东西方研究所报告：管理网络供应链风险的安全与信任方案

* 中美友好互信合作计划”是由复旦发展研究院和丰实集团共同打造的中美关系研究的学术平台

针对当前全球广泛存在的贸易保护主义和网络供应链风险问题，美国东西方研究所（EWI）于2020年6月发布了《化解技术民族主义：管理网络供应链风险的安全与信任方案》（“Weathering TechNationalism: A Security and Trustworthiness Framework to Manage Cyber Supply Chain Risk”）报告。

复旦大学网络空间治理研究中心团队对报告全文进行了翻译，并获得授权发布中文版报告。

技术民族主义的后果

全球ICT市场中，技术民族主义的主要驱动因素是竞争性的国家利益，包括国家安全、网络安全、经济竞争力、创新、声望和地缘政治。

信息通信技术（以下简称ICT）的产品和服务对于国家经济、安全和认同而言具有重要的战略意义。然而，信息通信技术中存在可被利用的漏洞，以及供应链的复杂性为公有和私营领域带来了严重的安全隐患。外国政府可通过强迫本地供应商与之合作或直接参与后者的运营，从而通过全球供应链污染ICT产品和服务，这种潜在可能日益引起各国政府的关注。一些国家政府明确指出防范此类风险，警告或限制本国市场采用外国ICT产品和服务。

本报告将此类政策称为“技术民族主义(TechNationalism)”，即采取直接或间接的措施，从而倾向总部位于本国或同盟国、而非竞争或对手国家的公司的ICT产品和服务。

《化解技术民族主义：管理网络供应链风险的安全与信任方案》为政策制定者、监管机构和企业管理层提供了一个方案，即通过ICT购买方、运营方和供应商共同实施有保障、透明和问责制措施，减轻风险并应对全球ICT供应链中的共同责任。

本报告还提供了支撑性的政策措施，以获得平衡、风险可知的结果，并避免技术民族主义的负面影响。

全球ICT市场中，技术民族主义的主要驱动因素是竞争性的国家利益，包括国家安全、网络安全、经济竞争力、创新、声望和地缘政治。技术民族主义的措施可能包括：要求数据处理和存储的本地化；优先考虑国内产品或组件；对外国公司提出更高的、“安全相关”的要求，例如命令其提供源代码以供检查；要求其与国内实体合作以获得市场准入；禁止特定的外国产品或公司。

在紧张的国际局势中，地缘政治使得民族主义和孤立主义不断抬头，技术民族主义随之产生，导致其产生的原因包括：对多边体系的信任被削弱，国际贸易的武器化，为规制内容出现了以国家为中心的互联网治理模式，网络空间已成为国家间冲突的新领域。

在此背景下，为确保ICT的安全性和可靠性，各国必须权衡国家安全、网络安全以及贸易和工业竞争力目标。例如，以国家安全为由对外国ICT公司的严格限制可能会降低整体工业竞争力和网络安全性。

有四个初始条件使上述政策目标的实施变得复杂化，并给增强ICT安全性和可靠性带来障碍。

• 首先，供应链的全球性和复杂性特质对确保ICT供应链安全构成重大挑战。为了确保ICT的真实性和完整性，必须在完整的供应链中追溯软硬件组件，并在全生命周期中展示ICT安全性。

• 第二，战略型ICT对经济繁荣和军事力量的重要性使信息通信技术和数据具有战略意义。这些新的ICT的融合，包括5G通信、物联网（IoT）及工业物联网（IIoT）、人工智能（AI）、机器人技术、量子计算等垂直产业的数字化有望释放出巨大的经济增长潜力，对于国家情报能力、军事实力和现代战争也至关重要。各国政府越来越确信的一点是， 一国“支配”或“控制”上述技术的能力对于维护其战略自主权至关重要。

• 第三，确保ICT安全是一个基本的网络安全需求。一方面，即便对于值得信赖的实体而言，其 ICT产品和服务中也往往存在可被攻击利用的漏洞，另一方面，即使是没有已知漏洞或安全问题的ICT，也可能会出现难以管理的风险。

• 第四，在ICT受到干扰或定向攻击的情况下，要求第三方承担责任仍然具有挑战性。很难将恶意或过失行为指向特定行为者。这不仅增加了溯源全球供应链攻击的难度，而且使得此类违规行为难以得到及时纠正。

