陳曉樺:ICT供應鏈安全,我國該如何管理?
鑒于國家關鍵基礎設施和重要資源(Critical Infrastructure and Key Resources, CIKR)對ICT技術的依賴,通過國家安全審查識別和控制ICT供應鏈風險成為保障國家安全的重要手段。國外的做法通常是利用與外國投資相關的國家安全審查手段,我國則是利用網絡安全審查的方式,這在我國的《國家安全法》中有所提及,網絡安全審查是國家安全審查在關鍵信息基礎設施保護方面的延伸。
一、ICT供應鏈的概念
ICT供應鏈,按照我國的國家標準GB/T36637-2018定義,即ICT 產品和服務的供應鏈,是指“為滿足供應關系通過資源和過程將需方、供方相互連接的網鏈結構,可用于將信息通信技術的產品、服務提供給需方。”而MITRE公司向美國防部(DoD)提出的供應鏈安全戰略咨詢的定義是指“從開發到將產品或服務從供應商交付給客戶所涉及的組織、人員、活動、信息和資源系統。供應鏈‘活動’或‘運營’涉及:將原材料、組件和知識產權轉化為產品,交付給最終客戶;與供應商、中間人和第三方服務提供商進行必要的協調和協作。”
2019年5月2日,32個國家的代表在布拉格召開了5G安全準則討論會。
從對供應鏈安全管理的認識上看,美國很多的技術標準內容要比我國的更加豐富和全面。供應鏈結構通常是多級的,一般來說供應鏈有四大特點,分別是全球分布性、全生命周期、產品服務復雜和供應商多樣性,其中全生命周期十分復雜,涵蓋了設計與開發階段、傳統供應階段和服務運維階段。例如設計、開發、采購、生產、倉儲、物流、銷售、維護、召回等,而每個環節都有可能被篡改或控制,因此供應鏈安全問題是全世界很多國家都非常重視的。2019年5月初,包括歐盟和北約成員國在內的30多個國家代表在布拉格舉行5G網絡安全會議,并達成“布拉格提案”,表示希望與會各方找到保障5G網絡安全的辦法。該提案中就提到了供應鏈安全問題,認為“所有利益相關方的共同責任應該推動供應鏈安全。通信基礎設施的運營商通常依賴于其他供應商的技術,主要的安全風險來自提供ICT設備的日益全球化的供應鏈的跨境復雜性。應根據相關信息將這些風險視為風險評估的一部分,并設法防止受損設備的擴散以及惡意代碼和功能的使用。”這里也專門提到了ICT供應鏈的全球化和跨境復雜性。
二、ICT供應鏈安全風險
ICT供應鏈面臨的安全風險主要來源于安全威脅和安全脆弱性。首先,安全風險主要包括惡意篡改、假冒偽劣、供應中斷、信息泄露、違規操作和其他方面的威脅。例如惡意篡改帶來的危機,是指在ICT供應鏈的設計、開發、采購、生產、倉儲、物流、銷售、維護、返回等某一環節,對ICT產品或上游組件進行惡意篡改、植入、替換等,以嵌入包含惡意邏輯的軟件或硬件,具體威脅有惡意程序、硬件木馬、外來組件被篡改、未經授權的配置、供應信息篡改等等。而在設計之初,是設計者留有后門還是系統存在漏洞,則比較難以區分。再比如假冒偽劣,不合格產品往往會帶來嚴重的后果,當年美國的“挑戰者號”載人航天飛船就因為隔熱裝備的墊圈質量不過關而燃燒墜落。供應中斷是指由于人為或自然的原因,造成ICT產品或服務的供應量或質量下降,甚至出現ICT供應鏈中斷或終止的情況。
其次,安全脆弱性主要包含供應鏈生命周期的脆弱性和供應鏈基礎設施的脆弱性。供應鏈生命周期的脆弱性包括開發階段、供應階段和運維階段三個階段的脆弱性子集,開發階段的脆弱性體現在如未遵循安全開發流程,沒有建立完善的配置管理控制產品或組件的變更等等。供應階段的脆弱性會來源于采購時無法識別被篡改或偽造的組件,生產環境的物理安全訪問控制不嚴,采用了不可靠或不安全的倉儲商,運輸時產品被植入、篡改或替換,經銷商未經授權私自預裝程序等。近期華為被斷供一事可以理解為是供應階段的脆弱性表現,像華為這樣的廠商,其供應鏈涉及的廠家往往會有近千家,一旦供應鏈上游廠家的供應出現問題,都會對自身的供應鏈以及其下游供應鏈或客戶造成影響。
