解讀《構建可信信息通信技術供應鏈》
網絡空間日光浴委員會(CSC)于 2020 年 10 月 20 日發布《國家可信信息通信技術供應鏈》報告,提出了如何保護信息和通信技術供應鏈安全的建議。報告建議國會應指導美國政府制定和實施信息通信技術產業基地戰略,以便更好地在該領域開展競爭,減少對亞洲制造業和資源的依賴, 確保更可信的供應鏈和關鍵信息通信技術的可用性,進而增強美國的安全。
一、報告發布背景
與傳統領域的實體供應鏈相比,ICT 供應鏈面臨的安全風險更為復雜多變、更為多樣化。尤其是隨著云計算、人工智能、5G 等新技術方面的發展和運用,美國對ICT 供應鏈的完整性及脆弱性表示出了越來越多的擔憂。美國認為供應鏈安全問題對于美國技術領先以及美國的經濟和國家安全的未來至關重要,因此,通過采取以下重要措施,加速構建全面、統一的供應鏈安全管理體系來保障國家網絡安全。
一是從國家層面發布了一系列提高 ICT 供應鏈安全的戰略。2016 年美國國家網絡安全促進委員會發布了《加強國家網絡安全-促進數據經濟的安全與發展》報告,提出了維護數字經濟安全與發展的十大原則,其中第九條強調了供應鏈安全的重要性;2017 年美國國土安全部提出了新供應鏈風險管理計劃,重視物理安全,旨在通過產品、服務等認證認可的方式強化供應鏈安全;2018 年美白宮公布《聯邦信息技術供應鏈風險管理改進法案》,其目標是彌補嚴格集中的情報界和國防部與相對寬松和分散的民用機構在供應鏈安全方面的投入差距。2019 年 5 月特朗普總統簽署了《確保 ICT 和服務供應鏈安全的行政令》,以保證美國 ICT 供應鏈安全,其中提出了對美國關鍵基礎設施以及對數字經濟的保護,提出了安全性以及彈性恢復能力的建設。2020 年 3 月美國網絡空間日光浴委員會呼吁美國政府采取措施減少對不可信 ICT 的嚴重依賴。目前,美國已從國家政策制定、供應鏈安全評估、供應鏈風險管理及協調機制到外商投資安全審查制度等層面,逐步形成了針對 ICT 供應鏈的深層次安全管理體系。
二是新建兩個跨部門的 ICT 供應鏈風險管理機構。2018 年 11 月,美國國土安全部(DHS)將原國家保護與規劃局(NPPD)改建為美國網絡安全與基礎設施安全局(CISA),其下設的國家風險管理中心(NRMC)成立了 ICT 供應鏈風險管理特別工作組,該工作組的 60 名成員包括來自公共和私營部門中舉足輕重的關鍵供應鏈風險管理利益相關者, 包括 20 個聯邦部門和機構,40 個信息技術領域的大型企業。特別工作組成立的目的就是要建立一個公私合作伙伴關系,審查并制定達成共識的建議, 以確定和管理全球 ICT 供應鏈的風險。ICT 供應鏈風險管理特別工作組的成立,是落實特朗普政府倡導的以“集體防御”方法來管理網絡安全風險 的舉措之一,也是國土安全部在處理來自全球的商業軟硬件產品安全漏洞 和外國間諜威脅方面大力推進工作的一部分。同年 12 月,根據《聯邦采購供應鏈安全法案 2018》創建了聯邦采購供應鏈安全理事會,為聯邦供應鏈安全制定規則,以增強聯邦采購和采購規則的網絡安全彈性。理事會主席 由管理和預算辦公室(OMB)高級官員擔任,理事會負責識別和建議 NIST 應該制定哪些標準、指南和實踐,供執行機構在評估和制定緩解策略以應 對供應鏈風險時使用。識別或制定供執行機構與其他聯邦實體和非聯邦實 體就供應鏈風險共享信息的標準,建立領導機構,負責監督信息共享過程和調查廣泛適用的承包方案,更為重要的是,聯邦采購供應鏈安全理事會還將制定內閣部長下達的排除或刪除指令的標準,禁止各機構購買某些產品,或根據供應鏈風險命令從其信息系統中刪除軟件。
