2019年5月15日,美国总统特朗普签署《确保信息通信技术与服务供应链安全》行政令,禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务,为举世瞩目的“华为事件”提供现实的政策依据。在中美贸易摩擦日益激化的背景下,供应链这个“房间里的大象”骤然凸现,从一个单纯的经贸和产业问题上升为美国实施政治打压的重要手段。美国政府一方面修改和完善其国内的供应链安全政策,通过颁布系列法规保障美国的供应链安全,回应因美国国力相对下降后在全球供应链上控制力减弱所产生的焦虑;另一方面将供应链作为打击手段破坏其他国家的供应链完整性,特别是逐渐加大对我国高新技术的“断供”和“围堵”,这不仅对我国,乃至全球供应链安全都形成了严重的挑战。

一、供应链安全已从经贸产业问题上升为美国国家安全的战略重点

随着市场经济的发展壮大和全球化进程的不断深入,自二战以来,供应链在推进世界经济发展和维护国际政治格局上均发挥着十分重要的作用,为了确保全球供应链的安全与稳定,西方发达国家从经贸规则到安全管控等方面进行了持续的布局,巴黎统筹委员会(巴统)、关贸总协定、军控、武器禁运等都与供应链的安全管控密切相关。作为西方经济霸主,也是全球供应链规则主导者和主要得益者,美国一直以来都非常重视供应链安全,并在适应时代的变化中不断扩展供应链的内涵与外延。针对信息通信技术的发展和网络空间的形成,美国政府加大了对供应链安全的控制。时至今日,供应链已从一个经贸与产业问题上升为一个事关国家安全的战略问题。

(一)美国历届政府从战略层面重视供应链安全

“巴统”解体,西方发达国家以“瓦森纳协定”有效延续其对全球供应链的控制。冷战结束后,美国更是加强了对供应链安全的重视,特别是随着互联网的出现,信息通信技术(ICT)的供应链风险成为关注重点。从克林顿政府开始,供应链安全就成为美国国家安全的考虑因素。1998年,克林顿总统在发布“美国确保关键基础设施的连续性和可行性的政策”时就关注电信网络的网络安全供应链风险。9·11事件后,小布什政府更是将供应链安全作为国家的战略重点,在2002年起草的国家信息安全战略中,开始关注企业层面的供应链与信息安全风险的关系,并在同年通过的《联邦信息安全管理法》(FISMA)中要求政府机构采取措施保护供应链。在2008年发布的《国家网络安全综合计划》(CNCI)中更是提出建立全方位措施管理和减轻供应链漏洞。这个阶段的供应链管理仍然是针对实物层面的,真正将ICT供应链安全纳入国家战略的是在奥巴马政府,先是在上台之初提出的《美国网络空间安全政策评估》中将供应链安全纳入国家安全的范畴,再是在2012年颁布的《全球供应链安全国家战略》将培养有弹性的供应链作为国家安全战略,首次将重心从实物供应链安全转移到ICT供应链安全。

(二)各政府部门将保护供应链安全作为工作重点

近十多年来,美国政府各部门先后制定了数十项与供应链安全相关的政策和法规,从体制机制层面落实国家战略,包括每年的国防授权法案、综合拨款法案,国防部、国土安全部、国家标准与技术研究所(NIST)、美国总务管理局、美国联邦能源监管委员会都制定了相关的法律法规。“民技军用”最为普遍的美国防部是供应链保障措施最为完善同时更新也最为及时的部门,早在1995年即分发了《联邦采办条例国防部补充条例》(DFARS),对采购国外产品提出了原则性的安全管理规定;2003年,美国防部颁布《国防部供应链管理实施指南》,全面进入供应链管理阶段; 2015年的《国防部网络空间行动战略》也特别强调了供应链安全,并将国防部信息技术产品中可能被植入恶意漏洞视为重大威胁。在组织建设上,美国防部在2014年成立网络空间供应链工作组,审查国防部电子元器件供应链安全管理举措,并研究如何减少缺陷和防范恶意软硬件漏洞在国防电子元器件中的植入。美国土安全部一经组建就成为推进美国供应链安全保障的主责部门。2007年,美国土安全部发布《增强国际供应链安全的国家战略》,致力于确保跨国贸易正常流通的国际供应链安全,并在其关键基础设施伙伴关系咨询委员会(CIPAC)下成为供应链工作组,每年组织召开供应链相关会议。与此同时,为保护供应链安全问题,美国政府还在基本工作层面成立专门的组织,分别是高级指导组、采购政策和法律分析工作组、生命周期过程和标准工作组、威胁信息共享工作组。到目前为止,美国是世界上供应链安全管理体制和机制最为完善的国家。

