美國ICT供應鏈安全管理新政觀察

【摘    要】文章首先對美國ICT供應鏈安全管理策略進行了回顧，然后從新建兩個跨部門的ICT供應鏈風險管理機構、通過立法加強ICT供應鏈安全風險管理等方面介紹了美國近期ICT供應鏈安全管理的最新舉措，在此基礎上從3個方面分析了美國ICT供應鏈安全管理新政的特點。

【關鍵詞】ICT供應鏈  安全管理  新政

1 美國ICT供應鏈安全管理策略回顧

美國國家標準技術研究院（NIST）指出，美國關鍵基礎設施的日常運轉和功能正常都依賴信息通信技術（ICT）——NIST將“日常運轉和功能正常”定義為“數據和信息的捕獲、存儲、檢索、處理、顯示、表示、表達、組織、管理、安全、傳輸和交換”。ICT供應鏈的設計、開發和生產、分發、獲取和部署、維護和處置階段容易受到惡意或無意引入的漏洞的影響，如惡意軟件和硬件、假冒組件，以及不良的產品設計、制造過程和維護等。利用ICT供應鏈漏洞可導致系統可靠性問題、數據盜竊和操作、惡意軟件傳播和網絡內持續的未經授權訪問，等等。

鑒于國家關鍵基礎設施對ICT技術和服務的依賴，美國歷來重視ICT供應鏈安全風險的管理，從2002年布什政府的信息安全戰略強調關注IT供應鏈安全問題開始，美國就已將ICT供應鏈安全問題提上了國家戰略的高度予以重視。2008年，布什政府發布的54號國家安全總統令（NSPD54）提出國家網絡安全綜合計劃（CNCI），其部署的一項重要工作就是建立全方位的措施來實施全球供應鏈風險管理。為落實該計劃對ICT供應鏈安全問題的部署， 2008年NIST啟動了ICT供應鏈風險管理項目（SCRM），在原《信息保障技術框架》（IATF）提出的“縱深防御”戰略的基礎上，提出了“廣度防御”的戰略，開發全生命周期的風險管理標準。NIST認為，縱深防御戰略側重于通過分層的防御體系對網絡和系統進行保護，其關注的是產品在運行中的安全，因而不能解決供應鏈安全問題，而“廣度防御”戰略的核心是在系統的完整生命周期內減少風險，這一認識的變化也奠定了當前ICT供應鏈安全風險管理方法的基礎。

2009年奧巴馬政府在《網絡空間安全政策評估報告》中指出，應對供應鏈風險除了對國外產品服務供應商進行譴責外，更需要創建一套新的供應鏈風險管理方法。2011年發布的《網絡空間國際戰略》中將“與工業部門磋商，加強高科技供應鏈的安全性”作為保護美國網絡空間安全的優先政策。2012年，《全球供應鏈安全國家戰略》中指出，美國政府應當盡可能防止企圖利用IT供應鏈節點的脆弱性進行攻擊的行為以及由非人為因素引發的供應鏈中斷事故。對ICT供應鏈風險的認識不斷加深，管理方法持續完善更新。

特朗普上任以來，在2017年《增強聯邦政府網絡與關鍵性基礎設施網絡安全》行政令確定的“集中管理網絡安全風險、集中制定安全優先決策”的核心基調下，通過《提升關鍵基礎設施網絡安全框架》等一系列的政策措施，試圖構建統一的國家ICT供應鏈安全管理體系。

在近20年的時間里，美國各界政府都將ICT供應鏈安全管理作為加強美國網絡安全保障的重要考慮，在戰略層面和管理措施層面都取得了一系列成果并不斷推進，以此確保與美國國家安全息息相關的關鍵基礎設施持續正常運行。

