（上海社會(huì)科學(xué)院新聞研究所）

2018年4月，知名供應(yīng)鏈風(fēng)險(xiǎn)管理咨詢服務(wù)公司Interos Solutions發(fā)布 《美國(guó)聯(lián)邦信息通信技術(shù)中來(lái)自中國(guó)的供應(yīng)鏈漏洞》（Supply Chain Vulnerabilities from China in U.S.Federal Information and Communications Technology） 研究報(bào)告。報(bào)告包含六個(gè)章節(jié)和結(jié)論，前六章分別涉及美國(guó)政府的信息通信技術(shù)（ICT）供應(yīng)鏈現(xiàn)狀、與供應(yīng)鏈風(fēng)險(xiǎn)管理（supply chain risk management，SCRM）相關(guān)的法律、規(guī)范和要求、供應(yīng)鏈制造商分析、供應(yīng)鏈安全困境背后的中國(guó)政治經(jīng)濟(jì)因素、SCRM推薦方案以及對(duì)未來(lái)的考慮。其中主要內(nèi)容有：

1.美國(guó)聯(lián)邦I(lǐng)CT供應(yīng)鏈包含內(nèi)容

報(bào)告采用了“ICT供應(yīng)鏈”的全方位定義，包括：①主要供應(yīng)商；②層級(jí)供應(yīng)商，通過(guò)提供產(chǎn)品和服務(wù)支持主要供應(yīng)商；③通過(guò)商業(yè)、金融或其他相關(guān)關(guān)系與這些層級(jí)供應(yīng)商關(guān)聯(lián)的任何實(shí)體。報(bào)告認(rèn)為，美國(guó)聯(lián)邦政府的ICT供應(yīng)鏈?zhǔn)嵌鄬哟?、網(wǎng)狀的關(guān)系，而非單一或線性的關(guān)系。供應(yīng)鏈對(duì)美國(guó)國(guó)家安全的威脅源于由各國(guó)政府或?qū)嶓w所擁有、指導(dǎo)或補(bǔ)貼生產(chǎn)、制造或組裝的產(chǎn)品，這些實(shí)體已知會(huì)對(duì)美國(guó)構(gòu)成潛在的供應(yīng)鏈或情報(bào)威脅。這些產(chǎn)品可被修改為：①性能低于預(yù)期或失效；②為州或公司間諜活動(dòng)提供便利；③以其他方式損害聯(lián)邦信息技術(shù)系統(tǒng)的保密性、完整性或可用性。

2.美國(guó)聯(lián)邦I(lǐng)CT供應(yīng)鏈風(fēng)險(xiǎn)研判

隨著第五代移動(dòng)網(wǎng)絡(luò)技術(shù)（5G）和物聯(lián)網(wǎng)（IoT）等技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊的途徑成倍地增加，軟件供應(yīng)鏈攻擊將變得更加容易，也更加普遍。根據(jù)美國(guó)信息技術(shù)研究和咨詢公司Gartner的預(yù)測(cè)，到2021年將安裝251億個(gè)物聯(lián)網(wǎng)單元，到2020年90%的新計(jì)算機(jī)支持的產(chǎn)品設(shè)計(jì)將采用物聯(lián)網(wǎng)技術(shù)。物聯(lián)網(wǎng)連接的增長(zhǎng)將對(duì)信息和通信技術(shù)的SCRM產(chǎn)生重要挑戰(zhàn)。物聯(lián)網(wǎng)的普及將擴(kuò)大聯(lián)邦信通技術(shù)網(wǎng)絡(luò)的受攻擊面，縮短破壞這些網(wǎng)絡(luò)所需的時(shí)間，但發(fā)現(xiàn)這些破壞所需的時(shí)間卻并未減少。而公共部門(mén)和私營(yíng)部門(mén)都有責(zé)任在商業(yè)技術(shù)供應(yīng)鏈中提高風(fēng)險(xiǎn)意識(shí)和加強(qiáng)風(fēng)險(xiǎn)管理。

