【摘 要】文章首先对美国ICT供应链安全管理策略进行了回顾,然后从新建两个跨部门的ICT供应链风险管理机构、通过立法加强ICT供应链安全风险管理等方面介绍了美国近期ICT供应链安全管理的最新举措,在此基础上从3个方面分析了美国ICT供应链安全管理新政的特点。
【关键词】ICT供应链 安全管理 新政
1 美国ICT供应链安全管理策略回顾
美国国家标准技术研究院(NIST)指出,美国关键基础设施的日常运转和功能正常都依赖信息通信技术(ICT)——NIST将“日常运转和功能正常”定义为“数据和信息的捕获、存储、检索、处理、显示、表示、表达、组织、管理、安全、传输和交换”。ICT供应链的设计、开发和生产、分发、获取和部署、维护和处置阶段容易受到恶意或无意引入的漏洞的影响,如恶意软件和硬件、假冒组件,以及不良的产品设计、制造过程和维护等。利用ICT供应链漏洞可导致系统可靠性问题、数据盗窃和操作、恶意软件传播和网络内持续的未经授权访问,等等。
鉴于国家关键基础设施对ICT技术和服务的依赖,美国历来重视ICT供应链安全风险的管理,从2002年布什政府的信息安全战略强调关注IT供应链安全问题开始,美国就已将ICT供应链安全问题提上了国家战略的高度予以重视。2008年,布什政府发布的54号国家安全总统令(NSPD54)提出国家网络安全综合计划(CNCI),其部署的一项重要工作就是建立全方位的措施来实施全球供应链风险管理。为落实该计划对ICT供应链安全问题的部署, 2008年NIST启动了ICT供应链风险管理项目(SCRM),在原《信息保障技术框架》(IATF)提出的“纵深防御”战略的基础上,提出了“广度防御”的战略,开发全生命周期的风险管理标准。NIST认为,纵深防御战略侧重于通过分层的防御体系对网络和系统进行保护,其关注的是产品在运行中的安全,因而不能解决供应链安全问题,而“广度防御”战略的核心是在系统的完整生命周期内减少风险,这一认识的变化也奠定了当前ICT供应链安全风险管理方法的基础。
2009年奥巴马政府在《网络空间安全政策评估报告》中指出,应对供应链风险除了对国外产品服务供应商进行谴责外,更需要创建一套新的供应链风险管理方法。2011年发布的《网络空间国际战略》中将“与工业部门磋商,加强高科技供应链的安全性”作为保护美国网络空间安全的优先政策。2012年,《全球供应链安全国家战略》中指出,美国政府应当尽可能防止企图利用IT供应链节点的脆弱性进行攻击的行为以及由非人为因素引发的供应链中断事故。对ICT供应链风险的认识不断加深,管理方法持续完善更新。
特朗普上任以来,在2017年《增强联邦政府网络与关键性基础设施网络安全》行政令确定的“集中管理网络安全风险、集中制定安全优先决策”的核心基调下,通过《提升关键基础设施网络安全框架》等一系列的政策措施,试图构建统一的国家ICT供应链安全管理体系。
在近20年的时间里,美国各界政府都将ICT供应链安全管理作为加强美国网络安全保障的重要考虑,在战略层面和管理措施层面都取得了一系列成果并不断推进,以此确保与美国国家安全息息相关的关键基础设施持续正常运行。
2 美国近期加强ICT供应链安全风险管理的政策措施
近两年来,随着我国在云计算、篮球比分、5G等新技术方面的崛起,美国对供应链的完整性及脆弱性表示出了越来越多的担忧。美国认为供应链安全问题对于美国技术领先以及美国的经济和国家安全的未来至关重要,正在通过战略、立法、审查、评估等一系列政策措施加速构建全面、统一的供应链安全管理体系。
特别是2018年以来,ICT供应链安全风险成为美国各界关注和讨论的热点,美国政府频繁对“战略敌人”国家的ICT供应商下手,宣扬“战略敌人”国家威胁论,并采取了一系列激进措施,如2018年1月8日,美国联邦通讯委员会(FCC)收到美国参议院和众议院的18位议员信函,敦促FCC就通信网络和供应链完整性免受安全威胁采取行动,并重提2012年《中国电信公司华为与中兴通讯对美国国家安全问题的调查报告》。这一行动被认为是2018年年初AT&T与华为合作被临时取消的根本原因。2018年4月19日,美中经济安全审查委员会(U.S-China Economic and Security Review Commission)发布了《美国联邦信息通讯技术中来自中国供应链的脆弱性分析》的报告,认为 “中国在优先自主生产、跨国企业获得特许权等方面的相关政策,以及将中国企业作为针对美国联邦网络和联邦承包商网络的国家工具等,增加了美国信息和通信技术产业的供应链风险,也增加了美国国家和经济安全风险”,等等。
