近两年来,随着我国在云计算、人工智能、5G等新技术方面的崛起,美国对供应链的完整性及脆弱性表示出了越来越多的担忧。美国认为供应链安全问题对于美国技术领先以及美国的经济和国家安全的未来至关重要,正在通过战略、立法、审查、评估等一系列政策措施加速构建全面、统一的供应链安全管理体系。

2018年以来,在不到一年的时间内,美国政府在信息通信技术(ICT)供应链安全风险管理方面频繁推出了多项新的政策措施。

新建两个跨部门的ICT供应链风险管理机构

(1)国土安全部成立ICT供应链风险管理特别工作组

国土安全部(DHS)认为,外国对手、黑客和罪犯分子带来的网络威胁给美国政府和行业带来了重大的新风险,他们在ICT供应链各层级的承包商、分包商和供应商不断受到攻击,成为越来越多经验丰富、有资金支持对手的攻击目标,并寻求窃取、妥协、更改或销毁敏感信息。在某些情况下,高级威胁行动者将目标锁定在ICT供应链深处的企业,以获得立足点,然后向上游扩展以获取敏感信息和知识产权。随着这种风险变得越来越明显,美国官员和国会一直在寻求一种更全面的解决方案。

2018年7月,国土安全部(DHS)在其组织召开的首次“DHS国家网络安全峰会”上宣布组建ICT供应链风险管理特别工作组,设在DHS的国家风险管理中心。该工作组的60名成员包括来自公共和私营部门中举足轻重的关键供应链风险管理利益相关者,包括20个联邦部门和机构,40个信息技术领域的大型企业。特别工作组成立的目的就是要建立一个公私合作伙伴关系,审查并制定达成共识的建议,以确定和管理全球ICT供应链的风险。ICT供应链风险管理特别工作组的成立,是落实特朗普政府倡导的以“集体防御”方法来管理网络安全风险的举措之一,也是国土安全部过去一年在处理来自全球的商业软硬件产品安全漏洞和外国间谍威胁方面大力推进工作的一部分。供应链威胁涉及产品的整个生命周期并常常包含硬件这一本质特征,使得供应链威胁的应对极具挑战。政府和产业在识别和减轻这些威胁方面有共同的利益,因此有共同的责任。通过工作组建立的公私合作的伙伴关系,在广泛的利益相关者中寻求整体解决方案,以制定解决供应链风险的近期和长期战略。

当前,除了收集政府和行业现有供应链风险管理工作的清单外,工作组还启动了四个主要工作流程:制定一个政府和行业间双向共享供应链风险信息的共同框架;识别基于威胁来评估ICT技术供应、产品和服务的过程和标准;识别细分市场及合格投标者和制造商名单的评价标准;制定政策建议鼓励从原始制造商或授权经销商处购买ICT。

(2)成立联邦采购供应链安全理事会

2018年12月,美国国会通过了《安全技术法案》,《联邦采购供应链安全法案2018》作为该法案的第二部分一并签发。《联邦采购供应链安全法案2018》创建了一个新的联邦采购供应链安全理事会并授予其广泛权利,为联邦供应链安全制定规则,以增强联邦采购和采购规则的网络安全弹性。理事会主席由管理和预算办公室(OMB)高级官员担任,理事会负责识别和建议NIST应该制定哪些标准、指南和实践,供执行机构在评估和制定缓解策略以应对供应链风险时使用。识别或制定供执行机构与其他联邦实体和非联邦实体就供应链风险共享信息的标准,建立领导机构,负责监督信息共享过程和调查广泛适用的承包方案,如订阅服务或机器强化知识分析以及指导采购决策。更为重要的是,联邦采购供应链安全理事会还将制定内阁部长下达的排除或删除指令的标准,禁止各机构购买某些产品,或根据供应链风险命令其从其信息系统中删除软件。

在2018年《联邦采购供应链安全法》颁布之日起180天内,理事会应制定战略计划,以解决采购相关条款所带来的供应链风险,并管理此类风险。

(3)两个机构合作并存、协同工作

美国官员指出,政府并不担心两个机构重复工作流程或争夺地盘,因为两个机构的代表有大量的重叠,目前正在研究如何加强两个机构的合作。采购安全理事会的目的是协调整个政府的供应链风险管理选择,制定采购法规,并真正帮助制定标准,建立一种机制,使美国能够更可靠地识别联邦供应链的例外情况和主要威胁。特别工作组的工作流程包括改善政府和私营部门之间的双向威胁信息共享,制定评估威胁何时会导致不同的基于风险的决策框架的标准,对合格的投标人和制造商名单提出建议,并围绕原始设备制造商和授权经销商制定采购规则。因此,特别工作组可以被视为是解决供应链风险管理及政府与行业合作方面的长期基础问题的工具,成为政府和产业之间的主要连接点。特别工作组对供应链安全风险管理中这些问题的研究和调查结果,将成为安全理事会制定和更新政府采购规则的重要输入,也可以作为理事会制定排除令标准的参考,确定禁止某一公司或产品进入政府网络的合理条件。

