美國ICT供應(yīng)鏈安全管理新政觀察

【摘    要】文章首先對美國ICT供應(yīng)鏈安全管理策略進行了回顧，然后從新建兩個跨部門的ICT供應(yīng)鏈風(fēng)險管理機構(gòu)、通過立法加強ICT供應(yīng)鏈安全風(fēng)險管理等方面介紹了美國近期ICT供應(yīng)鏈安全管理的最新舉措，在此基礎(chǔ)上從3個方面分析了美國ICT供應(yīng)鏈安全管理新政的特點。

【關(guān)鍵詞】ICT供應(yīng)鏈  安全管理  新政

1 美國ICT供應(yīng)鏈安全管理策略回顧

美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）指出，美國關(guān)鍵基礎(chǔ)設(shè)施的日常運轉(zhuǎn)和功能正常都依賴信息通信技術(shù)（ICT）——NIST將“日常運轉(zhuǎn)和功能正�！倍�義為“數(shù)據(jù)和信息的捕獲、存儲、檢索、處理、顯示、表示、表達、組織、管理、安全、傳輸和交換”。ICT供應(yīng)鏈的設(shè)計、開發(fā)和生產(chǎn)、分發(fā)、獲取和部署、維護和處置階段容易受到惡意或無意引入的漏洞的影響，如惡意軟件和硬件、假冒組件，以及不良的產(chǎn)品設(shè)計、制造過程和維護等。利用ICT供應(yīng)鏈漏洞可導(dǎo)致系統(tǒng)可靠性問題、數(shù)據(jù)盜竊和操作、惡意軟件傳播和網(wǎng)絡(luò)內(nèi)持續(xù)的未經(jīng)授權(quán)訪問，等等。

鑒于國家關(guān)鍵基礎(chǔ)設(shè)施對ICT技術(shù)和服務(wù)的依賴，美國歷來重視ICT供應(yīng)鏈安全風(fēng)險的管理，從2002年布什政府的信息安全戰(zhàn)略強調(diào)關(guān)注IT供應(yīng)鏈安全問題開始，美國就已將ICT供應(yīng)鏈安全問題提上了國家戰(zhàn)略的高度予以重視。2008年，布什政府發(fā)布的54號國家安全總統(tǒng)令（NSPD54）提出國家網(wǎng)絡(luò)安全綜合計劃（CNCI），其部署的一項重要工作就是建立全方位的措施來實施全球供應(yīng)鏈風(fēng)險管理。為落實該計劃對ICT供應(yīng)鏈安全問題的部署， 2008年NIST啟動了ICT供應(yīng)鏈風(fēng)險管理項目（SCRM），在原《信息保障技術(shù)框架》（IATF）提出的“縱深防御”戰(zhàn)略的基礎(chǔ)上，提出了“廣度防御”的戰(zhàn)略，開發(fā)全生命周期的風(fēng)險管理標(biāo)準(zhǔn)。NIST認(rèn)為，縱深防御戰(zhàn)略側(cè)重于通過分層的防御體系對網(wǎng)絡(luò)和系統(tǒng)進行保護，其關(guān)注的是產(chǎn)品在運行中的安全，因而不能解決供應(yīng)鏈安全問題，而“廣度防御”戰(zhàn)略的核心是在系統(tǒng)的完整生命周期內(nèi)減少風(fēng)險，這一認(rèn)識的變化也奠定了當(dāng)前ICT供應(yīng)鏈安全風(fēng)險管理方法的基礎(chǔ)。

2009年奧巴馬政府在《網(wǎng)絡(luò)空間安全政策評估報告》中指出，應(yīng)對供應(yīng)鏈風(fēng)險除了對國外產(chǎn)品服務(wù)供應(yīng)商進行譴責(zé)外，更需要創(chuàng)建一套新的供應(yīng)鏈風(fēng)險管理方法。2011年發(fā)布的《網(wǎng)絡(luò)空間國際戰(zhàn)略》中將“與工業(yè)部門磋商，加強高科技供應(yīng)鏈的安全性”作為保護美國網(wǎng)絡(luò)空間安全的優(yōu)先政策。2012年，《全球供應(yīng)鏈安全國家戰(zhàn)略》中指出，美國政府應(yīng)當(dāng)盡可能防止企圖利用IT供應(yīng)鏈節(jié)點的脆弱性進行攻擊的行為以及由非人為因素引發(fā)的供應(yīng)鏈中斷事故。對ICT供應(yīng)鏈風(fēng)險的認(rèn)識不斷加深，管理方法持續(xù)完善更新。