而中國(guó)成為全球信通技術(shù)供應(yīng)鏈上的關(guān)鍵節(jié)點(diǎn)并非偶然。中國(guó)政府認(rèn)為，信通技術(shù)部門(mén)是一個(gè)“戰(zhàn)略部門(mén)”，對(duì)國(guó)有信通技術(shù)企業(yè)投入了大量國(guó)家資本。中國(guó)有鼓勵(lì)信息和通信技術(shù)制造和發(fā)展的長(zhǎng)期政策。這些政策鼓勵(lì)外國(guó)公司在中國(guó)生產(chǎn)信通技術(shù)產(chǎn)品，同時(shí)尋求從這些公司獲得關(guān)鍵知識(shí)產(chǎn)權(quán)和技術(shù)的機(jī)會(huì)，最終目標(biāo)是使這些技術(shù)本土化。自2013年以來(lái)，中國(guó)努力加快了本土化進(jìn)程，大型跨國(guó)公司為能夠繼續(xù)在中國(guó)開(kāi)展業(yè)務(wù)不得不做出讓步以換取市場(chǎng)準(zhǔn)入。與此同時(shí)，中國(guó)通過(guò)企業(yè)并購(gòu)獲取關(guān)鍵技術(shù)知識(shí)，利用中國(guó)企業(yè)的經(jīng)濟(jì)實(shí)力作為國(guó)家工具，擴(kuò)大經(jīng)濟(jì)優(yōu)勢(shì)。中國(guó)政府從確保自身國(guó)家安全的角度為這些政策辯護(hù)，但中國(guó)有關(guān)優(yōu)先考慮本土生產(chǎn)、從跨國(guó)公司獲取特許權(quán)、利用中國(guó)公司作為國(guó)家工具、以及瞄準(zhǔn)美國(guó)聯(lián)邦網(wǎng)絡(luò)和承包商網(wǎng)絡(luò)的政策，增加了美國(guó)信通技術(shù)供應(yīng)鏈以及美國(guó)國(guó)家和經(jīng)濟(jì)安全所面臨的風(fēng)險(xiǎn)。新政策要求企業(yè)交出源代碼，將數(shù)據(jù)存儲(chǔ)在位于中國(guó)的服務(wù)器上，投資中國(guó)企業(yè)，并允許中國(guó)政府對(duì)其產(chǎn)品進(jìn)行安全審計(jì)，向中國(guó)網(wǎng)絡(luò)間諜活動(dòng)和知識(shí)產(chǎn)權(quán)盜竊活動(dòng)開(kāi)放網(wǎng)絡(luò)。中國(guó)還繼續(xù)瞄準(zhǔn)美國(guó)政府承包商和其他私營(yíng)部門(mén)實(shí)體，作為其爭(zhēng)取經(jīng)濟(jì)優(yōu)勢(shì)和實(shí)現(xiàn)其他國(guó)家目標(biāo)的組成部分。

因此美國(guó)政府急需一項(xiàng)針對(duì)美聯(lián)邦I(lǐng)CT供應(yīng)鏈漏洞的“供應(yīng)鏈風(fēng)險(xiǎn)管理國(guó)家戰(zhàn)略”，包括一系列與中國(guó)相關(guān)的采購(gòu)。這一戰(zhàn)略必須包含相關(guān)的支持政策，以使美國(guó)的安全態(tài)勢(shì)是前瞻性的，而不是被動(dòng)應(yīng)對(duì)的，并對(duì)已經(jīng)損害美國(guó)國(guó)家安全、經(jīng)濟(jì)競(jìng)爭(zhēng)力或美國(guó)公民隱私的漏洞、違規(guī)和其他事件做出的反應(yīng)。

