（上海社会科学院新闻研究所）

2018年4月，知名供应链风险管理咨询服务公司Interos Solutions发布 《美国联邦信息通信技术中来自中国的供应链漏洞》（Supply Chain Vulnerabilities from China in U.S.Federal Information and Communications Technology） 研究报告。报告包含六个章节和结论，前六章分别涉及美国政府的信息通信技术（ICT）供应链现状、与供应链风险管理（supply chain risk management，SCRM）相关的法律、规范和要求、供应链制造商分析、供应链安全困境背后的中国政治经济因素、SCRM推荐方案以及对未来的考虑。其中主要内容有：

1.美国联邦ICT供应链包含内容

报告采用了“ICT供应链”的全方位定义，包括：①主要供应商；②层级供应商，通过提供产品和服务支持主要供应商；③通过商业、金融或其他相关关系与这些层级供应商关联的任何实体。报告认为，美国联邦政府的ICT供应链是多层次、网状的关系，而非单一或线性的关系。供应链对美国国家安全的威胁源于由各国政府或实体所拥有、指导或补贴生产、制造或组装的产品，这些实体已知会对美国构成潜在的供应链或情报威胁。这些产品可被修改为：①性能低于预期或失效；②为州或公司间谍活动提供便利；③以其他方式损害联邦信息技术系统的保密性、完整性或可用性。

2.美国联邦ICT供应链风险研判

随着第五代移动网络技术（5G）和物联网（IoT）等技术的发展，网络攻击的途径成倍地增加，软件供应链攻击将变得更加容易，也更加普遍。根据美国信息技术研究和咨询公司Gartner的预测，到2021年将安装251亿个物联网单元，到2020年90%的新计算机支持的产品设计将采用物联网技术。物联网连接的增长将对信息和通信技术的SCRM产生重要挑战。物联网的普及将扩大联邦信通技术网络的受攻击面，缩短破坏这些网络所需的时间，但发现这些破坏所需的时间却并未减少。而公共部门和私营部门都有责任在商业技术供应链中提高风险意识和加强风险管理。

而中国成为全球信通技术供应链上的关键节点并非偶然。中国政府认为，信通技术部门是一个“战略部门”，对国有信通技术企业投入了大量国家资本。中国有鼓励信息和通信技术制造和发展的长期政策。这些政策鼓励外国公司在中国生产信通技术产品，同时寻求从这些公司获得关键知识产权和技术的机会，最终目标是使这些技术本土化。自2013年以来，中国努力加快了本土化进程，大型跨国公司为能够继续在中国开展业务不得不做出让步以换取市场准入。与此同时，中国通过企业并购获取关键技术知识，利用中国企业的经济实力作为国家工具，扩大经济优势。中国政府从确保自身国家安全的角度为这些政策辩护，但中国有关优先考虑本土生产、从跨国公司获取特许权、利用中国公司作为国家工具、以及瞄准美国联邦网络和承包商网络的政策，增加了美国信通技术供应链以及美国国家和经济安全所面临的风险。新政策要求企业交出源代码，将数据存储在位于中国的服务器上，投资中国企业，并允许中国政府对其产品进行安全审计，向中国网络间谍活动和知识产权盗窃活动开放网络。中国还继续瞄准美国政府承包商和其他私营部门实体，作为其争取经济优势和实现其他国家目标的组成部分。

因此美国政府急需一项针对美联邦ICT供应链漏洞的“供应链风险管理国家战略”，包括一系列与中国相关的采购。这一战略必须包含相关的支持政策，以使美国的安全态势是前瞻性的，而不是被动应对的，并对已经损害美国国家安全、经济竞争力或美国公民隐私的漏洞、违规和其他事件做出的反应。