三、國外ICT供應鏈安全管理
國外ICT供應鏈安全管理可以從戰略地位、國際標準、ICT SCRM項目、軟硬件供應鏈安全、采購安全五個方面展開。
首先,國外對ICT供應鏈安全管理的戰略定位很高。以美國為例,2008年布什政府提出國家網絡安全綜合計劃(CNCI),提出建立全方位的方法來實施全球供應鏈風險管理。到2009年,奧巴馬政府指出不應局限于僅譴責國外產品和服務供應商,新的供應鏈風險管理方法勢在必行。2011年美國發布《網絡空間國際戰略》,將“與工業部門磋商,加強高科技供應鏈的安全性”作為保護網絡空間安全的優先政策。俄羅斯方面,在中俄俄提交聯合國的《信息安全國際行為準則》中,雙方強調“應當努力確保信息技術產品和服務供應鏈的安全,防止他國利用自身資源、關鍵設施、核心技術及其他優勢,削弱落后國家對信息技術的自主控制權,或威脅其政治、經濟和社會安全。”歐盟方面,提出了《供應鏈完整性》報告,指出ICT供應鏈完整性是國家經濟發展的關鍵因素,提高供應鏈完整度對公私部門的意義重大。
其次,目前在國際標準方面已經有很多關于ICT供應鏈安全的標準。比如早期的ISO 28000系列標準,還有ISO/IEC 27002、ISO/IEC 27036、ISO/IEC 15026、ISO/IEC 22O43等等。其中ISO 28000系列標準將ICT供應鏈安全的風險要素劃分為安全計劃、資產安全、人員安全、信息安全以及貨物及運輸工具安全等,安全威脅來源于入侵或控制供應鏈中的資產、供應鏈走私、信息破壞、貨物完整性、非授權使用等,另外ISO 28000系列標準也關聯了其他指南,包括ISO 28001《供應鏈安全、評估和計劃的最佳實踐—需求和指南》、ISO 28002《供應鏈恢復能力的開發--要求及使用指南》等內容。
再者,2008年為響應國家網絡安全綜合計劃CNCI)#11 “建立全方位的方法來實施全球供應鏈風險管理”,布什政府啟動了非國家安全信息系統供應鏈風險管理實踐開發計劃,即ICT SCRM項目。CNCI#11為美國聯邦機構信息系統的供應鏈風險管理提供了全面的方法。CNCI#11第二工作組(WG2)通過提供與采購決策相關的威脅、漏洞和后果的高度認識,開發協作工具,識別能減輕整個產品和服務生命周期中風險的資源,來促進SCRM。
在軟硬件供應鏈安全方面,硬件供應鏈安全與其他類型供應鏈相似,是指ICT硬件采購、設計、制造、組裝、維護到處理的一系列過程,其風險來源于ICT硬件供應鏈系統與外部環境發生資源交換,以及在與供應鏈成員進行協調與合作過程中,存在著各種內部不確定性和外部不確定性的風險因素。通常由外部風險方面的自然災害、恐怖事件、突發事件等和內部的供應中斷,如攻擊者中斷制造和交付、錯誤的運輸路線或延誤交貨、錯誤的訂單(如數量或項目錯誤)、質量等風險。軟件供應鏈安全方面,從棱鏡門事件到XcodeGhost,再從惠普驅動鍵盤記錄后門事件,到Xshell后門、python pip源欺騙性污染、VSCODE插件釣魚。軟件供應鏈安全事件頻發,且具有威脅對象種類多、極端隱蔽、涉及維度廣、攻擊成本低回報高、檢測困難等特性。軟件供應鏈可影響已交付的系統的所有方面,無論何時,只要供應鏈參與者能接觸最終的軟件代碼或系統,危及軟件供應鏈安全的風險都是存在的。