特朗普上任以來，在2017年《增強聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》行政令確定的“集中管理網(wǎng)絡(luò)安全風(fēng)險、集中制定安全優(yōu)先決策”的核心基調(diào)下，通過《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》等一系列的政策措施，試圖構(gòu)建統(tǒng)一的國家ICT供應(yīng)鏈安全管理體系。

在近20年的時間里，美國各界政府都將ICT供應(yīng)鏈安全管理作為加強美國網(wǎng)絡(luò)安全保障的重要考慮，在戰(zhàn)略層面和管理措施層面都取得了一系列成果并不斷推進，以此確保與美國國家安全息息相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施持續(xù)正常運行。

2 美國近期加強ICT供應(yīng)鏈安全風(fēng)險管理的政策措施

近兩年來，隨著我國在云計算、人工智能、5G等新技術(shù)方面的崛起，美國對供應(yīng)鏈的完整性及脆弱性表示出了越來越多的擔(dān)憂。美國認(rèn)為供應(yīng)鏈安全問題對于美國技術(shù)領(lǐng)先以及美國的經(jīng)濟和國家安全的未來至關(guān)重要，正在通過戰(zhàn)略、立法、審查、評估等一系列政策措施加速構(gòu)建全面、統(tǒng)一的供應(yīng)鏈安全管理體系。

特別是2018年以來，ICT供應(yīng)鏈安全風(fēng)險成為美國各界關(guān)注和討論的熱點，美國政府頻繁對“戰(zhàn)略敵人”國家的ICT供應(yīng)商下手，宣揚“戰(zhàn)略敵人”國家威脅論，并采取了一系列激進措施，如2018年1月8日，美國聯(lián)邦通訊委員會（FCC）收到美國參議院和眾議院的18位議員信函，敦促FCC就通信網(wǎng)絡(luò)和供應(yīng)鏈完整性免受安全威脅采取行動，并重提2012年《中國電信公司華為與中興通訊對美國國家安全問題的調(diào)查報告》。這一行動被認(rèn)為是2018年年初AT&T與華為合作被臨時取消的根本原因。2018年4月19日，美中經(jīng)濟安全審查委員會（U.S-China Economic and Security Review Commission）發(fā)布了《美國聯(lián)邦信息通訊技術(shù)中來自中國供應(yīng)鏈的脆弱性分析》的報告，認(rèn)為 “中國在優(yōu)先自主生產(chǎn)、跨國企業(yè)獲得特許權(quán)等方面的相關(guān)政策，以及將中國企業(yè)作為針對美國聯(lián)邦網(wǎng)絡(luò)和聯(lián)邦承包商網(wǎng)絡(luò)的國家工具等，增加了美國信息和通信技術(shù)產(chǎn)業(yè)的供應(yīng)鏈風(fēng)險，也增加了美國國家和經(jīng)濟安全風(fēng)險”，等等。

經(jīng)過這一系列的醞釀、發(fā)酵，在不到一年的時間內(nèi)，美國政府在ICT供應(yīng)鏈安全風(fēng)險管理方面頻繁推出了多項新的政策措施。

2.1 新建兩個跨部門的ICT供應(yīng)鏈風(fēng)險管理機構(gòu)

（1）國土安全部成立ICT供應(yīng)鏈風(fēng)險管理特別工作組

國土安全部（DHS）認(rèn)為，外國對手、黑客和犯罪分子帶來的網(wǎng)絡(luò)威脅給美國政府和行業(yè)帶來了重大的新風(fēng)險，他們在ICT供應(yīng)鏈各層級的承包商、分包商和供應(yīng)商不斷受到攻擊，成為越來越多經(jīng)驗豐富、有資金支持對手的攻擊目標(biāo)，并尋求竊取、妥協(xié)、更改或銷毀敏感信息。在某些情況下，高級威脅行動者將目標(biāo)鎖定在ICT供應(yīng)鏈深處的企業(yè)，以獲得立足點，然后向上游擴展以獲取敏感信息和知識產(chǎn)權(quán)。隨著這種風(fēng)險變得越來越明顯，美國官員和國會一直在尋求一種更全面的解決方案。

