李璐

摘 要：2018年4月16日美国制裁中兴通讯事件再次为我国相关产业敲响警钟，提高国家核心技术竞争力已迫在眉睫。在各行业实现完全自主可控的过渡阶段，ICT供应链的安全可控应作为重要网络产品安全风险监管重点，通过加强安全合规审查和安全评测，完善我国重要网络产品安全管理制度。论文通过剖析最新ICT供应链安全事件、分析国外对ICT供应链安全管理开展的工作，并借鉴其先行理念及经验，结合我国信息安全管理现状，对我国重要网络产品供应链安全管理提出建议。

关键词：网络产品；ICT供应链；安全风险监管

中图分类号：TP393.08 文献标识码：A

1 引言

随着ICT产业的全球化发展，ICT供应链具备全球分布性、供应商多样性等特点，同时也带来恶意篡改、供应中断、信息泄露等更多不透明、不可控的安全隐患。产品自身的安全检测已经无法全面反映其整体安全可控性实际情况，产品周边、供应链上下游存在的安全隐患已然是威胁产品安全可控的重要因素。

2 ICT供应链现状

信息和通信技术供应链（Information and Communications Technology Supply Chain Management，简称ICT供应链）包含了软、硬件供应链[1]，通常涵盖产品的采购、开发、外包、集成等环节，涉及到制造商、供应商、系统集成商、服务提供商等多类实体以及技术、法律、政策等软环境。

自主可控分为芯片、软件、整机、外设四大类领域，目前我国在整机方面发展势头较好，但在上游核心芯片研发、制造方面却存在明显短板，主要依赖进口。据万得资讯统计，2017年，我国集成电路进口额高达2601.4亿美元，增长14.6%，创历年新高，约占世界的68.8%，是全球最大的消费国，集成电路主要核心技术仍被欧美和日本所垄断。

3 ICT供应链风险事件

随着ICT供应链全球化发展，供应链的组成变得复杂，风险问题越发难以透明和控制，包含了各实体及软环境存在的潜在威胁，如对上游供应商、服务商强依赖性而存在断供、断服的高风险；受知识产权、国际及贸易法律等软环境约束、冲突而导致的未知风险；供应链中数据管理能力较弱带来的信息泄露风险等。

3.1 中兴上游芯片断供事件

美国商务部在2018年4月16日宣布，7年内将禁止美国公司向中兴通讯销售零部件、商品、软件和技术。据赛迪智库调查显示，中兴通讯在4G及以上基带、射频芯片、模拟芯片、10G /40G /100G等中高端光交换和光复用芯片、100G等高端交换路由芯片、以太网PHY和高速接口芯片、高速FPGA芯片都有来自美国厂商的供应。在此次禁售的通讯元件包括无线网络产品中使用的基站芯片方面，中兴通讯自给率是零。

作为我国第二大通信设备制造商、全球领先的综合通信解决方案提供商，由于中兴通讯主要业务领域严重依赖国外芯片，此次制裁将对中兴通讯造成严重打击，同时对我国通信产业发展造成一定影响[2]。

3.2 敏感技术投资并购失败事件

2016年11月美国总统奥巴马发布行政命令，叫停中国宏芯投资基金对德国半导体企业爱思强（Aixtron）的收购。事件缘由是美国外国投资委员会（CFIUS）介入调查，且对调查结论宣称，宏芯基金收购爱思强后存在将其技术应用于国家军事方面的可能，同时美国国防部的重要合作军火商是爱思强的下游客户，该收购行为将对美国武器装备供应链造成不可控影响，对美国国家安全威胁[3]。

半导体属于高科技领域敏感技术，中国企业在海外该领域的投资并购屡受政治干预。目前，美国政府已经将中国作为强劲对手，拟针对中国投资启动《国际紧急经济权力法案》，对中国投资实施新的限制，进一步遏制中国收购敏感技术。

3.3 亚马逊AWS云平台信息泄露事件

为提高供应链协同管理效率，大量数据存放在专业存储机构，如提供数据存储、维护的云服务商，但由于相关服务商对数据管理能力参差不齐，易发生数据的非法使用、泄露等情况，进而给ICT供应链上下游带来安全威胁。如2017年6月21日，美国共和党全国委员会（RNC）合作的数据分析商放在亚马逊AWS上的1.1 TB数据发生泄露。其中包含超过1.98亿名美国选民的敏感个人资料，甚至还包括政治团体采用的先进的数据分析来预测个人选民如何处理热门问题。

