旷世神医,魔天记忘语小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

聊聊美國CNSS標準供應鏈風險管理

背景

創(chuàng)新互聯(lián)建站服務項目包括豐都網(wǎng)站建設、豐都網(wǎng)站制作、豐都網(wǎng)頁制作以及豐都網(wǎng)絡營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，豐都網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務的客戶以成都為中心已經(jīng)輻射到豐都省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

近期，美國政府以國家安全為名，強制采取了一系列供應鏈管控手段，其中包括將華為公司加入實體清單，限制華為公司產(chǎn)品在美國的出口。隨著大國博弈的日益激烈，技術產(chǎn)業(yè)競爭態(tài)勢逐漸加劇，供應鏈安全的重要性不言而喻。美國近年來頻頻在供應鏈問題上大做文章，不僅通過加強管控以保護本國供應鏈安全，更利用技術出口管制等手段遏制他國企業(yè)發(fā)展，阻斷他國供應鏈，以此鞏固強化其世界霸權地位。

為了實現(xiàn)供應鏈成本效益和創(chuàng)新，美國政府依靠商業(yè)信息和通信技術(ICT)部門提供支持關鍵任務網(wǎng)絡、系統(tǒng)和武器的組件和服務。這導致美國政府愈發(fā)依靠商業(yè)ICT供應鏈的可信賴性。但是，由于全球化程度的提高以及陌生、未知和不斷變化的參與者在供應鏈中的參與，商業(yè)ICT的可信賴性已變得不確定。美國政府必須解決這樣一個問題，即ICT供應鏈由于全球化而變得越來越容易被滲透，一些敵對勢力可以進行未經(jīng)授權的數(shù)據(jù)訪問、更改數(shù)據(jù)、中斷通信或破壞關鍵基礎設施。市場威脅眾所周知，但降低ICT供應鏈風險的方法仍在探索。本篇據(jù)此介紹了美國政府針對該問題提供的開發(fā)國家安全系統(tǒng)(NSS)供應鏈風險管理(SCRM)初始能力的政策。

基本術語介紹

為了方便讀者理解，下面簡單介紹一些在供應鏈安全風險管理指導方針中常用的專業(yè)術語。

供應鏈風險管理(SCRM)：通過識別整個供應鏈中的易感性、脆弱性和威脅，并制定緩解策略以應對這些威脅的系統(tǒng)性流程，從而管理供應鏈風險。這些威脅來自供應商所供應產(chǎn)品及其子組件全過程(例如，初始生產(chǎn)、包裝、裝卸、存儲、運輸、任務運營和處置)。

供應鏈風險：對手可能蓄意破壞、惡意引入不需要的功能，或以其它方式破壞供應品或系統(tǒng)的設計、制造、生產(chǎn)、分發(fā)、安裝、操作或維護過程，從而監(jiān)視、拒絕、破壞或以其他方式降低系統(tǒng)的功能、使用或操作的風險。

全源情報：情報產(chǎn)品包括所有的信息來源，信息來源最常見的是人力資源情報、圖像情報、測量和簽名情報、信號情報和開源數(shù)據(jù)等。

專用集成電路(ASIC)：定制設計或定制制造的集成電路。

關鍵任務元素：向系統(tǒng)交付關鍵任務功能的系統(tǒng)組件或子系統(tǒng)，或者由于系統(tǒng)設計而使關鍵任務功能出現(xiàn)漏洞的系統(tǒng)組件或子系統(tǒng)。

關鍵任務功能：任何系統(tǒng)功能，其折中都會降低該系統(tǒng)實現(xiàn)其設計核心任務的效率。

其它的一些術語縮略語詳細介紹如下表：

術語	解釋
SUPPLY CHAIN RISK MANAGEMENT(SCRM)	供應鏈風險管理
National Security Systems（NSS）	國家安全系統(tǒng)
information and communications technology (ICT)	信息和通信技術
Comprehensive National Cybersecurity Initiative (CNCI)	國家網(wǎng)絡安全計劃
Committee on National Security Systems Policy（CNSSP）	國家安全系統(tǒng)政策委員會
National Security Directive (NSD)-	國家安全指令
Office of the Director of National Intelligence (ODNI)	國家情報局局長辦公室
Office of the National Counterintelligence Executive (ONCIX)	國家反情報執(zhí)行辦公室
Defense Microelectronic Activity (DMEA)	國防微電子活動
Software Assurance (SwA)	軟件保證

專業(yè)術語對照表

指導方針

美國政府必須利用強化的政府行為，并在可能的情況下通過市場激勵措施和競爭程序來推動改進商業(yè)行為，實現(xiàn)國家安全系統(tǒng)(NSS)、新技術和產(chǎn)品以及托管服務中的安全目標，以應對產(chǎn)生的動態(tài)威脅。

CNSSP第22號文件“國家安全系統(tǒng)的信息保證風險管理政策”和國家綜合網(wǎng)絡安全計劃(CNCI)制定的策略中，確定了開發(fā)和部署功能的最低標準，用于保護NSS免受供應鏈風險。其要求供應鏈風險管理(SCRM)應保護NSS的機密性、完整性和可用性，并減輕和管理上述威脅帶來的風險。

