查看原文
其他

看美国如何应对“来自中国的供应链漏洞”下篇 ——美国SCRM国家战略和对我国的启示

蔡梦楠 冯 越 中国保密协会科学技术分会 2022-10-02

美国建立SCRM国家战略和协调机制

有效的供应链风险管理SCRM应能够预测供应链的未来发展,识别供应链面临的潜在威胁,减轻或解决供应链未来可能面临的威胁。那么美国政府是如何管理与中国制造的产品和服务以及中国公司参与其ICT供应链相关风险的呢?美国拟实施的ICT供应链风险的最佳管理方法有以下五种:

(1)采用自适应SCRM流程。美国国家标准和技术研究所(NIST)一直制定高质量、可实施的标准,以改善供应链安全和信通技术系统的网络安全,但NIST开发的供应链控制仅适用于具有“显著影响”(high- impact)的美国信息系统。决策者必须增强而不是阻碍NIST 等成功合作实体的努力,并在非保密的公共领域尽可能多地讨论供应链威胁。这些步骤将确保新的SCRM策略能够自适应、协作并获得所有相关方的认可。

(2)建立美国信通技术SCRM的集中领导。目前没有统一的、整体的SCRM方法,大多数与SCRM相关的情报收集活动都是以人为本而不是以技术为基础,这使得联邦SCRM计划难以全面应对全球威胁,也难以随着需求的增加而扩展。法律法规之间的冲突和混乱导致漏洞、重复劳动和政策执行不一致。

国会和行政部门应鼓励信息共享和巩固美国SCRM领导,以优化收集和传播工作。为SCRM的中央领导配备适当的资源和人员,负责将进入联邦IT网络的产品供应商和增值转销商按规定的级别审查。管理和预算办公室 (OMB)可以进行SCRM的中央权利分配。SCRM中心将提供权威数据和持续监测,减少对特定机构SCRM的需求,并将重点放在特定配置和实施情况上。OMB需要在非保密的世界中运作,同时与保密环境有直接联系和追溯权,以确保其与已知威胁保持一致。

(3)将美国法规条例与拨款挂钩。建议:1.扩大Wolf条款,或《综合和进一步持续拨款法》的第515条,以适用于所有联邦机构和实体。2.利用年度报告为所有联邦政府实体建立一个“最佳实践库”,提高信息共享和对不断变化的风险的认识。

(4)促进供应链透明度和与工业界伙伴关系。促进联邦信通技术提供商以及初级或一级供应商的公开上市,或至少向政府客户披露这些信息。政府应根据所需的风险管理严格程度推动自身供应链中的所有供应商提高透明度。

(5)制定前瞻性政策。未来的风险将涉及软件、基于云的基础架构和超融合产品。供应商或制造商的业务联盟、投资来源以及联合研发也是风险的来源。识别这些风险并创造性地解决它们是SCRM适应性方法的一部分。

对我国的启示

对中国来说,可以从产业竞争力、 国家大战略和未来主导权三个角度来考虑:

(1)高度重视并提升我国 ICT 产业自身供应链安全等级

美国为了自身的政治经济利益和国家安全,将会进一步提升产品供应链的安全审查等级。但是这一审查并不保密,而且为了达到理想的效果,必须建立协作与信息共享机制。因此,中国的 ICT 产业供应链商应当主动提高自身的安全等级。另一方面,要高度重视并提升产品来抵御全球供应链风险的能力,尽早建立起包括产品和行为体在内的全周期、可追溯的风险档案与风险管理预案机制。

(2)要立足我国国家战略利益进一步促进全球供应链与供应链伙伴关系的透明化

一方面,需要依靠自身供应链的追溯和管理以及与其他层级供应链商和实体进行配合;另一方面,可进一步促进全球 ICT 供应链与供应链伙伴关系的透明度提升,以此开拓并扩展我国 ICT 产品的全球供应链业务。

(3)提前关注来自软件供应链的风险管理并抢占规则制定主导权

中国应当提前布局,尽早建立一套自主研发用于监测、识别、分析、储存、 预警、治理的“未来 ICT 供应链风险管控体系”,抢占技术制高点与先机。这一系列的标准和规范形成体系之后,还可以寻求成为国际标准,占据未来 ICT 供应链上游的规则制定主导权。

参考文献:

[1] 美拟制定信息通信技术“供应链风险管理国家战略”以应对来自中国的供应链漏洞[EB/OL]. https://www.sohu.com/a/238092258_468736.

[2] Tara, Beeny, Senior, Business, Analyst, Interos, Solutions, Inc. Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology [M]. 美国:Interos Solutions, 2018.

中国保密协会

科学技术分会

长按扫码关注我们

作者:蔡梦楠  冯  越

责编:何   洁

往期精彩文章TOP5回顾

美国攻击窃密能力背后的顶层架构

美国网络安全体系架构简介

起底突破物理隔离的USB设备攻击窃密技术

请注意:扬声器、耳机也能窃密了!——Mosquito攻击技术

兰德公司对网络空间安全防御的建议

近期精彩文章回顾

看美国如何“来自中国的供应链漏洞”中篇 ——美国研究报告渲染中国制造威胁论

看美国如何应对“来自中国的ICT供应链漏洞” 上篇——美国政府ICT供应链现状

计算机电磁泄漏的那些事儿

利用STPA-SafeSec分析工业控制安全

PLC信息安全防护技术研究(下篇)

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存