2018 年 4 月,知名供应链风险管理咨询服务公司 Interos Solutions 发布 《美国联邦信息 通信技术中来自中国的供应链漏洞》(Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology) 研究报告。报告包含六个章节和结论,前六章分别涉及美国政府的信息通信技术(ICT)供应链现状、与供应链风险管理(supply chain risk management,SCRM)相关的法律、规范和要求、供应链制造商分析、供应链安全困境背后的中国政治经济因素、SCRM 推荐方案以及对未来的考虑。其中主要内容有:

美国联邦 ICT 供应链包含内容 

报告采用了“ICT 供应链”的全方位定义,包括:1主要供应商;2层级供应商,通过提供产品和服务支持主要供应商;3通过商业、金融或其他相关关系与这些层级供应商关联的任何实体。报告认为,美国联邦政府的 ICT 供 应链是多层次、网状的关系,而非单一或线性的关系。供应链对美国国家安全的威胁源于由各国政府或实体所拥有、指导或补贴生产、制造或组装的产品,这些实体已知会对美国构成潜在的供应链或情报威胁。这些产品可被修改为:1性能低于预期或失效;2为州或公司间谍活动提供便利;3以其他方式损害联邦信息技术系统的保密性、完整性或可用性。 

美国联邦 ICT 供应链风险研判 

随着第五代移动网络技术(5G)和物联网(IoT)等技术的发展,网络攻击的途径成倍地增加,软件供应链攻击将变得更加容易,也更加普遍。根据美国信息技术研究和咨询公司Gartner 的预测,到 2021 年将安装 251 亿个物联网单元,到 2020 年 90% 的新计算机支持的产品设计将采用物联网技术。物联网连接的增长将对信息和通信技术的 SCRM 产生重要挑战。物联网的普及将扩大联邦信通技术网络的受攻击面,缩短破坏这些网络所需的时间,但发现这些破坏所需的时间却并未减少。而公共部门和私营部门都有责任在商业技术供应链中提高风险意识和加强风险管理。

而中国成为全球信通技术供应链上的关 键节点并非偶然。中国政府认为,信通技术 部门是一个“战略部门”,对国有信通技术 企业投入了大量国家资本。中国有鼓励信息 和通信技术制造和发展的长期政策。这些政 策鼓励外国公司在中国生产信通技术产品, 同时寻求从这些公司获得关键知识产权和技 术的机会,最终目标是使这些技术本土化。 自 2013 年以来,中国努力加快了本土化进程, 大型跨国公司为能够继续在中国开展业务不 得不做出让步以换取市场准入。与此同时, 中国通过企业并购获取关键技术知识,利用 中国企业的经济实力作为国家工具,扩大经 济优势。中国政府从确保自身国家安全的角 度为这些政策辩护,但中国有关优先考虑本 土生产、从跨国公司获取特许权、利用中国 公司作为国家工具、以及瞄准美国联邦网络 和承包商网络的政策,增加了美国信通技术 供应链以及美国国家和经济安全所面临的风 险。新政策要求企业交出源代码,将数据存储在位于中国的服务器上,投资中国企业,并允许中国政府对其产品进行安全审计,向中国网络间谍活动和知识产权盗窃活动开放 网络。中国还继续瞄准美国政府承包商和其 他私营部门实体,作为其争取经济优势和实 现其他国家目标的组成部分。

因此美国政府急需一项针对美联邦 ICT 供 应链漏洞的“供应链风险管理国家战略”,包 括一系列与中国相关的采购。这一战略必须包 含相关的支持政策,以使美国的安全态势是前 瞻性的,而不是被动应对的,并对已经损害美 国国家安全、经济竞争力或美国公民隐私的漏 洞、违规和其他事件做出的反应。  

美建立供应链风险管理国家战略和协调机制的建议 

有效的供应链风险管理是指能够预测供应 链的未来发展,识别供应链面临的潜在威胁, 制作威胁概要文件,能够减轻或解决供应链未 来可能面临的威胁。但当前联邦政府的法律和 政策并未全面解决 SCRM 问题。全球 ICT 产品 生产和制造的演变以及联邦 ICT 现代化努力的 过程,意味着未来进入联邦信息系统和国家安 全系统的新产品将越来越复杂和全球化,其中 许多供应链都是来自中国的商业供应商。而政 治或经济变化不大可能使全球信通技术制造商 大幅减少其在中国的业务或与中国企业的伙伴 关系,那么美国政府应该如何管理与中国制造 的产品和服务以及中国公司参与其 ICT 供应链 相关的风险?联邦信通技术供应链风险的最佳 管理方法有以下五种: 

