邵江宁（微软（中国）有限公司首席安全官）：
主题：供应链安全标准与实践

大家好。站在大家和大家的午饭之间，我的话题也是比较大。接到这个任务的时候也思考了一下供应链安全的话题，一方面它是一个非常大的话题，它是一个政策的话题，今天多边双边的很多贸易问题都是供应链互相衔接边界的根本定义的问题。

往小了看，供应链从它的发展演变历史来看有一些技术问题，供应链是用信息工艺技术把产品制造所有环节从产品研发到产品生产、制造、到产品售后服务运维所有环节用信息技术把它连在一块。

讲到供应链安全，它一方面有贸易的问题，一方面跟隐私相关，另一方面还受到新科技技术飞速发展推动的影响，新的风险不断的出现。从这个意义上来说都应该是一个非常大的话题。

好在我是从微软来的，我们微软是做软件的，我们是技术公司，我们更多是想从微软作为一个RCT主流厂商，我们今天从更个性化的，就像设备，还有生产力软件平台，还有更智能化的云平台这一块，我们在提供新型的技术产品和服务过程中我们对供应链安全标准的理解，还有我们在应对供应链安全标准和供应链风险在全球方面的体会。

我们讲供应链安全的时候，我们大多数会定位到供应链风险，我们用什么样的风险管控手段去降低风险，风险在这个世界上是随处可在的，既有基础技术的风险，也有国家治理、社会治理，也有国家合规方面的风险，风险本身，你不能说百分之百的消除掉，只能产生风险管控和缓解的方法去降低他。我们讲风险，我们必须跟每种供应链发展的不同阶段，放在他的时代背景去讲。

供应链发展过程中可以大致分为这样几个阶段，第一，最初的供应链传统经典的代工时代，大家发现我采用分工专业化，主流的OEM厂商和配套厂商联合在一块，成本会降低，消费者会受益。第二，全球有一些主流的国家在技术能力方面有很大的进展，包括中国，中国从代工工厂变成了制造中心，由于我们科技的进步，我们很多公司具备了科技自主研发的能力，随之，整个供应链在上下游环节之间的分工作协作出现了比较大的变化，中国的很多公司在软件核心的设计和开发过程中担任了软件外包的工作，在这个过程中我的开发流程的可重复性问题，开发能力的重复性问题，知识产权保护、防伪和山寨的风险。

今天我们进入到一个新的时代，今天我们讲的是移动互联的时代，从产品为供应链焦点逐渐转移到第三方或者是独立的运营方、运营平台提供增值的价值服务。比较典型的就是我们今天讨论的云服务、CSK的服务模式，产品的提供和交付只是非常早的第一步。

我正好最近也在参加伦敦经济学院一个教授的讲座，他提到在全球今天的环境里面，我们面临着从过去比较甜蜜的自如的放松监管的黄金30年，进化到今天，各个国家都使用起监管的工具，不仅是在欧盟、美国，在全球很多国家，关于科技技术和其他监管方面的法律法规，他的立项、颁布执行的力度都是空前的，中国也不例外，中国也是在新的全球网络供应链的时代也在制订很多标准，很多标准都是对背后的利益是负责的。

我们对完整性的挑战，从大家熟知的斯诺登事件爆发以后，很多国家都在探讨，软件是不是存在后门，是不是存在被篡改的问题。这个挑战不仅影响到以本国为主的本土公司，也面临到一些跨国公司，我今天主要分享一下微软在面对软件完整性挑战这一块我们的一些做法，通过这些做法我们打造一个风险可控的软件供应链。

安全的问题最后是信任问题，信任问题有很多面，简单举四个例子，主要是双方供应链各个环节缺乏互相的沟通和了解，甚至对一些新技术本身缺乏了解。技术供应链的保护有很多方面的焦点，有知识产权的保护，有原代码的保护，还有对软件完整性的保护。在软件开发的各个环节里面，风险的关注点是不一样的，好在微软通过多年时间，我们归纳出一整套的安全周期的理论，也全面贯彻SDL的理论，SDL有一个非常完整的理论，在整个软件开发利用环节，都使用VC建模的模型，把其中的风险和可能应对的手段都做一个系统化的梳理，在软件各个周期都能应对一些威胁，能够把漏洞降到最低。

