当我遇到一个新事物之后,我的习惯不是马上去看标准、找书、问产品,而是先听听身边人的观点、看法,分析判断他们为什么这么看,再结合自己的经验、手边的数据、观察进行总结,先自己立一个框架出来;再去和各类标准、规范、产品去碰撞,在碰撞过程中找自己和对方的不足,再重建逻辑框架。我个人以为这样可以很好地训练自己独立思考的能力,不至于被某些标准、框架、产品带进去。本文是自己近期对“供应链安全”的一个思考心得,肯定还有很多偏差和不成熟,也没有看过成熟的标准、框架是啥样,所以定名为“初探”,等下次学习完了,再来个续集。
一、啥叫供应链安全?
供应链,顾名思义就是你所需要的、你使用的东西,是需要在产业协同中别人提供给你的。安全应该就是“可信”的含义,就是在供应过程中虽然有部分工作是别人干的、但是在我管控范围内,我要么能看得到,要么能控制得住,要么就是符合安全可信的标准要求,最终达到可信的状态。
我在思考这个概念的时候,发现大家都在谈为什么治理(why)、谈怎么治理(how),但从来不说what,这很不符合我的思考逻辑。我本来是在思考“IT领域的供应链安全应该包含哪些治理要素”,刚开始列了几个要素,但是始终找不到其中的分类逻辑,始终觉得有缺憾。直到有一天帮我儿子讲政治课,讲到生产力、生产关系、生产资料的关系时,突然间顿悟。
这里面有一段核心概念:生产力决定生产关系。生产力指具有一定生产经验和劳动技能的劳动者和他们所使用的生产资料结合起来, 从而在物质资料生产过程中所发生的力量, 也就是人类在生产过程中征服和改造自然界, 并获得适合自己需要的物质资料的能力。生产力包括三个要素: 劳动者、劳动资料、劳动对象。这里面对我们有借鉴意义的是“生产资料”的概念:生产资料指的是生产过程中需要使用的资源或工具,包括劳动资料(例如土地、厂房、机器、工具等)和劳动对象(如原料)两大类。据此,我的观点是:供应链安全应该指的是在生产活动中,生产资料的安全可信;生产资料包括工具、资源和和劳动对象。
所以,在这个框架下,不同行业、领域的供应链安全内涵是不一样的。如果讲农业种植业的供应链安全,就应该是土地、种子、生产工具(比如某种特殊的、先进的生产工具,农业无人机?)及其原料、化肥及其生产工具及其原料、农业生产知识(播种生产时机,防虫防害技能、化肥生产知识等)、关键领域的人(种子公司的核心技术员,田间地头的农业知识传播者,化肥核心原料的供应者)。在这个框架下进行分析,必须要剖析到原子组件,将某个要素按照其生产过程进行拆分,拆分到原子组件。比如化肥就不是原子组件,因为化肥也是一个生产结果,由化肥原料、化肥生产工具、化肥生产知识、化肥供应者等原子组件组成,那么这些原子组件就应该被列入供应链安全的范畴。当中任何一个环节出问题,农业种植业的供应链安全就会收到威胁。我没看过SBOM的概念,但是我大胆推测,应该也是这么个理念。
《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中已经明确,生产要素包括劳动、资本、土地、知识、技术、管理、数据,这相当于把生产资料的概念细化了,有助于我们在分析供应链安全的组成要素时进行进一步拆分。还是以农业种植业为例,如果我们的农业知识、农业生产工具依赖大数据分析结果进行决策,那这些大数据及其来源也在农业种植业的供应链安全的范畴。
二、IT领域的供应链安全应该包括哪些治理对象?
