当前,信息和通信技术(ICT)供应链安全问题再次被美国推到了最前沿。美国各级政府、国会、军方等全面拉响了ICT全球供应链脆弱性警报。美国认为ICT供应链安全风险对于美国技术领先以及经济和国家网络安全的未来至关重要。

ICT是信息技术与通信技术融合发展而形成的技术领域。ICT的全球化应用推动了其供应链的全球化,ICT系统的运行依赖于分布在全球相互联系的供应链生态系统,该供应链生态系统包括制造商、供应商(网络供应商和软硬件供应商)、系统集成商、采购商、终端用户和外部服务提供商等各类实体,产品和服务的设计、研发、生产、分配、部署和使用,以及技术、法律、政策等软环境。简单地说,ICT供应链基本结构包括内部开发、信息、信息系统、服务、组件和产品(或服务)制造维护及退出信息系统的整个过程。因其贯穿多个供需环节,涉及制造商、供应商、系统集成商、服务提供商等多类实体以及技术、法律、政策等软环境,已然是其他供应链的基础,成为“供应链的供应链”。

由于ICT供应链的全球分布性、网链结构、采购者、用户对ICT供应链的风险控制能力随着供应商透明度降低而逐层降低,任意环节存在设置恶意功能、泄露数据、中断关键产品或服务提供等行为都将破坏相关业务的连续性,带来不可控的安全风险。

一、美国政府对ICT供应链安全给予高度重视

(一)美发布《美国联邦信息和通信技术中源自中国的供应链漏洞》报告

2018年4月19日,由规格颇高的美中经济与安全评估委员会发布了一份题为《美国联邦信息和通信技术中源自中国的供应链漏洞》报告,强调美国政府需要制定一项供应链风险管理的国家战略,以应对联邦信息通信技术中的商业供应链漏洞,包括与中国有关的采购。报告认为,中国成为全球信息通信技术供应链关键节点不是偶然的,中国政府将ICT行业视为战略行业,投入了大量国有资本,长期以来一直执行鼓励ICT发展的政策。华为、中兴和联想被认为是具有部分上述特点的中国ICT企业。报告建议制定具有前瞻性的ICT供应链风险管理的国家战略及其配套支持政策,而不是被动应对那些已经对美国国家安全、经济竞争力或公民隐私造成损害的事件。

(二)美国联邦通讯委员会致力于解决与公共资金支持的网络有关的供应链安全问题

2018年4月18日,美国联邦通讯委员会(FCC)发布关于保护ICT供应链免受国家安全威胁的新规。FCC负责监督约85亿美元的通用服务基金(USF),新规“禁止使用USF的资金采购对于美国通信网络和通信供应链构成国家安全威胁的设备或服务”,以此致力于解决网络供应链安全问题。

(三)美国国土安全部评估系统性风险中的供应链威胁

2018年5月7日,为加强私营部门供应商的网络安全,美国国土安全部计划将总体评估和针对性相结合,双管齐下评估供应链风险。总体评估包括评估广泛的威胁、漏洞和攻击的潜在后果;针对性评估包括评估特定的威胁、目标和后果。

(四)白宫提交法案:加强联邦政府机构IT供应链安全

2018年7月13日,美国白宫公布了《2018年联邦信息技术供应链风险管理改进法案》,该法案建议设立两个机构——联邦IT收购安全委员会和关键IT供应链风险评估委员会,旨在为使用技术产品的政府机构提供有关如何降低供应链安全风险的指导和建议。该法案将授予民用机构更多的权力和工具以缓解供应链安全风险。另外,它将为各政府机构提供一致的、有力且精简的指导意见,以规避并解决衍生自多个IT 产品中的安全威胁问题。该提案的目标是开始弥合严格集中的情报社区和国防部与相对宽松和分散的民用机构在供应链安全方面的投入差距。

(五)2019财年美国国防授权法案,禁止美国政府使用或采购有关中国企业的设备

2018年8月13日,美国总统特朗普签署了《2019财年国防授权法案》,该法案的第889条禁止美国政府部门使用或采购:(1)华为和中兴公司(或其子机构、附属机构)生产的电信设备;(2)海能达、海康威视、大华生产的用于公共安全、政府场所安全的、关键基础设施的物理安全监控等用途的视频监控及电信设备;(3)上述公司提供的电信或视频监控服务,以及对上述设备的使用;(4)其他电信、视频监控设备或服务,经国防部部长咨询国家情报总监或联邦调查局局长后,认为提供该设备或服务的公司是由中国政府持股、控制或与中国政府有联系的。

