背 景

近期，美國政府以國家安全為名，強制采取了一系列供應鏈管控手段，其中包括將華為公司加入實體清單，限制華為公司產品在美國的出口。隨著大國博弈的日益激烈，技術產業競爭態勢逐漸加劇，供應鏈安全的重要性不言而喻。美國近年來頻頻在供應鏈問題上大做文章，不僅通過加強管控以保護本國供應鏈安全，更利用技術出口管制等手段遏制他國企業發展，阻斷他國供應鏈，以此鞏固強化其世界霸權地位。

為了實現供應鏈成本效益和創新，美國政府依靠商業信息和通信技術(ICT)部門提供支持關鍵任務網絡、系統和武器的組件和服務。這導致美國政府愈發依靠商業ICT供應鏈的可信賴性。但是，由于全球化程度的提高以及陌生、未知和不斷變化的參與者在供應鏈中的參與，商業ICT的可信賴性已變得不確定。美國政府必須解決這樣一個問題，即ICT供應鏈由于全球化而變得越來越容易被滲透，一些敵對勢力可以進行未經授權的數據訪問、更改數據、中斷通信或破壞關鍵基礎設施。市場威脅眾所周知，但降低ICT供應鏈風險的方法仍在探索。本篇據此介紹了美國政府針對該問題提供的開發國家安全系統(NSS)供應鏈風險管理(SCRM)初始能力的政策。

基本術語介紹

為了方便讀者理解，下面簡單介紹一些在供應鏈安全風險管理指導方針中常用的專業術語。

供應鏈風險管理(SCRM)：通過識別整個供應鏈中的易感性、脆弱性和威脅，并制定緩解策略以應對這些威脅的系統性流程，從而管理供應鏈風險。這些威脅來自供應商所供應產品及其子組件全過程(例如，初始生產、包裝、裝卸、存儲、運輸、任務運營和處置)。

供應鏈風險：對手可能蓄意破壞、惡意引入不需要的功能，或以其它方式破壞供應品或系統的設計、制造、生產、分發、安裝、操作或維護過程，從而監視、拒絕、破壞或以其他方式降低系統的功能、使用或操作的風險。

全源情報：情報產品包括所有的信息來源，信息來源最常見的是人力資源情報、圖像情報、測量和簽名情報、信號情報和開源數據等。

專用集成電路(ASIC)：定制設計或定制制造的集成電路。

關鍵任務元素：向系統交付關鍵任務功能的系統組件或子系統，或者由于系統設計而使關鍵任務功能出現漏洞的系統組件或子系統。

關鍵任務功能：任何系統功能，其折中都會降低該系統實現其設計核心任務的效率。

其它的一些術語縮略語詳細介紹如下表：

專業術語對照表

指導方針

美國政府必須利用強化的政府行為，并在可能的情況下通過市場激勵措施和競爭程序來推動改進商業行為，實現國家安全系統(NSS)、新技術和產品以及托管服務中的安全目標，以應對產生的動態威脅。

CNSSP第22號文件“國家安全系統的信息保證風險管理政策”和國家綜合網絡安全計劃(CNCI)制定的策略中，確定了開發和部署功能的最低標準，用于保護NSS免受供應鏈風險。其要求供應鏈風險管理(SCRM)應保護NSS的機密性、完整性和可用性，并減輕和管理上述威脅帶來的風險。

[[326972]]

圖1 供應鏈風險管理

SCRM政策詳情

政策概況

美國政府部門和機構應建立組織供應鏈風險管理(SCRM)能力，通過使用全源情報提供的供應鏈威脅信息，告知采購和工程緩解措施，在整個系統生命周期的早期及整個NSS中識別和管理NSS的供應鏈風險。

SCRM流程

NSS內任務關鍵要素的采購和運營建議按下述流程實施：

A.在整個生命周期(包括商業元素或子元素)中控制軟件、硬件和系統的質量、配置及安全性。

B.檢測惡意事件發生的情況，并減少其發生的可能性，從而減輕偽造或惡意植入造成的風險。

C.通過增強的測試和評估來開發需求或能力，以檢測定制商品硬件和軟件中的漏洞的發生。

D.通過在整個系統生命周期中實施系統安全工程來增強安全性。

E.優化供應鏈中的采購過程和合同，優先考慮能以可驗證的方式使供應鏈風險最小化的供應商，并以其它合理因素(例如低成本、快速部署或新功能)評估安全性。

F.實施采購流程，進行記錄和監視，并在整個系統生命周期內提供文檔更新。

政策具體職責

美國政府部門和機構負責人應制定符合部門或機構特定的SCRM能力計劃發展戰略并記錄，其中應包括：

A.將SCRM實踐和風險緩解措施集成到部門或代理商特定的系統和購置生命周期流程。

B.在本指令發布之日起一年內啟動SCRM功能，開始逐步實施，并獲得確定和開發實現全面SCRM功能所需的計劃、工具和技能所需的經驗。初始SCRM功能應包括：

a)與國家情報局長辦公室(ODNI)、國家反情報執行辦公室(ONCIX)協調，建立所有使用來源存在威脅的信息的流程和政策。

b)制定和實施威脅評估的最低標準，以便為NSS的關鍵任務元素提供風險管理決策。

c)確定和優先考慮NSS，以初步實施SCRM最佳實踐。

C.在實現本指令發布之日起的六年內實施全面SCRM功能以保護NSS的主要里程碑。

D.為SCRM優先考慮NSS的關鍵任務元素的流程，并在NSS的生命周期中應用SCRM，包括系統收購和商品購買。

E.確定適當的牽頭組織，以管理和支持全面的SCRM功能。

最佳實踐

SCRM的最佳實踐主要包括了政府系統中的應用。

(1)在政府部門中，2010年6月提出了NISTIR 7622草案，在聯邦信息系統中進行供應鏈風險管理試點。此文檔提供了一套面向高影響力級別的信息系統的實踐。旨在促進信息系統的獲取、開發和運行，以在全球化環境中與對手一起滿足成本，進度和性能要求。

(2)此外，還提出了國防工業協會的系統保證工程。在文檔中提供了有關如何在整個生命周期內將保證構建到系統中的指南。它確定并討論了系統工程活動、過程、工具和注意事項，以解決系統保證問題。

(3)US-CERT維護軟件保證(SwA)袖珍指南系列，介紹軟件保證在采購和外包、系統開發、系統生命周期和度量方面的應用。SwA口袋指南是由SwA論壇和工作組合作開發的，這些論壇和工作組作為一個利益相關者社區，歡迎更多的人參與推進和改進軟件安全。

圖2 SCRM在政府部門的最佳實踐

總 結

過去不論是從國家地方層面來看，還是從各個經濟管理部門角度來看，整體上都是發展導向的，都是技術趕超導向的。我們整個產業鏈的安全管理體系基本上是缺失的。我認為隨著疫情的發展，隨著中美貿易摩擦的升級，隨著全球供應鏈的調整，產業鏈安全管理應該成為產業發展的一個約束性和前置性的工作。我們所有的產業發展的政策和戰略應當放在產業鏈安全管理體系這個大的框架下來研究和制訂，這樣才能為未來中國的供應鏈安全評估和風險預警管理建立一種長效機制，才能真正使得我們能更加有效的應對中美貿易摩擦，應對全球技術變化，應對疫情災害甚至戰爭等等一些突發性事件。

【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件，轉載請聯系原作者】

戳這里，看該作者更多好文