谈谈美国CNSS标准供应链风险管理
发布时间:2022-07-20 09:11:44 所属栏目:安全 来源:互联网
导读:为了实现供应链成本效益和创新,美国政府依靠商业信息和通信技术(ICT)部门提供支持关键任务网络、系统和武器的组件和服务。这导致美国政府愈发依靠商业ICT供应链的可信赖性。但是,由于全球化程度的提高以及陌生、未知和不断变化的参与者在供应链中的参与,
|
为了实现供应链成本效益和创新,美国政府依靠商业信息和通信技术(ICT)部门提供支持关键任务网络、系统和武器的组件和服务。这导致美国政府愈发依靠商业ICT供应链的可信赖性。但是,由于全球化程度的提高以及陌生、未知和不断变化的参与者在供应链中的参与,商业ICT的可信赖性已变得不确定。美国政府必须解决这样一个问题,即ICT供应链由于全球化而变得越来越容易被渗透,一些敌对势力可以进行未经授权的数据访问、更改数据、中断通信或破坏关键基础设施。市场威胁众所周知,但降低ICT供应链风险的方法仍在探索。本篇据此介绍了美国政府针对该问题提供的开发国家安全系统(NSS)供应链风险管理(SCRM)初始能力的政策。 为了方便读者理解,下面简单介绍一些在供应链安全风险管理指导方针中常用的专业术语。 供应链风险管理(SCRM):通过识别整个供应链中的易感性、脆弱性和威胁,并制定缓解策略以应对这些威胁的系统性流程,从而管理供应链风险。这些威胁来自供应商所供应产品及其子组件全过程(例如,初始生产、包装、装卸、存储、运输、任务运营和处置)。 供应链风险:对手可能蓄意破坏、恶意引入不需要的功能,或以其它方式破坏供应品或系统的设计、制造、生产、分发、安装、操作或维护过程,从而监视、拒绝、破坏或以其他方式降低系统的功能、使用或操作的风险。 全源情报:情报产品包括所有的信息来源,信息来源最常见的是人力资源情报、图像情报、测量和签名情报、信号情报和开源数据等。 NSS内任务关键要素的采购和运营建议按下述流程实施: A.在整个生命周期(包括商业元素或子元素)中控制软件、硬件和系统的质量、配置及安全性。 B.检测恶意事件发生的情况,并减少其发生的可能性,从而减轻伪造或恶意植入造成的风险。 C.通过增强的测试和评估来开发需求或能力,以检测定制商品硬件和软件中的漏洞的发生。 D.通过在整个系统生命周期中实施系统安全工程来增强安全性。 E.优化供应链中的采购过程和合同,优先考虑能以可验证的方式使供应链风险最小化的供应商,并以其它合理因素(例如低成本、快速部署或新功能)评估安全性。 F.实施采购流程,进行记录和监视,并在整个系统生命周期内提供文档更新。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号