我在去年10月给公司领导的汇报中,是这么分类的:硬件、软件、人、数据、服务。但是这么分类之后,我自己也一直在思索是否、如何改进。我看到很多公众号在分析IT领域的供应链安全的时候,很不注意措辞和边界范围的定义,直接就把“供应链安全”等同于“软件供应链安全”,我认为是大大错误的。
我认真回顾了一些事情
- 上面在讲解生产关系、生产力过程中的顿悟;
- 微软最近被LAPSUS$搞了,君哥、鸟哥也分别发表了自己的分析观点,其中很重要的一个步骤就是“Lapsus$其实在频道发布了相关的收购微软、Intel等账号和VPN的权限,通过这点来说也有可能是找到了卖家获得了账号。”
- 最近EW冲突,某个国际知名的咨询公司G给一些国内客户发了一封邮件,标题叫“首席信息官/首席安全官如何应对E入侵W”。这个事情咱们国内可不是这么措辞的,这就是赤裸裸的意识战、宣传站,是文化和观点的渗透。
- 前几天主持了一场开源治理的网上分享,海通的马冰总讲了一个观点:“开源安全其实没啥特别的,我们就是把它作为供应链安全的一部分去看待的”,我是极其认同的。
- 去年HVV过程中某家互联网会议服务商被发现0Day,并据此打入了某核心机构。
- 若干年前,国内某头部电商公司J公司发现其安全团队中一名新招员工有黑产背景,并发现其入职后有不轨举动,于是按照法律程序处置了此人。
- 在XC大背景下,被称为符合XC要求的产品,都对公司的资本结构有要求。
以上几个事情触动了我的思考,在之前结论的基础上,我修正了观点:我认为IT领域的供应链安全应该包括如下治理对象(1)硬件及其功能、原子组件;(2)软件及其功能、原子组件;(3)知识和数据;(4)人;(5)资本。这5类应该就是IT领域的生产要素。简单说明下我思考的逻辑
- 软件的原子形态一般是源代码、组件控件,也可能是某种服务提供的能力(比如某个外部API);软件是个生产结果,需要进一步拆分到源代码、开发工具、外部组件、技术厂家等;
- 硬件的原子形态一般是各种器件、板卡,也可能是通过某类硬件提供的服务能力(比如计算能力,存储能力);硬件其实也是一个生产结果,需要进一步细分到原材料、生产工艺、生产设备、生产厂家、交付途径;
- 知识和数据。我没有严格区分这两种概念,但“知识”针对G公司那个案例,也包括IT领域的各类技术知识和管理知识;“数据”是IT领域现在公认的生产要素,对数据的有效利用将爆发式提升IT的生产力和价值;
- 人。这个不用多说,在任何领域,我认为这都是关键治理对象之一。
- 资本。越来越多的资本进入IT领域,资本也会带来控制权、倾向性风险。
- 为什么我取消了“服务”,是因为“服务”并不是一个实体的对象,服务的提供方式很多,提供的内容也很多,但最终各种服务都是提供如上这些要素;这5类我认为就是IT领域的生产资料。所以,取消服务。
- 为什么没有“供应商”?同上,供应商不是IT领域的生产要素,现在任何领域都有供应商;治理供应商的目的也是为了保证上述治理对象的安全可信。因此,没有列入。当然,我不否认供应商治理是供应链安全治理的重要工作内容。
好了,总算把自己一个小小的心得体会总结了一下。有点小得意,因为是顿悟出来的,不禁感慨“世间万物皆有可学之处”;但是肯定还是和别人研究了那么久的标准、方法论有差距,不过,那是下一步要学习和提升的工作了。郑磊老板上次写的《供应链安全的学习笔记》是我下一步的学习对象。
经过这个阶段的思考,修正一下结论。
我认为IT领域的供应链安全应该包括如下治理对象(1)硬件及其功能、原子组件;(2)软件及其功能、原子组件;(3)知识和数据;(4)专利、标准、协议、格式;(5)人;(6)资本(企业与技术的决策权、控制权和监管影响力)。
这里面补充了一个要素“专利、标准、协议、格式”,是因为经过最近的观察和思考,我认为这是IT领域中一个无形的要素,很容易被人忽略;且其特征和内涵和“知识和数据”不一样,比如
(1)ISO7层模型、协议及其实现方式,已经以工业标准的形式存在了,全世界都得遵守;你不遵守、网络就无法通讯;
(2)微软的Office文件格式,全世界都得用;可是如果微软在里面偷偷记录了点东西,或者执行某些动作,你是完全无法控制的;
(3)各种GPL、LGPL等开源协议,你必须遵守,且其中某些协议具有强传染性,而协议的控制权并不在你手上;
(4)在软硬件生产过程中使用的各种专利、标注,如果控制权不在你手上,权利人随时可以改变授权模式,那未来你在使用专利、标准的各种过程中会各种掣肘;
对于“资本”,我做了补充,其核心强调的是“企业和技术的决策权、控制权和监管影响力”。因为
(1)资本的控制方一般来说掌握了企业和核心技术的决策权、控制权;资本控制方包括股权控制方,企业主要经营场所所在国,企业上市所在国;
(2)如果是上市公司,其上市所在地的监管规则对企业的影响力,也会导致对企业的IT供应产生巨大的影响。比如美国交易所、监管机构,可以对在美上市企业提出各种要求或施加影响力,导致企业的资本方、经营方做出不利于供应链安全的决策。
最近与同行交流,他想寻找供应链安全的治理框架。看了我的文章之后,觉得太过于物化,我答应他再做思考和完善。这期间总结如下案例
1、斯诺登爆料的案例当中,有一个CIA半道截留发给HW的思科路由器,并在其中修改路由器的固件和软件、植入后门,然后重新封装再继续发货。
2、深圳某些金融单位近期发生的机房纠纷问题,处理中发现现在很多机房使用的是租赁场地、不是机房单位的自有场地,导致到期后被要求搬走,给金融单位的IT运营带来很大困扰。这个案例中,供应链安全关注的是业务可用性。
提炼出如下供应链治理的要素(对象)
1、生产要素的交付渠道
2、软硬件运行所依赖的基础设施,通常指土地、机房、水电空调
但最近在看NIST的C-SCRM,感觉和我的维度不太一样,等学完之后再开一篇。