三是強化 ICT 供應鏈安全保護的政策以及技術管理標準制定,將 ICT供應鏈安全落到實處。2018 年,美國國會相關議員就擬提了《保衛美國政府通訊法案》、《聯邦采購供應鏈安全法案》、《加強中小企業網絡安全的法案》、《聯邦網絡保護法案》、《外國源代碼審查法》等八部法律,強化 ICT 供應鏈安全。2019 年又推出了《國防授權法案》(NDAA 2019),允許國防部長、陸海空軍隊負責人可以在國家安全的原因下排除特定供應商,并可拒絕就相關決定做出解釋。此外,美國在 ICT 供應鏈安全方面也制定了較多標準,主要包括聯邦信息處理標準(FIPS)中的 FIPS199《聯邦信息和信息系統的安全分類標準》、FIPS200《聯邦信息和信息系統的最小安全需求》、SP800-53《聯邦信息系統和組織的安全控制措施建議》、SP800-39《計算機信息系統安全風險管理》、《聯邦信息系統和組織的供應鏈管理指南》等等,其中 SP800-161 出臺為系統集成商、供應商、采購者進行 ICT 供應鏈風險管理提供了操作方法和控制措施,在指導聯邦政府采取措施減少 ICT 供應鏈風險上發揮了重大作用。
二、報告主要內容
報告全文 50 頁,包括美國的主要依賴;從材料、半導體、ICT 設備等方面詳細描述美國高科技制造業的現狀;合作伙伴的重要性;加強美國 ICT 供應鏈的策略以及結論等五個部分內容。報告提出要通過政府審查和公私合作伙伴關系來識別關鍵技術和設備的風險;通過戰略投資確保最低可行的生產能力;通過情報、信息共享和產品測試,保護供應鏈免受損害;通過有針對性的基礎設施投資刺激國內市場,并確保公司有能力在美國提供與國外市場類似的產品;面對中國在全球市場中的反競爭行為,確保美國和合作伙伴可信供應鏈的全球競爭力。報告還建議總統建立或指定一個全國性的供應鏈情報中心,整合政府與其他公共、私營部門成員的供應鏈情報工作,構建防范供應鏈威脅的共享知識中心。最后,報告提出五大建議,包括國會應制定和實施 ICT 產業基礎戰略,制定牽頭機構將 ICT 供應鏈風險管理工作整合到國家戰略中以及建立關鍵技術產業集群等。
1 報告認為美國缺乏針對中國的 ICT 戰略
美國聯邦 IT 網絡的 95%以上的商業電子組件和 IT 系統都是由 COTS 提供支持,中國在這個全球供應網絡中的作用非常重要。中國組裝世界上大部分的消費和商業電子設備,生產內存卡等部件,并在 IT 工業容量方面占據世界主導地位,是全球最大的 IT 硬件進口商和出口商以及工作站、筆記本電腦、路由器和交換機、光纖和打印機關鍵制造地點。中國為鼓勵信息和通信技術制造和發展,實施了包括優先考慮本土生產、從跨國公司獲取特許權、利用中國公司作為國家工具、以及瞄準美國聯邦網絡和承包商網絡等長期政策,這些政策旨在確保中國自身國家安全,鼓勵外國公司在中國生產通信技術產品,同時尋求從這些公司獲得關鍵知識產權和技術的機會,最終目標是使這些技術本土化。對美國而言,這些政策則增加了其ICT 供應鏈以及國家和經濟安全所面臨的安全風險。
白皮書明確指出,美國在信息與通信技術領域缺乏對華戰略,美國國會和政府行政部門已經開始行動,但美國仍然缺乏統一的戰略來確保美國ICT 供應鏈的安全,目前美國在 ICT 供應鏈上面臨中國問題。
