返回
网络供应链风险管理:实现透明和信任 的全球构想

网络供应链风险管理:实现透明和信任 的全球构想

ID:34138549

大小:357.34 KB

页数:16页

时间:2019-03-03

网络供应链风险管理:实现透明和信任 的全球构想_第1页
网络供应链风险管理:实现透明和信任 的全球构想_第2页
网络供应链风险管理:实现透明和信任 的全球构想_第3页
网络供应链风险管理:实现透明和信任 的全球构想_第4页
网络供应链风险管理:实现透明和信任 的全球构想_第5页
资源描述:

《网络供应链风险管理:实现透明和信任 的全球构想》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络供应链风险管理:实现透明和信任的全球构想ScottCharney、EricT.Werner1可信赖计算微软公司2011年7月26日1本白皮书得到许多审阅者的大力支持,他们提出了大量中肯的建议,并为本文的最终完稿给予了无私帮助。有关参与者姓名的字母列表,请参见附录A。网络供应链风险管理:实现透明和信任的全球构想©2011MicrosoftCorp。保留所有权利。本文“按原样”提供。本文档中的信息和观点(包括URL和其它网站参考)如有更改,恕不另行通知。您自行承担使用本文档的风险。本文档未授予您任何与微软产品知识产权有关的法律权利。您可以出于内部参考

2、目的,复制和使用本文档。前言全球范围内的政府部门现在都开始考虑信息和通信技术(ICT)产品的全球供应链对他们的信息和通信技术(ICT)系统产生的威胁,并对此表示担心。产生这种担心是因为他们可能面临以下风险,即,攻击者可能在产品开发、制造、生产或交付过程中篡改产品。为了应对这些问题,一些政府部门开始制定旨在降低这些供应链风险的政策和要求。本白皮书介绍微软对供应链风险的看法及其与信息和通信技术(ICT)产品的全球贸易的关系。本文阐述了导致政府部门考虑供应链安全问题的注意事项,还探讨了一些用于“解决该问题”的方法。本文指出从国家层面上采取供应链风险应对方法

3、的重要性,这些方法基于风险、透明、灵活且互惠或基于标准。本白皮书的姊妹篇标题为实现可信赖供应链:一种基于风险的软件完整性管理方法,其中详细介绍了微软评估其供应链风险的方法,并列举了微软在应对该风险时已采取的控制措施的类别和位置。1日益增加的网络依赖性引发了供应链问题无可争议的是,互联网改变了我们的生活和工作方式,也给我们带来了巨大机会和挑战。现在,我们仍然毫无争议地认为:(1)信息和通信技术(ICT)系统是重要基础设施和政府运营不可或缺的;(2)社会发展使这些信息和通信技术(ICT)系统面临许多威胁,包括网络犯罪、经济间谍、军事间谍和网络战争;并且(

4、3)有许多攻击性传染媒介可用于攻击这些系统,包括利用漏洞、利用配置错误、利用早期或未修补的系统和社会工程。在过去十年中,重要基础设施保护(CIP)计划已在许多国家/地区扎根。2但鉴于我们对网络的依赖性、日益增加的网络威胁问题,以及信息和通信技术(ICT)系统开发、制造和维护全球化意识的不断增强,另一种攻击性传染媒介越来越引起人们的关注:不怀好意的攻击者会感染供应链,他们会向产品和服务中插入允许某个实体控制其他组织的信息和通信技术(ICT)系统的功能,可能是为了盗取信息、更改信息或在重要时刻拒绝服务。网络供应链风险的性质供应链风险可能有多种形式,其中一

5、些情形比其他情形看起来更加可信。因此,必须首先明确定义问题的性质。最基本的问题是,攻击者可能会搞破坏活动,恶意引入不需要的功能,或破坏系统的设计、完整性以及制造、生产、分发、安装、运营或维护过程,以便进行操纵或拒绝访问、扰乱或降低其可靠性或可信赖性。3消除这些复杂且恶意的威胁目前是推动围绕网络供应链安全性的大部分政府活动的主要问题,也是本白皮书尝试解决的问题。政府对他们的重要通信和信息系统面临的供应链风险产生担心是可以理解的。在这个争夺各种经济、政治和军事利益的世界,没有任何一个国家/地区希望依赖可能受到攻击者感染的产品和服务。可以跟踪政府对日益增加

6、的供应链风险的认识和理解,以实现国际信息和通信技术(ICT)市场的全球化并增加对网络风险环境的了解。22009InternationalCIIPHandbook(《2009国际CIIP手册》)调查并记录了多达25个国家/地区以及7个国际组织所做的工作。InternationalCIIPHandbook2008/2009(《国际CIIP手册2008/2009》),安全研究中心,EidgenösischeTechnischeHochschuleZürich(A.Wenger,V.Mauer,M.D.Cavelty,ed.)。3请参阅IkeSkeltonN

7、ationalDefenseAuthorizationActforFiscalYear2011(《2011财年IkeSkelton国防授权法案》),H.R.6523,111thCong.§806(e)(4)(2011)(“供应链风险”的定义)。值得注意的是,还有其他类型的“供应链”风险与敌对行为无关。例如,不幸的日本地震和海啸说明了一种典型的供应链风险:由于缺少关键零件,全球各个工厂的汽车制造均处于暂停状态。尽管业务连续性计划通常可以应对此类自然灾害,但确保供应链免受故意敌对行为的破坏却表明一个完全不同的问题,该问题以极其不同的方式牵连着国家安全和公

8、共安全。2不久以前,在“普通老式电话服务”(以前称为“POTS”)的年代,电信设备的国际市场主要被少数国家的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。