(三)加强技术和管理标准制定,将供应链安全落到实处

美国在供应链安全方面制定了较多标准,在信息安全方面主要包括联邦信息处理标准(FIPS)中的FIPS199《联邦信息和信息系统的安全分类标准》、FIPS200《联邦信息和信息系统的最小安全需求》、SP800-53《联邦信息系统和组织的安全控制措施建议》、SP800-39《计算机信息系统安全风险管理》等相关标准。NIST是推行供应链安全最佳实践的主责部门,在2013年与2015年先后制定并更新了《联邦信息系统和组织的供应链管理指南》(NIST SP800-161),作为供应链安全标准的集大成者,SP800-161的出台为系统集成商、供应商、采购者进行ICT供应链风险管理提供了操作方法和控制措施,在指导联邦政府采取措施减少ICT供应链风险上发挥了重大作用。

二、供应链安全正成为特朗普政府网络信息安全的重中之重

特朗普上台后,美国学界、智库、产业界在其“美国优先”的政策鼓动下,不断炒作美国联邦政府所存在的ICT供应链安全风险,通过舆论造势推动特朗普调整美国的供应链体系。仅2018年,美国国会相关议员就拟提了八部有关ICT供应链安全的法律,如《保卫美国政府通讯法案》、《联邦采购供应链安全法案》、《加强中小企业网络安全的法案》、《联邦网络保护法案》、《外国源代码审查法》等,针对美国内急剧加深的供应链安全的集体焦虑和安全恐慌。特朗普政府主要采取了以下举措:

(一)重新评估联邦政府所面临的ICT供应链风险

既是回应国内对于供应链安全的焦虑,同时也为转移上台之初“通俄门”带来的舆论压力,特朗普政府上台伊始就将网络安全的焦点放在联邦政府的基础设施安全上,要求相关主责部门重新评估美国所面临的供应链安全问题。美国土安全部为了加强石油、电力以及水处理行业等关键基础设施供应商的网络安全,在2018年初发起一项供应链安全计划,采用总体评估和针对性评估融合,双管齐下重点评估供应链风险。2018年9月,为履行“13806行政令”的要求,美国国防部向美国总统提交了一份关于《评估和增强美国制造业和国防工业基础以及供应链弹性》的报告,报告全面分析了美国制造业和国防工业基础所面临的供应链挑战,即孤源、单源、脆弱供应商、脆弱市场、产能受限于市场供应、国外依赖、缩减的制造业源头和材料短缺、本土人力资源的不足、本土基础设施的侵蚀、产品安全等。尤其值得注意的是,在常规供应链安全评估之外,增加了对来自中俄两国供应链风险的评估,特别是随着中美贸易摩擦日益激烈,白宫、各政府部门以及智库开始将中国塑造为美国供应链安全的首要威胁,这两年要求警惕来自中国的供应链风险的国会提案和智库文章高达数十篇。在国内强硬派的推动下,美国联邦通讯委员会、美国国土安全部、美国国防部等部门开始集中评估美国供应链对中国的依赖问题。

