美擬制定信息通信技術(shù)“供應(yīng)鏈風(fēng)險管理國家戰(zhàn)略”以應(yīng)對來自中國的供應(yīng)鏈漏洞

（上海社會科學(xué)院新聞研究所）

2018年4月，知名供應(yīng)鏈風(fēng)險管理咨詢服務(wù)公司Interos Solutions發(fā)布 《美國聯(lián)邦信息通信技術(shù)中來自中國的供應(yīng)鏈漏洞》（Supply Chain Vulnerabilities from China in U.S.Federal Information and Communications Technology） 研究報告。報告包含六個章節(jié)和結(jié)論，前六章分別涉及美國政府的信息通信技術(shù)（ICT）供應(yīng)鏈現(xiàn)狀、與供應(yīng)鏈風(fēng)險管理（supply chain risk management，SCRM）相關(guān)的法律、規(guī)范和要求、供應(yīng)鏈制造商分析、供應(yīng)鏈安全困境背后的中國政治經(jīng)濟因素、SCRM推薦方案以及對未來的考慮。其中主要內(nèi)容有：

1.美國聯(lián)邦I(lǐng)CT供應(yīng)鏈包含內(nèi)容

報告采用了“ICT供應(yīng)鏈”的全方位定義，包括：①主要供應(yīng)商；②層級供應(yīng)商，通過提供產(chǎn)品和服務(wù)支持主要供應(yīng)商；③通過商業(yè)、金融或其他相關(guān)關(guān)系與這些層級供應(yīng)商關(guān)聯(lián)的任何實體。報告認為，美國聯(lián)邦政府的ICT供應(yīng)鏈是多層次、網(wǎng)狀的關(guān)系，而非單一或線性的關(guān)系。供應(yīng)鏈對美國國家安全的威脅源于由各國政府或?qū)嶓w所擁有、指導(dǎo)或補貼生產(chǎn)、制造或組裝的產(chǎn)品，這些實體已知會對美國構(gòu)成潛在的供應(yīng)鏈或情報威脅。這些產(chǎn)品可被修改為：①性能低于預(yù)期或失效；②為州或公司間諜活動提供便利；③以其他方式損害聯(lián)邦信息技術(shù)系統(tǒng)的保密性、完整性或可用性。

2.美國聯(lián)邦I(lǐng)CT供應(yīng)鏈風(fēng)險研判

隨著第五代移動網(wǎng)絡(luò)技術(shù)（5G）和物聯(lián)網(wǎng)（IoT）等技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊的途徑成倍地增加，軟件供應(yīng)鏈攻擊將變得更加容易，也更加普遍。根據(jù)美國信息技術(shù)研究和咨詢公司Gartner的預(yù)測，到2021年將安裝251億個物聯(lián)網(wǎng)單元，到2020年90%的新計算機支持的產(chǎn)品設(shè)計將采用物聯(lián)網(wǎng)技術(shù)。物聯(lián)網(wǎng)連接的增長將對信息和通信技術(shù)的SCRM產(chǎn)生重要挑戰(zhàn)。物聯(lián)網(wǎng)的普及將擴大聯(lián)邦信通技術(shù)網(wǎng)絡(luò)的受攻擊面，縮短破壞這些網(wǎng)絡(luò)所需的時間，但發(fā)現(xiàn)這些破壞所需的時間卻并未減少。而公共部門和私營部門都有責(zé)任在商業(yè)技術(shù)供應(yīng)鏈中提高風(fēng)險意識和加強風(fēng)險管理。