(六)美中经济与安全评估委员会向国会提交2018年度报告

2018年11月14日,美中经济与安全评估委员会向国会提交2018年度报告,就经济和安全领域提出总计26项建议,委员会认为其中10条至关重要。第一条就是国会要求美国管理和预算办公室下属的美联储首席信息安全官委员会向国会提交一份年度报告,评估中美两国产业链紧密结合可能带来的风险。

(七)美国敦促盟国停止使用华为的电信设备

2018年11月23日,美国正敦促其盟国停止使用华为的电信设备,并对支持此项提议的国家增加援助。在拥有美国军事基地的国家,尽管国防部有专用卫星和电信网络用于敏感通信,但许多军事设施的通信仍通过商业网络传播,因而美国官员向德国、意大利和日本等国家的同行和高管介绍了网络攻击和间谍活动的危害,尤其是在复杂的5G技术环境下。这项举措被认为是美国领导的盟国与中国之间更广泛的技术冷战的一部分,以控制日益数字化的世界。澳大利亚政府在8月宣布已阻止华为为其无线网络提供5G技术。12月7日,英国和日本等多国对华采取行动,英国表示将在未来两年内替换其核心4G网络中的华为设备,日本则计划禁止政府采购华为和中兴的设备。

(八)美国防部高度重视供应链脆弱性,建立供应链风险“联合特遣队”

2018年11月25日,美国防部负责网络安全的副首席官唐纳德·赫克曼出席国家标准与技术研究所主办的“网络安全风险管理会议”时表示,为了降低网络安全风险,国防部已经发起了倡议以降低供应链脆弱性并整合云服务。供应链脆弱性和整合云服务被视为对军方任务至关重要的两个关键领域。赫克曼表示,美国防部正在利用与国防工业基地和学术界的长期合作关系,建立供应链风险“联合特遣队”并筹建联合人工智能中心(JAIC),这将为军方网络安全工作开启新的途径。

二、ICT供应链面临的网络安全问题浅析

针对ICT供应链的网络攻击,实际上避开了正面强攻,以“渠道”制胜,对目标进行“迂回”式攻击。因此,供应链攻击具有隐秘性高、投放扩散效率高、攻击面更广阔更立体等特征,因此,近年来,围绕供应链攻击的防御和应对,逐渐成为网络安全领域的重要研究方向。

在ICT采购全球化的态势下,ICT供应链安全与国家安全间的关系愈发密切,美国、欧盟、俄罗斯等国家先后将ICT供应链安全置于国家安全战略层面来考虑,供应链风险是网络安全管理里一直被低估的领域。在瞬息万变的信息时代,随着新一代信息技术及相关产业的爆发式增长,供应链风险逐渐成为网络安全风险的一个关键要素,其面临的网络安全风险来源主要有:

一是现有系统(或产品)的脆弱性和漏洞引起的ICT供应链安全风险。这类风险包括由于系统漏洞而导致的恶意软件对相关组件进行篡改等风险,恶意篡改可能是外在原因(如恶意程序、高级木马、外部组件、非授权部件等),也可能是内在原因(如非授权配置、供应链信息篡改等)导致的。这些风险可能导致的直接后果是使得系统功能减少或一些功能不可用。

二是供应链信息流通过程中的安全性。完整的供应链包含多个制造商、采购商、运输服务商等多个主体,信息传递过程较长,渠道较多,使其面临着信息泄露、恶意篡改、供应中断与产品质量参差不齐等安全威胁。所以,任何环节出现问题,都可能影响整个供应链的安全。

三是生产制造、开发水平低而导致的风险。ICT产品和服务的安全性取决于整个供应链的安全水平。ICT产品和服务设计系统集成商、供应商和外部服务提供商等各类实体,以及设计、生产、分配、部署和使用各个环节。在这些实体或环节中,受限于供应商、系统集成商能力而导致组件或系统中存在各种恶意或无意威胁。若系统使用了含有漏洞的组件,会给信息系统使用者带来潜在风险。

四是随着第五代移动网络技术(5G)和物联网(IoT)等技术的发展,网络攻击的途径成倍地增加,软件供应链攻击将变得更加容易,也更加普遍。根据美国信息技术研究和咨询公司Gartner 的预测,到 2021 年将安装 251 亿个物联网单元,到 2020 年 90% 的新计算机支持的产品设计将采用物联网技术。物联网连接的增长将对信息和通信技术的供应链风险管理(SCRM) 产生重要挑战。物联网的普及将扩大联邦信息和通信技术的受攻击面,缩短破坏这些网络所需的时间,但发现这些破坏所需的时间却并未减少。而公共部门和私营部门都有责任在商业技术供应链中提高风险意识和加强风险管理。

