淺析重要網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全風(fēng)險監(jiān)管

李璐

摘 要：2018年4月16日美國制裁中興通訊事件再次為我國相關(guān)產(chǎn)業(yè)敲響警鐘，提高國家核心技術(shù)競爭力已迫在眉睫。在各行業(yè)實現(xiàn)完全自主可控的過渡階段，ICT供應(yīng)鏈的安全可控應(yīng)作為重要網(wǎng)絡(luò)產(chǎn)品安全風(fēng)險監(jiān)管重點，通過加強安全合規(guī)審查和安全評測，完善我國重要網(wǎng)絡(luò)產(chǎn)品安全管理制度。論文通過剖析最新ICT供應(yīng)鏈安全事件、分析國外對ICT供應(yīng)鏈安全管理開展的工作，并借鑒其先行理念及經(jīng)驗，結(jié)合我國信息安全管理現(xiàn)狀，對我國重要網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全管理提出建議。

關(guān)鍵詞：網(wǎng)絡(luò)產(chǎn)品；ICT供應(yīng)鏈；安全風(fēng)險監(jiān)管

中圖分類號：TP393.08 文獻標(biāo)識碼：A

1 引言

隨著ICT產(chǎn)業(yè)的全球化發(fā)展，ICT供應(yīng)鏈具備全球分布性、供應(yīng)商多樣性等特點，同時也帶來惡意篡改、供應(yīng)中斷、信息泄露等更多不透明、不可控的安全隱患。產(chǎn)品自身的安全檢測已經(jīng)無法全面反映其整體安全可控性實際情況，產(chǎn)品周邊、供應(yīng)鏈上下游存在的安全隱患已然是威脅產(chǎn)品安全可控的重要因素。

2 ICT供應(yīng)鏈現(xiàn)狀

信息和通信技術(shù)供應(yīng)鏈（Information and Communications Technology Supply Chain Management，簡稱ICT供應(yīng)鏈）包含了軟、硬件供應(yīng)鏈[1]，通常涵蓋產(chǎn)品的采購、開發(fā)、外包、集成等環(huán)節(jié)，涉及到制造商、供應(yīng)商、系統(tǒng)集成商、服務(wù)提供商等多類實體以及技術(shù)、法律、政策等軟環(huán)境。

自主可控分為芯片、軟件、整機、外設(shè)四大類領(lǐng)域，目前我國在整機方面發(fā)展勢頭較好，但在上游核心芯片研發(fā)、制造方面卻存在明顯短板，主要依賴進口。據(jù)萬得資訊統(tǒng)計，2017年，我國集成電路進口額高達2601.4億美元，增長14.6%，創(chuàng)歷年新高，約占世界的68.8%，是全球最大的消費國，集成電路主要核心技術(shù)仍被歐美和日本所壟斷。

3 ICT供應(yīng)鏈風(fēng)險事件

隨著ICT供應(yīng)鏈全球化發(fā)展，供應(yīng)鏈的組成變得復(fù)雜，風(fēng)險問題越發(fā)難以透明和控制，包含了各實體及軟環(huán)境存在的潛在威脅，如對上游供應(yīng)商、服務(wù)商強依賴性而存在斷供、斷服的高風(fēng)險；受知識產(chǎn)權(quán)、國際及貿(mào)易法律等軟環(huán)境約束、沖突而導(dǎo)致的未知風(fēng)險；供應(yīng)鏈中數(shù)據(jù)管理能力較弱帶來的信息泄露風(fēng)險等。

3.1 中興上游芯片斷供事件

美國商務(wù)部在2018年4月16日宣布，7年內(nèi)將禁止美國公司向中興通訊銷售零部件、商品、軟件和技術(shù)。據(jù)賽迪智庫調(diào)查顯示，中興通訊在4G及以上基帶、射頻芯片、模擬芯片、10G /40G /100G等中高端光交換和光復(fù)用芯片、100G等高端交換路由芯片、以太網(wǎng)PHY和高速接口芯片、高速FPGA芯片都有來自美國廠商的供應(yīng)。在此次禁售的通訊元件包括無線網(wǎng)絡(luò)產(chǎn)品中使用的基站芯片方面，中興通訊自給率是零。