2 美國近期加強ICT供應鏈安全風險管理的政策措施

近兩年來，隨著我國在云計算、人工智能、5G等新技術方面的崛起，美國對供應鏈的完整性及脆弱性表示出了越來越多的擔憂。美國認為供應鏈安全問題對于美國技術領先以及美國的經濟和國家安全的未來至關重要，正在通過戰略、立法、審查、評估等一系列政策措施加速構建全面、統一的供應鏈安全管理體系。

特別是2018年以來，ICT供應鏈安全風險成為美國各界關注和討論的熱點，美國政府頻繁對“戰略敵人”國家的ICT供應商下手，宣揚“戰略敵人”國家威脅論，并采取了一系列激進措施，如2018年1月8日，美國聯邦通訊委員會（FCC）收到美國參議院和眾議院的18位議員信函，敦促FCC就通信網絡和供應鏈完整性免受安全威脅采取行動，并重提2012年《中國電信公司華為與中興通訊對美國國家安全問題的調查報告》。這一行動被認為是2018年年初AT&T與華為合作被臨時取消的根本原因。2018年4月19日，美中經濟安全審查委員會（U.S-China Economic and Security Review Commission）發布了《美國聯邦信息通訊技術中來自中國供應鏈的脆弱性分析》的報告，認為 “中國在優先自主生產、跨國企業獲得特許權等方面的相關政策，以及將中國企業作為針對美國聯邦網絡和聯邦承包商網絡的國家工具等，增加了美國信息和通信技術產業的供應鏈風險，也增加了美國國家和經濟安全風險”，等等。

經過這一系列的醞釀、發酵，在不到一年的時間內，美國政府在ICT供應鏈安全風險管理方面頻繁推出了多項新的政策措施。

2.1 新建兩個跨部門的ICT供應鏈風險管理機構

（1）國土安全部成立ICT供應鏈風險管理特別工作組

國土安全部（DHS）認為，外國對手、黑客和犯罪分子帶來的網絡威脅給美國政府和行業帶來了重大的新風險，他們在ICT供應鏈各層級的承包商、分包商和供應商不斷受到攻擊，成為越來越多經驗豐富、有資金支持對手的攻擊目標，并尋求竊取、妥協、更改或銷毀敏感信息。在某些情況下，高級威脅行動者將目標鎖定在ICT供應鏈深處的企業，以獲得立足點，然后向上游擴展以獲取敏感信息和知識產權。隨著這種風險變得越來越明顯，美國官員和國會一直在尋求一種更全面的解決方案。

2018年7月，DHS在其組織召開的首次“DHS國家網絡安全峰會”上宣布組建ICT供應鏈風險管理特別工作組，設在DHS的國家風險管理中心。該工作組的60名成員包括來自公共和私營部門中舉足輕重的關鍵供應鏈風險管理利益相關者，包括20個聯邦部門和機構，40個信息技術領域的大型企業。特別工作組成立的目的就是要建立一個公私合作伙伴關系，審查并制定達成共識的建議，以確定和管理全球ICT供應鏈的風險。ICT供應鏈風險管理特別工作組的成立，是落實特朗普政府倡導的以“集體防御”方法來管理網絡安全風險的舉措之一，也是國土安全部過去一年在處理來自全球的商業軟硬件產品安全漏洞和外國間諜威脅方面大力推進工作的一部分。供應鏈威脅涉及產品的整個生命周期并常常包含硬件這一本質特征，使得供應鏈威脅的應對極具挑戰。政府和產業在識別和減輕這些威脅方面有共同的利益，因此有共同的責任。通過工作組建立的公私合作的伙伴關系，在廣泛的利益相關者中尋求整體解決方案，以制定解決供應鏈風險的近期和長期戰略。

當前，除了收集政府和行業現有供應鏈風險管理工作的清單外，工作組還啟動了四個主要工作流程：制定一個政府和行業間雙向共享供應鏈風險信息的共同框架；識別基于威脅來評估ICT技術供應、產品和服務的過程和標準；識別細分市場及合格投標者和制造商名單的評價標準；制定政策建議鼓勵從原始制造商或授權經銷商處購買ICT。