而中國成為全球信通技術(shù)供應(yīng)鏈上的關(guān)鍵節(jié)點并非偶然。中國政府認為，信通技術(shù)部門是一個“戰(zhàn)略部門”，對國有信通技術(shù)企業(yè)投入了大量國家資本。中國有鼓勵信息和通信技術(shù)制造和發(fā)展的長期政策。這些政策鼓勵外國公司在中國生產(chǎn)信通技術(shù)產(chǎn)品，同時尋求從這些公司獲得關(guān)鍵知識產(chǎn)權(quán)和技術(shù)的機會，最終目標(biāo)是使這些技術(shù)本土化。自2013年以來，中國努力加快了本土化進程，大型跨國公司為能夠繼續(xù)在中國開展業(yè)務(wù)不得不做出讓步以換取市場準入。與此同時，中國通過企業(yè)并購獲取關(guān)鍵技術(shù)知識，利用中國企業(yè)的經(jīng)濟實力作為國家工具，擴大經(jīng)濟優(yōu)勢。中國政府從確保自身國家安全的角度為這些政策辯護，但中國有關(guān)優(yōu)先考慮本土生產(chǎn)、從跨國公司獲取特許權(quán)、利用中國公司作為國家工具、以及瞄準美國聯(lián)邦網(wǎng)絡(luò)和承包商網(wǎng)絡(luò)的政策，增加了美國信通技術(shù)供應(yīng)鏈以及美國國家和經(jīng)濟安全所面臨的風(fēng)險。新政策要求企業(yè)交出源代碼，將數(shù)據(jù)存儲在位于中國的服務(wù)器上，投資中國企業(yè)，并允許中國政府對其產(chǎn)品進行安全審計，向中國網(wǎng)絡(luò)間諜活動和知識產(chǎn)權(quán)盜竊活動開放網(wǎng)絡(luò)。中國還繼續(xù)瞄準美國政府承包商和其他私營部門實體，作為其爭取經(jīng)濟優(yōu)勢和實現(xiàn)其他國家目標(biāo)的組成部分。

因此美國政府急需一項針對美聯(lián)邦I(lǐng)CT供應(yīng)鏈漏洞的“供應(yīng)鏈風(fēng)險管理國家戰(zhàn)略”，包括一系列與中國相關(guān)的采購。這一戰(zhàn)略必須包含相關(guān)的支持政策，以使美國的安全態(tài)勢是前瞻性的，而不是被動應(yīng)對的，并對已經(jīng)損害美國國家安全、經(jīng)濟競爭力或美國公民隱私的漏洞、違規(guī)和其他事件做出的反應(yīng)。

3.美建立供應(yīng)鏈風(fēng)險管理國家戰(zhàn)略和協(xié)調(diào)機制的建議

有效的供應(yīng)鏈風(fēng)險管理是指能夠預(yù)測供應(yīng)鏈的未來發(fā)展，識別供應(yīng)鏈面臨的潛在威脅，制作威脅概要文件，能夠減輕或解決供應(yīng)鏈未來可能面臨的威脅。但當(dāng)前聯(lián)邦政府的法律和政策并未全面解決SCRM問題。全球ICT產(chǎn)品生產(chǎn)和制造的演變以及聯(lián)邦I(lǐng)CT現(xiàn)代化努力的過程，意味著未來進入聯(lián)邦信息系統(tǒng)和國家安全系統(tǒng)的新產(chǎn)品將越來越復(fù)雜和全球化，其中許多供應(yīng)鏈都是來自中國的商業(yè)供應(yīng)商。而政治或經(jīng)濟變化不大可能使全球信通技術(shù)制造商大幅減少其在中國的業(yè)務(wù)或與中國企業(yè)的伙伴關(guān)系，那么美國政府應(yīng)該如何管理與中國制造的產(chǎn)品和服務(wù)以及中國公司參與其ICT供應(yīng)鏈相關(guān)的風(fēng)險？聯(lián)邦信通技術(shù)供應(yīng)鏈風(fēng)險的最佳管理方法有以下五種：