3.美建立供应链风险管理国家战略和协调机制的建议

有效的供应链风险管理是指能够预测供应链的未来发展，识别供应链面临的潜在威胁，制作威胁概要文件，能够减轻或解决供应链未来可能面临的威胁。但当前联邦政府的法律和政策并未全面解决SCRM问题。全球ICT产品生产和制造的演变以及联邦ICT现代化努力的过程，意味着未来进入联邦信息系统和国家安全系统的新产品将越来越复杂和全球化，其中许多供应链都是来自中国的商业供应商。而政治或经济变化不大可能使全球信通技术制造商大幅减少其在中国的业务或与中国企业的伙伴关系，那么美国政府应该如何管理与中国制造的产品和服务以及中国公司参与其ICT供应链相关的风险？联邦信通技术供应链风险的最佳管理方法有以下五种：

3.1 采用自适应供应链风险管理流程

联邦信通技术现代化努力增加了对私营部门和商业现货产品的依赖。这些新产品具有日益复杂的、全球化的和动态的供应链，其中许多供应链是来自中国的商业供应商，这些供应商在一个供应链中的多个节点上供货。随着公司开发新技术并与新供应商结成合作伙伴关系，与中国有联系的不法行为者以私营部门实体和私营部门政府承包商网络为目标，获取敏感的政府信息，并进一步利用联邦信息系统内的漏洞。因此，薄弱的行业合作伙伴网络对美国政府和国家安全构成了威胁。

防范与中国有关联的不法行为者的供应链攻击，需要与私营部门行为者进行沟通与协作。国家标准和技术研究所（NIST）一直有效地与私营部门合作，制定高质量、可实施的标准，以改善供应链安全和信通技术系统的网络安全，包括广泛采用的NIST网络安全框架。尽管NIST在这些工作中发挥了有效作用，但NIST开发的供应链控制仅适用于具有“显著影响”（highimpact）的联邦信息系统。NIST未来的工作可能需要包括将供应链标准扩展到更广泛的联邦信息系统，包括由私营部门承包商运营的系统。

与工业界结成伙伴关系还意味着需要从布什时代的国家网络安全综合倡议（CNCI）中吸取经验教训。CNC的有效性受到其审议和决定的保密性限制，这使美国国务院和国家网络安全中心无法与包括私营部门在内的外部组织接触。决策者必须增强而不是阻碍NIST等成功合作实体的努力，并在非保密的公共领域尽可能多地讨论供应链威胁。这些步骤将确保新的SCRM策略能够自适应、协作并获得所有相关方的认可。

3.2 建立联邦信通技术SCRM的集中领导

美国政府缺乏一个统一的、整体的SCRM方法。大多数与SCRM相关的情报收集活动都是以人为本而不是以技术为基础，这使得联邦SCRM计划难以全面应对全球威胁，也难以随着需求的增加而扩展。法律法规之间的冲突和混乱导致漏洞、重复劳动和政策执行不一致。

国会和行政部门应鼓励信息共享和巩固联邦SCRM领导，以优化收集和传播工作。需要为SCRM的中央领导配备适当的资源和人员，负责将进入联邦IT网络的产品供应商和增值转销商审查到规定的级别。管理和预算办公室（OMB）可以通过修改A-130通告将SCRM的中央权力分配给总务管理局（GSA）、美国国土安全部（DHS）或另一个联邦机构。该SCRM中心将提供全面权威的数据和持续监测，减少对特定机构SCRM的需求，并使各机构能够将其工作重点放在特定配置和实施情况上，机构如何使用技术直接关系到它们如何应用风险缓解措施。最后，这样一个办公室需要在非保密的世界中运作，同时与保密环境有直接联系和追溯权，以确保其与已知威胁保持一致。

3.3 将联邦法规条例与拨款挂钩

在修改政策的同时，国会应将政策修订与确保联邦机构以可审计的方式采取行动的筹资战略，两者联系起来。一项建议是扩大Wolf条款，或者是《综合和进一步持续拨款法》的第515条，以适用于所有联邦机构和实体。近期的一个机会是将本法规的SCRM要求与机构为2017年《政府技术现代化法》提供的资金联系起来，要求对新的信通技术投资和现代化努力进行SCRM计划审查。该规定的一个改进是要求各机构每年提交：（1）关于其已建立的SCRM计划的信息；（2）在该计划内开展的活动；（3）使用的缓解措施。这些年度报告将有助于为所有联邦政府实体建立一个“最佳实践库”，提高信息共享和对不断变化的风险的认识。目前的报告是以合规为导向的，对共享信息或提高联邦信通技术网络的安全状况没有任何作用。

