当今世界,不仅是国防军事武器系统,几乎所有的涉及国计民生的关键基础设施对微电子、计算机、通信等信息通信技术(以下简称ICT)的依赖程度越来越高。在ICT采购全球化的态势下,ICT供应链安全与国家安全的关系愈发密切,可以认为,ICT供应链是所有供应链的基础,是“供应链的供应链”。供应链涉及的不仅仅是ICT的公共技术,石油、矿产、粮食、以及衣食住行都存在全球资源的配置问题。供应链安全早在几十年前就已经在国外被提出,当时西方国家对矿产、石油、粮食跨境的海陆空运输和进出口都实行了精细化的控制,而近年尤其是美国对我国中兴、华为等公司的“断供事件”又使得对ICT供应链的安全问题的关注逐渐增多,但大多数讨论都集中在供应链断供的严重性方面。

鉴于国家关键基础设施和重要资源(Critical Infrastructure and Key Resources, CIKR)对ICT技术的依赖,通过国家安全审查识别和控制ICT供应链风险成为保障国家安全的重要手段。国外的做法通常是利用与外国投资相关的国家安全审查手段,我国则是利用网络安全审查的方式,这在我国的《国家安全法》中有所提及,网络安全审查是国家安全审查在关键信息基础设施保护方面的延伸。

一、ICT供应链的概念

ICT供应链,按照我国的国家标准GB/T36637-2018定义,即ICT 产品和服务的供应链,是指“为满足供应关系通过资源和过程将需方、供方相互连接的网链结构,可用于将信息通信技术的产品、服务提供给需方。”而MITRE公司向美国防部(DoD)提出的供应链安全战略咨询的定义是指“从开发到将产品或服务从供应商交付给客户所涉及的组织、人员、活动、信息和资源系统。供应链‘活动’或‘运营’涉及:将原材料、组件和知识产权转化为产品,交付给最终客户;与供应商、中间人和第三方服务提供商进行必要的协调和协作。”

2019年5月2日,32个国家的代表在布拉格召开了5G安全准则讨论会。

从对供应链安全管理的认识上看,美国很多的技术标准内容要比我国的更加丰富和全面。供应链结构通常是多级的,一般来说供应链有四大特点,分别是全球分布性、全生命周期、产品服务复杂和供应商多样性,其中全生命周期十分复杂,涵盖了设计与开发阶段、传统供应阶段和服务运维阶段。例如设计、开发、采购、生产、仓储、物流、销售、维护、召回等,而每个环节都有可能被篡改或控制,因此供应链安全问题是全世界很多国家都非常重视的。2019年5月初,包括欧盟和北约成员国在内的30多个国家代表在布拉格举行5G网络安全会议,并达成“布拉格提案”,表示希望与会各方找到保障5G网络安全的办法。该提案中就提到了供应链安全问题,认为“所有利益相关方的共同责任应该推动供应链安全。通信基础设施的运营商通常依赖于其他供应商的技术,主要的安全风险来自提供ICT设备的日益全球化的供应链的跨境复杂性。应根据相关信息将这些风险视为风险评估的一部分,并设法防止受损设备的扩散以及恶意代码和功能的使用。”这里也专门提到了ICT供应链的全球化和跨境复杂性。

二、ICT供应链安全风险

ICT供应链面临的安全风险主要来源于安全威胁和安全脆弱性。首先,安全风险主要包括恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作和其他方面的威胁。例如恶意篡改带来的危机,是指在ICT供应链的设计、开发、采购、生产、仓储、物流、销售、维护、返回等某一环节,对ICT产品或上游组件进行恶意篡改、植入、替换等,以嵌入包含恶意逻辑的软件或硬件,具体威胁有恶意程序、硬件木马、外来组件被篡改、未经授权的配置、供应信息篡改等等。而在设计之初,是设计者留有后门还是系统存在漏洞,则比较难以区分。再比如假冒伪劣,不合格产品往往会带来严重的后果,当年美国的“挑战者号”载人航天飞船就因为隔热装备的垫圈质量不过关而燃烧坠落。供应中断是指由于人为或自然的原因,造成ICT产品或服务的供应量或质量下降,甚至出现ICT供应链中断或终止的情况。