圖1 供應鏈風險管理

SCRM政策詳情

政策概況

美國政府部門和機構(gòu)應建立組織供應鏈風險管理(SCRM)能力，通過使用全源情報提供的供應鏈威脅信息，告知采購和工程緩解措施，在整個系統(tǒng)生命周期的早期及整個NSS中識別和管理NSS的供應鏈風險。

SCRM流程

NSS內(nèi)任務關鍵要素的采購和運營建議按下述流程實施：

A.在整個生命周期(包括商業(yè)元素或子元素)中控制軟件、硬件和系統(tǒng)的質(zhì)量、配置及安全性。

B.檢測惡意事件發(fā)生的情況，并減少其發(fā)生的可能性，從而減輕偽造或惡意植入造成的風險。

C.通過增強的測試和評估來開發(fā)需求或能力，以檢測定制商品硬件和軟件中的漏洞的發(fā)生。

D.通過在整個系統(tǒng)生命周期中實施系統(tǒng)安全工程來增強安全性。

E.優(yōu)化供應鏈中的采購過程和合同，優(yōu)先考慮能以可驗證的方式使供應鏈風險最小化的供應商，并以其它合理因素(例如低成本、快速部署或新功能)評估安全性。

F.實施采購流程，進行記錄和監(jiān)視，并在整個系統(tǒng)生命周期內(nèi)提供文檔更新。

政策具體職責

美國政府部門和機構(gòu)負責人應制定符合部門或機構(gòu)特定的SCRM能力計劃發(fā)展戰(zhàn)略并記錄，其中應包括：

A.將SCRM實踐和風險緩解措施集成到部門或代理商特定的系統(tǒng)和購置生命周期流程。

B.在本指令發(fā)布之日起一年內(nèi)啟動SCRM功能，開始逐步實施，并獲得確定和開發(fā)實現(xiàn)全面SCRM功能所需的計劃、工具和技能所需的經(jīng)驗。初始SCRM功能應包括：

a)與國家情報局長辦公室(ODNI)、國家反情報執(zhí)行辦公室(ONCIX)協(xié)調(diào)，建立所有使用來源存在威脅的信息的流程和政策。

b)制定和實施威脅評估的最低標準，以便為NSS的關鍵任務元素提供風險管理決策。

c)確定和優(yōu)先考慮NSS，以初步實施SCRM最佳實踐。

C.在實現(xiàn)本指令發(fā)布之日起的六年內(nèi)實施全面SCRM功能以保護NSS的主要里程碑。

D.為SCRM優(yōu)先考慮NSS的關鍵任務元素的流程，并在NSS的生命周期中應用SCRM，包括系統(tǒng)收購和商品購買。

E.確定適當?shù)臓款^組織，以管理和支持全面的SCRM功能。

最佳實踐

SCRM的最佳實踐主要包括了政府系統(tǒng)中的應用。

(1)在政府部門中，2010年6月提出了NISTIR 7622草案，在聯(lián)邦信息系統(tǒng)中進行供應鏈風險管理試點。此文檔提供了一套面向高影響力級別的信息系統(tǒng)的實踐。旨在促進信息系統(tǒng)的獲取、開發(fā)和運行，以在全球化環(huán)境中與對手一起滿足成本，進度和性能要求。

(2)此外，還提出了國防工業(yè)協(xié)會的系統(tǒng)保證工程。在文檔中提供了有關如何在整個生命周期內(nèi)將保證構(gòu)建到系統(tǒng)中的指南。它確定并討論了系統(tǒng)工程活動、過程、工具和注意事項，以解決系統(tǒng)保證問題。

(3)US-CERT維護軟件保證(SwA)袖珍指南系列，介紹軟件保證在采購和外包、系統(tǒng)開發(fā)、系統(tǒng)生命周期和度量方面的應用。SwA口袋指南是由SwA論壇和工作組合作開發(fā)的，這些論壇和工作組作為一個利益相關者社區(qū)，歡迎更多的人參與推進和改進軟件安全。

圖2 SCRM在政府部門的最佳實踐

總結(jié)

過去不論是從國家地方層面來看，還是從各個經(jīng)濟管理部門角度來看，整體上都是發(fā)展導向的，都是技術趕超導向的。我們整個產(chǎn)業(yè)鏈的安全管理體系基本上是缺失的。我認為隨著疫情的發(fā)展，隨著中美貿(mào)易摩擦的升級，隨著全球供應鏈的調(diào)整，產(chǎn)業(yè)鏈安全管理應該成為產(chǎn)業(yè)發(fā)展的一個約束性和前置性的工作。我們所有的產(chǎn)業(yè)發(fā)展的政策和戰(zhàn)略應當放在產(chǎn)業(yè)鏈安全管理體系這個大的框架下來研究和制訂，這樣才能為未來中國的供應鏈安全評估和風險預警管理建立一種長效機制，才能真正使得我們能更加有效的應對中美貿(mào)易摩擦，應對全球技術變化，應對疫情災害甚至戰(zhàn)爭等等一些突發(fā)性事件。

本文名稱：聊聊美國CNSS標準供應鏈風險管理
轉(zhuǎn)載來于：http://m.fisionsoft.com.cn/article/coccesj.html

新聞中心

其他資訊