美国政府IT供应链安全政策和措施

简介:关于安全问题产品方面的的相关大学硕士和相关本科毕业论文以及相关安全问题产品论文开题报告范文和职称论文写作参考文献资料下载。

目录

1. 1.美国对IT供应链安全问题的战略定位
2. 2.美国政府围绕IT供应链安全提出的主要要求
3. 2.1国家安全系统领域对IT产品的采购要求
4. 2.2在论文范文信息系统安全指南中提出的安全控制要求
5. 2.3立法中对论文范文政府采购制度的改革要求
6. 2.4立法中提出的研发要求
7. 2.5对加强IT供应链安全风险管理做出的最新工作部署
8. 3.美落实全球IT供应链安全风险管理战略的主要举措
9. 3.1政府的活动
10. 3.2学术界和企业界的主要活动
11. 4.美国政府IT供应链安全管理措施的主要特点
12. 4.1认识不断深化
13. 4.2措施全面加强
14. 4.3内涵日益丰富
15. 4.4理论体系正在形成
16. 5.中美IT供应链安全问题的对比
17. 5.2中国的IT供应链安全问题受到技术方面的巨大制约
18. 5.3中国的IT供应链安全问题受到WTO规则的巨大制约
19. 6.对加强我国IT供应链安全管理工作的建议
20. 农产品质量安全问题:问题产品需下架方便面暂时安全

左晓栋

（中国信息安全认证中心,北京100020）

摘 要：随着贸易全球化的发展,本文介绍了美国有关单位在采购IT产品时从原料采购、生产、运输直至交付给最终客户的过程中有可能存在影响IT产品安全性的因素,以及美国对IT产品供应链的安全管理,并对我国相关工作提出了建议.

关键词：美国；IT供应链：安全管理

中图分类号：TP393.08 文献标识码：A

0引言

美国掌握着世界上最先进的信息技术,其IT企业在全球市场占据垄断和主导地位.但美国仍将IT产品的供应链安全作为加强其自身信息安全保护的重要考虑,其有关政策和措施值得我们认真思考.

1.美国对IT供应链安全问题的战略定位

长期以来,美国一直非常关注供应链安全,美国国土安全部在2007年专门发布了《增强国际供应链安全的国家战略》.但是,在相当长一段历史时间内,美国关注的主要是实体货物的供应链安全.“9·11”以后,出于反恐的需要,这方面的措施还得到了进一步加强.

2002年,布什政府为了起草国家信息安全战略,提出了53个问题,以广泛征求公众的反馈意见.在这53个问题中,已经开始关注供应链,要求研究供应链与信息安全风险的关系.但是,这个阶段的美国信息安全战略主要是从国内大型企业运行安全的角度看待供应链问题,更多的是强调企业要加强与供应链的互动.

但在布什政府执政后期,随着全球信息安全形势日益严峻,IT供应链安全问题开始进入政府的视野.2006年4月,美国国家科技委员会发布了《论文范文网络安全和信息保障研发计划》,明确将IT硬件和软件的供应链攻击列为一种攻击趋势,并认为这种安全问题仅靠严格的检测也无法解决.但是,这个计划中仅将供应链攻击视为一种特殊的“内部人员攻击”.

2008年1月,布什发布了54号国家安全总统令( NSPD54)．同时也是第23号国土安全总统令( HSPD23),提出了国家网络安全综合计划( CNCI).这个计划中部署的一项重要工作,就是建立全方位的方法来实施全球供应链风险管理.这个计划提出：“商用信息和通信技术市场的全球化,为试图通过渗透进供应链来危害美国的人们提供了更多的机会.”这说明,美国已经将IT供应链安全问题上升到了国家威胁和国家对抗的层面.而且,美国已经认识到了IT供应链问题的复杂性,首次提出必须采用能够涵盖产品、系统和服务的完整生命周期的战略性、综合性的方案,对来自国内和全球供应链的风险加以管理.这标志着美国对IT供应链安全的认识达到了新的高度.

2008年12月,在奥巴马上台之前,美国智库战略与国际研究中心( CSIS)发布了《在第44任总统任期内保护网络空间安全》的咨询报告,向新总统提出了若干重要建议.其中便包括“通过采购规则提高安全性”,希望政府能与工业界合作,共同制定和执行IT产品（其中软件居首要位置）采购安全指南.

