网络空间日光浴委员会(CSC)于 2020 年 10 月 20 日发布《国家可信信息通信技术供应链》报告,提出了如何保护信息和通信技术供应链安全的建议。报告建议国会应指导美国政府制定和实施信息通信技术产业基地战略,以便更好地在该领域开展竞争,减少对亚洲制造业和资源的依赖, 确保更可信的供应链和关键信息通信技术的可用性,进而增强美国的安全。

报告发布背景

与传统领域的实体供应链相比,ICT 供应链面临的安全风险更为复杂多变、更为多样化。尤其是随着云计算、人工智能、5G 等新技术方面的发展和运用,美国对ICT 供应链的完整性及脆弱性表示出了越来越多的担忧。美国认为供应链安全问题对于美国技术领先以及美国的经济和国家安全的未来至关重要,因此,通过采取以下重要措施,加速构建全面、统一的供应链安全管理体系来保障国家网络安全。

一是从国家层面发布了一系列提高 ICT 供应链安全的战略。2016 年美国国家网络安全促进委员会发布了《加强国家网络安全-促进数据经济的安全与发展》报告,提出了维护数字经济安全与发展的十大原则,其中第九条强调了供应链安全的重要性;2017 年美国国土安全部提出了新供应链风险管理计划,重视物理安全,旨在通过产品、服务等认证认可的方式强化供应链安全;2018 年美白宫公布《联邦信息技术供应链风险管理改进法案》,其目标是弥补严格集中的情报界和国防部与相对宽松和分散的民用机构在供应链安全方面的投入差距。2019 年 5 月特朗普总统签署了《确保 ICT 和服务供应链安全的行政令》,以保证美国 ICT 供应链安全,其中提出了对美国关键基础设施以及对数字经济的保护,提出了安全性以及弹性恢复能力的建设。2020 年 3 月美国网络空间日光浴委员会呼吁美国政府采取措施减少对不可信 ICT 的严重依赖。目前,美国已从国家政策制定、供应链安全评估、供应链风险管理及协调机制到外商投资安全审查制度等层面,逐步形成了针对 ICT 供应链的深层次安全管理体系。

二是新建两个跨部门的 ICT 供应链风险管理机构。2018 年 11 月,美国国土安全部(DHS)将原国家保护与规划局(NPPD) 改建为美国网络安全与基础设施安全局(CISA),其下设的国家风险管理中 心(NRMC)成立了 ICT 供应链风险管理特别工作组,该工作组的 60 名成员包括来自公共和私营部门中举足轻重的关键供应链风险管理利益相关者, 包括 20 个联邦部门和机构,40 个信息技术领域的大型企业。特别工作组成立的目的就是要建立一个公私合作伙伴关系,审查并制定达成共识的建议, 以确定和管理全球 ICT 供应链的风险。ICT 供应链风险管理特别工作组的成立,是落实特朗普政府倡导的以“集体防御”方法来管理网络安全风险 的举措之一,也是国土安全部在处理来自全球的商业软硬件产品安全漏洞 和外国间谍威胁方面大力推进工作的一部分。同年 12 月,根据《联邦采购供应链安全法案 2018》创建了联邦采购供应链安全理事会,为联邦供应链安全制定规则,以增强联邦采购和采购规则的网络安全弹性。理事会主席 由管理和预算办公室(OMB)高级官员担任,理事会负责识别和建议 NIST 应该制定哪些标准、指南和实践,供执行机构在评估和制定缓解策略以应 对供应链风险时使用。识别或制定供执行机构与其他联邦实体和非联邦实 体就供应链风险共享信息的标准,建立领导机构,负责监督信息共享过程和调查广泛适用的承包方案,更为重要的是,联邦采购供应链安全理事会还将制定内阁部长下达的排除或删除指令的标准,禁止各机构购买某些产品,或根据供应链风险命令从其信息系统中删除软件。