作為我國第二大通信設(shè)備制造商、全球領(lǐng)先的綜合通信解決方案提供商，由于中興通訊主要業(yè)務(wù)領(lǐng)域嚴(yán)重依賴國外芯片，此次制裁將對中興通訊造成嚴(yán)重打擊，同時對我國通信產(chǎn)業(yè)發(fā)展造成一定影響[2]。

3.2 敏感技術(shù)投資并購失敗事件

2016年11月美國總統(tǒng)奧巴馬發(fā)布行政命令，叫停中國宏芯投資基金對德國半導(dǎo)體企業(yè)愛思強（Aixtron）的收購。事件緣由是美國外國投資委員會（CFIUS）介入調(diào)查，且對調(diào)查結(jié)論宣稱，宏芯基金收購愛思強后存在將其技術(shù)應(yīng)用于國家軍事方面的可能，同時美國國防部的重要合作軍火商是愛思強的下游客戶，該收購行為將對美國武器裝備供應(yīng)鏈造成不可控影響，對美國國家安全威脅[3]。

半導(dǎo)體屬于高科技領(lǐng)域敏感技術(shù)，中國企業(yè)在海外該領(lǐng)域的投資并購屢受政治干預(yù)。目前，美國政府已經(jīng)將中國作為強勁對手，擬針對中國投資啟動《國際緊急經(jīng)濟權(quán)力法案》，對中國投資實施新的限制，進一步遏制中國收購敏感技術(shù)。

3.3 亞馬遜AWS云平臺信息泄露事件

為提高供應(yīng)鏈協(xié)同管理效率，大量數(shù)據(jù)存放在專業(yè)存儲機構(gòu)，如提供數(shù)據(jù)存儲、維護的云服務(wù)商，但由于相關(guān)服務(wù)商對數(shù)據(jù)管理能力參差不齊，易發(fā)生數(shù)據(jù)的非法使用、泄露等情況，進而給ICT供應(yīng)鏈上下游帶來安全威脅。如2017年6月21日，美國共和黨全國委員會（RNC）合作的數(shù)據(jù)分析商放在亞馬遜AWS上的1.1 TB數(shù)據(jù)發(fā)生泄露。其中包含超過1.98億名美國選民的敏感個人資料，甚至還包括政治團體采用的先進的數(shù)據(jù)分析來預(yù)測個人選民如何處理熱門問題。

數(shù)據(jù)及相關(guān)服務(wù)是ICT產(chǎn)業(yè)中重要組成部分，其精準(zhǔn)畫像及趨勢預(yù)測為各相關(guān)機構(gòu)發(fā)展起到?jīng)Q策性作用，因此大數(shù)據(jù)不僅意味著海量的數(shù)據(jù)，通過加以分析、處理、挖掘可得到更為復(fù)雜、敏感的信息，一旦大量數(shù)據(jù)泄露，且不被用戶所知用途的處理和分析，將對個人，乃至公共安全、國家安全造成威脅。

4 國內(nèi)信息產(chǎn)品安全監(jiān)管現(xiàn)狀

4.1 市場準(zhǔn)入檢測工作

在信息安全管理方面，我國主要以市場準(zhǔn)入形式對產(chǎn)品開展檢測，如工信部頒布的《中華人民共和國電信條例》、公安部的《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》等，但多側(cè)重功能符合性檢測，即對照信息系統(tǒng)安全標(biāo)準(zhǔn)要求對信息技術(shù)、產(chǎn)品實現(xiàn)進行檢測，通過對信息技術(shù)、產(chǎn)品各部件不同安全功能實現(xiàn)的檢測及其數(shù)據(jù)的科學(xué)分析，得出信息系統(tǒng)安全保護實現(xiàn)與標(biāo)準(zhǔn)規(guī)定等級要求的一致性結(jié)果[4]。

