美国防工业的核心已遭中共秘密入侵

　　美国《国家利益》6月24日刊文称，中共的秘密隧道进入美国防工业的核心，美国国防部和联邦情报机构要更加透明地了解哪些公司对国家安全构成风险以及他们对这些公司的依赖程度。

　　由于对中国公司华为和中兴通讯的担忧，美国联邦政府禁止使用他们的产品，川普(特朗普)总统将华为列入禁止与美国公司进行业务往来的实体名单，因此供应链漏洞已引起全美关注。

　　据美国《国家利益》报导，虽然这些行动解决了一些公司的部分供应链风险，但对有问题的公司来说，一次性禁令将不足以保护美国。正如联邦首席信息安全官施耐德（Grant Schneider）所说，这些仅仅是“我们需要一种更加系统化的方法来应对挑战的重要解决方案”。

　　报导说，好消息是美国政府官员终于开始关注其供应链的脆弱性。去年，国土安全部成立了一个信息和通信技术供应链工作组，由公共和私营部门的代表组成。去年12月通过的一项法律，促成了新的联邦采购安全委员会的成立，该委员会5月举行了第一次会议。白宫最近发布了一项行政命令，禁止从那些被视为对美国国家安全构成威胁的公司获取和使用任何信息、通信技术，以及服务。

　　突如其来的担忧并未过分夸大。今年3月，网络安全公司Carbon Black发布了一份报告，显示大约一半的恶意网络活动是利用供应链漏洞实现的，通过供应商进行“跳岛战术”，寻求更有利可图的目标。为了加强美国的安全，美方必须系统地处理供应链网络风险。为了尽量减少跳岛，政府和其他组织不仅要分析自己的网络安全，还要分析他们购买和使用商品和服务的公司的安全性。

　　评估供应链风险的第一步是确定实体供应链中的确切位置。政府承包商是分层的，高层的大公司可能不了解他们所依赖的所有分包商的身份和风险状况，以提供复杂的系统。正如国防承包商洛克希德·马丁公司副首席信息安全官迈克·戈登（Mike Gordon）去年所说，“由于合同的相互关系和竞争优势，第一级并不一定知道四级中谁在制定特定的项目，而且政府也不一定知道。”

　　一旦政府机构和公司确定了供应链中的企业，下一步就是区分供应链中的哪些公司构成威胁。如何才能做到这一点呢？

　　在评估特定供应商构成的风险时，需要考虑四个关键因素：（1）相关信息的敏感性；（2）存在风险的基础设施的重要性和普及性；（3）供应商所在国的历史和法律结构；（4）供应商本身的历史和结构——包括以前的网络间谍事件以及与敌对的外国政府实体或人物的密切联系。

　　其中一些因素比其他因素更难以评估。例如，对以前的间谍活动或外国关系的指控可能难以被证明——特别是在关键信息被分类时。2016年国防部J-2情报局警告五角大楼使用联想产品的情况就是如此。

　　文章说，最终，为了改善供应链安全，国防部和联邦情报机构需要更加透明地了解哪些公司存在风险以及他们对这些公司的依赖程度。在这些问题上，州和地方政府官员以及许多私营企业几乎肯定不如联邦机构知情。不必要地隐藏信息可致使他们在评估自己的供应链风险时面临更多风险，让美国公民更容易受到伤害。

　　对于缺乏网络安全专业知识和资源的小型承包商来说，消除供应链风险可能尤其成问题。国防部首席信息官迪希（Dana Deasy）希望新兴技术可以帮助减轻小型承包商的负担。

　　一些人可能认为解开联邦供应链是一项不可能完成的任务。但是，改善网络安全不仅需要在供应链的顶层进行适当的清除，还需要在较低级别进行类似的行动。审计如此庞大的网络将需要大量的资源和精力。然而，使用这些资源来防止恶意网络行为比后来事情发生后收拾残局要好得多。