(二)强化供应链安全保护的政策措施

基于前几任政府已经完成供应链安全的战略性认定,特朗普政府主要是强化供应链保护的立法保障与政策工具。一是强化主责部门的权力。美2019年国防授权法案(NDAA 2019)是特朗普政府加强供应链安全的一部非常重要的法律。NDAA 2019第881条永久延长了2011财年《艾克-斯凯尔顿国防授权法》第806条中关于供应链风险管理的授权,允许国防部长、陆海空军队负责人可以在国家安全的原因下排除特定供应商,并可拒绝就相关决定做出解释。可以说,881条款直接取缔了承包商对于采购决定抗议的权利,是美国执法机构加强供应链风险管理的一项重要工具。二是将法规实施与政策拨款相挂钩。除每年通过的“综合拨款法案”强行施压进行供应链审查,限制政府部门购买外国企业生产的信息技术设备外,特朗普政府有扩大供应链法规与政策拨款相挂钩的趋势,2018年4月,美国联邦通信委员会(FCC)通过提案,将停止向那些购买“任何可能对美国国家安全构成安全威胁”的网络设备和服务的电信运营商提供联邦补贴资金。美供应链管理咨询服务公司Interos Solutions在2018年发布的《美国联邦信息通信技术中来自中国的供应链漏洞》中还建议特朗普政府将供应链风险管理与2017年《政府技术现代化法》提供的资金联系起来。三是推行“黑名单”制度。据媒体披露,美国防部在内部已制定了一份软件供应商的“不买”清单,要求与美军做生意的科技公司披露任何由其他国家所进行的软件源代码审查工作,以防被嵌入恶意代码而受到远程劫持和监视。

(三)实施全流程的供应链安全审查制度

鉴于供应链涉及主体广泛,贯穿产品与服务的全生命周期,特朗普政府致力于实施全流程的供应链安全审查制度,以提高相关举措的可操作性与有效性。一方面是严把采购关控制好“入口”。美国内认为采购环节一直是美国政府供应链中的薄弱环节,要求提高供应链的能见度的呼声日益增长。对此,2018年12月,国会通过了《安全技术法案》要求建立政府采购供应链委员会,以便在联邦采办和收购规则中增强网络安全弹性。此外,美国防部也加快改革采购政策,对承包商采取的安全程序以“表列清单”为主向“风险为基础”转变,并将网络安全标准作为与承包商签订合同的前提。另一方面是完善管理标准及最佳实践贯穿供应链安全保障始终。2017年,美国土安全部推出全新的“供应链风险管理计划”,旨在为联邦机构提供持续诊断与缓解项目(简称CDM)“认证产品清单”(APL)产品的更多信息,进一步确保网络安全技术和工具的可靠性与安全性。美国防部还组建“关键技术保卫任务组”(PCTTF),专门致力于解决当前政府的供应商设备的供应链安全问题,并将研究有效的方法来认证国防部供应商的网络安全合规问题。2018年,NIST发布了新版网络安全框架,为帮助各组织机构更好理解网络供应链风险管理提出了更详细的标准与操作指南。

(四)加强供应链安全保障的协调与配合

一是加强公私合作。私营企业是供应链上的关键节点,也是供应链安全保障工作的重要参与者。对此,美国政府主责部门成立专门组织机构落实供应链安全保障的公私合作。美国土安全部在2018年10月成立信息和通信技术(ICT)供应链风险管理工作组,作为国土安全部国家保护和规划理事会(NPPD)网络供应链风险管理(C-SCRM)项目的一部分,负责评估和减轻对供应链的威胁。该组织是C-SCRM项目的主要私营部门切入点,广泛纳入埃森哲、AT&T、思科、火眼、英特尔、微软、三星等企业。2018年11月,美国防部负责网络安全的副首席官唐纳德·赫克曼透露,美国防部也正在利用与国防工业基地和学术界的长期合作关系,建立供应链风险“联合特遣队”。 此外,美国防部还在推动一项名为“反盗用交付”(Deliver Uncompromised)的试点计划,借此寻求与国防产业的合作之道,将供应链安全作为重要的评估因素。二是加强部门间合作。供应链安全作为关键基础设施保护的重要一环,成为美国内加强跨部门合作的重点。2018年国土安全部成立的国家风险管理中心,主要目的是促进关键基础设施网络威胁的跨部门信息共享与协作响应。在特朗普2018年8月签署的《NIST小企业网络安全法案》中也要求NIST与国防部合作,厘清国防工业供应链中的中小制造商面临的网络安全问题;NIST还与美国总务局每年联合举办软件和供应链保障论坛。三是加强国际合作。美国深谙供应链国际合作的重要性,在与中俄关系交恶后,积极加强与盟友的网络安全合作以及供应链保障。日本是特朗普政府国际网络合作的重点国,在两国网络安全合作共同声明中多次提及共同应对供应链威胁,日本也在积极向美国的供应链安全标准靠齐。日本防卫省采办技术与后勤局助理局长藤井裕久在2019年年初的一场公开会议上表示,日本作为美国的盟友,与美国共享许多国防装备相关的开发、研究和制造,因此两国供应链的网络安全标准需要达到相当水平。对此,日本将在明年开始采用“NIST SP800-171”同等标准。