3.4 促进供应链透明度和与工业界伙伴关系

供应链透明度提高了联邦信通技术供应链的安全性，使联邦政府能够负责任和安全地获取信息，并提高了政府在供应链攻击不断的环境中应对和减少网络安全事件影响的能力。与对国家安全的影响直接相关的是，联邦政府应根据戴尔、惠普和微软等公司已经采取的行动，促进联邦信通技术提供商以及初级或一级供应商的公开上市，或至少向政府客户披露这些信息，作为其公司责任努力的一部分。政府还应根据所需的风险管理严格程度（并非所有计划和供应商都存在相同程度的风险，因此可能不需要这种程度的透明度），推动自身供应链中的所有供应商实现透明度。虽然应制定审计措施以确保透明度，但这些信息并不总是需要公开发布。在采取这些措施时，决策者应借鉴以往供应链透明度的努力，例如2010年《多德·弗兰克华尔街改革和消费者保护法》第1502条，该条要求一些公司记录其"冲突矿物"（conflict minerals）供应商，以便限制美国从助长刚果民主共和国冲突的行为体方采购，以此来减少刚果民主共和国境内的暴力行为。通过行业合作和信息共享，政府客户和行业将提高对多层供应商关系中存在的风险以及已存的潜在有效配置的认识。

3.5 制定前瞻性政策

与其中运行的固件和软件相比，任何信通技术组件的物理结构越来越不重要。未来的风险将涉及软件、基于云的基础架构和超融合产品（hyper-converged products），而不是硬件。供应商、供应商或制造商的业务联盟、投资来源以及联合研发也是风险的来源，但传统的SCRM中并不总是涵盖这些风险。识别这些风险并创造性地解决它们，作为供应链风险管理适应性方法的一部分，对于联邦政策的成功非常重要。

4.对我有关启示

对于我国来说，主要可以从产业竞争力、国家大战略和未来主导权三个角度来考虑：

4.1 高度重视并提升我国ICT产业自身供应链安全等级

鉴于中国在全球ICT供应链中的角色近期内不太可能发生重大改变，美国希望建立的自适应SCRM流程和SCRM集中领导也不可能完全排除包括中国在内的IT产品网络供应商和增殖转销商。但为了其自身的政治经济利益和国家安全，美国将会进一步提升产品供应链的安全审查等级。但是这一审查并不保密，而且为了达到理想的效果，必须建立协作与信息共享机制。因此一方面，中国的ICT产业供应链商应当主动提高自身的安全等级，另一方面，还要高度重视并提升产品抵御全球供应链风险的能力，要尽早建立起包括产品和行为体在内（其他层级供应商、其他供应实体）的全周期、可追溯的风险档案与风险管理预案机制。

4.2 要立足我国国家战略利益进一步促进全球供应链与供应链伙伴关系的透明度

SCRM国家战略鼓励主要或一级供应商向美国联邦信通技术供应商公开披露信息，并在必要时促进所有供应商的透明度，以确保系统或供应商处于特定风险或影响水平。对于我国来说，一方面需要依靠自身供应链的追溯和管理以及与其他层级供应链商和实体进行的配合，同时可以借由此次机会，进一步促进全球ICT供应链与供应链伙伴关系的透明度提升，以此开拓并扩展我国ICT产品的全球供应链业务。

4.3 提前关注来自软件供应链的风险管理并抢占规则制定主导权

此次报告中指出，未来供应链的风险可能更多涉及软件、基于云的基础架构和超融合产品。因此未来不仅在硬件方面，软件以及软硬件之间的互通互构都将进入ICT供应链风险管理的范畴。因此我国应当提前布局，尽早建立一套自主研发用于监测、识别、分析、储存、预警、治理的“未来ICT供应链风险管控体系”，抢占技术风口与先机。这一系列的标准和规范形成体系之后，还可以寻求成为国际标准，占据未来ICT供应链上游的规则制定主导权。