引用本文:王凤娇,魏军,吴琬光.美国ICT供应链风险管理特别任务组工作观察及启示[J].信息安全与通信保密,2020(8):87-94.

摘要

近年来,美国在ICT供应链风险管理方面频繁推出多项新的政策措施,相较而言,美国国土安全部 ICT供应链风险管理特别任务组的工作更加关注供应链风险中较为客观的部分,并建立了一个敏捷、高效的公私合作的供应链风险管理伙伴关系和合作平台,更具研究借鉴意义。为此,在对ICT供应链风险管理特别任务组的背景、工作任务、主要活动和成果及其与其他联邦供应链风险管理工作的关系等进行跟踪梳理的基础上,分析其工作影响和启示意义,对加强和完善我国ICT供应链风险管理及关键信息基础设施安全保护工作有重要参考价值。

关键词:关键信息基础设施;供应链风险;信息共享;威胁评估

内容目录:

0 引言

1 特别任务组概况

2 主要活动及成果梳理分析

2.1 《ICT供应链风险管理特别任务组中期报告》

2.2 《ICT供应链风险管理指南》

2.3 与其他联邦供应链风险管理工作的关系

3 TF工作的影响及启示

4 结语

引言

随着大国博弈的日益激烈及中国在人工智能、5G等新技术方面的崛起,美国对供应链的完整性及脆弱性表示出了越来越多的担忧。鉴于国家关键基础设施和各级政府对ICT技术的严重依赖,美国政府认为,确保ICT技术供应链的弹性和可信不仅仅是一个网络安全问题,而是一个影响国家安全、经济安全、公共卫生和安全的问题。ICT供应链的风险也不再停留在理论层面,近年来,恶意行为成功实施的情况不计其数,如劫持蜂窝设备、受感染的交换机闪存卡、在终端用户设备上预装的恶意软件、向美国武装部队出售假冒的ICT产品以及在软件安全工具中嵌入恶意软件。2018年赛门铁克的一份报告详细指出,2018年由于恶意行为人试图利用第三方软件、硬件以及服务的漏洞导致的供应链攻击比2017年高78%,给ICT供应链及其不断扩大的用户群带来了越来越高的风险。

因此,美国政府认为,有效的供应链风险管理(SCRM)是国家的当务之急,这一挑战需要一个集政府和全社会共同努力的方法。ICT供应链上技术的持续进步以及5G通信的快速发展,都需要以更高的紧迫性和更大的行动力来应对这一挑战。

DHS作为美国国家关键基础设施保护的牵头部门,在美国范围内承担着广泛的ICT技术利益相关者社区的协调中心和召集人的职责。DHS与联邦政府其他部门协调并联合ICT社区中的利益相关者为确保国家ICT基础设施免受所有危害提供必要的专业知识和建议,并将其作为国土安全和国家安全的基本优先事项。

ICT供应链风险管理特别工作组(ICT supply chain risk management task force,TF),作为美国公私合作的供应链风险管理伙伴关系的试点和范例, 正是针对解决这些现实问题而建立的,肩负着识别和制定加强ICT供应链安全的共识性战略的关键任务。

特别任务组概况

2018年7月,DHS在其主办的网络安全峰会上宣布组建ICT供应链风险管理特别任务组,设在DHS下属的网络和基础设施安全局(CISA)的国家风险管理中心。该TF根据国家基础设施保护计划框架和相关的关键基础设施伙伴关系咨询委员会(CIPAC)的特许成立,由DHS和ICT技术部门代表组成的协作领导小组共同领导,TF成员由来自公共和私营部门中举足轻重的60名关键供应链风险管理利益相关者组成,包括20个联邦部门和机构,40个信息技术领域的大型企业。

TF的战略任务是为私营部门和ICT重要基础设施运营商提供合作平台,并就评估和管理ICT供应链风险的方法向国土安全部提供意见和建议。成立之初,该TF下设四个工作小组(WG),除了收集政府和行业现有供应链风险管理工作的清单外,分别负责特定的重点领域:

WG1:负责制定一个政府和行业间双向共享供应链风险信息的共同框架;

WG2:负责识别基于威胁评估ICT技术供应、产品和服务的过程和标准;

WG3:负责识别细分市场及合格投标者和制造商名单的评价标准;

WG4:负责制定用于鼓励从原始制造商或授权经销商处购买ICT产品和服务的政策建议。

根据研究任务的需要,2019年12月,TF成立了一个新的工作小组,针对供应商风险、生命周期管理、网络安全等方面制定供应链风险管理指南,重点给出可行的建议,以帮助各种规模的私营实体证明他们的供应链安全计划和实践的有效性及可靠性,从而帮助组织应对供应链挑战。