由于市場準(zhǔn)入檢測工作多側(cè)重于合規(guī)性評定，缺少對產(chǎn)品特有功能中可能存在的后門、未知漏洞、隱藏功能、潛在隱患的挖掘及分析等深度安全評估工作；同時，現(xiàn)行工作主要圍繞產(chǎn)品自身生命周期展開檢測，缺少產(chǎn)品周邊情況分析，如供應(yīng)鏈上下游安全調(diào)查、評估等多角度、綜合性分析工作，因此在產(chǎn)品安全可控性結(jié)論的全面性存在一定欠缺。

4.2 網(wǎng)絡(luò)安全審查工作

2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》頒布，第三十五條明確指出“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”。國家網(wǎng)信辦針對此條款制定了詳細(xì)落地方案，即出臺了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（以下簡稱“辦法”）。該《辦法》第二條明確指出，針對“關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查”，同時，《辦法》第四條內(nèi)容明確了網(wǎng)絡(luò)安全審查重點，其中就包含“產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險”。因此，網(wǎng)絡(luò)安全審查針對一定產(chǎn)品及服務(wù)范圍構(gòu)建了相應(yīng)的供應(yīng)鏈安全監(jiān)管制度。

5 國外對ICT供應(yīng)鏈安全管理工作

5.1 通過頒布法律法規(guī)上升至國家安全戰(zhàn)略

美國最早提出供應(yīng)鏈安全問題，并緊隨ICT產(chǎn)業(yè)全球化發(fā)展趨勢頒布了系列相關(guān)政策，2007年美國國土安全部發(fā)布了《增強國際供應(yīng)鏈安全的國家戰(zhàn)略》；2008年1月布什政府發(fā)布了54號國家安全總統(tǒng)令（NSPD54）/23號國土安全總統(tǒng)令 （HSPD）。該計劃的第11章節(jié)重點針對全球供應(yīng)鏈安全問題倡議建立全方位的風(fēng)險管理體系[5]；2012年2月，奧巴馬總統(tǒng)簽發(fā)《全球供應(yīng)鏈安全國家戰(zhàn)略》，力求通過加強全球供應(yīng)鏈管理，構(gòu)建可承受不斷變化的威脅和危害，并可從中迅速恢復(fù)的全球供應(yīng)鏈系統(tǒng)。

歐盟對ICT供應(yīng)鏈安全管理同樣非常重視，已將其上升至國家安全戰(zhàn)略高度。2015年歐洲網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布《供應(yīng)鏈完整性（Supply Chain Integrity）》為歐盟成員國提供安全管理指導(dǎo)，該報告提出供應(yīng)鏈?zhǔn)瞧髽I(yè)成功和國家經(jīng)濟發(fā)展的關(guān)鍵因素，而完整性是供應(yīng)鏈管理的關(guān)鍵要素。

5.2 完善標(biāo)準(zhǔn)指南提供管理指導(dǎo)

國際標(biāo)準(zhǔn)化組織針對ICT供應(yīng)鏈制定了ISO/IEC 27036標(biāo)準(zhǔn)體系文件《信息技術(shù) 安全技術(shù) 供應(yīng)商關(guān)系的信息安全》。該體系文件由多個標(biāo)準(zhǔn)簇集合而成，目的是為組織戰(zhàn)略目標(biāo)和商業(yè)需求提供安全指導(dǎo)，降低對供應(yīng)商的過度依賴。該體系文件分為四個部分，其中第三部分ISO/IEC 27036-3 “ICT供應(yīng)鏈安全指南”從實施層面為ICT供應(yīng)鏈安全風(fēng)險管理提供操作規(guī)范和管理實踐[6]。

隨著美國對ICT供應(yīng)鏈安全管理研究的不斷投入，已經(jīng)逐漸形成較為完善的ICT供應(yīng)鏈安全管理體系，2013年美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布NIST SP800-161《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險管理指南》[7]。該指南旨在為聯(lián)邦機構(gòu)建立ICT供應(yīng)鏈安全風(fēng)險控制流程，幫助其識別、評估、實施風(fēng)險管控并形成最佳實踐、緩解ICT供應(yīng)鏈中的風(fēng)險。該指南提出ICT供應(yīng)鏈風(fēng)險的來源為三個方面：一是現(xiàn)有系統(tǒng)（或產(chǎn)品）脆弱性 / 漏洞引起的 ICT 供應(yīng)鏈風(fēng)險；二是生產(chǎn)制造、開發(fā)水平低導(dǎo)致的風(fēng)險；三是ICT供應(yīng)鏈全球化帶來的風(fēng)險[8]。