3.1 采用自適應(yīng)供應(yīng)鏈風(fēng)險管理流程

聯(lián)邦信通技術(shù)現(xiàn)代化努力增加了對私營部門和商業(yè)現(xiàn)貨產(chǎn)品的依賴。這些新產(chǎn)品具有日益復(fù)雜的、全球化的和動態(tài)的供應(yīng)鏈，其中許多供應(yīng)鏈是來自中國的商業(yè)供應(yīng)商，這些供應(yīng)商在一個供應(yīng)鏈中的多個節(jié)點上供貨。隨著公司開發(fā)新技術(shù)并與新供應(yīng)商結(jié)成合作伙伴關(guān)系，與中國有聯(lián)系的不法行為者以私營部門實體和私營部門政府承包商網(wǎng)絡(luò)為目標(biāo)，獲取敏感的政府信息，并進一步利用聯(lián)邦信息系統(tǒng)內(nèi)的漏洞。因此，薄弱的行業(yè)合作伙伴網(wǎng)絡(luò)對美國政府和國家安全構(gòu)成了威脅。

防范與中國有關(guān)聯(lián)的不法行為者的供應(yīng)鏈攻擊，需要與私營部門行為者進行溝通與協(xié)作。國家標(biāo)準和技術(shù)研究所（NIST）一直有效地與私營部門合作，制定高質(zhì)量、可實施的標(biāo)準，以改善供應(yīng)鏈安全和信通技術(shù)系統(tǒng)的網(wǎng)絡(luò)安全，包括廣泛采用的NIST網(wǎng)絡(luò)安全框架。盡管NIST在這些工作中發(fā)揮了有效作用，但NIST開發(fā)的供應(yīng)鏈控制僅適用于具有“顯著影響”（highimpact）的聯(lián)邦信息系統(tǒng)。NIST未來的工作可能需要包括將供應(yīng)鏈標(biāo)準擴展到更廣泛的聯(lián)邦信息系統(tǒng)，包括由私營部門承包商運營的系統(tǒng)。

與工業(yè)界結(jié)成伙伴關(guān)系還意味著需要從布什時代的國家網(wǎng)絡(luò)安全綜合倡議（CNCI）中吸取經(jīng)驗教訓(xùn)。CNC的有效性受到其審議和決定的保密性限制，這使美國國務(wù)院和國家網(wǎng)絡(luò)安全中心無法與包括私營部門在內(nèi)的外部組織接觸。決策者必須增強而不是阻礙NIST等成功合作實體的努力，并在非保密的公共領(lǐng)域盡可能多地討論供應(yīng)鏈威脅。這些步驟將確保新的SCRM策略能夠自適應(yīng)、協(xié)作并獲得所有相關(guān)方的認可。

3.2 建立聯(lián)邦信通技術(shù)SCRM的集中領(lǐng)導(dǎo)

美國政府缺乏一個統(tǒng)一的、整體的SCRM方法。大多數(shù)與SCRM相關(guān)的情報收集活動都是以人為本而不是以技術(shù)為基礎(chǔ)，這使得聯(lián)邦SCRM計劃難以全面應(yīng)對全球威脅，也難以隨著需求的增加而擴展。法律法規(guī)之間的沖突和混亂導(dǎo)致漏洞、重復(fù)勞動和政策執(zhí)行不一致。

國會和行政部門應(yīng)鼓勵信息共享和鞏固聯(lián)邦SCRM領(lǐng)導(dǎo)，以優(yōu)化收集和傳播工作。需要為SCRM的中央領(lǐng)導(dǎo)配備適當(dāng)?shù)馁Y源和人員，負責(zé)將進入聯(lián)邦I(lǐng)T網(wǎng)絡(luò)的產(chǎn)品供應(yīng)商和增值轉(zhuǎn)銷商審查到規(guī)定的級別。管理和預(yù)算辦公室（OMB）可以通過修改A-130通告將SCRM的中央權(quán)力分配給總務(wù)管理局（GSA）、美國國土安全部（DHS）或另一個聯(lián)邦機構(gòu)。該SCRM中心將提供全面權(quán)威的數(shù)據(jù)和持續(xù)監(jiān)測，減少對特定機構(gòu)SCRM的需求，并使各機構(gòu)能夠?qū)⑵涔ぷ髦攸c放在特定配置和實施情況上，機構(gòu)如何使用技術(shù)直接關(guān)系到它們?nèi)绾螒?yīng)用風(fēng)險緩解措施。最后，這樣一個辦公室需要在非保密的世界中運作，同時與保密環(huán)境有直接聯(lián)系和追溯權(quán)，以確保其與已知威脅保持一致。