奥巴马政府执政后,进一步重视信息安全问题,将信息安全视为最严重的经济和国家安全挑战之一.2009年5月,奥巴马政府发布了对美国网络空间安全政策的评估报告,并根据评估结果开展了新一轮的动作.这个评估报告继承了国家网络安全综合计划( CNCI)对IT供应链问题的判断,将其作为国家信息安全威胁的一种,重申了采取综合、体系化对策的重要性.从其措辞不难发现,美国已经完全将IT供应链安全问题与‘国外”机构相提并论.奥巴马政府在报告中同时提出,仅仅谴责国外产品和服务供应商是不够的,新的供应链风险管理方法势在必行.

美国国土安全部国家网络安全处软件保障主管乔·哲伯克在2009年召开的Web应用安全计划会议上的观点代表了美国政府对IT供应链安全问题的战略定位：“软件供应链的管理是一个国家安全问题.”当然,硬件亦是如此.

2.美国政府围绕IT供应链安全提出的主要要求

在不断强化IT供应链安全的战略重要性的同时,美国也先后在政策法规中提出了多项要求：

2.1国家安全系统领域对IT产品的采购要求

美国的国家安全系统是指对于国家安全至关重要的信息系统,NISP SP 800-59《将信息系统标识为国家安全系统的指南》对如何确定国家安全系统提出了明确规定.早在2001年,美国国家安全电信和信息系统安全委员会便宣布,自2002年7月起,在国家安全系统中强制使用经过美国NIAP（国家信息保障联盟）认证的IT产品.虽然美国已与其余20多个国家共同签署了信息技术安全通用评估准则( CC)的互认协定,但其国家安全系统的采购清单上迄今没有出现过由他国信息安全认证机构认证的信息技术产品.

2.2在论文范文信息系统安全指南中提出的安全控制要求

美国国家标准与技术研究院( NIST)在发布800-53《对论文范文信息系统和组织的安全控制建议》（最新版本为2009年8月发布）时,将“系统和服务采购”列为一项重要的信息安全控制类,该控制类中的第12项要求便是“供应链保护”.该项安全控制措施要求论文范文政府机构对供应链风险进行防范,在系统全生命周期范围内关注脆弱性.可选的增强性措施包括：在采购系统软硬件和服务前就要对服务提供商进行细致审查和选择,建立可信的交付渠道,在同一系统中要采购多个供应商的产品,尽量缩短采购决定和交货的时间差,必要时对系统进行渗透性测试.根据《论文范文信息安全管理法案》,NIST发布的800-53对所有的论文范文机构都具有强制性作用.

2.3立法中对论文范文政府采购制度的改革要求

2010年3月24日,美国参议院商务、科学和运输委员会全票通过了由参议员杰伊·洛克菲勒和斯诺·盖恩提交的《网络安全法案》,目前,该法案将进入参议院全院表决程序.这是美国历史上一部很少见的综合性的信息安全立法议案.议案高度关注论文范文政府的IT供应链安全,为论文范文政府采购IT产品提出了法律条款.根据该立法议案的规定,采购工作的责任部门是总务管理局,实施途径是由总务管理局制定统一的信息要求书( RFI)和建议要求书(RFP)格式,在其中明确对IT产品和服务的安全要求,任何论文范文机构不得违背.

2.4立法中提出的研发要求

奥巴马政府在网络安全政策评估中提出,要充分发挥技术创新对解决供应链安全问题的重要作用,且要通过技术创新确保美国企业的市场领先优势,其实质是消除美国对国外产品和服务的依赖,并控制全球IT市场的发展.因此,近年来美国连续出台多个法案或提出法律议案,对创新性的IT技术和信息安全技术予以高额资助.此外,美国还高度关注通过技术手段来化解供应链安全风险.前文谈到的《网络安全法案》议案要求支持以下技术的研发：测试和验证来自国内或第三方软件中的重大已知安全缺陷,测试和验证第三方软件的功能是否正确以及是否嵌入了其它功能.

2.5对加强IT供应链安全风险管理做出的最新工作部署

事实上,美国近年来所开展的一系列加强供应链安全管理的活动都来自于第54号国家安全总统令对国家网络安全综合计划( CNCl)的部署.在提出要研究战略性、综合性的供应链风险管理方案时,这个总统令谈到了以下重点：1）要对威胁、漏洞以及采购决定的后果具备更强的意识；2）要开发和部署能在产品的生命周期内（从设计到报废）从技术和操作层面减少风险的工具和资源；3）要建立能够适应复杂的全球化市场的新型采购政策和实践措施；4）要与工业界合作制定和采用供应链与风险管理标准及最佳实践措施.