白皮書從經濟與國家安全的角度闡述了供應鏈安全問題。網絡空間日光浴委員會高級主管莫古思稱,美國在這方面沒有與中國開展競爭的事實帶來了安全問題。由此引發了國家安全與網絡安全問題,而這兩個問題確實難以消除。美國沒有可信賴的供應商或具有競爭性的強大而可靠的供應商網絡,這造成了一個安全問題,即美國依賴中國的制造業或在中國有制造業務的公司。從商品與服務的可信賴性及可用性的角度看,這可能是一個安全問題。
2 報告強調合作伙伴的重要性
美國政府的成功離不開私營部門,整個國家也離不開盟友和伙伴。美國必須加強與具有相同目標的合作伙伴的聯系,例如將關鍵部件的供應鏈從不受信任的國家轉移出去,或者不依賴來自不受信任國家的關鍵基礎設施技術。在建立伙伴關系時,美國需要遵從以下原則:
2. 1 加強伙伴關系的核心原則
美國應尋求更多不受中國影響的盟友或伙伴。在確定新的伙伴關系時, 美國應采取基于風險的方法,優先考慮與美國實際距離較近的國家以及在美國境內擁有設施的國家,從而減少因關閉海外貿易路線而造成中斷的可能。對于參與高科技供應鏈的新伙伴國來說,穩定性也很重要。例如,南美、東南亞或東歐的一些國家擁有良好的生產監管和經濟環境,可將制造業定位在這些國家。
“五眼聯盟”國家、北大西洋公約組織(北約)成員國、東南亞盟國和伙伴以及美洲的貿易伙伴自然是推動這一進程的重要盟友。盡管在考慮合作伙伴時,地理位置是一個重要因素,但這不是唯一的因素,美國與這些領域國家的政治和貿易關系的總體狀況對于建立可靠的關鍵技術供應并鼓勵持續創新和競爭力至關重要。
2.2 利用合作伙伴關系改善供應鏈安全
報告提出從三個方面利用合作伙伴關系來改善供應鏈安全。第一,美國應在開發關鍵技術方面加強與盟國和伙伴的合作。第二,美國應與盟國和伙伴加強在國際標準制定機構中的參與水平和領導力。第三,美國須與盟國和伙伴合作抵御中國日益增長的經濟和軍事壓力。
3 報告明確提出保障美國 ICT 供應鏈戰略
3.1 識別關鍵技術和材料
作為確保供應鏈安全和增強美國競爭力的第一步,美國政府必須與產業界、盟國、州和地方政府合作,確定關鍵設備及組裝所需的部件和材料。國會應指導國土安全部與商務部、國防部和國務院協調,通過行業咨詢和政府審查確定關鍵技術和材料。在關鍵礦物方面,內政部與其他行政機構合作制定了關鍵礦物清單。
3.2 確保最低可行的生產能力
確定關鍵技術和材料之后,美國政府必須實施最關鍵部件和成品的最低生產能力計劃,以確保在危機時刻關鍵技術和材料可用。除了建立零部件、設備的戰略儲備外,美國還應努力建立危機中關鍵零部件和設備持續生產所需的制造能力和專門知識。
盡管美國企業越來越多地將制造業轉移到其他國家以追求節約成本, 但一些高科技制造能力仍留在美國。確保最低可行制造能力的戰略首先必須以保持這種能力為中心。美國政府必須做好準備,出臺激勵措施以提高美國企業制造能力,鼓勵美國和全球企業將生產轉移到美國及其盟國。
美國政府應通過適度干預鼓勵國內高科技制造業的持續生存能力,鼓勵在美國和盟國建立經濟集群或“集聚經濟體”,使企業從規模經濟中獲益。為實現建立關鍵技術經濟集群的戰略,國會應指導商務部與國土安全部、國務院和國防部協商,對適合建設經濟集群的地區進行可行性研究。