最后是采購安全。美國方面已經制定了一系列的政府規章。1998年克林頓發布的第63號總統令中指出要確定大型采購任務中與其相關的信息安全,2002年布什起草的國家安全戰略中詳細闡述了采購的步驟和過程,以及相關的標準。2008年美國戰略與國際問題研究中心(CSIS)發布了《在第44任總統任期內保護網絡空間安全》的咨詢報告,向奧巴馬總統提出了若干重要建議,其中包括“通過采購規則提高安全性”,該條建議希望政府能與工業界合作,共同制定和執行ICT產品(軟件居首要位置)采購安全指南。具體而言,美國政府的國防采購,美國國防部的ICT采購實行國防部統一領導與軍種分散實時相結合的管理模式。所謂統一領導,是指在國防部設置專門的采購、技術與后勤副國防部長一職,通管全軍ICT研發及采購事務。而分散實施,是按ICT項目的重要性及費用多少實行分類和分級管理。對于不同類別的ICT采購項目,負責采購、技術和后勤的副部長指派相應級別的決策當局進行監管。
今年5月15日,美國總統特朗普正式簽署《確保信息通信技術與服務供應鏈安全》行政令,禁止交易、使用可能對美國國家安全、外交政策和經濟構成特殊威脅的外國信息技術和服務。雖然沒有點名華為公司,但大家都知道它目前主要是針對華為公司的。
四、國內ICT供應鏈安全管理
2016年4月19日,習近平總書記在網絡安全和信息化工作座談會上指出,“互聯網核心技術是我們最大的‘命門’,核心技術受制于人是我們最大的隱患。一個互聯網企業即便規模再大、市值再高,如果核心元器件嚴重依賴外國,供應鏈的‘命門’掌握在別人手里,那就好比在別人的墻基上砌房子,再大再漂亮也可能經不起風雨,甚至會不堪一擊。”
從戰略層面,2016年我國發布了《國家網絡空間安全戰略》中,明確提出“建立實施網絡安全審查制度,加強供應鏈安全管理,對黨政機關、重點行業采購使用的重要信息技術產品和服務開展安全審查,提高產品和服務的安全性和可控性,防止產品服務提供者和其他組織利用信息技術優勢實施不正當競爭或損害用戶利益。”另外,我國也制定了ICT供應鏈安全的相關標準,如GB/T 24420-2009供應鏈風險管理指南、GB/T 31168-2014云計算服務安全能力要求、GB/T 32921-2016信息技術產品供應方行為安全準則、GB/T 22239-2008信息系統安全等級保護基本要求、GB/T 29245-2012政府部門信息安全管理基本要求。2019年5月1日正式實施的GB/T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》,正是在完整性、保密性、可用性、可控性的原則指導下制定的指南,目標使用者包括了ICT產品、服務的采購方——黨政部門、重點行業、關鍵信息基礎設施。
在經濟全球化時代,信息通信技術供應鏈存在產品和服務復雜、涉及全生命周期、供應商跨境的特點。沒有ICT供應鏈安全,就沒有國家安全。為此,應當加強我國ICT供應鏈安全管理,防止他國利用自身資源、關鍵基礎設施、核心技術及其他優勢,削弱我國對ICT技術的自主控制權,威脅我國的政治、經濟和社會安全。
為此,我們提出以下建議:
1、我國應盡快制定專門的ICT供應鏈安全管理相關法律法規,明確各方在ICT供應鏈安全管理中應當承擔的責任和義務。在今后修訂《網絡安全法》的時候,增加對ICT供應鏈安全管理的條款。并且,供應鏈管理也應該覆蓋上下游,通過與進出口許可管理制度、負面清單、不可靠實體清單等制度配合,發揮保障我國軍事、外交、以及經濟安全等方面更大的作用。
2、建立ICT供應鏈安全管理制度,實施國家ICT供應鏈全方位安全管理。建立供應鏈安全管理制度已成為國際通行做法,也是國際社會所接受的保障國家網絡安全的正當措施。
3、促進相關標準的研究制定,加大支持研究ICT供應鏈安全管理相關核心技術的力度。