五是全球化的发展扩大了网络信息安全风险。ICT供应链的全球化发展,使系统用户在复杂的国际环境下对供应链安全风险的察觉和管控能力下降。ICT供应链全球化给国家、组织及个人带来了便利,同时也可能直接或间接地影响公司的管理和运行,从而对系统使用者带来风险。这种方式造成的风险及其复杂且难以察觉,因为很难确定供应链中一个看似无关的不合格操作可能会直接给使用者带来重大风险隐患。

六是企业普遍缺乏对ICT供应链风险评估和管理的措施。企业通常只针对系统及产品开发生命周期过程部署安全防护措施,而对外部供应链安全风险管理意识较为薄弱。

三、美国落实全球ICT供应链安全风险管理的主要举措分析

鉴于国家关键基础设施和关键资源对ICT技术的依赖,识别和控制ICT供应链风险,加强ICT供应链安全管理已经成为保障国家安全的重要手段。在国家战略以及标准制定层面,美国、欧盟、俄罗斯等都提升了ICT供应链安全管理的地位。目前,美国已从国家政策制定、供应链安全评估、供应链风险管理及协调机制到外商投资安全审查制度等层面,逐步形成了针对ICT供应链的深层次安全管理体系。

(一)出台多项政策法规不断加强立法以应对ICT供应链安全问题

近些年来,随着管理措施的陆续落地和管理范围的不断扩大,美国的ICT供应链安全防御体系不断加强。美国政府先后出台多项政策法规不断强化ICT供应链安全对于国家战略的重要性,并提出具体要求,见表1。

表1 2000年-2018年美国出台的相关政策法规

年份

政策及法规

2000年

美国国家安全委员会发布《国家信息安全保障采购政策》

2002年

布什政府在起草国家信息安全战略中,开始重视供应链与信息安全风险的关系

2006年

美国国家科技委员会发布《联邦网络安全和信息保障研发计划》,明确将ICT硬件和软件的供应链攻击列为一种攻击趋势,并认为这种安全问题仅靠检测手段无法完全解决。

2007年

美国土安全部出台《增强国际供应链安全的国家战略》

2008年

布什政府发布《国家网络安全综合计划(CNCI)》,强调建立全方位措施进行全球供应链风险管理,将ICT供应链安全问题上升到了国家威胁和国家对抗层面,并且首次提出采用能够涵盖产品、系统和服务的完整生命周期的战略性、综合性方法进行供应链风险管理。

2009年

奥巴马政府发布《美国网络空间安全政策评估报告》,将ICT供应链安全纳入国家安全的范畴。

2011年

美国政府发布《联邦风险及授权管理计划》,强化了云计算服务商的供应链安全管理。

2012年

美国国土安全部发布《全球供应链安全国家战略》,提出安全和高效两大目标,正式将全球供应链提升为国家安全战略,至此美国将ICT供应链安全对网络安全的影响提高到了空前的高度。

2013年

美国国家标准和技术研究所(NIST)制定了SP 800-161《联邦信息系统和组织的供应链管理指南草案》

2015年

美国国家标准和技术研究所(NIST)发布更新版本的《联邦信息系统风险管理指南》,该标准用于指导联邦政府采取相应措施减少ICT供应链风险。

2016年

奥巴马总统直属的美国国家网络安全促进委员会发布《加强国家网络安全—促进数字经济的安全与发展》报告,其中强调了供应链安全的重要性。

2017年

美国国土安全部(简称DHS)推出新“供应链风险管理计划”,旨在为联邦机构提供持续诊断与缓解项目(简称CDM)“认证产品列表”(APL)产品的更多信息,进一步确保网络安全技术和工具的可靠性与安全性。该计划可为机构提供厂商识别、评估和缓解供应链风险的更多信息,从而帮助机构制定明智决策。

2018年

美国白宫公布《2018年联邦信息技术供应链风险管理改进法案》,该法案建议设立两个机构—联邦IT收购安全委员会和关键IT供应链风险评估委员会,旨在为使用技术产品的政府机构提供有关如何降低供应链安全风险的指导和建议。

