日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

背 景

創(chuàng)新互聯(lián)建站服務(wù)項(xiàng)目包括豐都網(wǎng)站建設(shè)、豐都網(wǎng)站制作、豐都網(wǎng)頁制作以及豐都網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，豐都網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到豐都省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

近期，美國政府以國家安全為名，強(qiáng)制采取了一系列供應(yīng)鏈管控手段，其中包括將華為公司加入實(shí)體清單，限制華為公司產(chǎn)品在美國的出口。隨著大國博弈的日益激烈，技術(shù)產(chǎn)業(yè)競(jìng)爭態(tài)勢(shì)逐漸加劇，供應(yīng)鏈安全的重要性不言而喻。美國近年來頻頻在供應(yīng)鏈問題上大做文章，不僅通過加強(qiáng)管控以保護(hù)本國供應(yīng)鏈安全，更利用技術(shù)出口管制等手段遏制他國企業(yè)發(fā)展，阻斷他國供應(yīng)鏈，以此鞏固強(qiáng)化其世界霸權(quán)地位。

為了實(shí)現(xiàn)供應(yīng)鏈成本效益和創(chuàng)新，美國政府依靠商業(yè)信息和通信技術(shù)(ICT)部門提供支持關(guān)鍵任務(wù)網(wǎng)絡(luò)、系統(tǒng)和武器的組件和服務(wù)。這導(dǎo)致美國政府愈發(fā)依靠商業(yè)ICT供應(yīng)鏈的可信賴性。但是，由于全球化程度的提高以及陌生、未知和不斷變化的參與者在供應(yīng)鏈中的參與，商業(yè)ICT的可信賴性已變得不確定。美國政府必須解決這樣一個(gè)問題，即ICT供應(yīng)鏈由于全球化而變得越來越容易被滲透，一些敵對(duì)勢(shì)力可以進(jìn)行未經(jīng)授權(quán)的數(shù)據(jù)訪問、更改數(shù)據(jù)、中斷通信或破壞關(guān)鍵基礎(chǔ)設(shè)施。市場(chǎng)威脅眾所周知，但降低ICT供應(yīng)鏈風(fēng)險(xiǎn)的方法仍在探索。本篇據(jù)此介紹了美國政府針對(duì)該問題提供的開發(fā)國家安全系統(tǒng)(NSS)供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)初始能力的政策。

基本術(shù)語介紹

為了方便讀者理解，下面簡單介紹一些在供應(yīng)鏈安全風(fēng)險(xiǎn)管理指導(dǎo)方針中常用的專業(yè)術(shù)語。

供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)：通過識(shí)別整個(gè)供應(yīng)鏈中的易感性、脆弱性和威脅，并制定緩解策略以應(yīng)對(duì)這些威脅的系統(tǒng)性流程，從而管理供應(yīng)鏈風(fēng)險(xiǎn)。這些威脅來自供應(yīng)商所供應(yīng)產(chǎn)品及其子組件全過程(例如，初始生產(chǎn)、包裝、裝卸、存儲(chǔ)、運(yùn)輸、任務(wù)運(yùn)營和處置)。

供應(yīng)鏈風(fēng)險(xiǎn)：對(duì)手可能蓄意破壞、惡意引入不需要的功能，或以其它方式破壞供應(yīng)品或系統(tǒng)的設(shè)計(jì)、制造、生產(chǎn)、分發(fā)、安裝、操作或維護(hù)過程，從而監(jiān)視、拒絕、破壞或以其他方式降低系統(tǒng)的功能、使用或操作的風(fēng)險(xiǎn)。

全源情報(bào)：情報(bào)產(chǎn)品包括所有的信息來源，信息來源最常見的是人力資源情報(bào)、圖像情報(bào)、測(cè)量和簽名情報(bào)、信號(hào)情報(bào)和開源數(shù)據(jù)等。

專用集成電路(ASIC)：定制設(shè)計(jì)或定制制造的集成電路。

關(guān)鍵任務(wù)元素：向系統(tǒng)交付關(guān)鍵任務(wù)功能的系統(tǒng)組件或子系統(tǒng)，或者由于系統(tǒng)設(shè)計(jì)而使關(guān)鍵任務(wù)功能出現(xiàn)漏洞的系統(tǒng)組件或子系統(tǒng)。

關(guān)鍵任務(wù)功能：任何系統(tǒng)功能，其折中都會(huì)降低該系統(tǒng)實(shí)現(xiàn)其設(shè)計(jì)核心任務(wù)的效率。