2018年7月，DHS在其組織召開的首次“DHS國家網(wǎng)絡(luò)安全峰會”上宣布組建ICT供應(yīng)鏈風(fēng)險管理特別工作組，設(shè)在DHS的國家風(fēng)險管理中心。該工作組的60名成員包括來自公共和私營部門中舉足輕重的關(guān)鍵供應(yīng)鏈風(fēng)險管理利益相關(guān)者，包括20個聯(lián)邦部門和機構(gòu)，40個信息技術(shù)領(lǐng)域的大型企業(yè)。特別工作組成立的目的就是要建立一個公私合作伙伴關(guān)系，審查并制定達成共識的建議，以確定和管理全球ICT供應(yīng)鏈的風(fēng)險。ICT供應(yīng)鏈風(fēng)險管理特別工作組的成立，是落實特朗普政府倡導(dǎo)的以“集體防御”方法來管理網(wǎng)絡(luò)安全風(fēng)險的舉措之一，也是國土安全部過去一年在處理來自全球的商業(yè)軟硬件產(chǎn)品安全漏洞和外國間諜威脅方面大力推進工作的一部分。供應(yīng)鏈威脅涉及產(chǎn)品的整個生命周期并常常包含硬件這一本質(zhì)特征，使得供應(yīng)鏈威脅的應(yīng)對極具挑戰(zhàn)。政府和產(chǎn)業(yè)在識別和減輕這些威脅方面有共同的利益，因此有共同的責(zé)任。通過工作組建立的公私合作的伙伴關(guān)系，在廣泛的利益相關(guān)者中尋求整體解決方案，以制定解決供應(yīng)鏈風(fēng)險的近期和長期戰(zhàn)略。

當(dāng)前，除了收集政府和行業(yè)現(xiàn)有供應(yīng)鏈風(fēng)險管理工作的清單外，工作組還啟動了四個主要工作流程：制定一個政府和行業(yè)間雙向共享供應(yīng)鏈風(fēng)險信息的共同框架；識別基于威脅來評估ICT技術(shù)供應(yīng)、產(chǎn)品和服務(wù)的過程和標(biāo)準(zhǔn)；識別細(xì)分市場及合格投標(biāo)者和制造商名單的評價標(biāo)準(zhǔn)；制定政策建議鼓勵從原始制造商或授權(quán)經(jīng)銷商處購買ICT。

（2）成立聯(lián)邦采購供應(yīng)鏈安全理事會

2018年12月，美國國會通過了《安全技術(shù)法案》，《聯(lián)邦采購供應(yīng)鏈安全法案2018》作為該法案的第二部分一并簽發(fā)�！堵�(lián)邦采購供應(yīng)鏈安全法案2018》創(chuàng)建了一個新的聯(lián)邦采購供應(yīng)鏈安全理事會并授予其廣泛權(quán)利，為聯(lián)邦供應(yīng)鏈安全制定規(guī)則，以增強聯(lián)邦采購和采購規(guī)則的網(wǎng)絡(luò)安全彈性。理事會主席由管理和預(yù)算辦公室（OMB）高級官員擔(dān)任，理事會負(fù)責(zé)識別和建議NIST應(yīng)該制定哪些標(biāo)準(zhǔn)、指南和實踐，供執(zhí)行機構(gòu)在評估和制定緩解策略以應(yīng)對供應(yīng)鏈風(fēng)險時使用。識別或制定供執(zhí)行機構(gòu)與其他聯(lián)邦實體和非聯(lián)邦實體就供應(yīng)鏈風(fēng)險共享信息的標(biāo)準(zhǔn)，建立領(lǐng)導(dǎo)機構(gòu)，負(fù)責(zé)監(jiān)督信息共享過程和調(diào)查廣泛適用的承包方案，如訂閱服務(wù)或機器強化知識分析以及指導(dǎo)采購決策。更為重要的是，聯(lián)邦采購供應(yīng)鏈安全理事會還將制定內(nèi)閣部長下達的排除或刪除指令的標(biāo)準(zhǔn)，禁止各機構(gòu)購買某些產(chǎn)品，或根據(jù)供應(yīng)鏈風(fēng)險命令其從其信息系統(tǒng)中刪除軟件。

在《聯(lián)邦采購供應(yīng)鏈安全法案2018》頒布之日起180天內(nèi)，理事會應(yīng)制定戰(zhàn)略計劃，以解決采購相關(guān)條款所帶來的供應(yīng)鏈風(fēng)險，并管理此類風(fēng)險。