5.3 對信息技術(shù)供應(yīng)鏈實施嚴(yán)格的安全審查制度

美國為維持本國的技術(shù)與產(chǎn)業(yè)優(yōu)勢，于1988年設(shè)立美國外國投資委員會（CFIUS），該機構(gòu)由國務(wù)院、商務(wù)部、國防部、財政部、司法部、國土安全部、能源部等多部門組成，根據(jù)《?？松?佛羅里奧修正案》[9]《外商投資與國家安全法（FINSA）》[10] 《外國投資風(fēng)險審查現(xiàn)代化法案（FIRRMA）》，針對涉及國防、高科技領(lǐng)域等外商投資交易開展國家安全審查，并可建議總統(tǒng)否決該交易，進一步維護其國家安全及企業(yè)的競爭力。

在重要領(lǐng)域和行業(yè)，美國國防部根據(jù)《國防授權(quán)法案》《供應(yīng)鏈風(fēng)險要求》對國防領(lǐng)域采購中的IT供應(yīng)鏈安全開展專項審查，將 “供應(yīng)鏈風(fēng)險”作為選擇合同商的評估重點。同時，國防部采取這些措施時不必向承包商披露具體原因，也不接受對投標(biāo)決定的申訴[11]。

6 對我國重要網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全監(jiān)管的建議

6.1 加強網(wǎng)絡(luò)重要產(chǎn)品供應(yīng)鏈安全管理戰(zhàn)略研究

提升重要網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全戰(zhàn)略地位，加快ICT供應(yīng)鏈安全戰(zhàn)略研究和安全管理體系建設(shè)，完善ICT供應(yīng)鏈安全管理政策、法規(guī)，提供該領(lǐng)域上層管理導(dǎo)向及最基本的保障；借鑒國際ICT供應(yīng)鏈安全管理標(biāo)準(zhǔn)，并結(jié)合我國ICT產(chǎn)業(yè)特點，加快推動我國ICT供應(yīng)鏈安全管理標(biāo)準(zhǔn)和指南出臺，指導(dǎo)重點領(lǐng)域行業(yè)開展相關(guān)工作。

6.2 完善網(wǎng)絡(luò)重要產(chǎn)品供應(yīng)鏈安全管理制度

實施重要網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全監(jiān)管、多制度協(xié)同工作。

一是多角度加強市場準(zhǔn)入、行業(yè)準(zhǔn)入的安全要求。結(jié)合我國現(xiàn)有信息安全管理制度，完善ICT供應(yīng)鏈安全管理要求及強制條款，尤其是關(guān)鍵基礎(chǔ)設(shè)施中的產(chǎn)品，將其采購、使用管理納入風(fēng)險評估環(huán)節(jié)。

二是將ICT供應(yīng)鏈安全作為審查重點。借鑒國外針對供應(yīng)鏈開展的審查內(nèi)容，將ICT供應(yīng)鏈納入國家網(wǎng)絡(luò)安全審查及各行業(yè)相關(guān)安全審查工作，提高國家網(wǎng)絡(luò)安全對抗能力。

三是提高技術(shù)防范能力，培養(yǎng)充足的人才資源、儲備對大型供應(yīng)商的產(chǎn)品及服務(wù)安全風(fēng)險評估能力，進而在各重點行業(yè)領(lǐng)域有針對性的開展供應(yīng)鏈安全風(fēng)險評估工作。

