美国防后勤局发布加强供应链安全战略

为应对假冒伪劣产品泛滥、供应商代码被盗用等供应链安全问题，美国防后勤局发布的《供应链安全战略》是应对DLA整个复杂体系供应链安全挑战的路线图，为加强美军作战能力的弹性提供了保障。

一、美国防后勤局全球供应链战略发布背景

美国防后勤局的全球供应链规模惊人地庞大，包括收购、储存、分销和处置主要任务集。它扩展到46个州和28个国家（地区），包括无数复杂和互联的系统、流程、设施、基础设施、供应商、运输节点、最终用户和员工。由于依赖信息技术的业务的互联性，网络攻击是对DLA全球供应链的持续威胁。DLA 中的电子设备比人还多，网络攻击者的复杂程度也越来越高。

DLA的使命是通过在和平与战争中提供积极主动的全球后勤来维持战士的战备状态和杀伤力。因此，DLA必须进行创新，以增强作战弹性，支持作战人员。

DLA必须不断识别、评估、报告和缓解对其全球供应链的威胁、漏洞和中断。DLA的最终目标是建立一个全面解决供应链安全挑战的企业架构。

二、美国防供应链安全架构

“安全”的全球供应链是什么样子的？DLA认为，DLA的整体供应链安全战略旨在建立一个从企业角度全面解决供应链安全问题的架构。该体系结构由5个部分构成。

1. 威胁/脆弱性识别与风险优先级

该部分是《战略》的基础，目的是建立一个可重复的过程，识别并汇报DLA全球供应链的威胁和漏洞，并确定相关风险的优先级。为了增强运营弹性，DLA必须首先了解“物流劣势”在机构内部的位置。通过“威胁/脆弱性识别与风险优先级”，能实现该目标。鉴于威胁具有紧急突发性和不断变化的特征，因此这一过程必须是全面、可重复且持续的。

2. 进攻型降低风险解决方案

基于第一部分，威胁一旦确定，DLA必须有能力制定新的进攻型风险降低解决方案，如市场情报、网络反击、微电子的DNA标记等，以此来对抗威胁或使威胁带来的风险最小化。

3. 防御型降低风险解决方案

同样，漏洞一经识别，DLA必须制订防御型降低风险解决方案来保护漏洞，降低风险，如业务决策分析、供应商网络映射等。防御型解决方案的示例包括业务决策分析、供应商网络映射和出口受控技术数据供应商验证流程。

4. 弹性供应链运作

供应链的正常运作是对作战人员不间断支持的保证，其目的是将冗余能力等弹性因素融入DLA的系统、流程、基础设施和人员。如果敌人或自然灾害威胁到DLA的全球供应链，有弹性的供应链运作确保任务继续进行。弹性的例子包括冗余能力，运营计划的连续性和系统强化。

5. 通过检测、保护和防御，防患于未然

该部分的目的是使DLA的内部供应链安全运作，并确保其经受住时间的考验。为有效检测、报告、防御紧急威胁，DLA必须将供应链安全集成到DLA实时操作中心的业务规范中，以防止供应链中断。另外，还必须将供应链风险管理（SCRM）完全集成到DLA的任务保障过程中，并最终集成到企业风险管理框架中，以确保从企业角度解决供应链安全问题。

三、供应链安全战略重点领域

供应链安全举措是DLA整体供应链安全战略的精髓。通过实施4个战略重点领域将战略付诸实施，目的是实现全面解决DLA供应链安全挑战的架构。

1. 在整个DLA企业中把供应链安全进行制度化

第一个战略重点领域保证了DLA在和平与战争时期执行其任务至关重要的职能的能力，而不管中断的性质如何。这一战略重点领域的基础倡议是将供应链安全整合到机构的任务保障组合和企业风险管理框架中。关键是开发一个标准化的、可重复的过程来评估企业范围内的供应链漏洞。建立这样的流程是DLA识别和报告漏洞以及确定优先级、管理和减轻供应链风险的能力的基础。这一举措还明确将供应链安全主要责任办公室（Office of Primary Responsibility for Supply Chain Security）分配给DLA物流业务部门。这一跨领域工作的明确所有权使得能够采用一种综合方法来确保DLA的全球供应链的安全。

2. 维护对关键数据的完整性和访问权限

第二个战略重点领域包括保护数据和网络系统的两个主要举措。首要目的是通过实施DLA的网络安全战略来保护该机构的数据和系统供内部使用。数据和系统违规可能会对供应链运营造成重大破坏。这一举措使DLA部署分层网络安全活动以保护、防御和向信息技术系统注入恢复力的工作付诸实施。维护安全和有弹性的网络空间操作环境，并确保优先补救顶级网络风险，是这一举措的重要组成部分。

3. 与生产高质量产品且信誉好的供应商合作

第三个战略重点领域的目的是确保供应商DLA合作伙伴为作战人员生产高质量的物资。随之而来的举措主要集中在防止假冒和不合格部件进入DLA的全球供应链。有了完善的流程以确保DLA合作伙伴拥有有效和信誉良好的供应商，鉴于采购、业务交易和支持其所需自动化的庞大数量，欺诈性利用仍然存在。支持DLA的主要供应商基础的子供应商关系的复杂性导致供应链安全进一步复杂化。

4. 增强系统、流程、基础设施和人员的弹性

第四个战略重点领域确保DLA对作战人员的支持，即使在破坏性活动中也能继续。制订支持举措是为了通过在机构的系统、流程、基础设施和人员中建立弹性来增强业务弹性。设施必须安全可靠，员工必须能够检测和防止中断，并在发生中断时立即采取行动，以提供持续运营。DLA还将为关键任务控制系统编制目录、制订评估和缓解方案，降低设备和关键设施控制系统的网络风险，从而增强其基础设施的弹性。

（内容来源于《智库观察》2019年第4期）

声明：本文来自机工情报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。