上述舉措應與利用現有能力或鼓勵外國企業在美國建立額外或備用設施相結合,這些企業應該擁有相關的專利、專業知識和基礎設施。聯邦政府應與盟國和伙伴國政府合作,鼓勵關鍵芯片和技術制造業移出中國。
美國政府可采取兩方面舉措鼓勵企業移出中國。一是,國會可以設立專項基金,為將制造業從中國轉移到美國的企業提供獎勵。二是,《國防生產法》(DPA)第三章允許聯邦實體向私人行為者提供貸款擔保,以“支持” 能夠“創造、維持、加快、擴大、保護或恢復國防所需服務的生產和交付” 的機構。
3.3 保護供應鏈不受損害
美國及其合作伙伴可能永遠不會與中國這樣的對手完全脫鉤,美國政府應制定一項戰略,以明確供應鏈面臨的具體風險,并通過情報和信息共享以及產品測試來減輕這些風險。
減少風險和脆弱性的國內舉措
美國政府以及私營部門必須繼續參與供應鏈風險管理工作,以降低風險和脆弱性。戰略和計劃應盡可能在單一愿景下進行評估和整合。總統應指定一個牽頭機構,將民用和政府 ICT 供應鏈風險管理工作納入現行國家戰略,該機構應作為供應鏈風險管理公私伙伴關系的紐帶。
供應鏈風險情報和信息共享
美國政府須與盟國和伙伴合作,提高收集和傳播供應鏈風險情報的能力。作為 2020 財年《國防授權法》的一部分,在國家情報局長辦公室(ODNI)內成立了供應鏈和反情報風險管理工作組。國會還應指示總統建立或指定國家供應鏈情報中心,將整個聯邦政府的供應鏈情報工作與其他公共和私營合作伙伴的情報工作相結合。
設備和技術安全檢測
為深入了解供應商的安全和檢測實踐,美國政府應與開發支撐網絡和關鍵基礎設施技術的企業接洽。建立集中的研究實體來測試產品的安全性, 幫助識別漏洞和制定緩解措施,并支持驗證關鍵技術安全性的工作。CSC 已經建議國會與商務部、能源部、ODNI、國防部合作,為國土安全部指定的三個關鍵技術安全中心提供資金支持。
對關鍵或普及技術的禁令和關稅
近年來,美國尋求對部分產品實施關稅,試圖激勵企業將其供應鏈轉 移到美國。事實上,關稅未能誘使企業將供應鏈轉移到美國本土,并導致 其他國家征收代價高昂的報復性關稅,導致 2020 年美國國內生產總值(GDP)減少 0.5%。除關稅外,美國還嘗試禁止某些品牌和產品用于商業及政府用途,尤以不受信任的電信企業為目標,理由是這些企業對網絡安全構成威 脅。禁令的實施結果尚無法評估,因為一些美國盟國正在撤出被視為不可信的供應商,而其他盟國則繼續使用它們的服務。而且,盡管美國試圖說服與華為分享情報的國際盟友和合作伙伴,但未能向其提供具有成本效益的替代品。
美國在這一方面的核心戰略原則應是在 ICT 供應鏈的每個階段鼓勵使用可信賴的合作伙伴和供應商的產品,以加強終端產品及其所依賴的網絡安全。
3.4 刺激國內市場
美國政府可以采取措施刺激國內對包括網絡技術在內的關鍵技術的需求。聯邦通信委員會(FCC)應將 5G 基礎設施投資、開放與可互操作的標準結合起來,并與國防部、國家電信和信息局合作,促進更多的中頻頻段的發布,以確保電信設備的國內市場。此外,確保美國和合作伙伴企業的競爭力的關鍵是確保在美國部署的企業不必按照不同的標準制造設備。
3.5 確保全球競爭力
美國政府應采取相關舉措在國際市場上支持和促進美國以及伙伴國家的企業。為此,美國國際開發署(USAID)應與國際伙伴合作,制定數字風險影響評估報告,突出在數字化建設和電信基礎設施項目中使用不可信技術的風險。
