新闻中心

从美国“国家网络清静的总统行政下令”，谈供应链清静危害应对

宣布时间：2022-05-11

浏览次数：4126

美国于2021年5月12日宣布了《关于改善国家网络清静》的第14028号行政下令（以下简称“EO”），明确要求美国联邦政府增强软件供应链清静管控。EO的第4节指示美国国家标准与手艺研究所(以下简称“NIST”)征求私营部分、学术界、政府机构等多方面的意见之后提供用于增强软件供应链清静性的相关标准、最佳实践与指南等内容。现有的行业标准、工具和推荐的做法源自NIST的SP 800-161。在EO宣布之前，该指南的公共草案最初版本已经宣布，经由意见征集与修改后于2022年5月5日宣布最终版本。

SP 800-161名称确定为《系统和组织的网络清静供应链危害管理实践》（Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations），为组织提供了在建设供应链内外部网络清静危害管理能力的实践参考。指南建议组织不但要思量正在使用的产品的误差，还要思量其各个组件及使用历程中的误差，并且强调在采购流程中要思量供应链网络清静危害。本文对该指南做内容概述，为海内网络清静从业职员及关注者提供参考。

生态重大，危害与收益共存

ICT供应链是一个全球漫衍的重大生态系统，这个生态系统中包括采购方、供应商、开发商、系统集成商、外部系统服务提供商和其他ICT/OT相关服务提供商等多种实体角色。供应商可以提供系统及其组件、开源/定制软件、运营支持服务、托管系统与服务等多种产品和服务。ICT供应链的生长可以带来节约本钱、快速立异、产品功效多样化以及供应商的可选择性等多种利益，但同时也可能在整个供应链中引入新的网络清静危害。由于网络清静危害可能泛起在软件产品生命周期中的任何阶段或供应链中的任何环节，因此软件产品中的代码或与产品有关的供应商都可能是潜在的清静危害泉源。

入企业危害管理，接纳多级管理

ICT供应链网络清静危害管理（C-SCRM）是一个资助企业管理整个供应链网络清静危害的辖档枉程，是企业整体危害管理的一部分。通过相关危害管理运动可以识别营业中的要害系统、降低供应链受损的可能性、提高运营效率、镌汰产品清静问题以及为客户提供更可靠的服务。供应链中的网络清静危害泉源于供应商、供应商的供应链、以及供应商提供的产品或服务。为了在企业中执行危害管理，建议接纳NIST SP 800-39中的多级危害管理要领，每个级别的危害管理运动都包括来自多个学科（例如信息清静、采购、企业危害管理、工程、软件开发、IT等）的相关职员配合加入执行，以便更好地一连刷新 C-SCRM。别的，还可以设置专门的C-SCRM 项目管理办公室，用于提供支持并推动落实。

增强清静意识，建设共享机制

为了乐成应对整个供应链中一直演变的网络清静危害，企业需要确定怎样实验以及监控其供应链网络清静的有用性。与此同时，需要进一步确保内部职员相识其在整个供应链中管理网络清静危害的作用。通过培训让员工意识到整个供应链中的网络清静危害可能对营业爆发的潜在影响，以及怎样接纳最佳实践来缓解危害。

建设信息共享机制有助于评估自身做法并刷新危害管理。在内部共享供应链危害管理相关信息，增强与外部偕行关于C-SCRM的交流，并纳入到C-SCRM 妄想中，有助于更好地明确供应链网络危害，在交流中学习刷新，获得减轻整个清静危害相关的主要信息。别的，在采购流程中要思量C-SCRM因素，增添对产品、服务及供应商举行危害评估、识别相关的C-SCRM 控制、举行尽职视察，并一连监控供应商。指南在要害实践部分给出了基础、一连和增强三个级别的实践参考，并且强调应优先实现基本的成熟度，然后再提升特另外C-SCRM能力。

自主可控，降低供应链清静危害

指南中在枚举供应链网络清静危害时，提到代表民族或国家事情的代理商将恶意软件插入供应商提供的产品组件中，这些组件用于出售给政府机构的系统中；或者代表机构?作的系统集成商重复使用易受攻击的代码，导致要害数据遭到破损，对国家清静造成影响。供应链网络清静危害可以影响企业的产品交付，导致客户失去信任和信心；可以导致企业神秘信息别窃取，失去竞争优势；甚至可以破损要害信息基础设施，影响国家清静。

党中央和国务院高度重视要害信息基础设施的供应链清静。习近平总书记一经指出，“供应链的‘命门’掌握在别人手里，那就好比在别人的墙基上砌屋子，再大再漂亮也可能经不起风雨，甚至会不堪一击”。

网络清静产品自主可控是包管要害信息基础设施清静的主要手段。Bevictor伟德基于在网络清静焦点手艺领域的深挚积累，以及与国产 CPU、操作系统、数据库、浏览器、中心件等信创工业链上下游厂商的深度合作，推动了国产化网络清静生态系统建设。Bevictor伟德一连推进基于国产软、硬件架构的产品研发与适配事情，已取得970+项兼容性适配认证。

基于国产软硬件的Bevictor伟德昆仑系列国产化产品已有 57类 196款型号，可以笼罩云盘算、大数据、工业互联网、移动互联等场景，在信创产品入围中坚持品类与型号数目领先，形成了国产网络清静系统。现在产品与解决计划已在党政、金融、能源、交通等 23 个行业实现规�；τ�，知足了各行业客户内外网建设、国产化替换的项目建设需求，包管了客户营业系统的清静可靠和稳固运行。

上一篇财联社：掘金百亿数据清静市场 Bevictor伟德新营业释放生长新动能

下一篇 IDC报告宣布！Bevictor伟德稳居2021中国IT清静服务市场头部职位

Bevictor伟德

从美国“国家网络清静的总统行政下令”，谈供应链清静危害应对

从美国“国家网络清静的总统行政下令”，谈供应链清静危害应对

生态重大，危害与收益共存

入企业危害管理，接纳多级管理

增强清静意识，建设共享机制

自主可控，降低供应链清静危害

品牌动态

怎样购置

手艺支持

资源中心

合作伙伴

快速链接

Bevictor伟德

从美国“国家网络清静的总统行政下令”，谈供应链清静危害应对

从美国“国家网络清静的总统行政下令”，谈供应链清静危害应对

生态重大，危害与收益共存

入企业危害管理，接纳多级管理

增强清静意识，建设共享机制

自主可控，降低供应链清静危害

品牌动态

怎样购置

手艺支持

资源中心

合作伙伴

快速链接

从美国“国家网络清静的总统行政下令”，谈供应链清静危害应对

从美国“国家网络清静的总统行政下令”，谈供应链清静危害应对

生态重大，危害与收益共存

入企业危害管理，接纳多级管理

增强清静意识，建设共享机制

自主可控，降低供应链清静危害