3.美建立供應(yīng)鏈風(fēng)險(xiǎn)管理國(guó)家戰(zhàn)略和協(xié)調(diào)機(jī)制的建議

有效的供應(yīng)鏈風(fēng)險(xiǎn)管理是指能夠預(yù)測(cè)供應(yīng)鏈的未來(lái)發(fā)展，識(shí)別供應(yīng)鏈面臨的潛在威脅，制作威脅概要文件，能夠減輕或解決供應(yīng)鏈未來(lái)可能面臨的威脅。但當(dāng)前聯(lián)邦政府的法律和政策并未全面解決SCRM問(wèn)題。全球ICT產(chǎn)品生產(chǎn)和制造的演變以及聯(lián)邦I(lǐng)CT現(xiàn)代化努力的過(guò)程，意味著未來(lái)進(jìn)入聯(lián)邦信息系統(tǒng)和國(guó)家安全系統(tǒng)的新產(chǎn)品將越來(lái)越復(fù)雜和全球化，其中許多供應(yīng)鏈都是來(lái)自中國(guó)的商業(yè)供應(yīng)商。而政治或經(jīng)濟(jì)變化不大可能使全球信通技術(shù)制造商大幅減少其在中國(guó)的業(yè)務(wù)或與中國(guó)企業(yè)的伙伴關(guān)系，那么美國(guó)政府應(yīng)該如何管理與中國(guó)制造的產(chǎn)品和服務(wù)以及中國(guó)公司參與其ICT供應(yīng)鏈相關(guān)的風(fēng)險(xiǎn)？聯(lián)邦信通技術(shù)供應(yīng)鏈風(fēng)險(xiǎn)的最佳管理方法有以下五種：

3.1 采用自適應(yīng)供應(yīng)鏈風(fēng)險(xiǎn)管理流程

聯(lián)邦信通技術(shù)現(xiàn)代化努力增加了對(duì)私營(yíng)部門(mén)和商業(yè)現(xiàn)貨產(chǎn)品的依賴。這些新產(chǎn)品具有日益復(fù)雜的、全球化的和動(dòng)態(tài)的供應(yīng)鏈，其中許多供應(yīng)鏈?zhǔn)莵?lái)自中國(guó)的商業(yè)供應(yīng)商，這些供應(yīng)商在一個(gè)供應(yīng)鏈中的多個(gè)節(jié)點(diǎn)上供貨。隨著公司開(kāi)發(fā)新技術(shù)并與新供應(yīng)商結(jié)成合作伙伴關(guān)系，與中國(guó)有聯(lián)系的不法行為者以私營(yíng)部門(mén)實(shí)體和私營(yíng)部門(mén)政府承包商網(wǎng)絡(luò)為目標(biāo)，獲取敏感的政府信息，并進(jìn)一步利用聯(lián)邦信息系統(tǒng)內(nèi)的漏洞。因此，薄弱的行業(yè)合作伙伴網(wǎng)絡(luò)對(duì)美國(guó)政府和國(guó)家安全構(gòu)成了威脅。

防范與中國(guó)有關(guān)聯(lián)的不法行為者的供應(yīng)鏈攻擊，需要與私營(yíng)部門(mén)行為者進(jìn)行溝通與協(xié)作。國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）一直有效地與私營(yíng)部門(mén)合作，制定高質(zhì)量、可實(shí)施的標(biāo)準(zhǔn)，以改善供應(yīng)鏈安全和信通技術(shù)系統(tǒng)的網(wǎng)絡(luò)安全，包括廣泛采用的NIST網(wǎng)絡(luò)安全框架。盡管NIST在這些工作中發(fā)揮了有效作用，但NIST開(kāi)發(fā)的供應(yīng)鏈控制僅適用于具有“顯著影響”（highimpact）的聯(lián)邦信息系統(tǒng)。NIST未來(lái)的工作可能需要包括將供應(yīng)鏈標(biāo)準(zhǔn)擴(kuò)展到更廣泛的聯(lián)邦信息系統(tǒng)，包括由私營(yíng)部門(mén)承包商運(yùn)營(yíng)的系統(tǒng)。

