文│黄鹏 刘芷君
2019年7月,美国国防后勤局(DLA)发布《供应链安全战略》(《战略》),将其作为2019年4月修改的《国防后勤局战略规划2018—2026》(《战略规划》)配套文件指导DLA供应链安全实践。DLA作为美国战斗后勤支撑机构,负责对包括食物、纺织品、能源产品、医用材料与设备、建筑材料、工业装备、个人需求品、主要终端产品以及备用零部件在内的九条供应链将近500万件物品进行端对端管理,每年提供超过370亿美元的商品和服务,支撑2400多个武器系统。供应链管理是DLA最重要的职能之一,供应链安全关乎DLA军事供给的持续性和美军作战力量的稳定性。DLA通过修改《战略规划》和制定《战略》,提升供应链安全的战略地位,更加凸显其供应链管理职能。
一、《战略》主要内容
DLA全球供应链遍布美国46个州和全球28个国家,包括从原材料供应到产品的采购、分发和处理一系列环节。DLA通过其六个主要下属司令部实现对全球供应链的管理,其中部队保障司令部、陆上和海上司令部、航空司令部和能源司令部四个下属司令部负责进行采购,提供物资补给和服务;分配司令部负责提供存储和分发服务;物资处理服务司令部负责对军队及DLA的剩余物资进行处理。此外,还有业务流程、业务系统、分发中心、供应商网络、工业后勤支持、健康的财务状况、处于备战状态的后勤人员以及网络安全机制等复杂且相互联系的因素保障DLA全球供应链正常运转。在DLA庞大且复杂的全球供应链体系下,供应链的每个环节和节点以及其背后支撑其运行的系统和流程都极易受到攻击和威胁。《战略》披露了网络攻击、地缘冲突、数据安全问题、假冒伪劣产品、单一来源供应商、对外国的依赖、对次级供应商缺乏可视性、自然灾害或突发事件等DLA供应链安全的主要威胁。
《战略》提出建立一个全面应对供应链安全挑战的体系架构,为作战人员提供不间断的支持。该架构包括识别威胁和漏洞及划分风险优先级、制定供应链风险解决方案、保障供应链弹性运作、通过监测、报告、保护和防御规避风险等相互联系的有机组成部分。为构建上述体系架构,《战略》着重论述了四项供应链安全战略重点。一是在DLA层面实现供应链安全制度化。基本举措是将供应链安全纳入DLA的任务保障和整体的风险管理框架中。该举措的关键是建立一个标准化、可重复的流程来评估DLA整体范围内的供应链漏洞。二是保护重要数据安全,主要是保护重要数据的完整性和访问权限。具体举措包括实施DLA网络安全战略、控制DLA数据的流出、将网络安全作为供应商选择的考虑因素之一等。三是与诚信可靠的供应商合作,确保其为作战人员提供高质量的产品和服务,防止假冒伪劣的零部件和产品混入全球供应链。四是增强系统、流程、基础设施和人员弹性,确保在任何破坏性活动及威胁挑战下,DLA全球供应链仍能保持弹性以对作战人员提供持续性的后勤支持。
二、可借鉴的做法
2012年,美国发布《全球供应链安全国家战略》标志供应链安全在美国上升至国家战略高度。特朗普上台后,更加注重供应链安全在国家安全框架中的地位,出台了多项供应链安全相关的政策举措。国防领域是美国贯彻供应链安全的重点领域,国防部是美国供应链保障措施最为完善的部门之一,DLA作为国防部的重要部门,通过制定《战略》贯彻供应链安全实践,为其他领域的供应链安全保障提供了可借鉴的经验。
(一)提升供应链安全的战略地位
DLA于2018年发布的《战略规划》版本并未突出供应链安全的战略地位,2019年4月修改的《战略规划》将供应链安全与审计、创新并列作为跨越领域、贯穿各主体的活动进行重点阐述,指出供应链的中断会严重削弱美军作战力量和执行任务的能力。《战略规划》强调供应链安全的工作重点是保护关键数据的完整性和访问权限、与信誉良好且提供高质量产品和服务的供应商合作、加强相关系统和流程中的弹性和冗余能力。DLA在《战略规划》的基础上制定专门的供应链安全战略对供应链安全实践提供具体细化的流程和方法指导,提出应对供应链安全挑战的体系架构并系统论述了四大战略重点领域,可见DLA供应链管理职能得到加强,供应链安全的战略地位不断提升。
