管理支持是建立有效评估风险并维持各个级别安全性的系统的关键组成部分。

由安德鲁·杰米森（Andrew Jamieson），UL

在制造系统和生产成本较低的原材料的竞赛中，在更少的时间内，资源较少，通常很容易让事情滑入较不安全的情况下。This is especially true in today’s interconnected world, where software is not so much written as assembled from various sources, with a thin veneer of customization across the top of a vast and unseen iceberg of open-source software, board-support package code, and third-party modules. In factories, increased focus on automation adds complexity to the manufacturing process, increasing the security risk to the assembly process.

在一个剃刀 - 薄的边缘世界中，我们如何管理这种复杂性，而不会破坏我们在此过程中取得的效率提高？供应链风险不必是一个棘手的问题，但这是必须面对和解决的问题。它不能被忽略或希望，只有那些适当解决这种风险的公司才会继续在未来取得成功。

trick流安全性

尽管明显的第一步确保您对供应链的安全性有足够的控制是了解您的供应链，但也许有一个“步骤0”更重要的是：从管理的最高水平中获得买入。没有船上的每个人的过程，您就不太可能取得成功。让所有人加入每个人的唯一方法是从管理层中获得授权。这将确保每个人都朝着相同的方向拉动。

拥有管理买入还有助于确保，当做出系统进行决策时，考虑了安全性。请注意，在验证新的供应商，子组件或监督控制和数据采集（SCADA）系统时，它并不像具有“必须安全”的项目那样简单。安全不是二元因素，“安全”对不同的人或公司可能意味着不同的事情。如果您询问任何供应商是否安全，答案几乎总是会是肯定的，但是您可以对这个答案提出多少信心？

另一方面是，如果没有做出安全决定，则可能有更多的长期费用。安全性很容易被视为阻止因素，但是如果正确管理，也可以成为推动因素。该管理方面不能低估。

足够的安全性

您需要清楚了解“安全”对您意味着什么。该答案将取决于您的行业和垂直市场，目标客户以及您的产品销售方式。显然，为军方生产系统或材料的公司将具有与生产消费品的公司不同的安全概念。

这个问题的另一个方面是其他所有人都认为“安全”的含义。这也许是一个更加困难的问题，因为它不仅表明了供应商的意见，而且表明了验证该意见的能力。

安全的概念不能在单个维度中测量。它具有技术和主观方面 - 您愿意接受多少风险，以及您想将合格的系统花费到该水平上多少时间和成本？许多安全评估计划，包括评估供应链安全性的计划，通过具有安全级别和保证水平来解释这一点。例如，一项根据供应商自行回答问卷的供应商的评估与通过第三方审计提供低级风险的保证水平不同，提供了不同的保证水平。

在工厂和设施管理中，重要的是，您必须了解哪种风险水平适合您的系统以及您想要鉴定风险的水平。根据供应商的不同，答案可能是不同的IE。，盒子的供应商的评估可能与供应控制所有操作技术（OT）或SCADA系统的操作系统的公司不同。

找到一个水平

安全级别的细微差别以及保证级别在评估供应链风险时表达了另一种需求，即确保可比性。大多数公司都会有许多不同的供应商，并且可以合理地考虑各个供应商的安全风险。但是，只有在使用足够相似的评估方法时，才能实际进行比较。

试图比较不同供应链评估计划的输出，甚至是由不同人评估的相同计划/标准的输出，都会在过程中引入额外的复杂性。

为此，应确定和确定所有供应商的标准过程。这可能包括确定不需要评估，或者在确定实际水平时的风险评估成本高于任何预期价值。只要始终应用评估，您就可以对苹果对苹果的比较充满信心。

当然，困难是知道如何建立此过程以及哪些级别和决策适合您的公司。有几种用于安全评估的标准，包括NIST网络安全框架，ISO 27001和IEC 62443。与之对齐是很有意义的。但是，这些程序仍然存在主观方面，因为许多控件都是基于风险的，并且风险由各个公司决定，这使我们回到了对安全的不同解释。强烈鼓励寻求独立的第三方专家帮助将其过滤成对您的组织有意义的事物。

时间可以治愈所有伤口

所有这些都应该花多长时间？“步骤0”可能应该给您一些迹象。管理人员的需要是有原因的，这个原因很少是快速简便的。我们正在慢慢地朝着一个法律和行业要求强制规定适合各种制造垂直行业的安全水平的世界。尽管熟悉安全标准，但到目前。

当今供应链的级联性质加剧了这一点。任何网络段上的单个子组件，自动化系统或SCA10bet在线娱乐DA的存在点可能会引入一个全新的供应链本身，用于使用它使用的软件和子组件，可能具有的远程连接以及其接口的其他系统。这可能不是一个棘手的问题，但是复杂性不能低估。不幸的是，我们无法简单地切开这个戈尔迪的结并重新开始，因此我们必须耐心地一次脱颖而出。

但是结可以解开。我们可以为我们的供应链提供更大的透明度，并以这种透明度对风险有更多的了解。今天开始的新计划可能需要数年的时间才能完全实现，但是价值可以比这早得多。构建一个不仅有效的程序，而且设计为可以尽快使用的一系列结果设计的程序绝对是最佳实践。EP

安德鲁·杰米森（Andrew Jamieson）是伊利诺伊州诺斯布鲁克UL的安全与技术总监（ul.com）。他已经与嵌入式系统的安全性合作了25年以上，并帮助创建了UL IOT的20个设计原则，以告知制造商的最佳实践，这些实践可保护其设备免受攻击。