通过立法加强ICT供应链安全风险管理 

在《联邦采购供应链安全法2018》发布仅仅5个月后,2019年5月15日,美国总统特朗普签署了名为《确保信息和通信技术及服务供应链安全》的行政令,宣布美国进入受信息威胁的国家紧急状态,禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务。

行政令提出了明确的禁止交易行为:任何人通过已经签署、正在履行或将在本行政令发布之日后完成的交易,获取、进口、转让、安装、买卖或使用受美国管辖的信息通信技术或服务(以下统称为“交易”)或与之相关的财产,如该交易包含外国财产或与外国国家利益相关(包括通过提供技术或服务合同的方式获取利益)。且商务部长(本行政令下简称“部长”)经与财政部长、国务卿、国防部长、司法部长、国土安全部长、美国贸易代表,国家情报总监,总务处处长、联邦通信委员会主席、其他执行部门和机构的负责人协商后认定:

(1)交易涉及由外国对手拥有、控制或受其管辖或指导的人设计、开发、制造或供应的信息和通信技术或服务;

(2)交易可能:在美国构成破坏或颠覆信息和通信技术或服务的设计、完整、制造、生产、分配、安装、操作或维护的不当风险;对美国关键基础设施或美国数字经济的安全性或弹性造成灾难性影响的不当风险;对美国的国家安全或美国人的安全和保障构成不可接受的风险。

行政令要求在本行政令发出之日起150天内,由商务部长牵头制定配套的落实措施,将包括基于本行政令目的确定特定国家或个人为外国对手;基于本行政令目的,识别由外国对手拥有、控制、管辖或指示的主体;识别涉及信息通信技术或服务的交易需要根据本行政令的规定进行特别审查的特定技术或国家;制定程序以许可根据本行政令禁止的交易等若干清单、程序、标准等等。

尽管没有直接点名,但在当前中美贸易战升级及美方近年来对我国华为、中兴等ICT企业频繁下手的情况下,发布这个行政命令的用意非常明显。

美国政府网站近期消息显示,参议院提出了一项《供应链反情报培训法》,法案将建立一个政府范围内保护ICT技术的方法,通过确保所有具有供应链风险管理职责的执行机构官员受训以识别和减轻反情报威胁,旨在培训联邦政府机构检测通信和信息技术系统中的外国网络安全威胁,帮助政府验证可能存在潜在间谍风险的技术。

美国ICT供应链风险管理新政的特点分析 

从这些政策措施可以看出,美国政府近期的举动正在回应2018年4月美中经济安全审查委员会发布的《美国联邦信息通讯技术中来自中国供应链的脆弱性分析》中的相关建议,在ICT供应链风险管理方面形成了如下趋势和特点:

一是强化政府与私营部门的合作。通过DHS的ICT供应链风险管理特别工作组、NIST建立的《增强关键基础设施网络安全框架》及相关标准指南,在联邦政府内部建立评估供应链风险的能力,以确保政府购买安全的技术。通过理事会成员机构间的信息共享加强监控ICT技术采购方面的网络安全威胁。同时,理事会也要为私营机构提供供应链安全风险评估和应对的咨询和指导。以此来促进联邦政府与私营部门之间在ICT供应链风险管理方面的合作和双向信息共享。

二是加强对联邦ICT技术供应链安全风险管理的集中统一领导和统一方法指导。不论是特别工作组、采购安全理事会还是新的行政令,都在试图推动构建跨部门参与、政府统一领导的ICT供应链风险管理机制。国土安全部、预算管理办公室(OMB)、情报机构、总务管理局、国防部、联邦调查局、商务部和政府其他部门的官员、专家和代表都在这个大的机制之下,共同发力,努力打造政府部门主导、私营部门积极参与配合的局面。形成通用评估和特殊评估相结合、既抓ICT供应链全生命周期的风险管理、又突出抓采购环节把控,旨在建立一个统一的、整体的供应链风险管理方法。

三是ICT供应链风险管理的范围不断扩大、作用不断升级。美国对ICT供应链各层级的承包商、分包商和供应商的评估审查将不断深入,对各级供应商的评估深度和广度进一步扩大,并从联邦政府的采购供应链评估扩大到任何个人和实体。同时,新的行政令更是表明,美国已将ICT供应链安全管理作为其维护技术领先、实施贸易制裁和达到政治目的的重要手段之一。

(作者: 姚力/国家计算机网络应急技术处理协调中心,王凤娇/中国网络安全审查技术与认证中心)

声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。