ICT技术是美国关键基础设施日常运营和功能不可或缺的组成部分。从手机到云存储到卫星连接,ICT供应链涵盖了硬件、软件和服务的整个生命周期,并包括第三方厂商、供应商、服务提供商和最终用户在内的各种实体。然而,ICT技术的全球化和相互联系的本质也意味着供应链中脆弱性的妥协和利用可能对多个关键基础设施部门产生连锁影响。政府和产业界在识别和减轻这些威胁方面有着共同的利益,因此也有共同的责任。TF成立的目的就是要建立一个公私合作伙伴关系,审查并制定达成共识的建议,以识别和管理全球ICT供应链的风险。

主要活动及成果梳理分析

在近一年半的时间里,TF下设的四个工作组在各自重点负责的领域内以任务为中心,针对具体的问题以敏捷、高效的方式开展工作,形成并公布了《ICT供应链风险管理特别任务组中期报告》《ICT供应链威胁场景报告》《ICT供应链风险管理指南》等一系列重要成果,特别是《ICT供应链风险管理特别任务组中期报告》作为一份年度工作报告,对从整体角度观察 TF 的工作有重要参考价值。

2.1 《ICT供应链风险管理特别任务组中期报告》

2019 年9月,CISA发布首份《ICT供应链风险管理特别任务组中期报告》,详细介绍各工作组自成立以来的工作进展情况,详述工作方法、重点关注领域,并酌情介绍各小组的主要调查结果和建议,对其要点的梳理分析如下:

图1 TF工作思路视图

(1)工作思路分析:TF的工作组织和推进过程清晰地勾勒了一个TF工作思路视图(如图1 所示),TF从ICT供应链风险管理运行环境的评估入手,从美国联邦政府和关键基础设施行业领域ICT的采购需求和规模、ICT供应链威胁和风险造成的影响、美国现有的ICT供应链风险管理架构、可用的行业/联邦标准和程序目录等几个方面,对ICT供应链的风险、管理需求、存在的问题、能力差距等进行分析,广泛利用来自DHS、其他联邦政府部门、ICT基础设施提供商、运营商等任务组成员及各方面专家提供的多样性的专业知识和威胁样本,通过充分讨论和全面的威胁数据分析,识别出当前ICT供应链风险管理中需要重点关注、解决的4个优先事项。在此基础上,以任务为中心,组建了四个工作小组,各自有重点关注的任务,同时又存在支撑关系,最终形成TF内达成共识的标准化指导和建议,为 ICT生态系统内的利益相关者提供具体、可操作的指导。

(2)下设各工作组的成果:报告中描述了4个工作组在各自重点关注领域的进展、初步结论或成果及下一步工作重点,如:WG1重点要解决“哪些供应链信息在降低风险方面最有价值?这些信息是否以一种可用于风险管理的方式存在?如果有价值的信息不能轻易地获得, 那么有哪些障碍可能会妨碍这些信息的收集和/或传播?”等涉及信息共享路径和程序的基本问题,在广泛的讨论和研究后认为,“有效的信息共享可能需要交换敏感的供应商或供应商数据,包括特定实体的名称。这一需要产生了一系列ICT技术利益攸关方必须考虑的法律问题,工作组建议在以下工作阶段进一步研究这些问题。”

2020年2月,CISA发布了《ICT供应链威胁场景报告》,该报告是WG2组威胁评估主要工作成果,WG2组针对供应商威胁评估,利用NIST SP 800-161中描述的NIST风险管理实践来帮助指导SCRM威胁和威胁源的分析,采用广泛收集供应商威胁数据,对威胁数据进行分析、分类、类别分组,并为每个威胁开发威胁场景,进而形成威胁场景列表的方法。联邦机构领导人和ICT公司可以利用这些信息来评估他们的安全态势,并为未来的威胁场景建模。这个阶段开发和使用的方法(如图2所示)在未来对产品和服务的威胁评估等工作中具有可扩展性和可重复性。TF在对这项工作的总结中指出,WG2的评估工作可以说是从零开始,重点是利用成员的多样性,为分析和评估提供广泛的威胁基础。

图2 WG2的威胁评估方法

(3)TF下一步的工作:TF将继续发展壮大,在此前工作的基础上调整其重点领域和结构以适应在更广泛的供应链风险管理生态系统中正在发生的变化、应对新的挑战和问题领域。TF将对其工作组的结构进行全面评估,进行战略规划来推动建立新的工作组或对现有工作组进行改组。同时,它将遵循与此前类似的工作过程,为工作组识别和选择工作重点,重点领域将大致分为四类:

①在工作组第一阶段成果和建议的基础上继续进行或解决在第一阶段识别的差距或问题领域;

②在第一阶段考虑但未选定的可能更适合第二阶段的建议主题领域,能够反映供应链风险管理生态系统的变化,推进 TF 工作的不断成熟;