(二)重点评估美国ICT供应链对中国的依赖程度

美国官方认为,美国社会对关键基础设施的供应链并不完全了解。下一步,政府和行业之间将进行循环评估,从研发到运营,检查供应链的每一层,确定风险领域并优先考虑。甚至提出,这些评估有助于通知外国投资委员会,以促进关于外国收购美国公司的更一致和知情的决定。评估的重点是美国信息和技术等领域供应链对中国的依赖程度。目前美国国会正在审议保卫美国通讯法案(HR4747)解决供应链安全问题的新法案,禁止政府采购或使用华为、大唐及中兴等中国公司的电信设备和服务,禁止把中国高科技企业的设备和服务作为美国电信设施的核心技术组成部分。

2018年4月,美国知名供应链风险管理咨询服务公司Interos Solutions发布了《美国联邦信息通信技术中来自中国的供应链漏洞》研究报告,报告认为美国联邦IT网络的95%以上的商业电子组件和IT系统都是由商业现货产品(COTS)提供支持。中国在这个全球供应网络中的作用非常重要。中国组装世界上大部分的消费和商业电子设备,生产内存卡等部件,并在IT工业容量方面占据世界主导地位,是全球最大的IT硬件进口商和出口商,以及工作站、笔记本电脑、路由器和交换机、光纤和打印机关键制造地点。

从目前美国联邦通讯委员会的评估及新规、美国国土安全部、美国国防部等部门的评估报告及正在进行的评估来看,评估工作重点是美国供应链对中国的依赖问题。因此,美国对中国未来的政策考量中,全球供应链安全问题将是重要的参考因素。

(三)建立供应链风险管理国家战略和协调机制

美中经济安全审查委员会建议,美国政府应构建一项针对美联邦 ICT 供应链漏洞的“供应链风险管理国家战略”,包括涉及与中国有关的采购问题以及一些让美国具备前瞻性的支持政策。不能用简单的排除、禁止来解决通信网络和供应链完整性面临的风险问题,需要寻求彻底解决问题的方法,并对已经损害美国国家安全、经济竞争力或美国公民隐私的漏洞、违规和其他事件做出反应。

美国联邦信通技术现代化增加了对私营部门和商业现货产品的依赖。美国认为防范供应链攻击,需要与私营部门进行沟通与协作。而美国国家标准和技术研究所(NIST)将加强与私营部门合作,制定高质量、可实施的标准,以改善供应链安全和信息与通信技术系统的网络安全,包括广泛采用的 NIST 网络安全框架。NIST未来还将供应链标准扩展到更广泛的联邦信息系统,包括由私营部门承包商运营的系统。

同时还将建立联邦ICT供应链风险管理(SCRM)的集中领导。事实上,美国政府缺乏一个统一的、整体的 SCRM方法。2018年10月30日,美国土安全部(DHS)成立美国首个信息和通信技术(ICT)供应链风险管理工作组,集合政府和产业界的力量,目标是为识别和管理全球ICT供应链中的风险提出建议,并将负责评估和减轻对供应链的威胁,特别是来自其他国家的威胁。该管理工作组的成立是国土安全部供应链风险管理计划的一部分,由DHS国家保护和计划局(NPPD)负责监督,采用公私合作模式,防范并控制ICT供应链风险,对美国计算机和通信系统面临的网络风险提供建议并进行管理。

未来的风险将涉及软件、基于云的基础架构和超融合产品,而不是硬件。供应商、供应商或制造商的业务联盟、投资来源以及联合研发也是风险的来源,但传统的 SCRM中并不总是涵盖这些风险。识别这些风险并创造性地解决它们,作为供应链风险管理适应性方法的一部分,对于联邦政策的成功也是非常重要的。

(四)进一步完善外商投资安全审查制度

美国率先推出了外商投资安全审查制度,在完善安全审查制度的进程中始终走在世界前列,在法律法规、审查机构、审查程序、审查标准、运作程序等方面都做出了成熟的制度设计,有力地维护了美国的国家安全和国家利益。近年来,ICT供应链结构日趋复杂,增加了网络安全风险的渗透渠道,ICT供应链安全审查是指国家审查机构在关键信息基础设施领域的网络产品和服务采购过程中,针对潜在的供应链安全风险进行识别、调查和验证的相关活动。