三是强化 ICT 供应链安全保护的政策以及技术管理标准制定,将 ICT供应链安全落到实处。2018 年,美国国会相关议员就拟提了《保卫美国政府通讯法案》、《联邦采购供应链安全法案》、《加强中小企业网络安全的法案》、《联邦网络保护法案》、《外国源代码审查法》等八部法律,强化 ICT 供应链安全。2019 年又推出了《国防授权法案》(NDAA 2019),允许国防部长、陆海空军队负责人可以在国家安全的原因下排除特定供应商,并可拒绝就相关决定做出解释。此外,美国在 ICT 供应链安全方面也制定了较多标准,主要包括联邦信息处理标准(FIPS)中的 FIPS199《联邦信息和信息系统的安全分类标准》、FIPS200《联邦信息和信息系统的最小安全需求》、SP800-53《联邦信息系统和组织的安全控制措施建议》、SP800-39《计算机信息系统安全风险管理》、《联邦信息系统和组织的供应链管理指南》等等,其中 SP800-161 出台为系统集成商、供应商、采购者进行 ICT 供应链风险管理提供了操作方法和控制措施,在指导联邦政府采取措施减少 ICT 供应链风险上发挥了重大作用。

报告主要内容

报告全文 50 页,包括美国的主要依赖;从材料、半导体、ICT 设备等方面详细描述美国高科技制造业的现状;合作伙伴的重要性;加强美国 ICT 供应链的策略以及结论等五个部分内容。报告提出要通过政府审查和公私合作伙伴关系来识别关键技术和设备的风险;通过战略投资确保最低可行的生产能力;通过情报、信息共享和产品测试,保护供应链免受损害;通过有针对性的基础设施投资刺激国内市场,并确保公司有能力在美国提供与国外市场类似的产品;面对中国在全球市场中的反竞争行为,确保美国和合作伙伴可信供应链的全球竞争力。报告还建议总统建立或指定一个全国性的供应链情报中心,整合政府与其他公共、私营部门成员的供应链情报工作,构建防范供应链威胁的共享知识中心。最后,报告提出五大建议,包括国会应制定和实施 ICT 产业基础战略,制定牵头机构将 ICT 供应链风险管理工作整合到国家战略中以及建立关键技术产业集群等。

1 报告认为美国缺乏针对中国的 ICT 战略

美国联邦 IT 网络的 95%以上的商业电子组件和 IT 系统都是由 COTS 提供支持,中国在这个全球供应网络中的作用非常重要。中国组装世界上大部分的消费和商业电子设备,生产内存卡等部件,并在 IT 工业容量方面占据世界主导地位,是全球最大的 IT 硬件进口商和出口商以及工作站、笔记本电脑、路由器和交换机、光纤和打印机关键制造地点。中国为鼓励信息和通信技术制造和发展,实施了包括优先考虑本土生产、从跨国公司获取特许权、利用中国公司作为国家工具、以及瞄准美国联邦网络和承包商网络等长期政策,这些政策旨在确保中国自身国家安全,鼓励外国公司在中国生产通信技术产品,同时寻求从这些公司获得关键知识产权和技术的机会,最终目标是使这些技术本土化。对美国而言,这些政策则增加了其ICT 供应链以及国家和经济安全所面临的安全风险。

白皮书明确指出,美国在信息与通信技术领域缺乏对华战略,美国国会和政府行政部门已经开始行动,但美国仍然缺乏统一的战略来确保美国ICT 供应链的安全,目前美国在 ICT 供应链上面临中国问题。

白皮书从经济与国家安全的角度阐述了供应链安全问题。网络空间日光浴委员会高级主管莫古思称,美国在这方面没有与中国开展竞争的事实带来了安全问题。由此引发了国家安全与网络安全问题,而这两个问题确实难以消除。美国没有可信赖的供应商或具有竞争性的强大而可靠的供应商网络,这造成了一个安全问题,即美国依赖中国的制造业或在中国有制造业务的公司。从商品与服务的可信赖性及可用性的角度看,这可能是一个安全问题。

2 报告强调合作伙伴的重要性

美国政府的成功离不开私营部门,整个国家也离不开盟友和伙伴。美国必须加强与具有相同目标的合作伙伴的联系,例如将关键部件的供应链从不受信任的国家转移出去,或者不依赖来自不受信任国家的关键基础设施技术。在建立伙伴关系时,美国需要遵从以下原则:

2. 1 加强伙伴关系的核心原则

美国应寻求更多不受中国影响的盟友或伙伴。在确定新的伙伴关系时, 美国应采取基于风险的方法,优先考虑与美国实际距离较近的国家以及在美国境内拥有设施的国家,从而减少因关闭海外贸易路线而造成中断的可能。对于参与高科技供应链的新伙伴国来说,稳定性也很重要。例如,南美、东南亚或东欧的一些国家拥有良好的生产监管和经济环境,可将制造业定位在这些国家。