三、供应链安全成为特朗普政府维护全球霸权的重要手段

英国著名物流专家马丁·克里斯托弗曾预言,“21世纪的竞争不是企业和企业之间的竞争,而是供应链和供应链之间的竞争”。在当下国际政治经济大格局中,一国加强其供应链安全本无可厚非,也是加强其网络安全的应有之义,但是特朗普政府在强化供应链安全的政策原则上已经背离了自由贸易的基本原则和WTO的有关协定,相关举措并不是本着解决供应链本身安全问题出发,而是将供应链安全作为维护其全球霸权打击别国技术发展的政治工具,给全球贸易发展和国际秩序稳定敲响了警钟。

(一)将供应链安全作为政治工具,针对中俄两国企业进行“卡脖子”和“极限打压”。

特朗普供应链安全政策的政治动机非常明显。一是瞄准“战略竞争对手”。自特朗普执政以来,美国外交政策重点重回大国竞争,在若干政策文件中将中国和俄罗斯明确定位为“战略竞争对手”,相关举措也是围绕这样的定性来展开。供应链安全本质上是一个技术性问题,但被美国政府征用为“政治工具”,先是在2017年以“国家安全因素”在全政府范围内禁用俄罗斯卡巴斯基产品,再是在2018年以来针对中兴的“卡脖子”和华为的制裁,其目标选择具有非常强的针对性,其实质是为特朗普政府的总体国家战略服务。二是迎合国内政治需要。随着特朗普上台,其国内特别是国会中的保守势力得势,在保护美国供应链安全的理由下要求对于特定国家和企业采取“极限打压”的强硬手段。纵观美国指责华为的种种措辞中,均是沿袭了美国内保守派议员一直以来的臆断,并未给出真凭实据,即使在“国防授权法”等成文法里,也是直接引用这些毋须有的理由,反映了美国内政治极化的趋势。三是奉行双重标准。在指责所谓“华为与中国政府关系密切”时,对于盟国澳大利亚2018年底通过的“协助和访问法”中要求私营部门提供“后门”协助执法机构的做法则呈默许的姿态,暗藏美国为其引领的“五眼联盟”提供获取数据“豁口”的意图,折射出美国的双重标准。

(二)将供应链安全作为贸易壁垒,利用优势地位对竞争国家实施“断供”

在此轮特朗普发起的全球贸易战中,供应链安全被美国政府视作一项有利的贸易壁垒工具,积极将其纳入贸易制度中。一方面,将供应链安全作为外资投资审查的考量,在2018年通过的《外国投资风险审查现代化法案》(FIRRMA)中,美国政府将供应链安全作为重点审查目标,特别是对于一些关键信息基础设施的网络产品和服务采购过程中的供应链风险进行识别、调查和验证。另一方面,强化高新技术出口管制为“断供”做准备,美国在2018年通过的《出口改革管制法案》(ECRA)加强了对“新兴技术”和“基础技术”等关键技术的管制,强化了美国的出口审查制度。此外,《瓦森纳协定》在近年的修订中也逐步扩充了“密码技术”、“ 入侵技术”以及“信息安全相关技术”等物项或定义,使得美国在实践中可将其用于大多数信息安全技术的出口限制,以上做法实质是为其推行“断供”提供法律基础。美国商务部近日将华为纳入美国产业与安全局出口管制实体清单就是上述法案的最新运用。