近年来,美国以网络安全为由,频频采取涉华贸易限制措施,使华为、中兴、联想等企业赴美投资受限。究其原因:一是美国外国投资委员会(CFIUS)对我国IT企业在美投资进行国家安全审查;二是美国政府或国会对政府部门、重点行业采购中国IT产品进行直接干涉;三是美国众议院情报委员会对中兴、华为进行特备调查,使其退出美国市场;四是美国国会通过历年的《综合持续拨款法案》,限制美国四家政府部门购买中国企业生产的信息技术设备。

2014年,美国《综合持续拨款法案》明确规定商务部、司法部、国家宇航局和国家科学基金会采购高影响度或中影响度的信息技术系统之前,必须根据NIST制定的有关标准进行供应链风险审查,必须通过由联邦调查局或其他相关机构提供的威胁信息审查供应链风险。而在2018年4月,知名供应链风险管理咨询服务公司Interos Solutions应中美经济和安全审查委员会要求发布的研究报告中,认为应当将ICT供应链安全审查范围扩展至所有联邦机构,而不是仅限于商务部、司法部、国家宇航局和国家科学基金会4个联邦机构。为此,在后续的《综合持续拨款法案》中,不排除审查范围扩大化的可能,并将在对网络产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险实施安全审查。说明美国在外商投资安全审查方面将越来越严格,波及面将越来越宽。

四、几点建议

(一)建立我国自己的网络安全审查制度,防范网络空间新型国家安全风险

网络安全是高技术的对抗,信息技术产品和服务是决定网络与信息系统安全的根本。当前我国信息技术产品和服务面临着诸多安全风险,而我国既有的网络安全管理政策尚不足以满足国家安全的底线需求,例如,我国等级保护制度侧重于通过分层的防御体系对信息系统进行保护,其关注的是信息系统及其组件在运行中的安全,因而不能完全解决ICT供应链的安全问题。因此,亟待将ICT供应链安全上升到国家安全的层面,建立网络安全审查制度成为迫切需求。

网络安全审查是防范网络空间新型国家安全风险的重要制度,也是完善我国网络安全体系的重要制度。2016年7月发布的《国家信息化发展战略概要》专门在关键信息基础设施保护的章节中提出建立网络安全审查制度。2016年11月通过的《网络安全法》,确立了关键信息基础设施运营者采购网络产品和服务的网络安全审查制度。2016 年12 月发布的《国家网络空间安全战略》提出网络安全审查是建立三个国家层面的制度之一,提出要建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品和服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。

在供应链全球化的今天,我国无法摆脱全球化的浪潮,我们既要使用来自国外优秀的产品和服务,就要确保其安全,建立网络安全审查制度成为必然需要。

(二)高度重视并提升我国 ICT 产业自身供应链安全等级

美国为了自身的政治经济利益和国家安全,将会进一步提升产品供应链的安全审查等级。因此,我国 ICT 产业供应链商应当主动提高自身的安全等级。高度重视产品生命周期风险最小化。未来供应链管理,除了要确保按时交付产品和服务,还需确保产品在整个生命周期内风险最小化,提高供应链的抗打击性和柔性。企业应加快实施ICT网络产品与服务安全评估,把网络安全和隐私保护作为业务运营中最高纲领,更系统性地构建整个安全可信的高质量产品。重视供应链流程设计、信息安全管理和供应链风险管理,提高安全检测能力。对信息系统供应商、集成商、服务商等开展有关行业资质、市场信誉、物理安全、保密资质、安全管理与技术等内容的安全评估工作。

(三)加强ICT供应链安全标准规范的研究和制定

我国标准化委员会针对ICT供应链安全开展了一些工作,包括发布了GB/T 31722《信息技术 安全技术 信息安全风险管理》和GB/T 24420《供应链风险管理指南》,以及正在制定的《信息安全技术 ICT供应链安全风险管理指南》,旨在梳理ICT供应链与传统供应链安全管理的不同特点,进而系统呈现ICT供应链的安全威胁、脆弱性和可能存在的风险。

我们应借鉴和参考国际标准化组织(ISO)、美国国家标准技术研究院(NIST)等作的相关工作,如NIST自2008年起就相继不断完善推出联邦信息系统供应链风险管理实践计划,制定新的标准规范,以强化ICT供应链安全管理,旨在消除购买、开发和运营过程等供应链全生命周期中可能影响联邦信息系统的高风险。结合我国ICT供应链安全评价的实际工作,制定适合我国国情的ICT供应链安全评价标准,重点涵盖针对大数据、移动互联网、工业互联网、物联网等新技术新应用的供应链风险管理。

声明:本文来自网络安全新视野,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。