“五眼联盟”国家、北大西洋公约组织(北约)成员国、东南亚盟国和伙伴以及美洲的贸易伙伴自然是推动这一进程的重要盟友。尽管在考虑合作伙伴时,地理位置是一个重要因素,但这不是唯一的因素,美国与这些领域国家的政治和贸易关系的总体状况对于建立可靠的关键技术供应并鼓励持续创新和竞争力至关重要。

2.2 利用合作伙伴关系改善供应链安全

报告提出从三个方面利用合作伙伴关系来改善供应链安全。第一,美国应在开发关键技术方面加强与盟国和伙伴的合作。第二,美国应与盟国和伙伴加强在国际标准制定机构中的参与水平和领导力。第三,美国须与盟国和伙伴合作抵御中国日益增长的经济和军事压力。

3 报告明确提出保障美国 ICT 供应链战略

3.1 识别关键技术和材料

作为确保供应链安全和增强美国竞争力的第一步,美国政府必须与产业界、盟国、州和地方政府合作,确定关键设备及组装所需的部件和材料。国会应指导国土安全部与商务部、国防部和国务院协调,通过行业咨询和政府审查确定关键技术和材料。在关键矿物方面,内政部与其他行政机构合作制定了关键矿物清单。

3.2 确保最低可行的生产能力

确定关键技术和材料之后,美国政府必须实施最关键部件和成品的最低生产能力计划,以确保在危机时刻关键技术和材料可用。除了建立零部件、设备的战略储备外,美国还应努力建立危机中关键零部件和设备持续生产所需的制造能力和专门知识。

尽管美国企业越来越多地将制造业转移到其他国家以追求节约成本, 但一些高科技制造能力仍留在美国。确保最低可行制造能力的战略首先必须以保持这种能力为中心。美国政府必须做好准备,出台激励措施以提高美国企业制造能力,鼓励美国和全球企业将生产转移到美国及其盟国。

美国政府应通过适度干预鼓励国内高科技制造业的持续生存能力,鼓励在美国和盟国建立经济集群或“集聚经济体”,使企业从规模经济中获益。为实现建立关键技术经济集群的战略,国会应指导商务部与国土安全部、国务院和国防部协商,对适合建设经济集群的地区进行可行性研究。

上述举措应与利用现有能力或鼓励外国企业在美国建立额外或备用设施相结合,这些企业应该拥有相关的专利、专业知识和基础设施。联邦政府应与盟国和伙伴国政府合作,鼓励关键芯片和技术制造业移出中国。

美国政府可采取两方面举措鼓励企业移出中国。一是,国会可以设立专项基金,为将制造业从中国转移到美国的企业提供奖励。二是,《国防生产法》(DPA)第三章允许联邦实体向私人行为者提供贷款担保,以“支持” 能够“创造、维持、加快、扩大、保护或恢复国防所需服务的生产和交付” 的机构。

3.3 保护供应链不受损害

美国及其合作伙伴可能永远不会与中国这样的对手完全脱钩,美国政府应制定一项战略,以明确供应链面临的具体风险,并通过情报和信息共享以及产品测试来减轻这些风险。

· 减少风险和脆弱性的国内举措

美国政府以及私营部门必须继续参与供应链风险管理工作,以降低风险和脆弱性。战略和计划应尽可能在单一愿景下进行评估和整合。总统应指定一个牵头机构,将民用和政府 ICT 供应链风险管理工作纳入现行国家战略,该机构应作为供应链风险管理公私伙伴关系的纽带。

· 供应链风险情报和信息共享

美国政府须与盟国和伙伴合作,提高收集和传播供应链风险情报的能力。作为 2020 财年《国防授权法》的一部分,在国家情报局长办公室(ODNI) 内成立了供应链和反情报风险管理工作组。国会还应指示总统建立或指定国家供应链情报中心,将整个联邦政府的供应链情报工作与其他公共和私营合作伙伴的情报工作相结合。

· 设备和技术安全检测

为深入了解供应商的安全和检测实践,美国政府应与开发支撑网络和关键基础设施技术的企业接洽。建立集中的研究实体来测试产品的安全性, 帮助识别漏洞和制定缓解措施,并支持验证关键技术安全性的工作。CSC 已经建议国会与商务部、能源部、ODNI、国防部合作,为国土安全部指定的三个关键技术安全中心提供资金支持。