这是一个简单的软件开发漏洞模型的介绍，很多厂商在新的时代，尤其在做软件供应链、物联网开发这一块都是大力采用了SDL的技术。

技术供应链保护我们都在讨论有什么样的做法，我们怎么降低风险，怎么做，在这一块有两大不同的思路，我们有一个标准，在软件供应链、风险建模、风险评估这一块有已知的标准，他可以借助通行的标准来做软件开发过程中或者进行软件贸易的过程中拿出彼此大家都能够接受的协议，能够接受对软件风险处理的结果。这是比较好的结果。另外一个方法是我在一项新的技术和新的领域内，我们没有比较固定的已颁布的标准，我们就必须采用一个从底层开始甚至风险评估的方法来做评估。

在做供应链安全风险管理工作我们要有一个策略，它涵盖供应链周期的所有环节，在风险评估这一块，我们谈到有两种做法，一种是基于标准的风险评估或者管控办法，另外一种，如果没有评估标准，我们要采用积极的风险管控办法，原理都是差不多的，我们从四个环节把它细化成六个环节。在标准这一块，很多的都是专家，我这边做了一个简单的汇总，在供应链安全这一块，我们在信息安全这一块有ISO27002的标准，在经典供应链这一块有产品的保全、供应链业务连续性，供应链各个环节的风险管控，有ISO28000的标准，还有各国政府制订的采购的相应的要求。这些标准都对我们在供应链安全管控的时候，把标准做一个很好的影射，把它跟我们整个制造、服务提供的各个环节按照这些要求进行实际的操作。

这是一个简单的举例，告诉大家怎么去做风险评估。一方面是我们可能面对的很多标准的要求。另一方面，实际对应到我们供应链每个环节里面可能面临的风险，我们做了一个整体式的打分，把风险最大的环节找出来。如果没有成熟的标准，我们需要先进行业务流程的分析，把各个业务流程从业务流程的整个环节中进行细致的建模，进行相应的评估。

风险评估的方法可能非常多，这边是一个非常简单的分析办法、非常实践，我们简单分了三级的风险，主要是希望能够聚焦在最高的风险、少数的风险。我们在提高自己供应链安全可控的方面，我们也有四个我们认为比较成功的做法，四个控制的办法非常有效的减少了在软件开发过程中有可能有人为的有意或者无意的失误造成软件本身的缺陷。第一个是对身份和访问控制的管理。在软件开发过程里面有一个费率管理表转的要求，通过研究费率管理，我们可以减少软件本身的BUG。第二，安全开发生命周期，也就是SDL，我们制订了一套轮岗的战略，我们也开发了很多的辅助工具，通过这个辅助工具，进行人工智能、大数据的分析，能够自动降低我们实施SDL的成本。第三，软件完整性政策和程序。我们有可信的机制，都可以做这方面的工作。第四，防伪这一块我们也有具体的方法来做，比如说代码的数据签名，通过严谨的签名机制能够保证我们发布出来的商业化代码不被第三方机构恶意仿造。

讲完我们做的做法，在软件和供应链这一块的一些威胁和风险管控的实践办法之后，我想简单提一下，我们在面临着一个新的旧时代的互联网时代的大爆发，我们可能会面临一些新的挑战，这个新的挑战是由于物联网技术本身带来的对供应链安全可靠这一块新的视角，微软前期也做了一些思考，我们可能没有一个成形的解决办法，我们先把这些思考跟大家分享出来。

第一，设备信任问题，将来在万物互联的时代，我们面对设备的数量级别会非常多，它跟人和机器之间的连接非常多，现在我们每个人三四块屏幕，将来每个人身上会有几百甚至上千个芯片，这些芯片支持着我们日常生活的活动，甚至包括健康的行为。

这些设备有非常大的设备，也有非常小的设备，甚至植入人体的设备，我们在构造物联网的供应链的时候，我们怎么考虑设备性的问题，怎么在不同的颗粒度和使用度上去延伸的问题，这是我们在新时代由于新机制的推动，对供应链安全这一块的非常大的挑战。

前面华为的同仁讲到信任根的问题，可能是比较好的一个方向。设备可信这一块，这是我们分析的模型，我们不仅要解决安全和隐私的问题，还要解决可靠性和安危的问题，因为互联网世界把传统的物理世界的安全可靠和虚拟世界的网络安全连在一块了，它造成的后果可能是对人的生命和关键服务直接相关。

第二，我们在万物互联的环境里面一定有一个责任划分的问题，在互联网的世界里面，我们面临各种各样的参与方，我们在讨论安全的时候，我们的责任划分非常重要，谁承担主要责任，我们保护的最终目标是什么，我们怎么进行目标的划分，这是一个很关键的问题，我们在定义供应链标准的时候，责任划分要有一个合理的符合基础方案的模型。