與工業(yè)界結(jié)成伙伴關(guān)系還意味著需要從布什時(shí)代的國(guó)家網(wǎng)絡(luò)安全綜合倡議（CNCI）中吸取經(jīng)驗(yàn)教訓(xùn)。CNC的有效性受到其審議和決定的保密性限制，這使美國(guó)國(guó)務(wù)院和國(guó)家網(wǎng)絡(luò)安全中心無(wú)法與包括私營(yíng)部門(mén)在內(nèi)的外部組織接觸。決策者必須增強(qiáng)而不是阻礙NIST等成功合作實(shí)體的努力，并在非保密的公共領(lǐng)域盡可能多地討論供應(yīng)鏈威脅。這些步驟將確保新的SCRM策略能夠自適應(yīng)、協(xié)作并獲得所有相關(guān)方的認(rèn)可。

3.2 建立聯(lián)邦信通技術(shù)SCRM的集中領(lǐng)導(dǎo)

美國(guó)政府缺乏一個(gè)統(tǒng)一的、整體的SCRM方法。大多數(shù)與SCRM相關(guān)的情報(bào)收集活動(dòng)都是以人為本而不是以技術(shù)為基礎(chǔ)，這使得聯(lián)邦SCRM計(jì)劃難以全面應(yīng)對(duì)全球威脅，也難以隨著需求的增加而擴(kuò)展。法律法規(guī)之間的沖突和混亂導(dǎo)致漏洞、重復(fù)勞動(dòng)和政策執(zhí)行不一致。

國(guó)會(huì)和行政部門(mén)應(yīng)鼓勵(lì)信息共享和鞏固聯(lián)邦SCRM領(lǐng)導(dǎo)，以優(yōu)化收集和傳播工作。需要為SCRM的中央領(lǐng)導(dǎo)配備適當(dāng)?shù)馁Y源和人員，負(fù)責(zé)將進(jìn)入聯(lián)邦I(lǐng)T網(wǎng)絡(luò)的產(chǎn)品供應(yīng)商和增值轉(zhuǎn)銷(xiāo)商審查到規(guī)定的級(jí)別。管理和預(yù)算辦公室（OMB）可以通過(guò)修改A-130通告將SCRM的中央權(quán)力分配給總務(wù)管理局（GSA）、美國(guó)國(guó)土安全部（DHS）或另一個(gè)聯(lián)邦機(jī)構(gòu)。該SCRM中心將提供全面權(quán)威的數(shù)據(jù)和持續(xù)監(jiān)測(cè)，減少對(duì)特定機(jī)構(gòu)SCRM的需求，并使各機(jī)構(gòu)能夠?qū)⑵涔ぷ髦攸c(diǎn)放在特定配置和實(shí)施情況上，機(jī)構(gòu)如何使用技術(shù)直接關(guān)系到它們?nèi)绾螒?yīng)用風(fēng)險(xiǎn)緩解措施。最后，這樣一個(gè)辦公室需要在非保密的世界中運(yùn)作，同時(shí)與保密環(huán)境有直接聯(lián)系和追溯權(quán)，以確保其與已知威脅保持一致。

3.3 將聯(lián)邦法規(guī)條例與撥款掛鉤

在修改政策的同時(shí)，國(guó)會(huì)應(yīng)將政策修訂與確保聯(lián)邦機(jī)構(gòu)以可審計(jì)的方式采取行動(dòng)的籌資戰(zhàn)略，兩者聯(lián)系起來(lái)。一項(xiàng)建議是擴(kuò)大Wolf條款，或者是《綜合和進(jìn)一步持續(xù)撥款法》的第515條，以適用于所有聯(lián)邦機(jī)構(gòu)和實(shí)體。近期的一個(gè)機(jī)會(huì)是將本法規(guī)的SCRM要求與機(jī)構(gòu)為2017年《政府技術(shù)現(xiàn)代化法》提供的資金聯(lián)系起來(lái)，要求對(duì)新的信通技術(shù)投資和現(xiàn)代化努力進(jìn)行SCRM計(jì)劃審查。該規(guī)定的一個(gè)改進(jìn)是要求各機(jī)構(gòu)每年提交：（1）關(guān)于其已建立的SCRM計(jì)劃的信息；（2）在該計(jì)劃內(nèi)開(kāi)展的活動(dòng)；（3）使用的緩解措施。這些年度報(bào)告將有助于為所有聯(lián)邦政府實(shí)體建立一個(gè)“最佳實(shí)踐庫(kù)”，提高信息共享和對(duì)不斷變化的風(fēng)險(xiǎn)的認(rèn)識(shí)。目前的報(bào)告是以合規(guī)為導(dǎo)向的，對(duì)共享信息或提高聯(lián)邦信通技術(shù)網(wǎng)絡(luò)的安全狀況沒(méi)有任何作用。