(二)从顶层设计层面提出供应链安全体系架构
面对庞大且复杂的全球供应链体系和一系列供应链安全威胁挑战,DLA首先提出供应链安全的顶层设计,即构建应对供应链安全挑战的体系架构并且具体阐述了该架构的五个重要组成部分。一是识别威胁和漏洞及划分风险优先级。该部分是整个架构的基础,目的是建立一个全面的、可重复的、持续性的流程识别和报告供应链威胁并对相关风险进行优先级划分,从而为制定供应链风险解决方案提供着力点。二是制定进攻型供应链风险解决方案。供应链安全威胁一旦确定,DLA应主动出击,采取进攻手段有力对抗威胁。三是制定防御型供应链风险解决方案。供应链安全漏洞一经识别,DLA应及时采取防御手段有效填补漏洞,降低风险。四是保障供应链弹性运作。保持供应链弹性是对作战人员进行连续性支持的保证。当DLA的全球供应链受到攻击或威胁时,有弹性的供应链能够确保DLA供应链运行在风险状态下不中断。五是通过监测、报告、保护和防御等手段规避风险。该部分强调在DLA层面建立供应链安全机制并确保其能够经受时间的考验。该部分要求DLA将供应链安全集成到DLA实时操作中心的业务规范以有效监测、报告、保护和防御威胁,还要求DLA将供应链风险管理纳入DLA的任务保障过程并最终集成到整体风险管理框架中以系统解决供应链安全问题。在供应链安全顶层设计框架下,《战略》提出的四项战略重点均是供应链安全架构的回应与细化。
(三)将供应链安全纳入整个机构的风险管理框架
《战略》多次提到要将供应链安全和供应链风险管理纳入DLA整体的风险管理框架中。实现这一目标的关键在于建立一个标准化、可重复的流程以评估DLA供应链漏洞。《战略》明确将供应链安全的主要责任赋予DLA J3办公室,即后勤业务部。为了将供应链安全成功纳入DLA整体风险管理框架,《战略》提出开发出一种记分卡,为DLA提供一个反映供应链安全环境的实时操作视图。该记分卡可以实时体现DLA管理的九条供应链以及支撑供应链运行的商业流程、业务系统、分配中心、供应商网络等复杂因素以及负责供应链管理的六大下属司令部的相关情况,使得DLA实时操作中心能对全球供应链安全状况的实时监测和评估,实现对全球供应链的有效保护。
(四)为供应链安全实践提供具体细化的手段和方法
《战略》对DLA供应链安全的部署不仅停留在框架和规则制定上,还提出了实现供应链安全架构较为具体细化的手段和方法。除前文提到的记分卡,《战略》还提出了若干各有特点的供应链安全管理手段和方法。这些具体细化的方法和手段使DLA供应链安全战略能够落到实处,为DLA后续制定更加细化的指导文件提供了依据和指引。
1. “DNA标记”法
DLA采用“DNA标记”法识别混入供应链中的假冒电子产品零部件。该方法将植物DNA重新排列成独特的序列码标识电子元器件,该标识无法被复制,无法清洗并且能够被专用设备识别。除了识别假冒产品,“DNA标记”还能提供所标识的电子元件的供应商、厂家代码、生产批号等详细信息用于检测。美国国防部自2012年开始要求DLA的供应商必须在其产品上使用“DNA标识”技术。
2. 供应商网络映射
12000多家供应商组成了DLA错综复杂的供应商网络。DLA采用一种供应商网络映射工具映射出贯穿第一层供应商至第三层供应商的供应商网络。这种工具让DLA有能力掌握上游供应商的财务状况、合规情况、法律关系和外部关系等情况以识别相关风险。
3. 业务决策分析
业务决策分析工具能帮助DLA每日分析近100万份报价以降低采购风险。该工具使用机器学习、预测变量、多数据源和高级分析等技术手段评估供应商、招标、价格和项目等方面的风险,有助于DLA在作出采购决策时降低风险。
4. 市场情报机制
