剖析美国政府视角下的ICT供应链安全

2018 年 11 月 15 日,美国国土安全部(DHS)宣布成立了信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组,这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。

之后该组织非常活跃,2024 年 2 月 6 日,该组织刚刚宣布将工作组延长两年。我们翻阅了该组织从成立至今参与和主导发布的大量文章,从这里面可以发现该组织对于后续美国政府在ICT供应链安全领域的立法及一系列政策的制定和实施起到了非常关键的作用,那么我们也可以基于该组织发布的系列内容了解美国政府视角下的ICT供应链安全发展趋势和现状。

那么本文我们就从该组织的一些关键时间线的关键事件来分析一下美国ICT供应链安全的发展情况。

2018年11月15日,ICT SCRM 成立

[1] 2018年11月15日,美国国土安全部宣布成立信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组。

该工作组有三名联合主席,分别是 Robert Mayer(CSCC 主席)代表通信部门、John Miller(主席 (IT-SCC) 代表 IT 部门)和 Bob Kolasky(CISA 国家风险管理中心助理主任)代表政府成员;

该工作组成员主要来自美国政府部门、IT届企业代表、通信行业企业代表,具体如下:

美国政府认为美国关键基础设施和各级政府严重依赖信息通信技术。确保 ICT 供应链的弹性和信任不仅仅是一个网络安全问题,更是一个影响国家安全、经济安全以及公共健康和安全的问题。ICT 供应链的设计、开发和生产、分销、采购和部署、维护和处置阶段很容易有意或无意地引入漏洞、恶意软件和硬件、假冒组件、劣质的产品设计、制造流程和维护程序都威胁着 ICT 供应链的安全、弹性和信任。而且过去已经出现过很多类似的事件,这并不是危言耸听。

该组织致力于识别和管理全球 ICT 供应链的风险,该组织的建立发挥了支点作用,集中政府和私营企业的力量建立协作框架。

2019年5月15日,美国13873号行政命令发布

[2]2019 年 5 月 15 日, 关于保护信息和通信技术及服务供应链安全的第 13873 号行政命令 (EO) 签署成为法律,该法律要求联邦政府加强对于美国关键基础设施的保护,以应对外部日益严峻的对于ICT的攻击威胁。

同时,该法律要求国土安全部部长应继续评估和识别在美国存在漏洞并对美国国家安全造成最大潜在后果的实体、硬件、软件和服务。国土安全部部长应酌情与特定部门机构和协调委员会协调,在本命令发布之日起 80 天内提出书面评估,此后每年提出一次。该评估应包括对多个信息和通信技术或服务提供商所依赖的硬件、软件或服务的评估,包括根据 2013年 2 月 12 日第 13636 号行政命令第 9 节确定的关键基础设施实体所依赖的通信服务。

2019年9月,ICT SCRM工作组发布中期报告

[3]第一次的中期报告应该是该工作组成立以后,对于职责划分和未来工作方向做了调研和讨论后得出一个阶段性的明确规划,对外发布的一个正式报告。从这份报告中可以大概了解该工作组当时的主要职责和工作方向大概分为四个:

1)信息共享工作组:开发一个通用框架,以便在整个社区内双向共享可操作的供应链风险信息。

2)威胁评估工作组:确定流程和标准,以更好地理解和评估对 ICT 供应商、产品和服务的威胁。

3)合格投标人名单和合格制造商名单(QBL/QML)工作组:确定细分市场和评估标准,以建立合格投标人和合格制造商名单,以解决供应商和产品纳入和排除的考虑因素。

4)激励从原始设备制造商 (OEM) 和授权经销商处购买 ICT 的政策建议工作组:政策建议主要旨在制止日益严重的假冒 ICT 采购问题。

在威胁评估小组的工作中,识别到当前最具威胁的项包括以下:

A.假冒零件

B.网络安全

C.内部安全操作和控制

D.系统开发生命周期 (SDLC) 流程和工具

E.内部威胁

F.经济风险

G.继承风险(延伸供应链)

H.法律风险

I.外部端到端供应链风险(自然灾害、地缘政治问题)

2020年9月,工作组发布第二年报告

2020年9月,ICT SCRM工作组发布了第二年的工作报告,从报告中可以看出过去一年的工作调整,首先是工作组由原来的四个工作组发展为五个工作组:

1)信息共享工作组 (WG1) :围绕双向信息共享的障碍,解决了供应链风险管理中一个离散且重要的生态系统范围挑战。结果将与所有其他工作组相关,但法律审查工作可能会在其他组相对自主的情况下进行

