美國國土安全部編撰供應鏈安全 科技和安全巨頭群集

今年7月，美國國土安全部(DHS)宣佈成立信息通訊技術供應鏈特別工作組，目的：為在面對供應鏈安全風險時需要操作性響應的組織編制“操作手冊”，保護端到端供應鏈。

上週，該工作組執行委員會首次碰面，商討如何為政府機構和產業界編撰這些DHS戰術手冊。

該公/私特別工作組從產業界和政府廣泛吸收成員。其產業界成員包括埃森哲、AT&T、CenturyLink、Charter、思科、康卡斯特電信、CTIA、CyberRx、Cybersecurity Coalition、Cyxtera、火眼、英特爾、ITI、IT-ISAC、微軟、NAB、NCTA、NTCA、Palo Alto Networks、三星、Sprint、Threat Sketch、TIA、T-Mobile、USTelecom和威瑞森。政府成員有DHS、國防部、財政部、司法部、商務部、總務管理局、國家情報總監辦公室和社會安全域性。

思科的工作組代表是 Edna Conway，其全球價值鏈首席安全官。Conway表示， 需要戰勝的3個普遍威脅是操縱、間諜和中斷 。各種政府標準描述的是供應鏈安全的不同方面，該工作組將考慮的則是整個產品生命週期中各個系統的安全。

對Conway來說，整個產品生命週期是關鍵，她在用詞上非常明確。比如說，她用含義更廣的“價值鏈”代替了“供應鏈”，並稱：DHS說的供應鏈其實就是她說的價值鏈。

Conway以產品生命的最初階段為例，她認為設計和開發是第一階段，但該階段既不屬於供應鏈，也不由供應鏈操作。鑑於產品市場營銷與交付必須解決各種各樣的問題，產品管理也是如此。

產品交付給客戶的渠道同樣是價值鏈的一部分，但這一部分並不隨客戶交易完成而終止。然後還有客戶支援，最後是產品生命的完結。DHS的供應鏈應該是從開頭到末尾的價值鏈。

而這其中包含各個層面上的IT安全。有了全面的方法，除了完整性還考慮持續性和可用性，才是將供應鏈管理納入了IT安全與完整性當中。該方法中的全面性本質，加上總體解決方案必須讓組織負擔得起且成本有效，要求工作組得拿出一個具體務實的方法。

解決供應鏈安全問題的唯一途徑是基於風險的方法。需實現層次化安全方法，不僅從安全形度能給組織更好的態勢，從經濟角度也能更加成本有效。

與工作組其他成員一起制定供應鏈安全操作手冊的經歷，讓Conway對於找到合適的解決方案充滿信心。她認為，工作組傳遞出來的資訊是“希望”。“有那麼多很棒的人關注這個問題，結成公/私合作伙伴關係，不是從單邊看待這個問題，而是從互助和雙贏的角度看待。”