· 对关键或普及技术的禁令和关税

近年来,美国寻求对部分产品实施关税,试图激励企业将其供应链转 移到美国。事实上,关税未能诱使企业将供应链转移到美国本土,并导致 其他国家征收代价高昂的报复性关税,导致 2020 年美国国内生产总值(GDP) 减少 0.5%。除关税外,美国还尝试禁止某些品牌和产品用于商业及政府用途,尤以不受信任的电信企业为目标,理由是这些企业对网络安全构成威 胁。禁令的实施结果尚无法评估,因为一些美国盟国正在撤出被视为不可信的供应商,而其他盟国则继续使用它们的服务。而且,尽管美国试图说服与华为分享情报的国际盟友和合作伙伴,但未能向其提供具有成本效益的替代品。

美国在这一方面的核心战略原则应是在 ICT 供应链的每个阶段鼓励使用可信赖的合作伙伴和供应商的产品,以加强终端产品及其所依赖的网络安全。

3.4 刺激国内市场

美国政府可以采取措施刺激国内对包括网络技术在内的关键技术的需求。联邦通信委员会(FCC)应将 5G 基础设施投资、开放与可互操作的标准结合起来,并与国防部、国家电信和信息局合作,促进更多的中频频段的发布,以确保电信设备的国内市场。此外,确保美国和合作伙伴企业的竞争力的关键是确保在美国部署的企业不必按照不同的标准制造设备。

3.5 确保全球竞争力

美国政府应采取相关举措在国际市场上支持和促进美国以及伙伴国家的企业。为此,美国国际开发署(USAID)应与国际伙伴合作,制定数字风险影响评估报告,突出在数字化建设和电信基础设施项目中使用不可信技术的风险。

国会应确保美国国际进出口银行(EXIM)、发展金融公司(DFC)和美国贸易发展署(USTDA)在法律、监管方面的运作,以为美国企业构建有利于与中国国有企业竞争的融资环境。此外,美国国际开发署(USAID)、美国国防部(DFC)和美国国防部(USTDA)应制定承包商和客户名单黑名单,包括受中国国家安全和国家情报法约束的企业,黑名单企业不得用于实施美国国际开发署(USAID)、美国国防部(DFC)和美国国防部(USTDA)资助的项目。

4 报告针对关键 ICT 技术建立可信供应链的关键建议

报告附件一对于为关键 ICT 技术建立可信供应链的五项关键建议和八项支持性建议进行了梳理和详述,具体如下:

建议 1:国会应指导行政部门制定和实施 ICT 产业基础战略。

建议 2:国会应指示国土安全部与商务部、国防部、国务院以及其他部门和机构协商,通过产业协商和政府审查确定关键 ICT 技术和材料。

建议 3:国会应指示商务部与国土安全部、国务院、国防部协商,对适合经济集群的地区进行可行性研究。应资助商务部与国土安全部、国务院和国防部进行协商,向候选州、市政府征集竞争性投标和申请,并确定 3-5 个关键技术制造业集群建设区域。

建议 3.1:联邦政府应为新兴技术的研发投资。

建议 3.2:联邦政府应与合作伙伴和盟国政府合作,鼓励将关键芯片和技术制造业移出中国。

建议 3.3:国会应指示总统对建立公私合营的国家安全企业的可行性进行研究,以吸引私人资本投资于具有战略意义的领域。

建议 4:总统应在现行国家战略中指定一个牵头机构对政府 ICT 供应链风险管理工作进行融合、协调,并以此机构作为供应链风险管理公私伙伴关系的纽带。

建议 4.1:国会应指示总统建设或指定国家供应链情报中心。

建议 4.2:国会应与商务部、能源部、国家情报局长办公室(ODNI)、国防部合作,资助由国土安全部指定的三个关键技术安全中心。

建议 5:联邦通信委员会(FCC)应将 5G 基础设施投资与开放和可互操作的标准结合起来,并与国防部、国家电信和信息局合作,促进更多的中频频谱的发布,以确保国内电信设备市场。

建议 5.1:美国国际开发署(USAID)应与国际合作伙伴合作制定数字风险影响评估,突出在实施数字化和电信基础设施项目时使用不可信技术的风险。

建议 5.2:国会应确保进出口银行(EXIM)、美国国际开发金融公司

(DFC)、美国贸易发展署(USTDA)能够在有利于与中国国有企业竞争的法律、监管和融资环境中运作,包括他们对于总部设在伙伴国和盟国的企业投资能力的支持。

建议 5.3:USAID、DFC 和 USTDA 应制定实施承包商和客户黑名单(包括受中国国家安全和国家情报法约束的企业),黑名单企业不得实施美国国际开发署、DFC 和 USTDA 资助的项目。