2)威胁评估工作组 (WG2) :对 ICT 供应链面临的威胁进行了分类,并提供具体的补救和恢复活动(映射到现有框架和标准),以帮助降低这些威胁带来的风险。这种供应链威胁始于第一年的供应商视角,然后在第二年扩展到产品和服务

3)合格投标人名单/合格制造商名单 (QBL/QML) 工作组 (WG3) :创建了 SCRM 标准,用于纳入合格投标人和制造商名单要求以及应用于各种联邦采购用例。有助于管理这些列表之一的包含或排除的标准也可以从 WG4 创建的模板的一部分中提取

4)供应商供应链风险管理 (SCRM) 保证模板工作组 (WG4) :创建了一个灵活敏捷的模板来回答关键问题,这些问题共同提供了对组织供应链风险管理状况的深入了解。该模板中提炼的问题以现有行业标准为基础,反映了与其他工作组工作组的合作。

5)COVID-19 影响研究工作组 (WG5) :研究了库存管理、供应链映射/透明度和供应链多样性等供应链运营主题,以了解基于外部事件对组织供应链的影响。

关于威胁评估工作组对于风险的分类和一年之前相比并没有什么区别,相比之下只是对于供应链产品和服务进行了明确的定义。

2021年2月24日,拜登签署关于保护美国供应链安全的第 14017 号行政命令

[5]2021年2月24日,美国总统拜登签署了关于保护美国供应链安全的第 14017 号行政命令,以增强美国供应链的弹性。该行政命令指示商务部 (DOC) 和国土安全部 (DHS)“提交一份关于信息和通信技术 (ICT) 工业基地关键部门和子部门供应链的报告(由商务部长和国土安全部长),包括开发信息通信技术软件、数据和相关服务的工业基础。

2022年2月,美国商务部部长&国土安全部部长联合发布《支持美国信息和通信技术产业的关键供应链评估》

[6]作为对于拜登的第 14017 号行政命令的回应,美国商务部及国土安全部在2022年2月联合发布了《支持美国信息和通信技术产业的关键供应链评估》报告,这份报告的长达96页,该报告主要从五个维度给出了美国ICT供应链现状分析:

1)ICT制造业现状及相关挑战:主要描述了美国的一些ICT核心产业的供应链不在美国本土带来的风险;

2)ICT软件行业的现状及相关风险:主要描述了两个风险,一个是开源软件安全问题带来的威胁;另外一个是商业的软件产品不透明带来的潜在威胁;

3)ICT相关领域劳动力下降带来的风险:大量的ICT外包导致美国本土的ICT劳动力数量大量下滑,从而带来严重威胁

4)ICT供应链中断风险:美国ICT供应链的结构性脆弱,包括某些产业供应链的单一性导致其很脆弱

5)ICT产业链的外部威胁:知识产权被窃取、网络入侵、气候问题、劳工标准的脆弱性等

当然,美国商务部和国土安全部也针对此给出了加强 ICT 供应链弹性的八大建议,作为美国长期战略:

  1. 振兴美国信息通信技术制造基地:通过适当的联邦采购激励措施和资助《国防生产法》第三章和创造有益激励措施等计划,支持关键信息通信技术产品的国内投资和生产,可能包括印刷电路板 (PCB) 和半导体为美国生产半导体法案。

  2. 通过安全和透明的供应链建立弹性:通过采购和监控工作促进供应链风险管理实践,例如为联邦政府实施 PCB 有保障的供应商计划以及在商务部建立关键供应链弹性计划。

  3. 与国际合作伙伴合作,提高供应链安全性和弹性:通过现有论坛改善国际参与,以促进 ICT 行业的共同利益。这些利益包括加强关键产品的供应链安全和多样性、加强贸易执法以及加强对国际标准制定的参与。

  4. 投资未来 ICT 技术:通过联邦计划和立法,支持和扩大旨在将新兴技术推向市场以及推进制造技术的计划,维持研发 (R&D) 生态系统。

  5. 加强信息通信技术劳动力管道:通过加强计算机科学课程和投资多种中学和高等教育途径,包括通过注册学徒、职业和技术教育项目以及社区学院,支持和扩大吸引、教育和培训信息通信技术劳动力的计划程式。赠款投资应与雇主主导的部门伙伴关系保持一致,以确保培训与现实世界的就业机会挂钩。