(三)将供应链安全作为国家间竞争的抓手,推行供应链的“脱钩”讹诈。

从最早推行“瓦森纳协定”禁止对涉及军事、国防、国土安全和国家利益相关的战略性产品的进出口控制,到对可能挑战西方国家产品、企业和供应链垄断地位的非西方国家产品、企业和技术实施严格的准入审查制度,到现在采取联盟策略,先后拉拢澳大利亚、新西兰、日本等国禁用华为产品,并以切断情报共享为由威胁英国、德国减少与华为的合作,均体现了美国以意识形态划线构建供应链壁垒的目的。可以看出,在积极推行中美之间的科技、人员“脱钩”后,美国正在推行两国的产品、市场、投资、服务等供应链“脱钩”,正如美国务卿蓬佩奥近日使用冷战措辞公开宣称,“世界领导人将不得不在中美两种互联网之间作选择”,逼迫世界各国“选边站”。潘西恩宏观经济咨询公司首席经济师伊恩·谢泼德森认为,美中贸易战升级,两国的消费者和出口商近期都将受到影响,但破坏性更大的远期影响是两个在过去几十年来相互依存的庞大经济体的“脱钩”。美国前财政部长保尔森也警告称,如果中美两国都采取行动铸造一座“经济铁壁”,这就意味着全球供应链的“脱钩”,世界将面对拥有不兼容的标准和政策的两个体系。美国之所以在这“伤敌一千,自损八百”的博弈中一意孤行,除了自欺欺人的战略讹诈外,还体现了其赤裸裸的霸权行径。

四、应对美国的供应链威胁

全球供应链是近百年各国不断发展融合的结果,已经形成“你中有我,我中有你”的依存体系。不管是向中国、墨西哥等国挥舞“关税大棒”,还是针对华为、中兴“卡脖子”与“围堵”,美国政府利用行政手段强行改变当前全球的供应链现状,已严重动摇了全球的商贸格局,利用供应链安全问题阻碍遏制别国的发展壮大,于法无依,于理无据,于情不容,已然不得人心。除了严重破坏全球供应链的根基,损害全球经济的发展外,根本实现不了其维护霸权,奉行单边主义的“私心”。面对美国的供应链安全威胁,我们要有理有利有节地从以下几个方面做好谨慎应对。

一是评估风险,摸清家底,防突袭。中国加入WTO18年来,进一步加强改革开放,在供应链上广泛融入当前世界经济格局,特别是在ICT领域,我们在核心技术、关键设备以及基础软硬件上仍依赖进口。但经过几十年的快速发展,我国信息化建设成就举世瞩目,也有一定的技术与产业积累,当务之急是要增强底数,从政府机关到国有企业,从国民经济到社会民生等均需要对ICT供应链安全进行全面细致的风险隐患评估,并针对相应的短板和缺陷,制定补救、防范以及应急处理的技术与管理举措,以防万一。

二是坚持开放,对外合作,防“断供”。理性地讲,中国的国际地位和影响力已今非昔比,中国改革开放的成绩全球共睹,成果也是全球共享。世界欢迎并受益于一个开放、强大和负责的中国。我们要坚定不移地践行“人类命运共同体”的理念,坚持改革开放,加强国际合作,破除美国的“脱钩”讹诈。

三是努力攻坚,加强自主,防“卡脖子”。从国内看,自力更生、艰苦奋斗、自己动手、丰衣足食是我们战胜各种艰难险阻的精神力量,把自己的事情做好,加大投入,努力攻克各种技术难点,力求在核心领域做到自主可控,把买不来、要不来的关键技术牢牢掌握在自己手里,这才是我们立于不败之地的根本保障。(桂畅旎

(本文刊登于《中国信息安全》杂志2019年第6期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。