（2）成立聯邦采購供應鏈安全理事會

2018年12月，美國國會通過了《安全技術法案》，《聯邦采購供應鏈安全法案2018》作為該法案的第二部分一并簽發。《聯邦采購供應鏈安全法案2018》創建了一個新的聯邦采購供應鏈安全理事會并授予其廣泛權利，為聯邦供應鏈安全制定規則，以增強聯邦采購和采購規則的網絡安全彈性。理事會主席由管理和預算辦公室（OMB）高級官員擔任，理事會負責識別和建議NIST應該制定哪些標準、指南和實踐，供執行機構在評估和制定緩解策略以應對供應鏈風險時使用。識別或制定供執行機構與其他聯邦實體和非聯邦實體就供應鏈風險共享信息的標準，建立領導機構，負責監督信息共享過程和調查廣泛適用的承包方案，如訂閱服務或機器強化知識分析以及指導采購決策。更為重要的是，聯邦采購供應鏈安全理事會還將制定內閣部長下達的排除或刪除指令的標準，禁止各機構購買某些產品，或根據供應鏈風險命令其從其信息系統中刪除軟件。

在《聯邦采購供應鏈安全法案2018》頒布之日起180天內，理事會應制定戰略計劃，以解決采購相關條款所帶來的供應鏈風險，并管理此類風險。

（3）兩個機構合作并存、協同工作

美國官員指出，政府并不擔心兩個機構重復工作流程或爭奪地盤，因為兩個機構的代表有大量的重疊，目前正在研究如何加強兩個機構的合作。采購安全理事會的職責是協調整個政府的供應鏈風險管理選擇，制定采購法規，并真正幫助制定標準，建立一種機制，使美國能夠更可靠地識別聯邦供應鏈的例外情況和主要威脅。特別工作組的工作流程包括改善政府和私營部門之間的雙向威脅信息共享，制定評估威脅何時會導致不同的基于風險的決策框架的標準，對合格的投標人和制造商名單提出建議，并圍繞原始設備制造商和授權經銷商制定采購規則。因此，特別工作組可以被視為是解決供應鏈風險管理及政府與行業合作方面的長期基礎問題的工具，成為政府和產業之間的主要連接點。特別工作組對供應鏈安全風險管理中這些問題的研究和調查結果，將成為安全理事會制定和更新政府采購規則的重要輸入，也可以作為理事會制定排除令標準的參考，確定禁止某一公司或產品進入政府網絡的合理條件。

2.2 通過立法加強ICT供應鏈安全風險管理

在《聯邦采購供應鏈安全法案2018》發布僅僅5個月后，2019年5月15日，美國總統特朗普簽署了名為《確保信息和通信技術及服務供應鏈安全》的行政令，宣布美國進入受信息威脅的國家緊急狀態，禁止美國個人和各類實體購買和使用被美國認定為可能給美國帶來安全風險的外國設計制造的ICT技術設備和服務[1]。

行政令提出了明確的禁止交易行為：任何人通過已經簽署、正在履行或將在本行政令發布之日后完成的交易，獲取、進口、轉讓、安裝、買賣或使用受美國管轄的信息通信技術或服務（以下統稱為“交易”）或與之相關的財產，如該交易包含外國財產或與外國國家利益相關（包括通過提供技術或服務合同的方式獲取利益）。且商務部部長（本行政令下簡稱“部長”）經與財政部部長、國務卿、國防部部長、司法部部長、國土安全部部長、美國貿易代表、國家情報總監、總務處處長、聯邦通信委員會主席、其他執行部門和機構的負責人協商后認定：

（1）交易涉及由外國對手擁有、控制或受其管轄或指導的人設計、開發、制造或供應的信息和通信技術或服務；

（2）交易可能：（A）在美國構成破壞或顛覆信息和通信技術或服務的設計、整裝、制造、生產、分配、安裝、操作或維護的不當風險；（B）對美國關鍵基礎設施或美國數字經濟的安全性或彈性造成災難性影響的不當風險；（C）對美國的國家安全或美國人的安全和保障構成不可接受的風險。

