淺析重要網絡產品供應鏈安全風險監管

李璐

摘 要：2018年4月16日美國制裁中興通訊事件再次為我國相關產業敲響警鐘，提高國家核心技術競爭力已迫在眉睫。在各行業實現完全自主可控的過渡階段，ICT供應鏈的安全可控應作為重要網絡產品安全風險監管重點，通過加強安全合規審查和安全評測，完善我國重要網絡產品安全管理制度。論文通過剖析最新ICT供應鏈安全事件、分析國外對ICT供應鏈安全管理開展的工作，并借鑒其先行理念及經驗，結合我國信息安全管理現狀，對我國重要網絡產品供應鏈安全管理提出建議。

關鍵詞：網絡產品；ICT供應鏈；安全風險監管

中圖分類號：TP393.08 文獻標識碼：A

1 引言

隨著ICT產業的全球化發展，ICT供應鏈具備全球分布性、供應商多樣性等特點，同時也帶來惡意篡改、供應中斷、信息泄露等更多不透明、不可控的安全隱患。產品自身的安全檢測已經無法全面反映其整體安全可控性實際情況，產品周邊、供應鏈上下游存在的安全隱患已然是威脅產品安全可控的重要因素。

2 ICT供應鏈現狀

信息和通信技術供應鏈（Information and Communications Technology Supply Chain Management，簡稱ICT供應鏈）包含了軟、硬件供應鏈[1]，通常涵蓋產品的采購、開發、外包、集成等環節，涉及到制造商、供應商、系統集成商、服務提供商等多類實體以及技術、法律、政策等軟環境。

自主可控分為芯片、軟件、整機、外設四大類領域，目前我國在整機方面發展勢頭較好，但在上游核心芯片研發、制造方面卻存在明顯短板，主要依賴進口。據萬得資訊統計，2017年，我國集成電路進口額高達2601.4億美元，增長14.6%，創歷年新高，約占世界的68.8%，是全球最大的消費國，集成電路主要核心技術仍被歐美和日本所壟斷。

3 ICT供應鏈風險事件

隨著ICT供應鏈全球化發展，供應鏈的組成變得復雜，風險問題越發難以透明和控制，包含了各實體及軟環境存在的潛在威脅，如對上游供應商、服務商強依賴性而存在斷供、斷服的高風險；受知識產權、國際及貿易法律等軟環境約束、沖突而導致的未知風險；供應鏈中數據管理能力較弱帶來的信息泄露風險等。

3.1 中興上游芯片斷供事件

美國商務部在2018年4月16日宣布，7年內將禁止美國公司向中興通訊銷售零部件、商品、軟件和技術。據賽迪智庫調查顯示，中興通訊在4G及以上基帶、射頻芯片、模擬芯片、10G /40G /100G等中高端光交換和光復用芯片、100G等高端交換路由芯片、以太網PHY和高速接口芯片、高速FPGA芯片都有來自美國廠商的供應。在此次禁售的通訊元件包括無線網絡產品中使用的基站芯片方面，中興通訊自給率是零。

作為我國第二大通信設備制造商、全球領先的綜合通信解決方案提供商，由于中興通訊主要業務領域嚴重依賴國外芯片，此次制裁將對中興通訊造成嚴重打擊，同時對我國通信產業發展造成一定影響[2]。

3.2 敏感技術投資并購失敗事件

2016年11月美國總統奧巴馬發布行政命令，叫停中國宏芯投資基金對德國半導體企業愛思強（Aixtron）的收購。事件緣由是美國外國投資委員會（CFIUS）介入調查，且對調查結論宣稱，宏芯基金收購愛思強后存在將其技術應用于國家軍事方面的可能，同時美國國防部的重要合作軍火商是愛思強的下游客戶，該收購行為將對美國武器裝備供應鏈造成不可控影響，對美國國家安全威脅[3]。

半導體屬于高科技領域敏感技術，中國企業在海外該領域的投資并購屢受政治干預。目前，美國政府已經將中國作為強勁對手，擬針對中國投資啟動《國際緊急經濟權力法案》，對中國投資實施新的限制，進一步遏制中國收購敏感技術。

3.3 亞馬遜AWS云平臺信息泄露事件

為提高供應鏈協同管理效率，大量數據存放在專業存儲機構，如提供數據存儲、維護的云服務商，但由于相關服務商對數據管理能力參差不齊，易發生數據的非法使用、泄露等情況，進而給ICT供應鏈上下游帶來安全威脅。如2017年6月21日，美國共和黨全國委員會（RNC）合作的數據分析商放在亞馬遜AWS上的1.1 TB數據發生泄露。其中包含超過1.98億名美國選民的敏感個人資料，甚至還包括政治團體采用的先進的數據分析來預測個人選民如何處理熱門問題。