3.3 將聯(lián)邦法規(guī)條例與撥款掛鉤

在修改政策的同時，國會應(yīng)將政策修訂與確保聯(lián)邦機構(gòu)以可審計的方式采取行動的籌資戰(zhàn)略，兩者聯(lián)系起來。一項建議是擴大Wolf條款，或者是《綜合和進一步持續(xù)撥款法》的第515條，以適用于所有聯(lián)邦機構(gòu)和實體。近期的一個機會是將本法規(guī)的SCRM要求與機構(gòu)為2017年《政府技術(shù)現(xiàn)代化法》提供的資金聯(lián)系起來，要求對新的信通技術(shù)投資和現(xiàn)代化努力進行SCRM計劃審查。該規(guī)定的一個改進是要求各機構(gòu)每年提交：（1）關(guān)于其已建立的SCRM計劃的信息；（2）在該計劃內(nèi)開展的活動；（3）使用的緩解措施。這些年度報告將有助于為所有聯(lián)邦政府實體建立一個“最佳實踐庫”，提高信息共享和對不斷變化的風(fēng)險的認識。目前的報告是以合規(guī)為導(dǎo)向的，對共享信息或提高聯(lián)邦信通技術(shù)網(wǎng)絡(luò)的安全狀況沒有任何作用。

3.4 促進供應(yīng)鏈透明度和與工業(yè)界伙伴關(guān)系

供應(yīng)鏈透明度提高了聯(lián)邦信通技術(shù)供應(yīng)鏈的安全性，使聯(lián)邦政府能夠負責(zé)任和安全地獲取信息，并提高了政府在供應(yīng)鏈攻擊不斷的環(huán)境中應(yīng)對和減少網(wǎng)絡(luò)安全事件影響的能力。與對國家安全的影響直接相關(guān)的是，聯(lián)邦政府應(yīng)根據(jù)戴爾、惠普和微軟等公司已經(jīng)采取的行動，促進聯(lián)邦信通技術(shù)提供商以及初級或一級供應(yīng)商的公開上市，或至少向政府客戶披露這些信息，作為其公司責(zé)任努力的一部分。政府還應(yīng)根據(jù)所需的風(fēng)險管理嚴格程度（并非所有計劃和供應(yīng)商都存在相同程度的風(fēng)險，因此可能不需要這種程度的透明度），推動自身供應(yīng)鏈中的所有供應(yīng)商實現(xiàn)透明度。雖然應(yīng)制定審計措施以確保透明度，但這些信息并不總是需要公開發(fā)布。在采取這些措施時，決策者應(yīng)借鑒以往供應(yīng)鏈透明度的努力，例如2010年《多德·弗蘭克華爾街改革和消費者保護法》第1502條，該條要求一些公司記錄其"沖突礦物"（conflict minerals）供應(yīng)商，以便限制美國從助長剛果民主共和國沖突的行為體方采購，以此來減少剛果民主共和國境內(nèi)的暴力行為。通過行業(yè)合作和信息共享，政府客戶和行業(yè)將提高對多層供應(yīng)商關(guān)系中存在的風(fēng)險以及已存的潛在有效配置的認識。