DLA建立了一项市场情报机制以更好地了解其供应商网络的市场状况。该机制的关键是开发一项业务流程以收集、分析和报告特定市场的市场状况,从而帮助DLA制定采购策略。
(五)注重供应链安全跨领域、跨部门协作
修改后的《战略规划》将供应链安全作为一项跨越领域,贯穿各主体的任务进行强调,《战略》多次提出应加强DLA与其他部门和主体的协作以提升其供应链安全防护能力。为保护重要数据,DLA积极探索与美国运输司令部和网络司令部的战略伙伴关系,还将保持与学界和产业界的合作,推动网络安全和数据保护方面的供应链安全实践和创新经验共享。DLA将通过技术质量—分销欺诈委员会、技术质量—贸易安全欺诈委员会和采购工作组等跨职能工作组加强其打击假冒和欺诈行为的能力。DLA还将利用现有和新兴的技术,通过内外利益相关者的协作优化供应链风险识别、分析和报告机制从而增强供应链运行弹性。
三、对我国的启示
随着经济全球化的发展,我国逐渐形成面向全球的供应链体系,这一趋势在增强我国企业国际竞争力的同时也暴露出更多的供应链安全风险。目前我国企业供应链管理主要靠市场驱动,缺乏法律法规指引,大部分企业缺乏供应链安全意识。DLA《战略》启示我国应提升供应链安全的战略地位,在顶层设计指导下通过建立相关流程贯彻落实供应链安全举措,同时加强各方主体在供应链安全实践中的合作,构建符合我国国情的供应链安全体系。
(一)提升供应链安全战略地位
为构筑安全且具有弹性的全球供应链,我国应首先加大对供应链安全的重视程度,提升供应链安全的战略地位,从国家层面做好供应链安全顶层设计和谋篇布局,搭建符合我国国情的供应链安全体系架构。各行业相关主管部门应做好本行业供应链安全顶层设计,在符合行业特点的供应链安全框架下深化落实供应链安全举措。进行顶层设计时应当注重供应链安全的审查评估并充分考虑影响供应链安全运行的主要风险,建立一个全面应对供应链安全挑战、经得住时间考验的供应链安全框架。
(二)建立供应链安全相关流程
供应链安全要实现从顶层设计到具体落实的过渡需要一系列流程的支撑。一是建立供应链风险与漏洞评估流程。对供应链风险和漏洞的识别与评估是后续采取供应链安全举措和技术手段的基础和前提。该套流程应当是全面的、持续的、可重复的,以应对复杂且不断变化的供应链安全威胁与漏洞。二是建立重要数据访问验证程序。存储于供应链各节点的数据中包含大量的敏感数据,存在泄露风险。应加强供应链各节点数据安全防护,对需要访问相关重要数据的供应商设定验证程序,控制重要数据流出。三是建立合格供应商筛选和风险识别流程。供应商的资质和服务质量直接关系到整条供应链的安全程度。不合格供应商可能给供应链安全带来假冒产品、网络攻击、间谍行为等潜在风险。应将供应商信用程度、服务质量、数据安全保护水平、风险处理和应急处置能力等因素纳入供应商筛选流程并且注重对供应商风险的识别,构建可信、可靠、安全的供应商网络。
(三)构建供应链安全合作机制
搭建安全的全球供应链需要多方主体的共同努力。可借鉴DLA供应链安全保护经验,在我国建立起多层次的供应链安全合作机制。一是促进供应链上下游企业间的协同合作。应从供应链全局出发,在上下游企业间建立有效的信任机制,实现企业间的优势互补、资源共享,促进协同发展,共同构建安全的供应链。二是推进政府部门间的合作。各行业供应链的构建涉及行业主管部门、质量监管部门、工商行政部门、海关等部门的管理与指导。应促进各部门之间的信息共享和协调合作,提升政府对供应链安全的管控能力。三是加强企业、政府部门与高校、研究机构等主体的交流与合作。应发挥高校、研究机构等学界主体在供应链安全实践中的创新与研究作用,使其为供应链安全技术手段的开发以及供应链安全相关政策法规的出台提供智力支持。
(本文刊登于《中国信息安全》杂志2019年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。