隨著來(lái)自多方面的威脅與日俱增，電子行業(yè)已經(jīng)意識(shí)到需要在多個(gè)層面的安全問(wèn)題上提供保護(hù)。

如果您加入了一家新公司，就會(huì)發(fā)現(xiàn)自己在入職過(guò)程中需要簽署一系列的文件，確保新雇主的知識(shí)產(chǎn)權(quán)、業(yè)務(wù)、甚至員工的隱私和個(gè)人數(shù)據(jù)的安全。除了入職培訓(xùn)，大型企業(yè)通常還要求員工遵守全新的及更新的協(xié)議、接受相關(guān)培訓(xùn)，并采用新的工作流程。

實(shí)施這些措施是為了應(yīng)對(duì)黑客、競(jìng)爭(zhēng)對(duì)手和外國(guó)間諜活動(dòng)帶來(lái)的日益增長(zhǎng)的風(fēng)險(xiǎn)。

電子產(chǎn)業(yè)在這一格局中扮演著舉足輕重的角色，它既是設(shè)備的創(chuàng)造者，也是設(shè)備的制造商，當(dāng)這些設(shè)備與適當(dāng)?shù)能浖?a href="http://m.1cnz.cn/v/tag/150/" target="_blank">人工智能相結(jié)合時(shí)，可能會(huì)在不經(jīng)意間助長(zhǎng)各種不友好的活動(dòng)和現(xiàn)象。那么，我們?cè)撊绾伪Ｗo(hù)供應(yīng)鏈的安全性和可追溯性呢？

在電子行業(yè)，我們有大量的標(biāo)準(zhǔn)來(lái)指導(dǎo)我們實(shí)現(xiàn)高可靠性。這些標(biāo)準(zhǔn)是針對(duì)從設(shè)計(jì)到組裝的整個(gè)生產(chǎn)周期制定的。其中還包括數(shù)據(jù)保護(hù)、數(shù)據(jù)傳輸和生產(chǎn)中的數(shù)據(jù)處理。數(shù)據(jù)處理的一部分是可追溯性、數(shù)據(jù)保護(hù)，以及確保供應(yīng)鏈不受不友好的外部行為者的干擾。

為了幫助行業(yè)自我保護(hù)，IPC制定了一系列標(biāo)準(zhǔn)，以確保生產(chǎn)和供應(yīng)鏈中的充分可追溯性，以及緩解與高安全產(chǎn)品和暴露于外國(guó)情報(bào)和潛在有害網(wǎng)絡(luò)攻擊的行業(yè)相關(guān)的網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)。遺憾的是，這些標(biāo)準(zhǔn)沒有得到充分利用，在行業(yè)討論公司自我保護(hù)工作時(shí)經(jīng)常被忽視。

是專門負(fù)責(zé)制定這些標(biāo)準(zhǔn)的工作組白白浪費(fèi)了時(shí)間，還是IPC未能引起人們對(duì)這些標(biāo)準(zhǔn)的重視？我對(duì)這個(gè)問(wèn)題沒有確切的答案，但我傾向于進(jìn)一步調(diào)查，以確定這些標(biāo)準(zhǔn)是否與我本人和我所代表的組織相關(guān)。

有關(guān)供應(yīng)鏈安全和可追溯性的標(biāo)準(zhǔn)如下：

IPC-1782B-電子產(chǎn)品制造和供應(yīng)鏈可追溯性標(biāo)準(zhǔn)

所有從事高可靠性工作的大型企業(yè)都需要對(duì)所用材料、工藝和生產(chǎn)批次進(jìn)行追溯。主要原因是在檢測(cè)到故障時(shí)，盡可能將損失限制在少數(shù)產(chǎn)品上。根據(jù)故障的性質(zhì)，我們可以將缺陷限制在某個(gè)生產(chǎn)面板、某個(gè)生產(chǎn)批次或某種材料上。根據(jù)我的經(jīng)驗(yàn)，如果我們?cè)谟∷㈦娐钒蹇勺匪菪詷?biāo)記中添加生產(chǎn)批號(hào)，而且工廠在其生產(chǎn)數(shù)據(jù)系統(tǒng)中有足夠的可追溯性來(lái)查找工藝和原材料批號(hào)數(shù)據(jù)，我們就能做到這一點(diǎn)。在NCAB，我們通過(guò)對(duì)PCB工廠的企業(yè)要求和對(duì)生產(chǎn)批次標(biāo)記的要求來(lái)確保這一點(diǎn)。在所有工廠，我們都能追溯到所有相關(guān)的生產(chǎn)數(shù)據(jù)和原材料信息。

