美国《联邦信息系统和组织的供应链风险管理实践》- NIST Special Publication ...

kaller_cui 2020-04-16

展开全文

2015年美国国家标准与技术研究所（NIST）发布了《联邦信息系统和组织的供应链风险管理实践》NIST Special Publication 800-161，该出版物为美国联邦机构的各个级别组织在确定、评估和缓解信息和通信技术（ICT）供应链风险方面提供了相应的指导。该出版物通过采用针对供应链风险管理（SCRM）的多层特定方法，将SCRM集成到联邦机构的风险管理活动中，这其中包括了有关于如何评估供应链风险和实施缓解活动的指南。

图1 NIST Special Publication 800-161指南

信息和通信技术（ICT）的相关介绍

ICT依赖于一个复杂的、全球分布的且相互联系的供应链生态系统。该生态系统由多个外包层构成。其巨大的规模主要由公共部门和私营部门实体（例如收购方、系统集成商、供应商和外部服务提供商）以及与ICT产品和服务的设计、制造、分发、部署和使用进行交互的技术、法律、政策、程序和做法所组成。这个生态系统目前已经演变为一套高度精炼的、具有成本效益的、可重复使用的ICT解决方案。

商业上可用的ICT解决方案具有显著的优势，包括低成本、互操作性、快速创新等等。但是，在全球化和其他因素带来好处的同时也增加了威胁事件的风险。该威胁事件可能直接或间接影响ICT供应链。

本次出版的《联邦信息系统和组织的供应链风险管理实践》- NIST Special Publication 800-161的目的是在确定、评估、选择和实施风险管理流程以及减轻整个组织的控制措施方面为联邦机构提供指导，以帮助管理ICT供应链风险。该出版物为联邦机构提供管理其信息系统和组织的ICT供应链风险的指南，可供联邦机构考虑和实施。

供应链风险管理（SCRM）的组成集合

ICT SCRM涵盖了系统开发生命周期中的活动，包括研发、设计、制造、获取、交付、集成、运营以及组织ICT产品（即硬件和软件）和服务的弃置及退役。以四大支柱的形式来表示的ICT SCRM位于安全性，完整性，恢复力和质量的交集处，如图2所示。

其中，安全性的重点是保障ICT供应链的信息的机密性、完整性和可用性，以及保障ICT供应链和有关参与ICT供应链的各方的信息；完整性的重点是确保ICT供应链中的ICT产品或服务是真实的、未更改的，并且ICT产品和服务将根据收购方的规范运行且没有其他多余的功能；恢复力的重点在于确保ICT供应链在压力或失败的情况下能够提供所需的ICT产品和服务；质量专注于减少可能限制组件的预期功能，导致组件故障或提供利用机会的漏洞的机会。

图2 ICT SCRM的四大支柱

ICT供应链基础设施是组织边界内的集成组件（硬件，软件和流程）的集合，构成了开发或制造、测试、部署、维护、淘汰和退役系统的环境。图3描绘了一个联邦机构ICT供应链，该链由多层系统集成商，外部服务提供商和供应商组成。

图3 NIST SP 800-161中联邦机构与系统集成商、供应商和外部服务提供商的关系

这些关系通常以建立详细的功能和安全要求的协议为指导，并且可以为ICT产品和服务进行定制开发或重大定制。但是应该认识到，这种定制可能会影响成本，同时ICT供应商也有可能无法为其ICT SCRM需求提供定制。购买者应权衡这些产品提供的成本和收益，而后再做出最终购买决定。购买者与ICT供应商之间的对话可以帮助购买者与ICT供应商达成共识，并在出现此类挑战时确定可接受的解决方案。

ICT供应链的风险

ICT供应链风险包括假冒产品、未经授权的生产、篡改、盗窃、恶意软件和硬件（例如GPS跟踪设备，计算机芯片等）的插入以及ICT供应链中不良的制造和开发实践。恶意行为者（个人，组织、民族或国家）造成的威胁和漏洞通常特别复杂且难以检测，因此带来了重大风险。应当指出的是，源自任何地方（本地或国外）的ICT产品（包括库，框架和工具包）或服务都可能包含漏洞，这些漏洞可能为ICT供应链的损害提供机会。