數據及相關服務是ICT產業中重要組成部分，其精準畫像及趨勢預測為各相關機構發展起到決策性作用，因此大數據不僅意味著海量的數據，通過加以分析、處理、挖掘可得到更為復雜、敏感的信息，一旦大量數據泄露，且不被用戶所知用途的處理和分析，將對個人，乃至公共安全、國家安全造成威脅。

4 國內信息產品安全監管現狀

4.1 市場準入檢測工作

在信息安全管理方面，我國主要以市場準入形式對產品開展檢測，如工信部頒布的《中華人民共和國電信條例》、公安部的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》等，但多側重功能符合性檢測，即對照信息系統安全標準要求對信息技術、產品實現進行檢測，通過對信息技術、產品各部件不同安全功能實現的檢測及其數據的科學分析，得出信息系統安全保護實現與標準規定等級要求的一致性結果[4]。

由于市場準入檢測工作多側重于合規性評定，缺少對產品特有功能中可能存在的后門、未知漏洞、隱藏功能、潛在隱患的挖掘及分析等深度安全評估工作；同時，現行工作主要圍繞產品自身生命周期展開檢測，缺少產品周邊情況分析，如供應鏈上下游安全調查、評估等多角度、綜合性分析工作，因此在產品安全可控性結論的全面性存在一定欠缺。

4.2 網絡安全審查工作

2017年6月1日《中華人民共和國網絡安全法》頒布，第三十五條明確指出“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。國家網信辦針對此條款制定了詳細落地方案，即出臺了《網絡產品和服務安全審查辦法（試行）》（以下簡稱“辦法”）。該《辦法》第二條明確指出，針對“關系國家安全的網絡和信息系統采購的重要網絡產品和服務，應當經過網絡安全審查”，同時，《辦法》第四條內容明確了網絡安全審查重點，其中就包含“產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈安全風險”。因此，網絡安全審查針對一定產品及服務范圍構建了相應的供應鏈安全監管制度。

5 國外對ICT供應鏈安全管理工作

5.1 通過頒布法律法規上升至國家安全戰略

美國最早提出供應鏈安全問題，并緊隨ICT產業全球化發展趨勢頒布了系列相關政策，2007年美國國土安全部發布了《增強國際供應鏈安全的國家戰略》；2008年1月布什政府發布了54號國家安全總統令（NSPD54）/23號國土安全總統令 （HSPD）。該計劃的第11章節重點針對全球供應鏈安全問題倡議建立全方位的風險管理體系[5]；2012年2月，奧巴馬總統簽發《全球供應鏈安全國家戰略》，力求通過加強全球供應鏈管理，構建可承受不斷變化的威脅和危害，并可從中迅速恢復的全球供應鏈系統。

歐盟對ICT供應鏈安全管理同樣非常重視，已將其上升至國家安全戰略高度。2015年歐洲網絡與信息安全局（ENISA）發布《供應鏈完整性（Supply Chain Integrity）》為歐盟成員國提供安全管理指導，該報告提出供應鏈是企業成功和國家經濟發展的關鍵因素，而完整性是供應鏈管理的關鍵要素。

5.2 完善標準指南提供管理指導

國際標準化組織針對ICT供應鏈制定了ISO/IEC 27036標準體系文件《信息技術 安全技術 供應商關系的信息安全》。該體系文件由多個標準簇集合而成，目的是為組織戰略目標和商業需求提供安全指導，降低對供應商的過度依賴。該體系文件分為四個部分，其中第三部分ISO/IEC 27036-3 “ICT供應鏈安全指南”從實施層面為ICT供應鏈安全風險管理提供操作規范和管理實踐[6]。

隨著美國對ICT供應鏈安全管理研究的不斷投入，已經逐漸形成較為完善的ICT供應鏈安全管理體系，2013年美國國家標準與技術研究院發布NIST SP800-161《聯邦信息系統供應鏈風險管理指南》[7]。該指南旨在為聯邦機構建立ICT供應鏈安全風險控制流程，幫助其識別、評估、實施風險管控并形成最佳實踐、緩解ICT供應鏈中的風險。該指南提出ICT供應鏈風險的來源為三個方面：一是現有系統（或產品）脆弱性 / 漏洞引起的 ICT 供應鏈風險；二是生產制造、開發水平低導致的風險；三是ICT供應鏈全球化帶來的風險[8]。