  6. 确保可持续性仍然是信息通信技术发展的基石:通过财政激励措施和政府计划,促进采用强化的劳工和环境标准以及更可持续的信息通信技术生产设施。

  7. 与行业利益相关者合作开展抗灾工作:加强公私合作,以提高人们对风险缓解技术和最佳实践的认识和采用,以确保 ICT 供应链的安全。

  8. 继续研究ICT产业基础:对PCB和相关微电子等关键ICT产品进行进一步的产业基础研究,以监测产业发展并指导长期政策规划。

2023年9月25日,发布用于供应链风险管理 (SCRM) 的硬件物料清单框架 (HBOM)

[7]网络安全和基础设施安全局 (CISA) 发布了信息和通信技术 (ICT) 供应链风险管理 (SCRM) 工作组针对供应链风险管理产品的新硬件物料清单框架 (HBOM),该框架致力于帮助ICT硬件产品提高透明度和可追溯性,利益相关者可以识别并解决供应链内的潜在风险,确保数字环境保持稳健和安全,抵御新出现的威胁和挑战。”

2024年2月6日,ICT SCRM 工作组延长两年

CISA 宣布工作组延长两年,工作组将继续开发有价值的产品,例如软件保障购买者指南,并继续与新成立的人工智能(AI)工作组相关的工作。

从ICT SCRM的成立及后续的工作日志可以看出,美国政府在ICT供应链安全方面的工作布局很早,且过程中相关政策和配套落地的更新非常频繁。可见,美国政府已充分认识到随着数字化产业的高速发展,ICT供应链的弹性、可信及安全是当前面临的重要挑战,也是未来的重要工作方向。

[1] https://www.dhs.gov/news/2018/11/15/dhs-announces-ict-supply-chain-risk-management-task-force-members

[2]https://www.federalregister.gov/documents/2019/05/17/2019-10538/securing-the-information-and-communications-technology-and-services-supply-chain

[3]https://www.cisa.gov/resources-tools/resources/ict-scrm-task-force-interim-report

[4]https://www.cisa.gov/sites/default/files/publications/ict-scrm-task-force_year-two-report_508.pdf

[5]https://www.whitehouse.gov/briefing-room/presidential-actions/2021/02/24/executive-order-on-americas-supply-chains/

[6]https://www.dhs.gov/sites/default/files/2022-02/ICT%20Supply%20Chain%20Report_2.pdf

[7]https://www.cisa.gov/news-events/news/cisa-releases-hardware-bill-materials-framework-hbom-supply-chain-risk-management-scrm

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/285637.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Docker Command

小试牛刀 # 查看docker版本 docker -v docker --version # 查看帮助 docker --help # 永远的Hello World docker run hello-world镜像操作 查看本地已有的镜像 docker images -a :列出本地所有的镜像(含中间映像层) -q :只显示镜像ID --digests :显示…

C# 右键快捷菜单(上下文菜单)的两种实现方式

在C#中,ContextMenuStrip是一种用于创建右键菜单的控件。它提供了一种方便的方式来为特定的控件或窗体添加自定义的上下文菜单选项。有两种实现方式,如下: 一.通过ContextMenuStrip控件实现 1.从工具箱中拖一个ContextMenuStrip控件到窗体上…

Java面试题总结200道(四)

76、ApplicationContext 通常的实现是什么? FileSystemXmlApplicationContext :此容器从一个 XML 文件中加 载 beans 的定义,XML Bean 配置文件的全路径名必须提供给它的构造函数。ClassPathXmlApplicationContext:此容器也从一个 XML 文件…

python、execl数据分析(数据描述)

一 python 1.各函数 1.1python库的安装与导入 #pip install os#pip install matplotlib#pip install seaborn#pip install scikit-learn#pip install scipy#修 改 工 作 目 录import osos.getcwd () # 查看当前工作环境os.chdir( F :\my course\database ) # 修改工作环境o…

数据挖掘不是挖土豆,而是让数据开口说话!

文章目录 1、 缘起1.1 啤酒与尿布 - 发现商业价值1.2 数据挖掘 - 让数据说话 2、数据挖掘的难点3、数据挖掘的方法 Part 1 - 专业技术流3.1 网络数据采集 - 代理技术3.2 网络数据采集 - 爬虫浏览器3.3 网络数据采集 - 网络解锁器3.4 网络数据采集 - Web Scraper IDE 4、数据挖掘…

力扣100热题[哈希]:最长连续序列

原题:128. 最长连续序列 题解: 官方题解:. - 力扣(LeetCode)题解,最长连续序列 :哈希表 官方解题思路是先去重,然后判断模板长度的数值是否存在,存在就刷新&#xff0c…

python类属性和global变量区别

数据成员是指在类中定义的变量,即属性,根据定义位置,又可以分为类属性和实例属性。 类属性定义在方法前面。 定义类属性,非全局变量 class MyClass:#global cc 10 ## 类属性def my_function(self):global qwqw 9print(this …