其次,安全脆弱性主要包含供应链生命周期的脆弱性和供应链基础设施的脆弱性。供应链生命周期的脆弱性包括开发阶段、供应阶段和运维阶段三个阶段的脆弱性子集,开发阶段的脆弱性体现在如未遵循安全开发流程,没有建立完善的配置管理控制产品或组件的变更等等。供应阶段的脆弱性会来源于采购时无法识别被篡改或伪造的组件,生产环境的物理安全访问控制不严,采用了不可靠或不安全的仓储商,运输时产品被植入、篡改或替换,经销商未经授权私自预装程序等。近期华为被断供一事可以理解为是供应阶段的脆弱性表现,像华为这样的厂商,其供应链涉及的厂家往往会有近千家,一旦供应链上游厂家的供应出现问题,都会对自身的供应链以及其下游供应链或客户造成影响。

三、国外ICT供应链安全管理

国外ICT供应链安全管理可以从战略地位、国际标准、ICT SCRM项目、软硬件供应链安全、采购安全五个方面展开。

首先,国外对ICT供应链安全管理的战略定位很高。以美国为例,2008年布什政府提出国家网络安全综合计划(CNCI),提出建立全方位的方法来实施全球供应链风险管理。到2009年,奥巴马政府指出不应局限于仅谴责国外产品和服务供应商,新的供应链风险管理方法势在必行。2011年美国发布《网络空间国际战略》,将“与工业部门磋商,加强高科技供应链的安全性”作为保护网络空间安全的优先政策。俄罗斯方面,在中俄俄提交联合国的《信息安全国际行为准则》中,双方强调“应当努力确保信息技术产品和服务供应链的安全,防止他国利用自身资源、关键设施、核心技术及其他优势,削弱落后国家对信息技术的自主控制权,或威胁其政治、经济和社会安全。”欧盟方面,提出了《供应链完整性》报告,指出ICT供应链完整性是国家经济发展的关键因素,提高供应链完整度对公私部门的意义重大。

其次,目前在国际标准方面已经有很多关于ICT供应链安全的标准。比如早期的ISO 28000系列标准,还有ISO/IEC 27002、ISO/IEC 27036、ISO/IEC 15026、ISO/IEC 22O43等等。其中ISO 28000系列标准将ICT供应链安全的风险要素划分为安全计划、资产安全、人员安全、信息安全以及货物及运输工具安全等,安全威胁来源于入侵或控制供应链中的资产、供应链走私、信息破坏、货物完整性、非授权使用等,另外ISO 28000系列标准也关联了其他指南,包括ISO 28001《供应链安全、评估和计划的最佳实践—需求和指南》、ISO 28002《供应链恢复能力的开发--要求及使用指南》等内容。

再者,2008年为响应国家网络安全综合计划CNCI)#11 “建立全方位的方法来实施全球供应链风险管理”,布什政府启动了非国家安全信息系统供应链风险管理实践开发计划,即ICT SCRM项目。CNCI#11为美国联邦机构信息系统的供应链风险管理提供了全面的方法。CNCI#11第二工作组(WG2)通过提供与采购决策相关的威胁、漏洞和后果的高度认识,开发协作工具,识别能减轻整个产品和服务生命周期中风险的资源,来促进SCRM。