3.4 促進(jìn)供應(yīng)鏈透明度和與工業(yè)界伙伴關(guān)系

供應(yīng)鏈透明度提高了聯(lián)邦信通技術(shù)供應(yīng)鏈的安全性，使聯(lián)邦政府能夠負(fù)責(zé)任和安全地獲取信息，并提高了政府在供應(yīng)鏈攻擊不斷的環(huán)境中應(yīng)對(duì)和減少網(wǎng)絡(luò)安全事件影響的能力。與對(duì)國(guó)家安全的影響直接相關(guān)的是，聯(lián)邦政府應(yīng)根據(jù)戴爾、惠普和微軟等公司已經(jīng)采取的行動(dòng)，促進(jìn)聯(lián)邦信通技術(shù)提供商以及初級(jí)或一級(jí)供應(yīng)商的公開(kāi)上市，或至少向政府客戶披露這些信息，作為其公司責(zé)任努力的一部分。政府還應(yīng)根據(jù)所需的風(fēng)險(xiǎn)管理嚴(yán)格程度（并非所有計(jì)劃和供應(yīng)商都存在相同程度的風(fēng)險(xiǎn)，因此可能不需要這種程度的透明度），推動(dòng)自身供應(yīng)鏈中的所有供應(yīng)商實(shí)現(xiàn)透明度。雖然應(yīng)制定審計(jì)措施以確保透明度，但這些信息并不總是需要公開(kāi)發(fā)布。在采取這些措施時(shí)，決策者應(yīng)借鑒以往供應(yīng)鏈透明度的努力，例如2010年《多德·弗蘭克華爾街改革和消費(fèi)者保護(hù)法》第1502條，該條要求一些公司記錄其"沖突礦物"（conflict minerals）供應(yīng)商，以便限制美國(guó)從助長(zhǎng)剛果民主共和國(guó)沖突的行為體方采購(gòu)，以此來(lái)減少剛果民主共和國(guó)境內(nèi)的暴力行為。通過(guò)行業(yè)合作和信息共享，政府客戶和行業(yè)將提高對(duì)多層供應(yīng)商關(guān)系中存在的風(fēng)險(xiǎn)以及已存的潛在有效配置的認(rèn)識(shí)。

3.5 制定前瞻性政策

與其中運(yùn)行的固件和軟件相比，任何信通技術(shù)組件的物理結(jié)構(gòu)越來(lái)越不重要。未來(lái)的風(fēng)險(xiǎn)將涉及軟件、基于云的基礎(chǔ)架構(gòu)和超融合產(chǎn)品（hyper-converged products），而不是硬件。供應(yīng)商、供應(yīng)商或制造商的業(yè)務(wù)聯(lián)盟、投資來(lái)源以及聯(lián)合研發(fā)也是風(fēng)險(xiǎn)的來(lái)源，但傳統(tǒng)的SCRM中并不總是涵蓋這些風(fēng)險(xiǎn)。識(shí)別這些風(fēng)險(xiǎn)并創(chuàng)造性地解決它們，作為供應(yīng)鏈風(fēng)險(xiǎn)管理適應(yīng)性方法的一部分，對(duì)于聯(lián)邦政策的成功非常重要。

4.對(duì)我有關(guān)啟示

對(duì)于我國(guó)來(lái)說(shuō)，主要可以從產(chǎn)業(yè)競(jìng)爭(zhēng)力、國(guó)家大戰(zhàn)略和未來(lái)主導(dǎo)權(quán)三個(gè)角度來(lái)考慮：