其它的一些術(shù)語縮略語詳細(xì)介紹如下表：

術(shù)語	解釋
SUPPLY CHAIN RISK MANAGEMENT(SCRM)	供應(yīng)鏈風(fēng)險(xiǎn)管理
National  Security Systems（NSS）	國家安全系統(tǒng)
information and communications  technology (ICT)	信息和通信技術(shù)
Comprehensive National Cybersecurity  Initiative (CNCI)	國家網(wǎng)絡(luò)安全計(jì)劃
Committee  on National Security Systems Policy（CNSSP）	國家安全系統(tǒng)政策委員會(huì)
National Security Directive (NSD)-	國家安全指令
Office of the Director of National  Intelligence (ODNI)	國家情報(bào)局局長辦公室
Office of the National  Counterintelligence Executive (ONCIX)	國家反情報(bào)執(zhí)行辦公室
Defense Microelectronic Activity  (DMEA)	國防微電子活動(dòng)
Software Assurance (SwA)	軟件保證

專業(yè)術(shù)語對(duì)照表

指導(dǎo)方針

美國政府必須利用強(qiáng)化的政府行為，并在可能的情況下通過市場(chǎng)激勵(lì)措施和競(jìng)爭程序來推動(dòng)改進(jìn)商業(yè)行為，實(shí)現(xiàn)國家安全系統(tǒng)(NSS)、新技術(shù)和產(chǎn)品以及托管服務(wù)中的安全目標(biāo)，以應(yīng)對(duì)產(chǎn)生的動(dòng)態(tài)威脅。

CNSSP第22號(hào)文件“國家安全系統(tǒng)的信息保證風(fēng)險(xiǎn)管理政策”和國家綜合網(wǎng)絡(luò)安全計(jì)劃(CNCI)制定的策略中，確定了開發(fā)和部署功能的最低標(biāo)準(zhǔn)，用于保護(hù)NSS免受供應(yīng)鏈風(fēng)險(xiǎn)。其要求供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)應(yīng)保護(hù)NSS的機(jī)密性、完整性和可用性，并減輕和管理上述威脅帶來的風(fēng)險(xiǎn)。

圖1 供應(yīng)鏈風(fēng)險(xiǎn)管理

SCRM政策詳情

政策概況

美國政府部門和機(jī)構(gòu)應(yīng)建立組織供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)能力，通過使用全源情報(bào)提供的供應(yīng)鏈威脅信息，告知采購和工程緩解措施，在整個(gè)系統(tǒng)生命周期的早期及整個(gè)NSS中識(shí)別和管理NSS的供應(yīng)鏈風(fēng)險(xiǎn)。

SCRM流程

NSS內(nèi)任務(wù)關(guān)鍵要素的采購和運(yùn)營建議按下述流程實(shí)施：

A.在整個(gè)生命周期(包括商業(yè)元素或子元素)中控制軟件、硬件和系統(tǒng)的質(zhì)量、配置及安全性。

B.檢測(cè)惡意事件發(fā)生的情況，并減少其發(fā)生的可能性，從而減輕偽造或惡意植入造成的風(fēng)險(xiǎn)。

C.通過增強(qiáng)的測(cè)試和評(píng)估來開發(fā)需求或能力，以檢測(cè)定制商品硬件和軟件中的漏洞的發(fā)生。

D.通過在整個(gè)系統(tǒng)生命周期中實(shí)施系統(tǒng)安全工程來增強(qiáng)安全性。

E.優(yōu)化供應(yīng)鏈中的采購過程和合同，優(yōu)先考慮能以可驗(yàn)證的方式使供應(yīng)鏈風(fēng)險(xiǎn)最小化的供應(yīng)商，并以其它合理因素(例如低成本、快速部署或新功能)評(píng)估安全性。

F.實(shí)施采購流程，進(jìn)行記錄和監(jiān)視，并在整個(gè)系統(tǒng)生命周期內(nèi)提供文檔更新。

政策具體職責(zé)

美國政府部門和機(jī)構(gòu)負(fù)責(zé)人應(yīng)制定符合部門或機(jī)構(gòu)特定的SCRM能力計(jì)劃發(fā)展戰(zhàn)略并記錄，其中應(yīng)包括：

