2018年4月,知名供应链风险管理咨询服务公司Interos Solutions发布了《美国联邦信息通信技术中来自中国的供应链漏洞》研究报告。该报告包含六个章节和结论,分别涉及美国政府的信息通信技术(information communication technology,ICT)供应链现状,与供应链风险管理(supply chain risk management, SCRM)相关的法律、规范和要求,供应链制造商分析,供应链安全困境背后的中国政治经济因素,SCRM推荐方案以及对未来的考虑。报告明确了“ICT 供应链”的全方位定义,包括:1.主要供应商;2.层级供应商,通过提供产品和服务支持主要供应商;3.通过商业、金融或其他相关关系与这些层级供应商关联的任何实体。该报告认为,中国实行的优先自主生产、跨国企业获得特许权、将中国企业作为国家工具以及瞄准美国联邦网络和联邦承包商网络等长期政策增加了美国信息和通信技术产业的供应链风险,也增加了美国国家和经济安全风险。上篇中,我们将详细介绍美国政府ICT供应链的现状。

美国政府ICT供应链现状

美国联邦IT网络的95%以上的商业电子组件和IT系统都是由COTS(commercial off-the-shelf)提供支持,中国在这个全球供应网络中的作用非常重要。中国组装世界上大部分的消费和商业电子设备,生产内存卡等部件,并在IT工业容量方面占据世界主导地位,是全球最大的IT硬件进口商和出口商,以及工作站、笔记本电脑、路由器和交换机、光纤和打印机关键制造地点。

从原材料到成品的转变过程中,ICT组件可以通过多个国家边界。例如,研究中显示,最终整合到苹果iPod中的元素可能来自美国、日本、台湾和韩国的供应商,并在由台湾企业运营的中国工厂组装,组装好的产品可能会通过南美和中美洲的分销中心到达美国各地的零售点。这种迂回的生产路径使贸易数据的准确性变得复杂化,不仅难以计算每个制造步骤的附加值,而且很难评估与供应链中每个新的零部件供应商和合同制造商相关的风险。

2016年,International Data Corporation’s (IDC’s) Government Insights 和 FedScoop联合发布了一项研究报告,声称美国联邦ICT市场是最大的单一化垂直市场,占全美IT支出的8.6%。尽管美国ICT市场规模庞大,但IDC的研究表明,超过50%的美国IT支出来自于单上的前十大供应商,同时它们的供应链存在值得重点审查的潜在风险接入点。

IDC和FedScoop列出了“25强IT企业政府供应商”名单,名单按其对政府预计的销售额进行排序,其中包括美国ICT设备最大的制造商和COTS产品的领先供应商,如:惠普、IBM、戴尔、微软等。另一个名单“美国IT的100强”,是根据向美国政府机构销售IT产品和服务的销售额,对集成商和解决方案提供商进行的排名,该名单包括了政府ICT承包公司的核心参与者。

Federal IT Spending Ranked by Provider, FY 2015

根据供应商公司总部所在地进行分类调查,在惠普、戴尔和微软的344个供应商中,可以确定网址的有212家,无法识别网址的供应商有132家。正如预期,惠普、戴尔和微软都由同一家公司供应,有时甚至是同一家公司的同一网址。使用这个分类系统统计的供应商列表显示,以上3家公司的供应商有39%位于中国,15%位于台湾,13%位于美国,8%位于日本。

实际上与中国有联系的供应商应该比数据显示的更多,对于无法确定网站地址的132家公司,总部位于台湾、美国或日本的公司有87家,这些公司通常会将其生产设施放在中国,这使得中国对这些供应链的实际影响会更大。

因此,中篇我们将详细介绍中国的国家政治经济政策对本土ICT制造的鼓励和发展,从而解释报告所述的美国ICT供应链面临的风险。

参考文献

[1] 美拟制定信息通信技术“供应链风险管理国家战略”以应对来自中国的供应链漏洞[EB/OL]. https://www.sohu.com/a/238092258_468736.

[2] Tara, Beeny, Senior, Business, Analyst, Interos, Solutions, Inc. Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology [M]. 美国:Interos Solutions, 2018.

作者:蔡梦楠  冯    越

声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。