经过这一系列的酝酿、发酵,在不到一年的时间内,美国政府在ICT供应链安全风险管理方面频繁推出了多项新的政策措施。
2.1 新建两个跨部门的ICT供应链风险管理机构
(1)国土安全部成立ICT供应链风险管理特别工作组
国土安全部(DHS)认为,外国对手、黑客和犯罪分子带来的网络威胁给美国政府和行业带来了重大的新风险,他们在ICT供应链各层级的承包商、分包商和供应商不断受到攻击,成为越来越多经验丰富、有资金支持对手的攻击目标,并寻求窃取、妥协、更改或销毁敏感信息。在某些情况下,高级威胁行动者将目标锁定在ICT供应链深处的企业,以获得立足点,然后向上游扩展以获取敏感信息和知识产权。随着这种风险变得越来越明显,美国官员和国会一直在寻求一种更全面的解决方案。
2018年7月,DHS在其组织召开的首次“DHS国家网络安全峰会”上宣布组建ICT供应链风险管理特别工作组,设在DHS的国家风险管理中心。该工作组的60名成员包括来自公共和私营部门中举足轻重的关键供应链风险管理利益相关者,包括20个联邦部门和机构,40个信息技术领域的大型企业。特别工作组成立的目的就是要建立一个公私合作伙伴关系,审查并制定达成共识的建议,以确定和管理全球ICT供应链的风险。ICT供应链风险管理特别工作组的成立,是落实特朗普政府倡导的以“集体防御”方法来管理网络安全风险的举措之一,也是国土安全部过去一年在处理来自全球的商业软硬件产品安全漏洞和外国间谍威胁方面大力推进工作的一部分。供应链威胁涉及产品的整个生命周期并常常包含硬件这一本质特征,使得供应链威胁的应对极具挑战。政府和产业在识别和减轻这些威胁方面有共同的利益,因此有共同的责任。通过工作组建立的公私合作的伙伴关系,在广泛的利益相关者中寻求整体解决方案,以制定解决供应链风险的近期和长期战略。
当前,除了收集政府和行业现有供应链风险管理工作的清单外,工作组还启动了四个主要工作流程:制定一个政府和行业间双向共享供应链风险信息的共同框架;识别基于威胁来评估ICT技术供应、产品和服务的过程和标准;识别细分市场及合格投标者和制造商名单的评价标准;制定政策建议鼓励从原始制造商或授权经销商处购买ICT。
(2)成立联邦采购供应链安全理事会
2018年12月,美国国会通过了《安全技术法案》,《联邦采购供应链安全法案2018》作为该法案的第二部分一并签发。《联邦采购供应链安全法案2018》创建了一个新的联邦采购供应链安全理事会并授予其广泛权利,为联邦供应链安全制定规则,以增强联邦采购和采购规则的网络安全弹性。理事会主席由管理和预算办公室(OMB)高级官员担任,理事会负责识别和建议NIST应该制定哪些标准、指南和实践,供执行机构在评估和制定缓解策略以应对供应链风险时使用。识别或制定供执行机构与其他联邦实体和非联邦实体就供应链风险共享信息的标准,建立领导机构,负责监督信息共享过程和调查广泛适用的承包方案,如订阅服务或机器强化知识分析以及指导采购决策。更为重要的是,联邦采购供应链安全理事会还将制定内阁部长下达的排除或删除指令的标准,禁止各机构购买某些产品,或根据供应链风险命令其从其信息系统中删除软件。
在《联邦采购供应链安全法案2018》颁布之日起180天内,理事会应制定战略计划,以解决采购相关条款所带来的供应链风险,并管理此类风险。
(3)两个机构合作并存、协同工作
美国官员指出,政府并不担心两个机构重复工作流程或争夺地盘,因为两个机构的代表有大量的重叠,目前正在研究如何加强两个机构的合作。采购安全理事会的职责是协调整个政府的供应链风险管理选择,制定采购法规,并真正帮助制定标准,建立一种机制,使美国能够更可靠地识别联邦供应链的例外情况和主要威胁。特别工作组的工作流程包括改善政府和私营部门之间的双向威胁信息共享,制定评估威胁何时会导致不同的基于风险的决策框架的标准,对合格的投标人和制造商名单提出建议,并围绕原始设备制造商和授权经销商制定采购规则。因此,特别工作组可以被视为是解决供应链风险管理及政府与行业合作方面的长期基础问题的工具,成为政府和产业之间的主要连接点。特别工作组对供应链安全风险管理中这些问题的研究和调查结果,将成为安全理事会制定和更新政府采购规则的重要输入,也可以作为理事会制定排除令标准的参考,确定禁止某一公司或产品进入政府网络的合理条件。
2.2 通过立法加强ICT供应链安全风险管理
在《联邦采购供应链安全法案2018》发布仅仅5个月后,2019年5月15日,美国总统特朗普签署了名为《确保信息和通信技术及服务供应链安全》的行政令,宣布美国进入受信息威胁的国家紧急状态,禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务[1]。