3.美落实全球IT供应链安全风险管理战略的主要举措

3.1政府的活动

为落实54号国家安全总统令对IT产品供应链安全问题的部署,美国论文范文政府和军方成立了专门的组织.目前,已经有4个工作组开始运转：高级指导组、采购政策和法律分析工作组、生命周期过程和标准工作组、威胁信息共享工作组.其中,高级指导组起组织协调作用,具体由国土安全部( DHS)和国防部( DOD)负责；采购政策和法律分析工作组旨在通过政策和法律手段加强IT采购安全,该工作组将在政策和法律层面评估是否可以利用情报部门提供供应链安全风险信息,以及利用非情报部门（包括销售商）提供重要信息,具体由管理和预算办公室( OMB)以及总务管理局(GSA)负责；生命周期过程和标准工作组旨在制定供应链安全风险管理标准和有关指导性文件,具体由NIST和国防部(DOD)负责；威胁信息共享工作组负责在整个论文范文范围内共享供应商威胁分析信息,具体由国家情报总监办公室( ODNI/ONCIX)负责.

目前,工作组中的很多活动都已开展.例如,在生命周期过程和标准工作组,NIST提出了“广度防御(Defense-in-Breadth)”的战略,这是对美国国家安全局在《信息保障技术框架》中提出的“纵深防御( Defense-in-Depth)”战略思想的发展.NIST认为,纵深防御战略侧重于通过分层的防御体系对网络和系统进行保护,其关注的是产品在运行中的安全,因而完全不能解决供应链安全问题.而广度防御战略的核心是在系统的完整生命周期内减少风险.相信这一思想的提出将对美国的信息安全活动产生重要影响.此外,NIST正在起草供应链安全风险管理指南,计划在2010年10月发布第一稿.

农产品质量安全问题:问题产品需下架方便面暂时安全

3.2学术界和企业界的主要活动

学术界和企业界对政府的IT供应链安全管理战略作了非常积极的响应,目前,美国已经成立了多个专门研究IT供应链安全的学术组织,一些企业也推出了IT供应链安全管理工具,IT供应链安全研究进入了一个非常活跃的阶段.

2009年,受政府资助的信息关键基础设施学会向参议院提交了《国家网络安全研究和开发挑战》的报告.这份报告明确提出,来自于海外的硬件和软件正在面临被恶意修改的危险,威胁已经迫在眉睫.其甚至对包括IT供应链威胁在内的若干典型威胁作了如下后果描述：计算机只要上网就会中弹.

2009年6月,美国科学应用国际合作组织( SAIC)和马里兰大学史密斯商学院供应链管理中心联合发布了合作完成的题为《建立网络供应链保障参考模型》的研究报告,将端到端的供应链管理理念引入到了IT安全研究领域.研究人员在全球供应链发展的最佳实践经验基础上,为确保分布式的IT安全不受威胁,首次提出了一个综合模型.该模型建立在动态管理结构基础上,并对IT软件和硬件的特征做了充分考虑.模型很好地体现了供应链风险管理和信息安全这两门动态学科的融合,不但对关键行动者、关键过程和薄弱环节进行了定义,还指出了国际生产和维护链条中每个结点的战略性依存要素.最后,报告还提出了5条主要结论.这一部研究报告目前代表了美国在IT供应链安全管理研究方面的最先进成果,其研究结论已经对政府部门的活动产生了积极影响.例如．NIST正是从这一研究报告中提炼并发展了“广度防御”战略.

4.美国政府IT供应链安全管理措施的主要特点

纵观美国IT供应链安全管理政策的变化,其突出的特点有以下几个方面：

4.1认识不断深化

在美国早期的信息安全战略和政策文件中,还没有关注IT供应链安全问题.美国总统的信息技术咨询委员会于2005年提交的《网络安全：优先级的危机》中,对供应链安全问题尚没有只言片语.甚至在布什政府早期的战略中,也仅将IT供应链置于企业的经济层面去对待.随着时间的发展,美国已经把IT供应链安全列为国家安全的重大课题,将IT供应链安全风险的产生视作信息时代国与国之间对抗的必然结果.第54号国家安全总统令发布后,目前美国已经基本完成了对供应链安全问题的战略研究,开始转入了战略实施阶段.