数据及相关服务是ICT产业中重要组成部分，其精准画像及趋势预测为各相关机构发展起到决策性作用，因此大数据不仅意味着海量的数据，通过加以分析、处理、挖掘可得到更为复杂、敏感的信息，一旦大量数据泄露，且不被用户所知用途的处理和分析，将对个人，乃至公共安全、国家安全造成威胁。

4 国内信息产品安全监管现状

4.1 市场准入检测工作

在信息安全管理方面，我国主要以市场准入形式对产品开展检测，如工信部颁布的《中华人民共和国电信条例》、公安部的《计算机信息系统安全专用产品检测和销售许可证管理办法》等，但多侧重功能符合性检测，即对照信息系统安全标准要求对信息技术、产品实现进行检测，通过对信息技术、产品各部件不同安全功能实现的检测及其数据的科学分析，得出信息系统安全保护实现与标准规定等级要求的一致性结果[4]。

由于市場准入检测工作多侧重于合规性评定，缺少对产品特有功能中可能存在的后门、未知漏洞、隐藏功能、潜在隐患的挖掘及分析等深度安全评估工作；同时，现行工作主要围绕产品自身生命周期展开检测，缺少产品周边情况分析，如供应链上下游安全调查、评估等多角度、综合性分析工作，因此在产品安全可控性结论的全面性存在一定欠缺。

4.2 网络安全审查工作

2017年6月1日《中华人民共和国网络安全法》颁布，第三十五条明确指出“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。国家网信办针对此条款制定了详细落地方案，即出台了《网络产品和服务安全审查办法（试行）》（以下简称“办法”）。该《办法》第二条明确指出，针对“关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查”，同时，《办法》第四条内容明确了网络安全审查重点，其中就包含“产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险”。因此，网络安全审查针对一定产品及服务范围构建了相应的供应链安全监管制度。

5 国外对ICT供应链安全管理工作

5.1 通过颁布法律法规上升至国家安全战略

美国最早提出供应链安全问题，并紧随ICT产业全球化发展趋势颁布了系列相关政策，2007年美国国土安全部发布了《增强国际供应链安全的国家战略》；2008年1月布什政府发布了54号国家安全总统令（NSPD54）/23号国土安全总统令 （HSPD）。该计划的第11章节重点针对全球供应链安全问题倡议建立全方位的风险管理体系[5]；2012年2月，奥巴马总统签发《全球供应链安全国家战略》，力求通过加强全球供应链管理，构建可承受不断变化的威胁和危害，并可从中迅速恢复的全球供应链系统。

欧盟对ICT供应链安全管理同样非常重视，已将其上升至国家安全战略高度。2015年欧洲网络与信息安全局（ENISA）发布《供应链完整性（Supply Chain Integrity）》为欧盟成员国提供安全管理指导，该报告提出供应链是企业成功和国家经济发展的关键因素，而完整性是供应链管理的关键要素。

5.2 完善标准指南提供管理指导

国际标准化组织针对ICT供应链制定了ISO/IEC 27036标准体系文件《信息技术 安全技术 供应商关系的信息安全》。该体系文件由多个标准簇集合而成，目的是为组织战略目标和商业需求提供安全指导，降低对供应商的过度依赖。该体系文件分为四个部分，其中第三部分ISO/IEC 27036-3 “ICT供应链安全指南”从实施层面为ICT供应链安全风险管理提供操作规范和管理实践[6]。

随着美国对ICT供应链安全管理研究的不断投入，已经逐渐形成较为完善的ICT供应链安全管理体系，2013年美国国家标准与技术研究院发布NIST SP800-161《联邦信息系统供应链风险管理指南》[7]。该指南旨在为联邦机构建立ICT供应链安全风险控制流程，帮助其识别、评估、实施风险管控并形成最佳实践、缓解ICT供应链中的风险。该指南提出ICT供应链风险的来源为三个方面：一是现有系统（或产品）脆弱性 / 漏洞引起的 ICT 供应链风险；二是生产制造、开发水平低导致的风险；三是ICT供应链全球化带来的风险[8]。

5.3 对信息技术供应链实施严格的安全审查制度

美国为维持本国的技术与产业优势，于1988年设立美国外国投资委员会（CFIUS），该机构由国务院、商务部、国防部、财政部、司法部、国土安全部、能源部等多部门组成，根据《埃克森-佛罗里奥修正案》[9]《外商投资与国家安全法（FINSA）》[10] 《外国投资风险审查现代化法案（FIRRMA）》，针对涉及国防、高科技领域等外商投资交易开展国家安全审查，并可建议总统否决该交易，进一步维护其国家安全及企业的竞争力。