行政令提出了明确的禁止交易行为:任何人通过已经签署、正在履行或将在本行政令发布之日后完成的交易,获取、进口、转让、安装、买卖或使用受美国管辖的信息通信技术或服务(以下统称为“交易”)或与之相关的财产,如该交易包含外国财产或与外国国家利益相关(包括通过提供技术或服务合同的方式获取利益)。且商务部部长(本行政令下简称“部长”)经与财政部部长、国务卿、国防部部长、司法部部长、国土安全部部长、美国贸易代表、国家情报总监、总务处处长、联邦通信委员会主席、其他执行部门和机构的负责人协商后认定:
(1)交易涉及由外国对手拥有、控制或受其管辖或指导的人设计、开发、制造或供应的信息和通信技术或服务;
(2)交易可能:(A)在美国构成破坏或颠覆信息和通信技术或服务的设计、整装、制造、生产、分配、安装、操作或维护的不当风险;(B)对美国关键基础设施或美国数字经济的安全性或弹性造成灾难性影响的不当风险;(C)对美国的国家安全或美国人的安全和保障构成不可接受的风险。
行政令要求在本行政令发出之日起150天内,由商务部部长牵头制定配套的落实措施,将包括基于本行政令目的确定特定国家或个人为外国对手;基于本行政令目的,识别由外国对手拥有、控制、管辖或指示的主体;识别涉及信息通信技术或服务的交易需要根据本行政令的规定进行特别审查的特定技术或国家;制定程序以许可根据本行政令禁止的交易等若干清单、程序、标准等。
尽管没有直接点名,但在当前中美贸易战升级及美方近年来对我国华为、中兴等ICT企业频繁下手的情况下,发布这个行政命令的用意非常明显。
美国政府网站近期消息[2]显示,参议院提出了一项《供应链反情报培训法》,法案将建立一个政府范围内保护ICT技术的方法,通过确保所有具有供应链风险管理职责的执行机构官员受训以识别和减轻反情报威胁,旨在培训联邦政府机构检测通信和信息技术系统中的外国网络安全威胁,帮助政府验证可能存在潜在间谍风险的技术。
3 美国ICT供应链风险管理新政的特点分析
从这些政策措施可以看出,美国政府近期的举动正在回应2018年4月美中经济安全审查委员会发布的《美国联邦信息通讯技术中来自中国供应链的脆弱性分析》中的相关建议,在ICT供应链风险管理方面形成了如下趋势和特点。
一是强化政府与私营部门的合作。通过DHS的ICT供应链风险管理特别工作组、NIST建立的《增强关键基础设施网络安全框架》及相关标准指南,在联邦政府内部建立评估供应链风险的能力,以确保政府购买安全的技术。通过理事会成员机构间的信息共享加强监控ICT技术采购方面的网络安全威胁。同时,理事会也要为私营机构提供供应链安全风险评估和应对的咨询和指导,以此来促进联邦政府与私营部门之间在ICT供应链风险管理方面的合作和双向信息共享。
二是加强对联邦ICT技术供应链安全风险管理的集中统一领导和统一方法指导。不论是特别工作组、采购安全理事会还是新的行政令,都在试图推动构建跨部门参与、政府统一领导的ICT供应链风险管理机制。国土安全部、预算管理办公室(OMB)、情报机构、总务管理局、国防部、联邦调查局、商务部和政府其他部门的官员、专家和代表都在这个大的机制之下,共同发力,努力打造政府部门主导、私营部门积极参与配合的局面。形成通用评估和特殊评估相结合,既抓ICT供应链全生命周期的风险管理,又突出抓采购环节把控,旨在形成一个统一的、整体的供应链风险管理方法。
三是ICT供应链风险管理的范围不断扩大、作用不断升级。美国对ICT供应链各层级的承包商、分包商和供应商的评估审查将不断深入,对各级供应商的评估深度和广度进一步扩大,并从联邦政府的采购供应链评估扩大到任何个人和实体。同时,新的行政令更是表明,美国已将ICT供应链安全管理作为其维护技术领先、实施贸易制裁和达到政治目的的重要手段之一。
参考文献
[1]公安部第三研究所网络安全法律研究中心.全译文:美国最新总统行政令《确保信息通信技术与服务供应链安全》[EB/OL].(2019-05-16)[2019-05-18].https://mp.weixin.qq.com/s/Idwe7eQHDz31aXPLTqBYJg.
[2] Senate Introduces Supply Chain Security Training Bill[EB/OL].(2019-03-13)[2019-05-18].https://www.executivegov.com/2019/05/senate-introduces-supply-chain-security-training-bill/.