6.3 構(gòu)建網(wǎng)絡(luò)重要產(chǎn)品安全可控生態(tài)體系

隨著ICT供應(yīng)鏈全球化加劇，供應(yīng)商遍布全球各地，供應(yīng)關(guān)系錯綜復(fù)雜。在加速集成產(chǎn)品的同時，應(yīng)重點關(guān)注供應(yīng)鏈良性發(fā)展的生態(tài)體系：一是加大政策、資金傾斜，鼓勵高校、研究所、企業(yè)對關(guān)鍵元器件的自主創(chuàng)新，增加ICT供應(yīng)鏈國產(chǎn)自主產(chǎn)業(yè)的占比；二是在核心技術(shù)吸收引進的現(xiàn)階段，注重關(guān)鍵部件的冗余、可替代性，減少對單一產(chǎn)品、同一國家不同產(chǎn)品的依賴；三是打造可信ICT供應(yīng)鏈，對提供重要網(wǎng)絡(luò)產(chǎn)品及服務(wù)的國家、企業(yè)及產(chǎn)品或服務(wù)自身開展可信性認(rèn)證工作，為用戶提供安全可信的供應(yīng)環(huán)境。

7 結(jié)束語

習(xí)近平主席在網(wǎng)絡(luò)安全和信息化工作座談會上提到“互聯(lián)網(wǎng)核心技術(shù)是我們最大的‘命門，核心技術(shù)受制于人是我們最大的隱患。一個互聯(lián)網(wǎng)企業(yè)即便規(guī)模再大、市值再高，如果核心元器件嚴(yán)重依賴外國，供應(yīng)鏈的‘命門掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經(jīng)不起風(fēng)雨，甚至?xí)豢耙粨簟！币虼耍匾W(wǎng)絡(luò)產(chǎn)品的核心部件、元器件立足自主創(chuàng)新是建設(shè)網(wǎng)絡(luò)強國必經(jīng)之路。目前，部分核心領(lǐng)域技術(shù)仍處于引進吸收階段，在完全實現(xiàn)自主可控目標(biāo)的過渡期，應(yīng)加強上游制造、中游設(shè)計、下游封裝整條產(chǎn)品供應(yīng)鏈的技術(shù)防范及管理工作，降低網(wǎng)絡(luò)重要產(chǎn)品供應(yīng)鏈風(fēng)險，構(gòu)建安全可控的信息技術(shù)體系。

參考文獻

[1] 倪光南，陳曉樺，尚燕敏，王海龍，徐克付.國外ICT供應(yīng)鏈安全管理研究及建議[J].中國工程科學(xué)，2016，18（06）：104-109.

[2] 劉權(quán).2017年網(wǎng)絡(luò)安全十大發(fā)展趨勢[J].網(wǎng)絡(luò)空間安全，2017，8（01）：32-34.

[3] 張莉.美國炒作“中國網(wǎng)絡(luò)威脅論”的演變歷程、根源及對策研究[J].網(wǎng)絡(luò)空間安全，2018，9（01）：36-40+55.

[4] 馬健麗.信息系統(tǒng)安全功能符合性檢驗關(guān)鍵技術(shù)研究[D].北京郵電大學(xué)，2010.

[5] 左曉棟.美國政府IT供應(yīng)鏈安全政策和措施分析[J].信息網(wǎng)絡(luò)安全，2010（05）：10-12.

[6] ISO/IEC FDIS 27036-3， Information technology-Security techniques-Information security for supplier relationships-Part 3： Guidelines for ICT supply chain security[S].

[7] NIST Special Publication 800-161，《Supply Chain Risk Management Practices for Federal Information Systems and Organizations》 [S].

[8] 張偉麗.美國《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險管理指南》研究[J].中國信息安全，2016（05）：89-93.

[9] 肖光恩.美國“?？松鹆_里奧”條款發(fā)展演變的趨勢與我國的對策[A].中國美國經(jīng)濟學(xué)學(xué)會.全國美國經(jīng)濟學(xué)會第八屆會員代表大會論文集[C].中國美國經(jīng)濟學(xué)學(xué)會，2007：13.

[10] 張楠.論美國對外國投資安全審查的法律制度[D].復(fù)旦大學(xué)，2012.

[11] 尹麗波.美國安全審查概況[J].中國信息安全，2014（08）：78-81.