（3）兩個機構(gòu)合作并存、協(xié)同工作

美國官員指出，政府并不擔(dān)心兩個機構(gòu)重復(fù)工作流程或爭奪地盤，因為兩個機構(gòu)的代表有大量的重疊，目前正在研究如何加強兩個機構(gòu)的合作。采購安全理事會的職責(zé)是協(xié)調(diào)整個政府的供應(yīng)鏈風(fēng)險管理選擇，制定采購法規(guī)，并真正幫助制定標(biāo)準(zhǔn)，建立一種機制，使美國能夠更可靠地識別聯(lián)邦供應(yīng)鏈的例外情況和主要威脅。特別工作組的工作流程包括改善政府和私營部門之間的雙向威脅信息共享，制定評估威脅何時會導(dǎo)致不同的基于風(fēng)險的決策框架的標(biāo)準(zhǔn)，對合格的投標(biāo)人和制造商名單提出建議，并圍繞原始設(shè)備制造商和授權(quán)經(jīng)銷商制定采購規(guī)則。因此，特別工作組可以被視為是解決供應(yīng)鏈風(fēng)險管理及政府與行業(yè)合作方面的長期基礎(chǔ)問題的工具，成為政府和產(chǎn)業(yè)之間的主要連接點。特別工作組對供應(yīng)鏈安全風(fēng)險管理中這些問題的研究和調(diào)查結(jié)果，將成為安全理事會制定和更新政府采購規(guī)則的重要輸入，也可以作為理事會制定排除令標(biāo)準(zhǔn)的參考，確定禁止某一公司或產(chǎn)品進入政府網(wǎng)絡(luò)的合理條件。

2.2 通過立法加強ICT供應(yīng)鏈安全風(fēng)險管理

在《聯(lián)邦采購供應(yīng)鏈安全法案2018》發(fā)布僅僅5個月后，2019年5月15日，美國總統(tǒng)特朗普簽署了名為《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》的行政令，宣布美國進入受信息威脅的國家緊急狀態(tài)，禁止美國個人和各類實體購買和使用被美國認(rèn)定為可能給美國帶來安全風(fēng)險的外國設(shè)計制造的ICT技術(shù)設(shè)備和服務(wù)[1]。

行政令提出了明確的禁止交易行為：任何人通過已經(jīng)簽署、正在履行或?qū)⒃诒拘姓�令發(fā)布之日后完成的交易，獲取、進口、轉(zhuǎn)讓、安裝、買賣或使用受美國管轄的信息通信技術(shù)或服務(wù)（以下統(tǒng)稱為“交易”）或與之相關(guān)的財產(chǎn)，如該交易包含外國財產(chǎn)或與外國國家利益相關(guān)（包括通過提供技術(shù)或服務(wù)合同的方式獲取利益）。且商務(wù)部部長（本行政令下簡稱“部長”）經(jīng)與財政部部長、國務(wù)卿、國防部部長、司法部部長、國土安全部部長、美國貿(mào)易代表、國家情報總監(jiān)、總務(wù)處處長、聯(lián)邦通信委員會主席、其他執(zhí)行部門和機構(gòu)的負(fù)責(zé)人協(xié)商后認(rèn)定：

（1）交易涉及由外國對手擁有、控制或受其管轄或指導(dǎo)的人設(shè)計、開發(fā)、制造或供應(yīng)的信息和通信技術(shù)或服務(wù)；

（2）交易可能：（A）在美國構(gòu)成破壞或顛覆信息和通信技術(shù)或服務(wù)的設(shè)計、整裝、制造、生產(chǎn)、分配、安裝、操作或維護的不當(dāng)風(fēng)險；（B）對美國關(guān)鍵基礎(chǔ)設(shè)施或美國數(shù)字經(jīng)濟的安全性或彈性造成災(zāi)難性影響的不當(dāng)風(fēng)險；（C）對美國的國家安全或美國人的安全和保障構(gòu)成不可接受的風(fēng)險。

行政令要求在本行政令發(fā)出之日起150天內(nèi)，由商務(wù)部部長牽頭制定配套的落實措施，將包括基于本行政令目的確定特定國家或個人為外國對手；基于本行政令目的，識別由外國對手擁有、控制、管轄或指示的主體；識別涉及信息通信技術(shù)或服務(wù)的交易需要根據(jù)本行政令的規(guī)定進行特別審查的特定技術(shù)或國家；制定程序以許可根據(jù)本行政令禁止的交易等若干清單、程序、標(biāo)準(zhǔn)等。