我還是D-33AA的聯(lián)合主席，D-33AA是負(fù)責(zé)IPC-6012XA的 IPC工作組，這是IPC-6012的汽車增編。我們討論過(guò)是否需要在該附錄中添加 IPC-1782B，但沒有達(dá)成共識(shí)，因?yàn)槠囆袠I(yè)已經(jīng)通過(guò) IATF16949 和高級(jí)產(chǎn)品質(zhì)量規(guī)劃要求，制定了良好的可追溯性要求。

對(duì)我來(lái)說(shuō)，這樣就不需要另一個(gè)像IPC-1782B這樣的可追溯性標(biāo)準(zhǔn)了。

IPC-1791D-可信賴的電子設(shè)計(jì)員、制造員和裝配員要求

這是一項(xiàng)側(cè)重于網(wǎng)絡(luò)安全和實(shí)施網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC）的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)可能是 IPC制定的較少為人所知的標(biāo)準(zhǔn)之一。這有以下幾個(gè)原因，首先，IPC-1791D 專用于美國(guó)國(guó)防部相關(guān)產(chǎn)品，美國(guó)國(guó)防部重點(diǎn)保護(hù)美國(guó)國(guó)防工業(yè)供應(yīng)鏈中的網(wǎng)絡(luò)安全，并幫助供應(yīng)商遵守CMMC法規(guī)。該標(biāo)準(zhǔn)應(yīng)使人們對(duì)交付產(chǎn)品的完整性有信心，確保質(zhì)量、供應(yīng)鏈風(fēng)險(xiǎn)管理（SCRM）、安全和監(jiān)管鏈（ChoC），以及非美國(guó)印刷電路板設(shè)計(jì)、制造和組裝的可信來(lái)源認(rèn)證。其目的是對(duì)符合IPC-1791標(biāo)準(zhǔn)的公司進(jìn)行認(rèn)證。不過(guò)，該認(rèn)證并不包括國(guó)防部的設(shè)施許可，除非客戶有特殊要求，并獨(dú)立于該標(biāo)準(zhǔn)之外。

整個(gè)標(biāo)準(zhǔn)變得復(fù)雜，只要國(guó)防部提供豁免，至少在2025年底前達(dá)到CMMC標(biāo)準(zhǔn)，就很難理解其必要性和好處。但是，國(guó)防部的供應(yīng)商，無(wú)論位于美國(guó)國(guó)內(nèi)還是國(guó)外，都不應(yīng)該得不到國(guó)防部定期提供的最新信息。

IPC-1792-制造業(yè)供應(yīng)鏈網(wǎng)絡(luò)安全事件管理與緩解標(biāo)準(zhǔn)

IPC-1792旨在引導(dǎo)用戶創(chuàng)建一個(gè)安全的環(huán)境，在生產(chǎn)、數(shù)據(jù)交換、原材料裝運(yùn)、供應(yīng)商倉(cāng)庫(kù)之間的產(chǎn)品裝運(yùn)以及端到端過(guò)程中防止網(wǎng)絡(luò)攻擊，確保任何人都沒有機(jī)會(huì)調(diào)換包裝箱、交換箱內(nèi)貨物，并最終以安全的方式送達(dá)買方。該標(biāo)準(zhǔn)的目的是消除在整個(gè)端到端制造過(guò)程中操縱軟件和硬件的機(jī)會(huì)，確保按照原設(shè)計(jì)者的預(yù)期制造產(chǎn)品。

在NCAB集團(tuán)，我們?cè)谡麄€(gè)供應(yīng)鏈中都有值得信賴的供應(yīng)商，這毋庸置疑。但是即便如此，談到這個(gè)標(biāo)準(zhǔn)也會(huì)讓你感到不舒服。這個(gè)世界真的如此殘酷嗎？答案取決于您的產(chǎn)品、您客戶的產(chǎn)品，以及您的工廠是否可能受到競(jìng)爭(zhēng)對(duì)手、您客戶的競(jìng)爭(zhēng)對(duì)手或其他國(guó)家的操縱。答案是肯定的，我們的利益都是相同的。

在這三項(xiàng)標(biāo)準(zhǔn)中，我覺得這一項(xiàng)最值得閱讀，也最值得在企業(yè)內(nèi)部討論。這是否意味著我們將執(zhí)行該標(biāo)準(zhǔn)？也許不會(huì)，但作為我們整體風(fēng)險(xiǎn)評(píng)估的指南，它是很好的讀物。

那么，這篇文章能給我們帶來(lái)什么啟示呢？這個(gè)世界足夠殘酷，我們需要采取措施確保供應(yīng)鏈中的業(yè)務(wù)安全，并抵御潛在風(fēng)險(xiǎn)。選擇一個(gè)可靠的合作伙伴，能夠最大程度幫助您減少風(fēng)險(xiǎn)發(fā)生的概率，從而確保您產(chǎn)品供應(yīng)鏈的長(zhǎng)期可持續(xù)。

審核編輯 黃宇