③从 TF 全体成员中收集的新主题领域;

④财务会计准则委员会确定的支持或研究领域。

TF也将评估如何才能最好地确保其建议的可行性和及时性,继续利用合作平台的广泛影响力来确保其工作反映了政府和产业界的需求、专业知识和能力,并继续识别、招募能够为其战略规划和方向的制定作出贡献的潜在领域专家。此外,TF将进一步寻求与财务会计准则委员会等其他联邦ICT供应链风险管理工作的协调,为财务会计准则委员会等机构提供有利于其成长和成熟的关键见解和支持。

(4)中期报告的结论:ICT供应链风险问题的解决需要持续、专门的关注和努力。TF第一阶段的工作为包括财务会计准则委员会、整个政府和伙伴合作关系以及TF本身的持续性工作等其他多项工作提供了重要信息。下设各工作组的进展和成果也为解决ICT供应链管理中的长期关切和确保TF在下一阶段工作中继续取得成功奠定了重要基础。

取得的这些成功表明:TF及其工作组是CIPAC 结构及其合作模式所依据的“公私伙伴关系概念重要性”的有力证明。这种合作机制和平台创造了一个独特、多元化的专业机构,参与者们一直认为继续扩大TF的关注范围,通过这一广泛而多样的机构为解决长期困扰ICT供应链风险挑战而提供有意义的方法是切实可行并将会有很大的收益。

2.2 《ICT供应链风险管理指南》

在总结第一年工作进展及成果的基础上,2020年5月初,TF又发布了《ICT 供应链风险管理指南》,提出了建立有效供应链风险管理实践的6个基本步骤及企业构建供应链风险管理文化的基本活动,如图3所示:

图3 SCRM 的基本步骤和活动

尽管这一指南不是强制的,但持续努力遵守这一指南的公司很可能会得到美国政府的青睐,这一点对于美国政府的承包商来说可能至关重要,因为美国政府越来越希望其承包商能够充当第一道防线,以缓解政府ICT供应链中的脆弱性。尤其是随着适用于承包商供应链管理的一系列新规的最终出台,情况更是如此。

这些新规和要求包括《2019财年国防授权法》(NDAA)第889(a)(1)(B)节(一般禁止美国政府与任何“使用”违禁产品和服务的“实体” 签订合同)、《2019 财年国防授权法》的1654和1655部分(如果公司允许美国的某些外国对手审查已出售或打算出售给国防部的产品的源代码,通常要求向国防部披露)以及13873号行政令和商务部执行该命令的拟议规则(授权美国政府禁止、减轻或解除某些商业交易处理或使用任何信息和通信技术及服务)。每一个即将提出的要求都可能对出售或采购ICT产品带来潜在的重大影响。提早采取措施,重视提高现有供应链的安全弹性将有助于为遵守这些要求以及美国政府后续不可避免的其他要求做准备。

2.3 与其他联邦供应链风险管理工作的关系

TF的工作推动了联邦机构间供应链风险管理工作优先级的提升,例如,它将继续与美国财务会计准则委员会协调,以帮助确保《2018 联邦采购供应链安全法》的有效实施。同时,国家安全委员会(NSC)、行政管理和预算局(OMB)的代表也经常参加TF的会议,以保持对TF活动和工作进展的了解。

此外,根据第13873号行政令的要求,CISA被要求在该行政令发布后的80天内“评估和确定在美国存在漏洞并对美国国家安全造成最大潜在后果的实体、硬件、软件和服务”以作为对商务部决策的支持。作为落实此任务的回应,CISA的国家风险管理中心(NRMC)通过ICT供应链风险管理特别任务组与产业界密切合作,制定并于2020年4月发布《评估最关键的 ICT 技术及服务的方法》,提出用于评估信息技术和通信部门的 ICT 硬件、软件和服务(ICT 要素)关键性的两步法:第一步,开发了一个ICT框架,对信息和通信部门提供的基本角色和子角色的ICT要素进行分解,并识别支持每个子角色的要素;第二步,开发并执行了一种可重复的方法,用于分析ICT要素的关键性。

方法每一步的制定都需要ICT行业主题专家的广泛支持和参与贡献,NRMC通过ICT供应链风险管理TF与产业界合作来确保关键基础设施所有者和运营商的观点及专业知识能够对ICT的运营和使用提供敏锐的洞察力。DHS也希望这一细分为TF在今后的工作中讨论ICT技术的关键性提供一个有用、标准化的分类法,并为在更广泛的供应链生态系统中形成有关ICT工作的讨论提供指导。同时,TF正在对16个关键基础设施行业协调委员会进行调查,询问他们是否有供应链工作组以及他们关注哪些问题。