采用自适应供应链风险管理流程

联邦信通技术现代化努力增加了对私营部 门和商业现货产品的依赖。这些新产品具有日 益复杂的、全球化的和动态的供应链,其中许 多供应链是来自中国的商业供应商,这些供应 商在一个供应链中的多个节点上供货。随着公 司开发新技术并与新供应商结成合作伙伴关系, 与中国有联系的不法行为者以私营部门实体和 私营部门政府承包商网络为目标,获取敏感的 政府信息,并进一步利用联邦信息系统内的漏 洞。因此,薄弱的行业合作伙伴网络对美国政 府和国家安全构成了威胁。

防范与中国有关联的不法行为者的供应链 攻击,需要与私营部门行为者进行沟通与协作。 国家标准和技术研究所(NIST)一直有效地与 私营部门合作,制定高质量、可实施的标准, 以改善供应链安全和信通技术系统的网络安全, 包括广泛采用的 NIST 网络安全框架。尽管 NIST 在这些工作中发挥了有效作用,但 NIST 开发的 供应链控制仅适用于具有“显著影响”(high- impact)的联邦信息系统。NIST 未来的工作可能 需要包括将供应链标准扩展到更广泛的联邦信 息系统,包括由私营部门承包商运营的系统。

与工业界结成伙伴关系还意味着需要从布 什时代的国家网络安全综合倡议(CNCI)中吸 取经验教训。CNC 的有效性受到其审议和决定 的保密性限制,这使美国国务院和国家网络安 全中心无法与包括私营部门在内的外部组织接 触。决策者必须增强而不是阻碍 NIST 等成功 合作实体的努力,并在非保密的公共领域尽可 能多地讨论供应链威胁。这些步骤将确保新的SCRM 策略能够自适应、协作并获得所有相关方 的认可。

建立联邦信通技术 SCRM 的集中领导

美国政府缺乏一个统一的、整体的 SCRM 方法。大多数与 SCRM 相关的情报收集活动都 是以人为本而不是以技术为基础,这使得联邦 SCRM 计划难以全面应对全球威胁,也难以随着 需求的增加而扩展。法律法规之间的冲突和混 乱导致漏洞、重复劳动和政策执行不一致。

国会和行政部门应鼓励信息共享和巩固联 邦 SCRM 领导,以优化收集和传播工作。需要 为 SCRM 的中央领导配备适当的资源和人员, 负责将进入联邦 IT 网络的产品供应商和增值 转销商审查到规定的级别。管理和预算办公室 (OMB)可以通过修改 A-130 通告将 SCRM 的 中央权力分配给总务管理局(GSA)、美国国土 安全部(DHS)或另一个联邦机构。该 SCRM 中 心将提供全面权威的数据和持续监测,减少对 特定机构 SCRM 的需求,并使各机构能够将其 工作重点放在特定配置和实施情况上,机构如 何使用技术直接关系到它们如何应用风险缓解 措施。最后,这样一个办公室需要在非保密的 世界中运作,同时与保密环境有直接联系和追 溯权,以确保其与已知威胁保持一致。

将联邦法规条例与拨款挂钩

在修改政策的同时,国会应将政策修订与 确保联邦机构以可审计的方式采取行动的筹资 战略,两者联系起来。一项建议是扩大 Wolf 条款, 或者是《综合和进一步持续拨款法》的第 515 条, 以适用于所有联邦机构和实体。近期的一个机 会是将本法规的 SCRM 要求与机构为 2017 年《政 府技术现代化法》提供的资金联系起来,要求对新的信通技术投资和现代化努力进行 SCRM计划审查。该规定的一个改进是要求各机构每年提交:(1)关于其已建立的 SCRM 计划的信息;(2)在该计划内开展的活动;(3)使用的缓解措施。这些年度报告将有助于为所有联邦政府实体建立一个“最佳实践库”,提高信息共享和对不断变化的风险的认识。目前的报告是以合规为导向的,对共享信息或提高联邦信通技术网络的安全状况没有任何作用。