Vue项目使用process.env关键字及Vue.config.js配置解决前端跨域问题

1.process.env 是Node.js 中的一个环境 1.打开命令行查看环境: 2.process.env与Vue CLI 项目 Vue Cli 有以下三种运行模式 development 模式用于 vue-cli-service serve test 模式用于 vue-cli-service test:unit production 模式用于 vue-cli-service build 和 vue-cli-se…

酷炫的粒子动态表白HTML源码

源码介绍 酷炫的粒子动态表白HTML源码,自己自定义文字,动态组合文字,进行表白,喜欢的朋友可以下载使用,很不错的表白HTML代码 下载地址 酷炫的粒子动态表白HTML源码

深入理解与实践AB测试:从理论到实战案例解析

一、引言 在互联网产品优化和运营策略制定中,AB测试(也称为分组测试或随机化对照实验)是一种科学且严谨的方法。它通过将用户群体随机分配至不同的实验组(通常是A组和B组),对比不同版本的产品或策略对关键…

封装一个可回车事件,不能输入配置项options没有的值的AutoComplete

要想AutoComplete支持回车事件,onKeyDown方法是用不了的,这一点在antd官方4.24.16中并没有提及。但是我们可以追踪到AutoComplete组件的源码,虽然并不能看很懂,但是可以看出组件是InternalSelectProps,RefSelectProps的…

【GPT概念04】仅解码器(only decode)模型的解码策略

一、说明 在我之前的博客中,我们研究了关于生成式预训练转换器的整个概述,以及一篇关于生成式预训练转换器(GPT)的博客——预训练、微调和不同的用例应用。现在让我们看看所有仅解码器模型的解码策略是什么。 二、解码策略 在之前…

小游戏-扫雷

扫雷大多人都不陌生,是一个益智类的小游戏,那么我们能否用c语言来编写呢, 我们先来分析一下扫雷的运行逻辑, 首先,用户在进来时需要我们给与一个菜单,以供用户选择, 然后我们来完善一下&#…

OceanMind海睿思入选中国信通院《2023高质量数字化转型技术解决方案集》

近日,由中国信息通信研究院“铸基计划”编制的《2023高质量数字化转型技术解决方案集(第一版)》正式发布。 中新赛克海睿思 凭借卓越的产品力以及广泛的行业实践,成功入选该方案集的数据分析行业技术解决方案。 为促进数字化转型…

Redis消息队列与thinkphp/queue操作

业务场景 场景一 用户完成注册后需要发送欢迎注册的问候邮件、同时后台要发送实时消息给用户对应的业务员有新的客户注册、最后将用户的注册数据通过接口推送到一个营销用的第三方平台。 遇到两个问题: 由于代码是串行方式,流程大致为:开…

视频号小店月入5w+,真的有那么赚钱吗?

我是电商珠珠 视频号小店是22年视频号团队发展的电商平台,距离现在也不过一年多的时间。我做电商已经有五年左右的时间了,天猫、快手、抖音小店都做过。在22年的时候,我开始琢磨起了视频号小店。 到现在我也拥有了视频号小店的运营团队&…

【C++从练气到飞升】06---重识类和对象

🎈个人主页:库库的里昂 ✨收录专栏:C从练气到飞升 🎉鸟欲高飞先振翅,人求上进先读书。 目录 ⛳️推荐 一、再谈构造函数 1. 构造函数体赋值 2. 初始化列表 每个成员变量在初始化列表中只能出现一次--初始化只能初始…

python爬虫学习第二天----类型转换

🎈🎈作者主页: 喔的嘛呀🎈🎈 🎈🎈所属专栏:python爬虫学习🎈🎈 ✨✨谢谢大家捧场,祝屏幕前的小伙伴们每天都有好运相伴左右,一定要天天…

leetcode LCR121.寻找目标值-二维数组

目录 问题描述示例具体思路思路一思路二 代码实现 问题描述 m*n 的二维数组 plants 记录了园林景观的植物排布情况,具有以下特性: 每行中,每棵植物的右侧相邻植物不矮于该植物; 每列中,每棵植物的下侧相邻植物不矮于该…

Hive SQL必刷练习题:留存率问题(*****)

留存率: 首次登录算作当天新增,第二天也登录了算作一日留存。可以理解为,在10月1号登陆了。在10月2号也登陆了,那这个人就可以算是在1号留存 今日留存率 (今日登录且明天也登录的用户数) / 今日登录的总…