A.將SCRM實(shí)踐和風(fēng)險(xiǎn)緩解措施集成到部門或代理商特定的系統(tǒng)和購置生命周期流程。

B.在本指令發(fā)布之日起一年內(nèi)啟動(dòng)SCRM功能，開始逐步實(shí)施，并獲得確定和開發(fā)實(shí)現(xiàn)全面SCRM功能所需的計(jì)劃、工具和技能所需的經(jīng)驗(yàn)。初始SCRM功能應(yīng)包括：

a)與國家情報(bào)局長辦公室(ODNI)、國家反情報(bào)執(zhí)行辦公室(ONCIX)協(xié)調(diào)，建立所有使用來源存在威脅的信息的流程和政策。

b)制定和實(shí)施威脅評(píng)估的最低標(biāo)準(zhǔn)，以便為NSS的關(guān)鍵任務(wù)元素提供風(fēng)險(xiǎn)管理決策。

c)確定和優(yōu)先考慮NSS，以初步實(shí)施SCRM最佳實(shí)踐。

C.在實(shí)現(xiàn)本指令發(fā)布之日起的六年內(nèi)實(shí)施全面SCRM功能以保護(hù)NSS的主要里程碑。

D.為SCRM優(yōu)先考慮NSS的關(guān)鍵任務(wù)元素的流程，并在NSS的生命周期中應(yīng)用SCRM，包括系統(tǒng)收購和商品購買。

E.確定適當(dāng)?shù)臓款^組織，以管理和支持全面的SCRM功能。

最佳實(shí)踐

SCRM的最佳實(shí)踐主要包括了政府系統(tǒng)中的應(yīng)用。

(1)在政府部門中，2010年6月提出了NISTIR 7622草案，在聯(lián)邦信息系統(tǒng)中進(jìn)行供應(yīng)鏈風(fēng)險(xiǎn)管理試點(diǎn)。此文檔提供了一套面向高影響力級(jí)別的信息系統(tǒng)的實(shí)踐。旨在促進(jìn)信息系統(tǒng)的獲取、開發(fā)和運(yùn)行，以在全球化環(huán)境中與對(duì)手一起滿足成本，進(jìn)度和性能要求。

(2)此外，還提出了國防工業(yè)協(xié)會(huì)的系統(tǒng)保證工程。在文檔中提供了有關(guān)如何在整個(gè)生命周期內(nèi)將保證構(gòu)建到系統(tǒng)中的指南。它確定并討論了系統(tǒng)工程活動(dòng)、過程、工具和注意事項(xiàng)，以解決系統(tǒng)保證問題。

(3)US-CERT維護(hù)軟件保證(SwA)袖珍指南系列，介紹軟件保證在采購和外包、系統(tǒng)開發(fā)、系統(tǒng)生命周期和度量方面的應(yīng)用。SwA口袋指南是由SwA論壇和工作組合作開發(fā)的，這些論壇和工作組作為一個(gè)利益相關(guān)者社區(qū)，歡迎更多的人參與推進(jìn)和改進(jìn)軟件安全。

圖2 SCRM在政府部門的最佳實(shí)踐

總 結(jié)

過去不論是從國家地方層面來看，還是從各個(gè)經(jīng)濟(jì)管理部門角度來看，整體上都是發(fā)展導(dǎo)向的，都是技術(shù)趕超導(dǎo)向的。我們整個(gè)產(chǎn)業(yè)鏈的安全管理體系基本上是缺失的。我認(rèn)為隨著疫情的發(fā)展，隨著中美貿(mào)易摩擦的升級(jí)，隨著全球供應(yīng)鏈的調(diào)整，產(chǎn)業(yè)鏈安全管理應(yīng)該成為產(chǎn)業(yè)發(fā)展的一個(gè)約束性和前置性的工作。我們所有的產(chǎn)業(yè)發(fā)展的政策和戰(zhàn)略應(yīng)當(dāng)放在產(chǎn)業(yè)鏈安全管理體系這個(gè)大的框架下來研究和制訂，這樣才能為未來中國的供應(yīng)鏈安全評(píng)估和風(fēng)險(xiǎn)預(yù)警管理建立一種長效機(jī)制，才能真正使得我們能更加有效的應(yīng)對(duì)中美貿(mào)易摩擦，應(yīng)對(duì)全球技術(shù)變化，應(yīng)對(duì)疫情災(zāi)害甚至戰(zhàn)爭等等一些突發(fā)性事件。

分享文章：聊聊美國CNSS標(biāo)準(zhǔn)供應(yīng)鏈風(fēng)險(xiǎn)管理
網(wǎng)站URL：http://www.5511xx.com/article/coccesj.html