4.2措施全面加强

美国近年来的政府政策和民间研究报告已经不讳言,IT供应链的主要安全风险来自于国外政府和组织,今后美国在采购措施方面会不断加强.但是,美国的措施绝不止于此,而是全面落实在了宣传教育、法律保障、巩固市场垄断地位、国际合作等方面.这些措施中的技术性成分正不断加大,例如加强安全编程能力和后门发现能力,而不再仅依靠政策和法律措施去推动,这一点最值得我们关注.毕竟,信息安全终究是高技术的对抗.

4.3内涵日益丰富

信息安全产品以及IT产品的安全性很早就引起了世界各国的重视.但在美国的IT供应链安全管理战略中,产品的管理仅是其中一个环节而已.美国已经将对产品安全功能的管理扩展到了对产品和服务全面安全的管理,从产品的使用环节扩展到了产品的全生命周期,从对技术的管理扩展到了对人的管理.

4.4理论体系正在形成

随着管理措施的加强和管理范围的扩大,美国IT供应链安全理论体系正在形成.马里兰大学的研究报告是这一理论体系目前取得的优秀成果.反过来也可以看到,其理论研究成果已经在指导政府的实践工作,且政府和研究机构的互动效率非常高.

5.中美IT供应链安全问题的对比

IT供应链安全问题来源于技术层面,是各国面临的共同问题.但是与美国相比,我国的IT供应链安全问题有以下几个鲜明特点,制定有关政策时可能需要考虑到这些因素.

5.1中国面临比美国更为严重的供应链安全威胁 这一境况不言而喻.目前,来自国外的IT产品和服务在我国市场上占绝对的垄断地位,国家的很多基础信息网络和重要信息系统甚至采购了清一色的国外IT产品和服务.这相当于洞开国家安全的大门,使我们比美国更有理由担心IT供应链安全问题.因为,美国的担心主要是理论上的,而我们的担心则完全是现实中的.

5.2中国的IT供应链安全问题受到技术方面的巨大制约

我国IT供应链安全问题的核心,是自主可控能力不强,产品和服务严重依赖国外,我们往往不得不面对“巧妇难为无米之炊”的局面,这使我国在解决IT供应链安全问题时受到巨大的技术制约.我国的IT供应链安全管理对策不得不考虑到这一条件,具体对策必须考虑到中国的国情.

5.3中国的IT供应链安全问题受到WTO规则的巨大制约

美国拥有的巨大的技术优势使其在解决IT供应链安全问题时从容不迫,方法多样,且美国在很多制度设计时已经充分利用其在WTO的话语权巧妙规避了WTO规则.例如,在我国联想集团并购IBM个人电脑业务时,出于对供应链安全的担心,美国政府曾试图否决此项交易,在美国政府最终与联想集团签订的协议中,美国也施加了大量的限制性条款,例如禁止联想为政府部门提供计算机售后服务.这是对贸易的明显限制,但遗憾的是,并购业务并不属于WTO规则管辖的范围.

而我国由于缺少技术优势,可用的手段比较单一,暂时可能需要更多地要借助政策手段,很容易触及WTO规则的限制.

6.对加强我国IT供应链安全管理工作的建议

解决IT供应链安全问题刻不容缓,建议采取以下措施：

一是要加强对IT供应链安全的战略研究,对我国的IT供应链安全管理政策提供充分的战略研究支持；二是要加大宣传力度,提高广大用户特别是基础网络和重要信息系统的主管和运营单位的信息安全意识,提高政治觉悟.对于国产产品可以满足使用需求的,要引导其自觉使用国产产品；三是要抓紧提高对国外产品和服务的替代能力,鼓励国产产品试点,建设国产产品试用平台；四是要认真做好信息安全产品认证工作和漏洞检测分析工作,加强技术防范.

五是要逐步由粗放型管理向精细化管理迈进,要探索在对产品采购、使用管理的基础上开展对产品生产、流通的管理和对人的管理.（责编杨晨）

作者简介：左晓栋（1975-）,男,博士,副处长,主要研究方向：信息安全.

总结：本论文主要论述了安全问题产品论文范文相关的参考文献,对您的论文写作有参考作用。

农产品质量安全问题引用文献:

[1] 农产品质量安全与营养检测论文

[2] 质量安全论文范文 质量安全有关学士学位论文范文2万字

[3] 质量安全论文范文 质量安全类论文参考文献范文5000字