TF工作的影响及启示

TF作为集中政府和私营企业的努力而建立的合作框架的支点,旨在调查和建议管理ICT供应链风险的方法,其敏捷、以任务为中心的方法直面所识别出的优先事项和重点问题,努力提供可操作的输出,从而产生切实的成果,也为TF后续的工作奠定重要基础。从整体上看,TF的工作机制、方法及成果对美国ICT供应链风险管理乃至关键基础设施保护等工作都具有重要的意义和影响:

(1)表明美国构建统一供应链风险管理体系的策略正在加速落地,并更注重实际效果。近年来,美国认为供应链安全问题对于美国技术领先以及美国的经济和国家安全的未来至关重要,正在通过战略、立法、审查、评估等一系列政策措施加速构建全面、统一的供应链安全管理体系。ICT 供应链风险管理特别任务组的成立,正是在特朗普政府倡导的以“集体防御”方法来管理网络安全风险的理念之下, 落实构建统一供应链安全管理体系的重要举措之一,可以被视为是解决供应链风险管理及政府与行业合作方面的长期基础问题的工具,成为政府和产业之间的主要连接点。

综合来看,不论是特别任务组、采购安全理事会还是13873号行政令,都在试图推动构建跨部门参与、政府统一领导的ICT供应链风险管理机制。国土安全部、预算管理办公室(OMB)、情报机构、总务管理局、国防部、联邦调查局、商务部和政府其他部门的官员、专家和代表都在这个大的机制之下,共同发力,努力打造政府部门主导、私营部门积极参与配合的局面, 形成通用评估和特殊评估相结合,既抓ICT供应链全生命周期的风险管理,又突出抓采购环节把控,旨在建立一个统一、整体的供应链风险管理方法。

(2)建立实质性的公私合作平台和长效工作机制。在关键信息基础设施及ICT供应链风险管理方面,美国始终倡导、强调公私合作和信息共享。特别是随着美国政府面临的网络安全挑战的日益严峻及ICT供应链风险的持续攀升,与私营部门的密切合作对政府来说至关重要。通过切实可行的方式推动建立联邦政府与私营部门的实质性合作、建立集政府和产业界共同力量的ICT供应链风险应对方法,是美国关键基础设施保护及 ICT供应链风险管理的优先事项。TF利用国家基础设施保护计划(NIPP)框架,包括关键基础设施伙伴关系咨询委员会(CIPAC)的结构来促进政府、行业伙伴和领域专家们之间的有效信息交流。

这种结构提供一种灵活的方法,使各方共同参与解决ICT供应链面临的关键问题,产生很好的成果和效果, 也激励各方参与者将在今后的工作中继续携手同行,致力于解决ICT供应链风险管理中的战略风险和优先事项,提出达成共识的方法和建议。TF未来将在更广泛的ICT供应链风险管理生态系统中发挥召集作用,对明确美国ICT供应链风险管理方向有重要的影响。

同时,TF所建立的合作平台和长效工作机制也使CISA借此建立联邦政府部门与产业界的伙伴关系和合作基础,并致力于共同努力解决具体安全问题,对CISA肩负的关键基础设施保护和国家风险管理等其他工作的开展都具有重要的基础支撑作用和深远意义。

(3)成为美国ICT供应链风险管理相关政策、标准、程序制定的重要研发基地。TF的工作方法、成果和工作方式都表明,其正在以更具战略性、优先性、针对性的方式,致力于解决ICT供应链风险管理中面临的突出问题。通过广泛的问题和需求调查、识别优先事项和重点问题、组建适应性的专家团队、数据收集、分析研讨、审查评估等一系列体系化的工作,最终形成一系列具体的清单/列表、可操作性的标准和程序及采购规则等政策建议,为ICT社区内的利益相关者做出基于风险知情的明智决策提供指导和支持,也为美国ICT供应链风险管理相关政策立法制定提供重要输入。

这些工作对评估ICT供应链安全风险、提高关键基础设施的安全和弹性具有重要的意义,其方法、标准和程序对加强全球ICT供应风险管理起到风向标作用,对开展网络安全审查、安全认证等工作具有重要的参考借鉴意义。

结语

随着贸易摩擦的不断升级,ICT供应链安全及风险管理的重要性愈加凸显。与发达国家相比,我国的供应链安全面临着更加严峻的风险挑战,亟待以底线思维为指引,研究构建统一的ICT供应链风险管理体系,全面提高供应链风险的审查和评估能力。

作者简介

王凤娇(1982—),女,博士,高级工程师,主要研究方向为网络安全政策、标准与认证;

魏 军(1971—),男,博士,高级工程师,主要研究方向为网络安全认证认可;

吴琬光(1968—),男,学士,高级工程师,主要研究方向为网络安全认证认可。

选自《信息安全与通信保密》2020年第八期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。