促进供应链透明度和与工业界伙伴关系

供应链透明度提高了联邦信通技术供应链 的安全性,使联邦政府能够负责任和安全地获 取信息,并提高了政府在供应链攻击不断的环 境中应对和减少网络安全事件影响的能力。与 对国家安全的影响直接相关的是,联邦政府应 根据戴尔、惠普和微软等公司已经采取的行动, 促进联邦信通技术提供商以及初级或一级供应 商的公开上市,或至少向政府客户披露这些信 息,作为其公司责任努力的一部分。政府还应 根据所需的风险管理严格程度(并非所有计划 和供应商都存在相同程度的风险,因此可能不 需要这种程度的透明度),推动自身供应链中 的所有供应商实现透明度。虽然应制定审计措 施以确保透明度,但这些信息并不总是需要公 开发布。在采取这些措施时,决策者应借鉴以 往供应链透明度的努力,例如 2010 年《多德·弗 兰克华尔街改革和消费者保护法》第 1502 条, 该条要求一些公司记录其 " 冲突矿物 "(conflict minerals)供应商,以便限制美国从助长刚果民 主共和国冲突的行为体方采购,以此来减少刚果民主共和国境内的暴力行为。通过行业合作 和信息共享,政府客户和行业将提高对多层供 应商关系中存在的风险以及已存的潜在有效配 置的认识。

制定前瞻性政策

与其中运行的固件和软件相比,任何信通 技术组件的物理结构越来越不重要。未来的风险 将涉及软件、基于云的基础架构和超融合产品 (hyper-converged products), 而 不 是 硬 件。 供 应商、供应商或制造商的业务联盟、投资来源 以及联合研发也是风险的来源,但传统的 SCRM 中并不总是涵盖这些风险。识别这些风险并创 造性地解决它们,作为供应链风险管理适应性 方法的一部分,对于联邦政策的成功非常重要。 

对我国有关启示

对于我国来说,主要可以从产业竞争力、 国家大战略和未来主导权三个角度来考虑:

高度重视并提升我国 ICT 产业自身供应链安全等级

鉴于中国在全球 ICT 供应链中的角色近期 内不太可能发生重大改变,美国希望建立的自 适应 SCRM 流程和 SCRM 集中领导也不可能完 全排除包括中国在内的 IT 产品网络供应商和增 殖转销商。但为了其自身的政治经济利益和国 家安全,美国将会进一步提升产品供应链的安 全审查等级。但是这一审查并不保密,而且为 了达到理想的效果,必须建立协作与信息共享 机制。因此一方面,中国的 ICT 产业供应链商 应当主动提高自身的安全等级,另一方面,还 要高度重视并提升产品抵御全球供应链风险的能力,要尽早建立起包括产品和行为体在内(其 他层级供应商、其他供应实体)的全周期、可 追溯的风险档案与风险管理预案机制。

要立足我国国家战略利益进一步促进全球供应链与供应链伙伴关系的透明度

SCRM 国家战略鼓励主要或一级供应商向美 国联邦信通技术供应商公开披露信息,并在必 要时促进所有供应商的透明度,以确保系统或 供应商处于特定风险或影响水平。对于我国来 说,一方面需要依靠自身供应链的追溯和管理 以及与其他层级供应链商和实体进行的配合, 同时可以借由此次机会,进一步促进全球 ICT 供应链与供应链伙伴关系的透明度提升,以此开拓并扩展我国 ICT 产品的全球供应链业务。

提前关注来自软件供应链的风险管理并抢 占规则制定主导权

此次报告中指出,未来供应链的风险可能 更多涉及软件、基于云的基础架构和超融合产 品。因此未来不仅在硬件方面,软件以及软硬 件之间的互通互构都将进入 ICT 供应链风险管 理的范畴。因此我国应当提前布局,尽早建立 一套自主研发用于监测、识别、分析、储存、 预警、治理的“未来 ICT 供应链风险管控体系”, 抢占技术风口与先机。这一系列的标准和规范 形成体系之后,还可以寻求成为国际标准,占 据未来 ICT 供应链上游的规则制定主导权。  

作者 >>>

方师师上海社会科学院新闻研究所。

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。