國會應確保美國國際進出口銀行(EXIM)、發展金融公司(DFC)和美國貿易發展署(USTDA)在法律、監管方面的運作,以為美國企業構建有利于與中國國有企業競爭的融資環境。此外,美國國際開發署(USAID)、美國國防部(DFC)和美國國防部(USTDA)應制定承包商和客戶名單黑名單,包括受中國國家安全和國家情報法約束的企業,黑名單企業不得用于實施美國國際開發署(USAID)、美國國防部(DFC)和美國國防部(USTDA)資助的項目。
4 報告針對關鍵 ICT 技術建立可信供應鏈的關鍵建議
報告附件一對于為關鍵 ICT 技術建立可信供應鏈的五項關鍵建議和八項支持性建議進行了梳理和詳述,具體如下:
建議 1:國會應指導行政部門制定和實施 ICT 產業基礎戰略。
建議 2:國會應指示國土安全部與商務部、國防部、國務院以及其他部門和機構協商,通過產業協商和政府審查確定關鍵 ICT 技術和材料。
建議 3:國會應指示商務部與國土安全部、國務院、國防部協商,對適合經濟集群的地區進行可行性研究。應資助商務部與國土安全部、國務院和國防部進行協商,向候選州、市政府征集競爭性投標和申請,并確定 3-5 個關鍵技術制造業集群建設區域。
建議 3.1:聯邦政府應為新興技術的研發投資。
建議 3.2:聯邦政府應與合作伙伴和盟國政府合作,鼓勵將關鍵芯片和技術制造業移出中國。
建議 3.3:國會應指示總統對建立公私合營的國家安全企業的可行性進行研究,以吸引私人資本投資于具有戰略意義的領域。
建議 4:總統應在現行國家戰略中指定一個牽頭機構對政府 ICT 供應鏈風險管理工作進行融合、協調,并以此機構作為供應鏈風險管理公私伙伴關系的紐帶。
建議 4.1:國會應指示總統建設或指定國家供應鏈情報中心。
建議 4.2:國會應與商務部、能源部、國家情報局長辦公室(ODNI)、國防部合作,資助由國土安全部指定的三個關鍵技術安全中心。
建議 5:聯邦通信委員會(FCC)應將 5G 基礎設施投資與開放和可互操作的標準結合起來,并與國防部、國家電信和信息局合作,促進更多的中頻頻譜的發布,以確保國內電信設備市場。
建議 5.1:美國國際開發署(USAID)應與國際合作伙伴合作制定數字風險影響評估,突出在實施數字化和電信基礎設施項目時使用不可信技術的風險。
建議 5.2:國會應確保進出口銀行(EXIM)、美國國際開發金融公司
(DFC)、美國貿易發展署(USTDA)能夠在有利于與中國國有企業競爭的法律、監管和融資環境中運作,包括他們對于總部設在伙伴國和盟國的企業投資能力的支持。
建議 5.3:USAID、DFC 和 USTDA 應制定實施承包商和客戶黑名單(包括受中國國家安全和國家情報法約束的企業),黑名單企業不得實施美國國際開發署、DFC 和 USTDA 資助的項目。
三、幾點思考
1 美國已明確將 ICT 供應鏈安全問題提升到戰略高度
特朗普上臺后,供應鏈安全成為美國政府網絡安全的重中之重,美國學界、智庫、產業界在其“美國優先”的政策鼓動下,不斷炒作美國聯邦政府所存在的 ICT 供應鏈安全風險,企圖通過輿論造勢推動美國供應鏈體系的調整。美國一方面通過修改和完善其國內的供應鏈安全政策,通過頒布一系列法規來保障其供應鏈安全,另一方面將供應鏈安全作為打壓手段實現其網絡霸權。體現了美國高度重視產品供應鏈風險,將解決關鍵產品的供應鏈風險問題擺在了戰略高度。
2 美國將針對中國制定苛嚴的供應鏈審查制度