第三，设备规模挑战问题，我们在不同阶段面临的设备故障是不一样的，研发阶段可能只有几十个、几百个，一旦进入到集体生产环节里面，他是上亿，甚至几千万亿的，我们在考虑供应链安全的时候，由于设备数量本身带来的安全的挑战怎么做。而且我们很多的设备本身不具备进行自由配置和管理的接口。我们怎么去做。

第四，设备大数据的挑战。我们随时随地发布各种各样的遥测数据，我们根据这些数据反应和细调产品和服务对人本身的个性化的服务，由于输入数据非常大，如果我们要把它监管起来，意味着我们监管平台要处理海量的数据，但是如果把一千亿规模的互联网世界，你想用监管的手段管理起来，你监管的手段有多大，你如何处理这些数据，监管有效性在哪，监管本身给供应链带来的压力有多大，他的经济性怎么考虑。

第五，基于硬件的信任问题。我们过去在经典的环境里面有数据中心，有物理安全，各种各样的环境控制。在未来得物联网环境里面，他是一块蛮荒之地，我们怎么确认这是可以信任的，我在供应链这一块信任根在哪。他是实体的供应链，还是虚拟的信任供应链。

第六，设备安全态势感知。你需要知道威胁的来源，从服务的角度来说，提供一个安全可靠的服务，因为供应链被无限的扩展，它的生命周期远远超过了设备本身交付的生命周期。

第七，设备供应链网络。过去我们传统的自控领域或者风控领域，它的概念和网络供应链的概念是不一样的。我们怎么编写一个双方都能够编写的供应链的标准，这是非常考验的，你不能说那是网络供应链的标准，公共的说他是公共的供应链的标准，不能产生冲突。

第八，软件组建漏洞追踪。我们进行结构性分析的时候面临大量的问题，我们所说的RCT的设备，层层分解起来，如果我们要保证供应链安全安全，它应该是端对端的，第三方的支持厂商和组件怎么保证安全？这是我们供应链安全标准必须考虑的问题。

第九，设备服务安全寿命周期的问题，前一段时间美国爆发的被服务器攻击的时候，主要是一些互联网厂商提供的摄像机有漏洞。但是他由于在制造这个产品的时候根本没有考虑软件寿命周期的问题，他写死了。

第十，网络安全深度防御，我们可以从全体的角度上考虑它的安全防护，需要考虑的因素非常多。通常讲云、管、端。每个端都要全面考虑它的风险。

最后跟大家分享一下微软提出的供应链可信赖基本原则。原则有四大块：

第一块是安全，包括开发安全、物理安全、逻辑安全和运维安全。我对于人工智能用于个人决策相关的意见，我们在考虑迎接人工智能时代到来的时候，我们也必须在安全这一块做更深入的考虑，我们是不是能够接受人工智能来进入我们的生活。现在我们考虑要把公平和道德写到算法里面去，我们怎么在供应链环节把这一块考虑进去。

第二块是隐私。包括法律、权利定义的隐私，还有个人保护的要求。我们今天依靠数据进行个性化服务，我们要把隐私关在笼子里面，保证个人隐私不会遭到侵犯和滥用。

第三是合规，全球有全球的标准，我们国家也在制订自己的标准。我比较欣赏华为的专家分享，我们需要在标准合规这一块为新的技术的发展演变提供一定的自由度。让技术能够快速的成熟起来。

第四是透明。不仅考虑到对国家的监管，还考虑到对消费者本身，对数据本身操作的透明。这是我们讲可信赖的四个大原则。

在安全标准这一块我们也提出了一些基本的想法。
第一是创新，第二是灵活，第三、互惠互利，供应链标准不能自己关起门来只为本国服务，或者国外的进不来，互惠互利是一个制度。第四，面向风险，我们是考虑实际的厂商、消费者、多元利益方各方面的原则。第五，面向标准，标准保证我们能够面向世界，面向国际通用标准，对中国本土的标准也是有帮助的。第六是透明。

安全是共同的责任，安全不是单方面的责任，既有国家主体的责任，还有监管方的责任，还有标准制订方的责任，我们需要在整个生态系统里面各个成员通力合作，最终打造通用的安全。

微软希望能够跟中国本土的这些伙伴们有很好的合作，推动本土的创新，迈向更高的水平。谢谢大家！

主持人：感谢邵总非常全面的汇报，不仅介绍了供应链的标准，还结合微软在风险评估的实践，同时还对供应链安全国家标准的制订也提出了非常好的建议，今天上午的网络安全标准化的分论坛就结束了，非常感谢各位专家的聆听。CSS同时还有一些其他的论坛在进行，希望大家积极参与。感谢各位对CSS论坛的支持，对中国电子标准化研究院，以及对腾讯这次大会的支持。谢谢大家！