品供應鏈的安全審查等級。但是這一審查并不保密,而且為了達到理想的效果,必須建立協作與信息共享機制。因此,中國的 ICT 產業供應鏈商應當主動提高自身的安全等級。另一方面,要高度重視并提升產品來抵御全球供應鏈風險的能力,盡早建立起包括產品和行為體在內的全周期、可追溯的風險檔案與風險管理預案機制。
(2)要立足我國國家戰略利益進一步促進全球供應鏈與供應鏈伙伴關系的透明化
一方面,需要依靠自身供應鏈的追溯和管理以及與其他層級供應鏈商和實體進行配合;另一方面,可進一步促進全球 ICT 供應鏈與供應鏈伙伴關系的透明度提升,以此開拓并擴展我國 ICT 產品的全球供應鏈業務。
(3)提前關注來自軟件供應鏈的風險管理并搶占規則制定主導權
中國應當提前布局,盡早建立一套自主研發用于監測、識別、分析、儲存、 預警、治理的“未來 ICT 供應鏈風險管控體系”,搶占技術制高點與先機。這一系列的標準和規范形成體系之后,還可以尋求成為國際標準,占據未來 ICT 供應鏈上游的規則制定主導權。
參考文獻:
[1] 美擬制定信息通信技術“供應鏈風險管理國家戰略”以應對來自中國的供應鏈漏洞[EB/OL]. https://www.sohu.com/a/238092258_468736.
[2] Tara, Beeny, Senior, Business, Analyst, Interos, Solutions, Inc. Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology [M]. 美國:Interos Solutions, 2018.
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