鑒于中國在全球 ICT 供應鏈中的重要角色,為了其自身的政治經濟利益和國家安全,美國將中國描繪為網絡空間的惡意國家行為體,把戰略矛頭直接對準中國。目前,美國以影響國家安全為借口,禁止我國中興、華為的信息技術產品在美國銷售,預計馬上會針對中國制定更為嚴苛的供應鏈審查制度,在供應鏈中加強對關鍵技術領域的審查與披露,加快制定信息通信產業供應鏈信任體系和戰略,加強外國投資委員會的能力,防止中國通過投資美國公司而獲得美國的技術等策略。在白宮 2020 年 5 月發布的《美國對中國的戰略方針》中,明確定調中美之間的關系是戰略競爭,指控中國廣泛參與科技竊密、惡意投資、商業網絡間諜等活動。美國將對此與盟友和同理念伙伴加強多邊合作,以鼓勵外國投資審查,更新和實施出口管制等措施,應對中國對關鍵基礎設施與供應鏈的安全威脅。
3 積極應對、構建起全方位的應對措施,化解來自美國的打壓
事實上,美國對華供應鏈的打壓態勢已然超出網絡安全產業,還在加速向醫療、教育、文化等其他領域蔓延。面對美國的嚴厲打壓,我們應建立起全方面的應對措施。
在政策層面,審視中國供應鏈對美國等國外市場的依賴度,及時做出戰略調整,完善相關法律框架,通過審慎劃定審查范圍、明確評估標準、建立透明的審查程序,使中國的供應鏈安全審查以客觀風險感知為導向而非以政治服務為目的;同時,豐富供應鏈風險管理的實踐指南、制定統一的標準體系、加強跨部門間行動上的協調、細化以風險分類為導向的差異化監管等措施,既消解外國對中國供應鏈安全的疑慮,也提升中國相對于他國供應鏈的競爭力。
在供應商層面,中國的 ICT 產業供應鏈商應當主動提高自身的安全等級,高度重視并提升產品抵御全球供應鏈風險的能力,盡早建立起包括產品和行為體在內的全周期、可追溯的風險檔案與風險管理預案機制。
在合作伙伴關系方面,按照習近平總書記的指示,共同維護全球產業鏈供應鏈穩定,維護一個多邊、開放、可信、透明、公正的國際供應鏈體系。在供應鏈安全國際規則的博弈中,中國應力圖改變單打獨斗的局面, 尋找同理念伙伴,靈活把控國際形勢,通過聯合提案、聯合聲明等方式, 增強對制定新國際規范過程的影響力,使中國的立場能被更多國家理解和接受。
4 應進一步加大研發投入,加速實現 ICT 核心技術領域的自主可控
在 ICT 領域,我們在核心技術、關鍵設備以及基礎軟硬件上仍依賴進口。因此在技術創新層面,應努力攻克各種技術難點,力求在核心技術上做到自主可控,充分發揮技術創新在供應鏈保障中的作用。特別應加大開源代碼安全檢測、漏洞挖掘、大數據分析、智能情報、動態預警等研發投入,開發出適用于供應鏈網絡安全審查、產品溯源、假冒產品排查等供應鏈網絡安全保障工作的技術手段,提升威脅監測、態勢感知和防御對抗能力,構建動態綜合安全防御體系,提出融終端防護、流量監測、邊界防御、威脅捕獲、深度分析、應急處理等在內的一體化網絡安全解決方案,最大程度保證供應鏈網絡安全。
ICT 供應鏈全球化是近百年來各國不斷發展融合的結果,已經形成相互依存、相互促進的體系。美國政府通過立法、行政手段強行改變當前全球的供應鏈現狀,阻礙遏制別國的發展壯大,只會嚴重破壞全球 ICT 供應鏈的根基,加劇 ICT 產業在供應鏈安全和技術安全領域所面臨的風險,全球范圍內的 ICT 供應鏈安全與經濟持續增長也將受此影響。利用供應鏈安全問題,損害全球經濟的發展,實現不了其維護霸權,奉行單邊主義的“私心”。