在软硬件供应链安全方面,硬件供应链安全与其他类型供应链相似,是指ICT硬件采购、设计、制造、组装、维护到处理的一系列过程,其风险来源于ICT硬件供应链系统与外部环境发生资源交换,以及在与供应链成员进行协调与合作过程中,存在着各种内部不确定性和外部不确定性的风险因素。通常由外部风险方面的自然灾害、恐怖事件、突发事件等和内部的供应中断,如攻击者中断制造和交付、错误的运输路线或延误交货、错误的订单(如数量或项目错误)、质量等风险。软件供应链安全方面,从棱镜门事件到XcodeGhost,再从惠普驱动键盘记录后门事件,到Xshell后门、python pip源欺骗性污染、VSCODE插件钓鱼。软件供应链安全事件频发,且具有威胁对象种类多、极端隐蔽、涉及维度广、攻击成本低回报高、检测困难等特性。软件供应链可影响已交付的系统的所有方面,无论何时,只要供应链参与者能接触最终的软件代码或系统,危及软件供应链安全的风险都是存在的。

最后是采购安全。美国方面已经制定了一系列的政府规章。1998年克林顿发布的第63号总统令中指出要确定大型采购任务中与其相关的信息安全,2002年布什起草的国家安全战略中详细阐述了采购的步骤和过程,以及相关的标准。2008年美国战略与国际问题研究中心(CSIS)发布了《在第44任总统任期内保护网络空间安全》的咨询报告,向奥巴马总统提出了若干重要建议,其中包括“通过采购规则提高安全性”,该条建议希望政府能与工业界合作,共同制定和执行ICT产品(软件居首要位置)采购安全指南。具体而言,美国政府的国防采购,美国国防部的ICT采购实行国防部统一领导与军种分散实时相结合的管理模式。所谓统一领导,是指在国防部设置专门的采购、技术与后勤副国防部长一职,通管全军ICT研发及采购事务。而分散实施,是按ICT项目的重要性及费用多少实行分类和分级管理。对于不同类别的ICT采购项目,负责采购、技术和后勤的副部长指派相应级别的决策当局进行监管。

今年5月15日,美国总统特朗普正式签署《确保信息通信技术与服务供应链安全》行政令,禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务。虽然没有点名华为公司,但大家都知道它目前主要是针对华为公司的。

四、国内ICT供应链安全管理

2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上指出,“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”

从战略层面,2016年我国发布了《国家网络空间安全战略》中,明确提出“建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。”另外,我国也制定了ICT供应链安全的相关标准,如GB/T 24420-2009供应链风险管理指南、GB/T 31168-2014云计算服务安全能力要求、GB/T 32921-2016信息技术产品供应方行为安全准则、GB/T 22239-2008信息系统安全等级保护基本要求、GB/T 29245-2012政府部门信息安全管理基本要求。2028年5月1日正式实施的GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》,正是在完整性、保密性、可用性、可控性的原则指导下制定的指南,目标使用者包括了ICT产品、服务的采购方——党政部门、重点行业、关键信息基础设施。

在经济全球化时代,信息通信技术供应链存在产品和服务复杂、涉及全生命周期、供应商跨境的特点。没有ICT供应链安全,就没有国家安全。为此,应当加强我国ICT供应链安全管理,防止他国利用自身资源、关键基础设施、核心技术及其他优势,削弱我国对ICT技术的自主控制权,威胁我国的政治、经济和社会安全。

为此,我们提出以下建议

1、我国应尽快制定专门的ICT供应链安全管理相关法律法规,明确各方在ICT供应链安全管理中应当承担的责任和义务。在今后修订《网络安全法》的时候,增加对ICT供应链安全管理的条款。并且,供应链管理也应该覆盖上下游,通过与进出口许可管理制度、负面清单、不可靠实体清单等制度配合,发挥保障我国军事、外交、以及经济安全等方面更大的作用。

2、建立ICT供应链安全管理制度,实施国家ICT供应链全方位安全管理。建立供应链安全管理制度已成为国际通行做法,也是国际社会所接受的保障国家网络安全的正当措施。

3、促进相关标准的研究制定,加大支持研究ICT供应链安全管理相关核心技术的力度。

作者:陈晓桦

本文根据苏州网络安全法实施两周年暨网络安全法前沿问题研讨会作者发言整理,已获作者授权。

文中部分图片来自网络,如有侵权,请联系删除

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。