几点思考

1 美国已明确将 ICT 供应链安全问题提升到战略高度

特朗普上台后,供应链安全成为美国政府网络安全的重中之重,美国学界、智库、产业界在其“美国优先”的政策鼓动下,不断炒作美国联邦政府所存在的 ICT 供应链安全风险,企图通过舆论造势推动美国供应链体系的调整。美国一方面通过修改和完善其国内的供应链安全政策,通过颁布一系列法规来保障其供应链安全,另一方面将供应链安全作为打压手段实现其网络霸权。体现了美国高度重视产品供应链风险,将解决关键产品的供应链风险问题摆在了战略高度。

2 美国将针对中国制定苛严的供应链审查制度

鉴于中国在全球 ICT 供应链中的重要角色,为了其自身的政治经济利益和国家安全,美国将中国描绘为网络空间的恶意国家行为体,把战略矛头直接对准中国。目前,美国以影响国家安全为借口,禁止我国中兴、华为的信息技术产品在美国销售,预计马上会针对中国制定更为严苛的供应链审查制度,在供应链中加强对关键技术领域的审查与披露,加快制定信息通信产业供应链信任体系和战略,加强外国投资委员会的能力,防止中国通过投资美国公司而获得美国的技术等策略。在白宫 2020 年 5 月发布的《美国对中国的战略方针》中,明确定调中美之间的关系是战略竞争,指控中国广泛参与科技窃密、恶意投资、商业网络间谍等活动。美国将对此与盟友和同理念伙伴加强多边合作,以鼓励外国投资审查,更新和实施出口管制等措施,应对中国对关键基础设施与供应链的安全威胁。

3 积极应对、构建起全方位的应对措施,化解来自美国的打压

事实上,美国对华供应链的打压态势已然超出网络安全产业,还在加速向医疗、教育、文化等其他领域蔓延。面对美国的严厉打压,我们应建立起全方面的应对措施。

在政策层面,审视中国供应链对美国等国外市场的依赖度,及时做出战略调整,完善相关法律框架,通过审慎划定审查范围、明确评估标准、建立透明的审查程序,使中国的供应链安全审查以客观风险感知为导向而非以政治服务为目的;同时,丰富供应链风险管理的实践指南、制定统一的标准体系、加强跨部门间行动上的协调、细化以风险分类为导向的差异化监管等措施,既消解外国对中国供应链安全的疑虑,也提升中国相对于他国供应链的竞争力。

在供应商层面,中国的 ICT 产业供应链商应当主动提高自身的安全等级,高度重视并提升产品抵御全球供应链风险的能力,尽早建立起包括产品和行为体在内的全周期、可追溯的风险档案与风险管理预案机制。

在合作伙伴关系方面,按照习近平总书记的指示,共同维护全球产业链供应链稳定,维护一个多边、开放、可信、透明、公正的国际供应链体系。在供应链安全国际规则的博弈中,中国应力图改变单打独斗的局面, 寻找同理念伙伴,灵活把控国际形势,通过联合提案、联合声明等方式, 增强对制定新国际规范过程的影响力,使中国的立场能被更多国家理解和接受。

4 应进一步加大研发投入,加速实现 ICT 核心技术领域的自主可控

在 ICT 领域,我们在核心技术、关键设备以及基础软硬件上仍依赖进口。因此在技术创新层面,应努力攻克各种技术难点,力求在核心技术上做到自主可控,充分发挥技术创新在供应链保障中的作用。特别应加大开源代码安全检测、漏洞挖掘、大数据分析、智能情报、动态预警等研发投入,开发出适用于供应链网络安全审查、产品溯源、假冒产品排查等供应链网络安全保障工作的技术手段,提升威胁监测、态势感知和防御对抗能力,构建动态综合安全防御体系,提出融终端防护、流量监测、边界防御、威胁捕获、深度分析、应急处理等在内的一体化网络安全解决方案,最大程度保证供应链网络安全。

ICT 供应链全球化是近百年来各国不断发展融合的结果,已经形成相互依存、相互促进的体系。美国政府通过立法、行政手段强行改变当前全球的供应链现状,阻碍遏制别国的发展壮大,只会严重破坏全球 ICT 供应链的根基,加剧 ICT 产业在供应链安全和技术安全领域所面临的风险,全球范围内的 ICT 供应链安全与经济持续增长也将受此影响。利用供应链安全问题,损害全球经济的发展,实现不了其维护霸权,奉行单边主义的“私心”。

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。