4.1 高度重視并提升我國(guó)ICT產(chǎn)業(yè)自身供應(yīng)鏈安全等級(jí)

鑒于中國(guó)在全球ICT供應(yīng)鏈中的角色近期內(nèi)不太可能發(fā)生重大改變，美國(guó)希望建立的自適應(yīng)SCRM流程和SCRM集中領(lǐng)導(dǎo)也不可能完全排除包括中國(guó)在內(nèi)的IT產(chǎn)品網(wǎng)絡(luò)供應(yīng)商和增殖轉(zhuǎn)銷(xiāo)商。但為了其自身的政治經(jīng)濟(jì)利益和國(guó)家安全，美國(guó)將會(huì)進(jìn)一步提升產(chǎn)品供應(yīng)鏈的安全審查等級(jí)。但是這一審查并不保密，而且為了達(dá)到理想的效果，必須建立協(xié)作與信息共享機(jī)制。因此一方面，中國(guó)的ICT產(chǎn)業(yè)供應(yīng)鏈商應(yīng)當(dāng)主動(dòng)提高自身的安全等級(jí)，另一方面，還要高度重視并提升產(chǎn)品抵御全球供應(yīng)鏈風(fēng)險(xiǎn)的能力，要盡早建立起包括產(chǎn)品和行為體在內(nèi)（其他層級(jí)供應(yīng)商、其他供應(yīng)實(shí)體）的全周期、可追溯的風(fēng)險(xiǎn)檔案與風(fēng)險(xiǎn)管理預(yù)案機(jī)制。

4.2 要立足我國(guó)國(guó)家戰(zhàn)略利益進(jìn)一步促進(jìn)全球供應(yīng)鏈與供應(yīng)鏈伙伴關(guān)系的透明度

SCRM國(guó)家戰(zhàn)略鼓勵(lì)主要或一級(jí)供應(yīng)商向美國(guó)聯(lián)邦信通技術(shù)供應(yīng)商公開(kāi)披露信息，并在必要時(shí)促進(jìn)所有供應(yīng)商的透明度，以確保系統(tǒng)或供應(yīng)商處于特定風(fēng)險(xiǎn)或影響水平。對(duì)于我國(guó)來(lái)說(shuō)，一方面需要依靠自身供應(yīng)鏈的追溯和管理以及與其他層級(jí)供應(yīng)鏈商和實(shí)體進(jìn)行的配合，同時(shí)可以借由此次機(jī)會(huì)，進(jìn)一步促進(jìn)全球ICT供應(yīng)鏈與供應(yīng)鏈伙伴關(guān)系的透明度提升，以此開(kāi)拓并擴(kuò)展我國(guó)ICT產(chǎn)品的全球供應(yīng)鏈業(yè)務(wù)。

4.3 提前關(guān)注來(lái)自軟件供應(yīng)鏈的風(fēng)險(xiǎn)管理并搶占規(guī)則制定主導(dǎo)權(quán)

此次報(bào)告中指出，未來(lái)供應(yīng)鏈的風(fēng)險(xiǎn)可能更多涉及軟件、基于云的基礎(chǔ)架構(gòu)和超融合產(chǎn)品。因此未來(lái)不僅在硬件方面，軟件以及軟硬件之間的互通互構(gòu)都將進(jìn)入ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的范疇。因此我國(guó)應(yīng)當(dāng)提前布局，盡早建立一套自主研發(fā)用于監(jiān)測(cè)、識(shí)別、分析、儲(chǔ)存、預(yù)警、治理的“未來(lái)ICT供應(yīng)鏈風(fēng)險(xiǎn)管控體系”，搶占技術(shù)風(fēng)口與先機(jī)。這一系列的標(biāo)準(zhǔn)和規(guī)范形成體系之后，還可以尋求成為國(guó)際標(biāo)準(zhǔn)，占據(jù)未來(lái)ICT供應(yīng)鏈上游的規(guī)則制定主導(dǎo)權(quán)。