美国政府对美国全球电子及信息技术供应链中潜藏漏洞的担忧由来已久,美国国土安全部(DHS)和情报界(IC)已在开展旨在说服美国科技公司从根本上改变业务开展形式、以更好地保障其向美国政府用户供货安全性的工作。与此同时,美国国防高级研究项目局(Defense Advanced Research Projects Agency,DARPA)也正在寻求发展可跟踪和验证美国计算机硬件产品在全球工厂制造、组装和运输情况的新技术方案。
国防高级研究项目局这个名为“电子防御供应链硬件完整性(Supply Chain Hardware Integrity for Electronics Defense,SHIELD)”的新项目,将通过创新的硬件解决方案来跟踪和验证美国政府用户购买之电子设备的集成电路和微芯片。该项目的核心是一个100微米见方尺寸——约等于一根人类头发直径那样的尺寸、可植入到或附加到单独电子部件上的“Dialets”微型芯片。国防高级研究项目局已在与该项目相关的基础技术领域开展了三年的研究及设计准备,目前该机构将测试“Dialets”微型芯片的两款原型。
国防高级研究项目局负责该项目的主管萨基.里夫(Serge Leef)认为,目前要跟踪翻新或伪造的电子零部件是非常困难的,而这些有问题的部件有相当大的可能重新流入美国政府的供应链。2012年时任代理国防次长的法兰克.肯达尔(Frank Kendall)就曾向美国防部负责项目和采购的官员们发布了一个有关供应链安全的全面指导文件,其中就特别强调了与电子零部件有关的问题。然而全球供应链日益增长的复杂性,也使得即便是主流的美国政府承包商也难以跟踪为其提供零部件的子承包商的供货情况。里夫指出,尽管“电子防御供应链硬件完整性”项目主要服务于美国国防部,但该项目的成果也将能很容易地转移给美国政府文职机构和私营部门。
美国政府未来采购的电子设备和零部件将会首先在一个数据库中进行“登记”,并分配一个独一无二的识别号码——该号码存储在“Dialets”微型芯片中,并可通过无线射频设备进行读取。“Dialets”在被无线射频设备激活之时,还可分享有关温度改变、光照变化或其他可能意味着设备曾被开箱或拆装零部件的情况描述。
里夫指出,国防高级研究项目局开展“电子防御供应链硬件完整性”项目的目标就是为了遏制恶意行为者出于经济利益驱动或情报收集目的而刻意破坏美国政府硬件供应链的行为。他也承认要形成真正实用的解决方案,该项目还需要克服若干障碍,例如当前市面上流行的二维码或RFID标签等解决方案在效率或扩展性方面都不理想,同时“Dialets”也需要将生产成本压到相当低的水平。里夫透露,该项目的目标是实现每个“Dialets”微型芯片的批量生产价格低至1美分,这样才会令这个技术成为对美国政府承包商具有吸引力的安全方案。
目前美国政府还在开展若干与供应链安全有关的工作。国土安全部去年设立的“供应链任务组(Supply Chain Task Force)”正在分析美国联邦采购法规(Federal Acquisition Regulation,FAR)规则是否需要更新,以此强制美国政府用户从原厂或授权代理处购买特定的信息技术和通信产品,但该任务组的负责人鲍勃.科拉斯基(Bob Kolasky)去年底曾表示该任务组当前的工作点放在了如何在私营部门建立更好的风险管理决策条例,而非通过技术措施来识别和验证供应链。美国国家反间谍和安全中心(National Counterintelligence and Security Center)主任比尔.伊万妮娜(Bill Evanina)也曾透露,目前美国国家安全部门以要求美国制造商和承包商对其产品中潜在的缺陷和漏洞负责为主,而不是在宏观政策层面来分解美国政府的供应链管理工作。
声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
