E安全9月24日讯 美国国土安全部（简称DHS）针对持续诊断与缓解项目（简称CDM）推出新供应链风险管理计划，旨在为联邦机构提供CDM“认证产品列表”（APL）产品的更多信息，进一步确保网络安全技术和工具的可靠性与安全性。

DHS与总务管理局（简称GSA）合作运作CDM项目，联邦机构通过CDM项目持续识别网络安全风险，根据风险的严重程度确定优先级，指派网络安全人员优先解决最严重的问题。CDM提供商业化现成工具，包括硬件、软件及服务，以便联邦机构能通过集中资金使用这些工具。

GSA上月发布备忘录表示，新供应链风险管理框架旨在为机构提供厂商识别、评估和缓解供应链风险的更多信息，从而帮助机构制定明智的决策。

备忘录指出，供应链风险管理计划应有助于买家了解提供商如何开发、整合并部署产品，评估产品完整性、安全性、弹性和质量的过程、程序和做法等信息。

新增详细的调查问卷

CDM项目经理Kevin Cox（凯文·考克斯）向外媒表示，希望将自身产品列入APL的厂商现在必须填写调查问卷。Cox指出，这份调查问卷解决了一些背景信息，例如产品制造过程、产品的供应链和原始设备制造商等。使用CDM APL产品的机构将能通过供应链和产品组件信息判断厂商是否确实进行过完善的考虑，以及连接产品的供应链。

“物理”安全与网络安全同等重要

美国商务部国家标准与技术研究所（简称NIST）指出，网络安全IT供应链存在众多潜在风险，包括物理或虚拟访问信息系统、软件代码或知识产权的第三方服务提供商或厂商（从维护服务到软件工程）。底层供应商的信息安全做法不力也会带来风险。其它风险还包括从供应商处采购的被感染软件或硬件、供应链管理或供应商系统中存在的软件安全漏洞、假冒硬件或嵌入恶意软件的硬件以及第三方数据存储或数据聚合器。

NIST建议，组织机构根据入侵应对原则制定防御措施缓解网络安全供应链风险，之后思考如何缓解攻击者利用信息的能力，并从入侵事件中恢复过来。NIST还指出，入侵大多与技术故障关系不大，而更趋向于人为错误。如果整个供应链的员工不采用安全的网络安全做法，IT安全系统将无法保护关键信息和知识产权。同时，物理安全与网络安全之间不应存在缺口，恶意攻击者有时会利用物理安全缺陷发起网络攻击。同样，攻击者也可能会利用网络漏洞进入物理设备。

据新闻媒体Federal News Radio报道，DHS推出供应链风险管理计划几周前，GSA根据Schedule 70合同创建了专门的网络安全产品编号。

今年夏季，美国国家安全系统委员会发布供应链风险管理政策，其目的是创建综合的网络安全风险项目，以帮助运作或维护国家安全系统的组织机构将网络安全风险控制在可接受范围之内。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1659784899.shtml