盡管沒有直接點名，但在當(dāng)前中美貿(mào)易戰(zhàn)升級及美方近年來對我國華為、中興等ICT企業(yè)頻繁下手的情況下，發(fā)布這個行政命令的用意非常明顯。

美國政府網(wǎng)站近期消息[2]顯示，參議院提出了一項《供應(yīng)鏈反情報培訓(xùn)法》，法案將建立一個政府范圍內(nèi)保護ICT技術(shù)的方法，通過確保所有具有供應(yīng)鏈風(fēng)險管理職責(zé)的執(zhí)行機構(gòu)官員受訓(xùn)以識別和減輕反情報威脅，旨在培訓(xùn)聯(lián)邦政府機構(gòu)檢測通信和信息技術(shù)系統(tǒng)中的外國網(wǎng)絡(luò)安全威脅，幫助政府驗證可能存在潛在間諜風(fēng)險的技術(shù)。

3 美國ICT供應(yīng)鏈風(fēng)險管理新政的特點分析

從這些政策措施可以看出，美國政府近期的舉動正在回應(yīng)2018年4月美中經(jīng)濟安全審查委員會發(fā)布的《美國聯(lián)邦信息通訊技術(shù)中來自中國供應(yīng)鏈的脆弱性分析》中的相關(guān)建議，在ICT供應(yīng)鏈風(fēng)險管理方面形成了如下趨勢和特點。

一是強化政府與私營部門的合作。通過DHS的ICT供應(yīng)鏈風(fēng)險管理特別工作組、NIST建立的《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》及相關(guān)標(biāo)準(zhǔn)指南，在聯(lián)邦政府內(nèi)部建立評估供應(yīng)鏈風(fēng)險的能力，以確保政府購買安全的技術(shù)。通過理事會成員機構(gòu)間的信息共享加強監(jiān)控ICT技術(shù)采購方面的網(wǎng)絡(luò)安全威脅。同時，理事會也要為私營機構(gòu)提供供應(yīng)鏈安全風(fēng)險評估和應(yīng)對的咨詢和指導(dǎo)，以此來促進聯(lián)邦政府與私營部門之間在ICT供應(yīng)鏈風(fēng)險管理方面的合作和雙向信息共享。

二是加強對聯(lián)邦I(lǐng)CT技術(shù)供應(yīng)鏈安全風(fēng)險管理的集中統(tǒng)一領(lǐng)導(dǎo)和統(tǒng)一方法指導(dǎo)。不論是特別工作組、采購安全理事會還是新的行政令，都在試圖推動構(gòu)建跨部門參與、政府統(tǒng)一領(lǐng)導(dǎo)的ICT供應(yīng)鏈風(fēng)險管理機制。國土安全部、預(yù)算管理辦公室（OMB）、情報機構(gòu)、總務(wù)管理局、國防部、聯(lián)邦調(diào)查局、商務(wù)部和政府其他部門的官員、專家和代表都在這個大的機制之下，共同發(fā)力，努力打造政府部門主導(dǎo)、私營部門積極參與配合的局面。形成通用評估和特殊評估相結(jié)合，既抓ICT供應(yīng)鏈全生命周期的風(fēng)險管理，又突出抓采購環(huán)節(jié)把控，旨在形成一個統(tǒng)一的、整體的供應(yīng)鏈風(fēng)險管理方法。

三是ICT供應(yīng)鏈風(fēng)險管理的范圍不斷擴大、作用不斷升級。美國對ICT供應(yīng)鏈各層級的承包商、分包商和供應(yīng)商的評估審查將不斷深入，對各級供應(yīng)商的評估深度和廣度進一步擴大，并從聯(lián)邦政府的采購供應(yīng)鏈評估擴大到任何個人和實體。同時，新的行政令更是表明，美國已將ICT供應(yīng)鏈安全管理作為其維護技術(shù)領(lǐng)先、實施貿(mào)易制裁和達到政治目的的重要手段之一。

參考文獻

[1]公安部第三研究所網(wǎng)絡(luò)安全法律研究中心.全譯文：美國最新總統(tǒng)行政令《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全》[EB/OL].(2019-05-16）[2019-05-18].https://mp.weixin.qq.com/s/Idwe7eQHDz31aXPLTqBYJg.

[2] Senate Introduces Supply Chain Security Training Bill[EB/OL].(2019-03-13）[2019-05-18].https://www.executivegov.com/2019/05/senate-introduces-supply-chain-security-training-bill/.