行政令要求在本行政令發出之日起150天內，由商務部部長牽頭制定配套的落實措施，將包括基于本行政令目的確定特定國家或個人為外國對手；基于本行政令目的，識別由外國對手擁有、控制、管轄或指示的主體；識別涉及信息通信技術或服務的交易需要根據本行政令的規定進行特別審查的特定技術或國家；制定程序以許可根據本行政令禁止的交易等若干清單、程序、標準等。

盡管沒有直接點名，但在當前中美貿易戰升級及美方近年來對我國華為、中興等ICT企業頻繁下手的情況下，發布這個行政命令的用意非常明顯。

美國政府網站近期消息[2]顯示，參議院提出了一項《供應鏈反情報培訓法》，法案將建立一個政府范圍內保護ICT技術的方法，通過確保所有具有供應鏈風險管理職責的執行機構官員受訓以識別和減輕反情報威脅，旨在培訓聯邦政府機構檢測通信和信息技術系統中的外國網絡安全威脅，幫助政府驗證可能存在潛在間諜風險的技術。

3 美國ICT供應鏈風險管理新政的特點分析

從這些政策措施可以看出，美國政府近期的舉動正在回應2018年4月美中經濟安全審查委員會發布的《美國聯邦信息通訊技術中來自中國供應鏈的脆弱性分析》中的相關建議，在ICT供應鏈風險管理方面形成了如下趨勢和特點。

一是強化政府與私營部門的合作。通過DHS的ICT供應鏈風險管理特別工作組、NIST建立的《增強關鍵基礎設施網絡安全框架》及相關標準指南，在聯邦政府內部建立評估供應鏈風險的能力，以確保政府購買安全的技術。通過理事會成員機構間的信息共享加強監控ICT技術采購方面的網絡安全威脅。同時，理事會也要為私營機構提供供應鏈安全風險評估和應對的咨詢和指導，以此來促進聯邦政府與私營部門之間在ICT供應鏈風險管理方面的合作和雙向信息共享。

二是加強對聯邦ICT技術供應鏈安全風險管理的集中統一領導和統一方法指導。不論是特別工作組、采購安全理事會還是新的行政令，都在試圖推動構建跨部門參與、政府統一領導的ICT供應鏈風險管理機制。國土安全部、預算管理辦公室（OMB）、情報機構、總務管理局、國防部、聯邦調查局、商務部和政府其他部門的官員、專家和代表都在這個大的機制之下，共同發力，努力打造政府部門主導、私營部門積極參與配合的局面。形成通用評估和特殊評估相結合，既抓ICT供應鏈全生命周期的風險管理，又突出抓采購環節把控，旨在形成一個統一的、整體的供應鏈風險管理方法。

三是ICT供應鏈風險管理的范圍不斷擴大、作用不斷升級。美國對ICT供應鏈各層級的承包商、分包商和供應商的評估審查將不斷深入，對各級供應商的評估深度和廣度進一步擴大，并從聯邦政府的采購供應鏈評估擴大到任何個人和實體。同時，新的行政令更是表明，美國已將ICT供應鏈安全管理作為其維護技術領先、實施貿易制裁和達到政治目的的重要手段之一。

參考文獻

[1]公安部第三研究所網絡安全法律研究中心.全譯文：美國最新總統行政令《確保信息通信技術與服務供應鏈安全》[EB/OL].(2019-05-16）[2019-05-18].https://mp.weixin.qq.com/s/Idwe7eQHDz31aXPLTqBYJg.

[2] Senate Introduces Supply Chain Security Training Bill[EB/OL].(2019-03-13）[2019-05-18].https://www.executivegov.com/2019/05/senate-introduces-supply-chain-security-training-bill/.