在重要领域和行业，美国国防部根据《国防授权法案》《供应链风险要求》对国防领域采购中的IT供应链安全开展专项审查，将 “供应链风险”作为选择合同商的评估重点。同时，国防部采取这些措施时不必向承包商披露具体原因，也不接受对投标决定的申诉[11]。

6 对我国重要网络产品供应链安全监管的建议

6.1 加强网络重要产品供应链安全管理战略研究

提升重要网络产品供应链安全战略地位，加快ICT供应链安全战略研究和安全管理体系建设，完善ICT供应链安全管理政策、法规，提供该领域上层管理导向及最基本的保障；借鉴国际ICT供应链安全管理标准，并结合我国ICT产业特点，加快推动我国ICT供应链安全管理标准和指南出台，指导重点领域行业开展相关工作。

6.2 完善网络重要产品供应链安全管理制度

实施重要网络产品供应链安全监管、多制度协同工作。

一是多角度加强市场准入、行业准入的安全要求。结合我国现有信息安全管理制度，完善ICT供应链安全管理要求及强制条款，尤其是关键基础设施中的产品，将其采购、使用管理纳入风险评估环节。

二是将ICT供应链安全作为审查重点。借鉴国外针对供应链开展的审查内容，将ICT供应链纳入国家网络安全审查及各行业相关安全审查工作，提高国家网络安全对抗能力。

三是提高技术防范能力，培养充足的人才资源、储备对大型供应商的产品及服务安全风险评估能力，进而在各重点行业领域有针对性的开展供应链安全风险评估工作。

6.3 构建网络重要产品安全可控生态体系

随着ICT供应链全球化加剧，供应商遍布全球各地，供应关系错综复杂。在加速集成产品的同时，应重点关注供应链良性发展的生态体系：一是加大政策、资金倾斜，鼓励高校、研究所、企业对关键元器件的自主创新，增加ICT供应链国产自主产业的占比；二是在核心技术吸收引进的现阶段，注重关键部件的冗余、可替代性，减少对单一产品、同一国家不同产品的依赖；三是打造可信ICT供应链，对提供重要网络产品及服务的国家、企业及产品或服务自身开展可信性认证工作，为用户提供安全可信的供应环境。

7 结束语

习近平主席在网络安全和信息化工作座谈会上提到“互联网核心技术是我们最大的‘命门，核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高，如果核心元器件严重依赖外国，供应链的‘命门掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。”因此，重要网络产品的核心部件、元器件立足自主创新是建设网络强国必经之路。目前，部分核心领域技术仍处于引进吸收阶段，在完全实现自主可控目标的过渡期，应加强上游制造、中游设计、下游封装整条产品供应链的技术防范及管理工作，降低网络重要产品供应链风险，构建安全可控的信息技术体系。

参考文献

[1] 倪光南，陈晓桦，尚燕敏，王海龙，徐克付.国外ICT供应链安全管理研究及建议[J].中国工程科学，2016，18（06）：104-109.

[2] 刘权.2017年网络安全十大发展趋势[J].网络空间安全，2017，8（01）：32-34.

[3] 张莉.美国炒作“中国网络威胁论”的演变历程、根源及对策研究[J].网络空间安全，2018，9（01）：36-40+55.

[4] 马健丽.信息系统安全功能符合性检验关键技术研究[D].北京邮电大学，2010.

[5] 左晓栋.美国政府IT供应链安全政策和措施分析[J].信息網络安全，2010（05）：10-12.

[6] ISO/IEC FDIS 27036-3， Information technology-Security techniques-Information security for supplier relationships-Part 3： Guidelines for ICT supply chain security[S].

[7] NIST Special Publication 800-161，《Supply Chain Risk Management Practices for Federal Information Systems and Organizations》 [S].

[8] 张伟丽.美国《联邦信息系统供应链风险管理指南》研究[J].中国信息安全，2016（05）：89-93.

[9] 肖光恩.美国“埃克森—佛罗里奥”条款发展演变的趋势与我国的对策[A].中国美国经济学学会.全国美国经济学会第八届会员代表大会论文集[C].中国美国经济学学会，2007：13.

[10] 张楠.论美国对外国投资安全审查的法律制度[D].复旦大学，2012.

[11] 尹丽波.美国安全审查概况[J].中国信息安全，2014（08）：78-81.