应对国家安全风险需要基于准确的威胁评估采取严格、有针对性的措施。各国政府正试图通过技术禁令和限制、技术安全要求、国内技术标准、数据本地化要求、出口管制、关税、贸易协定、投资限制和所有权限制等一系列措施限制和控制外国ICT。

但是，这些措施很有可能产生意料之外的后果，如扭曲市场并阻碍创新和竞争，对国家安全、网络安全、贸易和工业竞争力产生负面影响。最终，ICT贸易和外交关系可能遭受破坏。上述措施非但不能使ICT免受真实威胁，而且可能建立分散、部分或完全脱钩的技术和经济环境，从而危害全球经济的长期增长。

图片来源：the diplomat

ICT安全性、可靠性的增强方案

ICT供应链风险包括潜在的不可靠的供应商、脆弱的ICT产品、不安全的ICT运营以及由于依赖第三方产品或服务二带来的其他风险。

为了最大程度地减少技术民族主义的不足和意外后果，本报告通过阐述客观、透明的基础方案，从而应对风险并提升全球ICT供应链的可靠性。该方案由五部分组成，内容涉及保障、透明度和问责制等。

报告综合描述了三个行动领域（组织、行业和生态系统）中需要采取的技术、组织和信任建立措施。这些措施有助于建立和评估对供应商的信心，并增强ICT产品和服务以及供应链的安全性。此外，关于保障、透明度和责任制的具体方案将有助于采购方、供应商和运营方实施上述措施并不断加强与之相关的要求。

ICT供应链风险管理关注的风险源包括潜在的不可靠的供应商，脆弱的ICT产品、不安全的ICT运营，以及由于依赖第三方产品或服务而带来的其他风险。评估风险缓解措施的成本和收益有助于平衡安全成本和经济效益。但是，技术和组织措施只能提供有限的保障。尽管这些措施无法实现“全面”保障，但该方案为决策和风险缓解提供了重要基础，避免ICT采购方盲目信任第三方产品和服务。如果该方案在ICT供应商、消费者和运营方中得到贯彻，相关措施将为风险评估和缓解提供有利条件。除此之外，包括信任建立在内的政治和外交手段也有助于缓解上述风险。

该方案描述了在ICT供应链中实现安全性和可靠性的三个基本机制：

• 保障：包括为确保ICT安全而采取的政策和流程。

• 透明度：揭示ICT供应商保障承诺和合同义务的履行程度。

• 问责制：通过执行或威慑，应对因无法满足保障或透明度要求产生的后果。

该方案进一步区分了以下三个行动领域：

• 组织：ICT采购方需要就供应链风险展开对话，并制定其风险告知采购要求。单个组织应评估其供应链、风险承受能力和采购需求。基于此评估，并在可获得标准和最佳实践的基础上，应确定风险相关的采购要求。

• 行业：在行业或子行业内组织理念相近的ICT购买者，使其构成相应团体，利用购买力产生需求压力，并根据其功能、安全性和透明度要求向购买者、运营方和供应商提供指导。这些行业团体为其成员制定采购要求，这些要求阐明了法律上的应有注意（due care）和尽职调查（due diligence）义务，并为监管行动提供宝贵意见。

• 生态系统：由于ICT供应链的分散和威胁媒介的增多，ICT安全性、可靠性的保障需要借助区域性和全球性机制。区域透明性机制和测试机制可以促进供应商的安全性和透明性实践。基于协商认证的全球合规项目使得ICT生态系统的众多利益相关者能够依赖于这种一次性认证。

行动路线图

该方案的完善需各方共同努力，从而有效应对ICT供应链风险，同时最大程度地降低技术民族主义的负面影响。该方案基于采购方、运营方和供应商的需求，与企业供应链风险管理相结合，有助于提高ICT产品和服务的信心和可信度。具体措施包括：

• 威胁和漏洞信息共享使ICT行业（尤其是ICT采购方和运营方）能够采取缓解措施，以应对第三方威胁和全球供应链中的重大漏洞。

• 多源采购要求，避免对关键基础设施运营方过分依赖，以确保供应商和解决方案的多样性并提高安全弹性。

• 政府资助的战略性科学技术投资可加强本国技术开发并减少对国外技术的依赖。

• 根据国际协议，个别国家安全例外提供排除外国实体的方式从而保护国家安全。

• 定期审查和调整国家供应链安全政策和目标，可以增强政府的整体网络安全。

下载中文版报告：

https://fddi.fudan.edu.cn/99/a5/c19047a235941/page.htm

复旦网络空间治理研究中心出品

声明：本文来自中美友好互信合作计划，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。