3.5 制定前瞻性政策

與其中運行的固件和軟件相比，任何信通技術(shù)組件的物理結(jié)構(gòu)越來越不重要。未來的風(fēng)險將涉及軟件、基于云的基礎(chǔ)架構(gòu)和超融合產(chǎn)品（hyper-converged products），而不是硬件。供應(yīng)商、供應(yīng)商或制造商的業(yè)務(wù)聯(lián)盟、投資來源以及聯(lián)合研發(fā)也是風(fēng)險的來源，但傳統(tǒng)的SCRM中并不總是涵蓋這些風(fēng)險。識別這些風(fēng)險并創(chuàng)造性地解決它們，作為供應(yīng)鏈風(fēng)險管理適應(yīng)性方法的一部分，對于聯(lián)邦政策的成功非常重要。

4.對我有關(guān)啟示

對于我國來說，主要可以從產(chǎn)業(yè)競爭力、國家大戰(zhàn)略和未來主導(dǎo)權(quán)三個角度來考慮：

4.1 高度重視并提升我國ICT產(chǎn)業(yè)自身供應(yīng)鏈安全等級

鑒于中國在全球ICT供應(yīng)鏈中的角色近期內(nèi)不太可能發(fā)生重大改變，美國希望建立的自適應(yīng)SCRM流程和SCRM集中領(lǐng)導(dǎo)也不可能完全排除包括中國在內(nèi)的IT產(chǎn)品網(wǎng)絡(luò)供應(yīng)商和增殖轉(zhuǎn)銷商。但為了其自身的政治經(jīng)濟利益和國家安全，美國將會進一步提升產(chǎn)品供應(yīng)鏈的安全審查等級。但是這一審查并不保密，而且為了達到理想的效果，必須建立協(xié)作與信息共享機制。因此一方面，中國的ICT產(chǎn)業(yè)供應(yīng)鏈商應(yīng)當(dāng)主動提高自身的安全等級，另一方面，還要高度重視并提升產(chǎn)品抵御全球供應(yīng)鏈風(fēng)險的能力，要盡早建立起包括產(chǎn)品和行為體在內(nèi)（其他層級供應(yīng)商、其他供應(yīng)實體）的全周期、可追溯的風(fēng)險檔案與風(fēng)險管理預(yù)案機制。

4.2 要立足我國國家戰(zhàn)略利益進一步促進全球供應(yīng)鏈與供應(yīng)鏈伙伴關(guān)系的透明度

SCRM國家戰(zhàn)略鼓勵主要或一級供應(yīng)商向美國聯(lián)邦信通技術(shù)供應(yīng)商公開披露信息，并在必要時促進所有供應(yīng)商的透明度，以確保系統(tǒng)或供應(yīng)商處于特定風(fēng)險或影響水平。對于我國來說，一方面需要依靠自身供應(yīng)鏈的追溯和管理以及與其他層級供應(yīng)鏈商和實體進行的配合，同時可以借由此次機會，進一步促進全球ICT供應(yīng)鏈與供應(yīng)鏈伙伴關(guān)系的透明度提升，以此開拓并擴展我國ICT產(chǎn)品的全球供應(yīng)鏈業(yè)務(wù)。

4.3 提前關(guān)注來自軟件供應(yīng)鏈的風(fēng)險管理并搶占規(guī)則制定主導(dǎo)權(quán)

此次報告中指出，未來供應(yīng)鏈的風(fēng)險可能更多涉及軟件、基于云的基礎(chǔ)架構(gòu)和超融合產(chǎn)品。因此未來不僅在硬件方面，軟件以及軟硬件之間的互通互構(gòu)都將進入ICT供應(yīng)鏈風(fēng)險管理的范疇。因此我國應(yīng)當(dāng)提前布局，盡早建立一套自主研發(fā)用于監(jiān)測、識別、分析、儲存、預(yù)警、治理的“未來ICT供應(yīng)鏈風(fēng)險管控體系”，搶占技術(shù)風(fēng)口與先機。這一系列的標(biāo)準和規(guī)范形成體系之后，還可以尋求成為國際標(biāo)準，占據(jù)未來ICT供應(yīng)鏈上游的規(guī)則制定主導(dǎo)權(quán)。