5.3 對信息技術供應鏈實施嚴格的安全審查制度

美國為維持本國的技術與產業優勢，于1988年設立美國外國投資委員會（CFIUS），該機構由國務院、商務部、國防部、財政部、司法部、國土安全部、能源部等多部門組成，根據《埃克森-佛羅里奧修正案》[9]《外商投資與國家安全法（FINSA）》[10] 《外國投資風險審查現代化法案（FIRRMA）》，針對涉及國防、高科技領域等外商投資交易開展國家安全審查，并可建議總統否決該交易，進一步維護其國家安全及企業的競爭力。

在重要領域和行業，美國國防部根據《國防授權法案》《供應鏈風險要求》對國防領域采購中的IT供應鏈安全開展專項審查，將 “供應鏈風險”作為選擇合同商的評估重點。同時，國防部采取這些措施時不必向承包商披露具體原因，也不接受對投標決定的申訴[11]。

6 對我國重要網絡產品供應鏈安全監管的建議

6.1 加強網絡重要產品供應鏈安全管理戰略研究

提升重要網絡產品供應鏈安全戰略地位，加快ICT供應鏈安全戰略研究和安全管理體系建設，完善ICT供應鏈安全管理政策、法規，提供該領域上層管理導向及最基本的保障；借鑒國際ICT供應鏈安全管理標準，并結合我國ICT產業特點，加快推動我國ICT供應鏈安全管理標準和指南出臺，指導重點領域行業開展相關工作。

6.2 完善網絡重要產品供應鏈安全管理制度

實施重要網絡產品供應鏈安全監管、多制度協同工作。

一是多角度加強市場準入、行業準入的安全要求。結合我國現有信息安全管理制度，完善ICT供應鏈安全管理要求及強制條款，尤其是關鍵基礎設施中的產品，將其采購、使用管理納入風險評估環節。

二是將ICT供應鏈安全作為審查重點。借鑒國外針對供應鏈開展的審查內容，將ICT供應鏈納入國家網絡安全審查及各行業相關安全審查工作，提高國家網絡安全對抗能力。

三是提高技術防范能力，培養充足的人才資源、儲備對大型供應商的產品及服務安全風險評估能力，進而在各重點行業領域有針對性的開展供應鏈安全風險評估工作。

6.3 構建網絡重要產品安全可控生態體系

隨著ICT供應鏈全球化加劇，供應商遍布全球各地，供應關系錯綜復雜。在加速集成產品的同時，應重點關注供應鏈良性發展的生態體系：一是加大政策、資金傾斜，鼓勵高校、研究所、企業對關鍵元器件的自主創新，增加ICT供應鏈國產自主產業的占比；二是在核心技術吸收引進的現階段，注重關鍵部件的冗余、可替代性，減少對單一產品、同一國家不同產品的依賴；三是打造可信ICT供應鏈，對提供重要網絡產品及服務的國家、企業及產品或服務自身開展可信性認證工作，為用戶提供安全可信的供應環境。

7 結束語

習近平主席在網絡安全和信息化工作座談會上提到“互聯網核心技術是我們最大的‘命門，核心技術受制于人是我們最大的隱患。一個互聯網企業即便規模再大、市值再高，如果核心元器件嚴重依賴外國，供應鏈的‘命門掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊。”因此，重要網絡產品的核心部件、元器件立足自主創新是建設網絡強國必經之路。目前，部分核心領域技術仍處于引進吸收階段，在完全實現自主可控目標的過渡期，應加強上游制造、中游設計、下游封裝整條產品供應鏈的技術防范及管理工作，降低網絡重要產品供應鏈風險，構建安全可控的信息技術體系。

參考文獻

[1] 倪光南，陳曉樺，尚燕敏，王海龍，徐克付.國外ICT供應鏈安全管理研究及建議[J].中國工程科學，2016，18（06）：104-109.

[2] 劉權.2017年網絡安全十大發展趨勢[J].網絡空間安全，2017，8（01）：32-34.

[3] 張莉.美國炒作“中國網絡威脅論”的演變歷程、根源及對策研究[J].網絡空間安全，2018，9（01）：36-40+55.

[4] 馬健麗.信息系統安全功能符合性檢驗關鍵技術研究[D].北京郵電大學，2010.

[5] 左曉棟.美國政府IT供應鏈安全政策和措施分析[J].信息網絡安全，2010（05）：10-12.

[6] ISO/IEC FDIS 27036-3， Information technology-Security techniques-Information security for supplier relationships-Part 3： Guidelines for ICT supply chain security[S].

[7] NIST Special Publication 800-161，《Supply Chain Risk Management Practices for Federal Information Systems and Organizations》 [S].

[8] 張偉麗.美國《聯邦信息系統供應鏈風險管理指南》研究[J].中國信息安全，2016（05）：89-93.

[9] 肖光恩.美國“埃克森—佛羅里奧”條款發展演變的趨勢與我國的對策[A].中國美國經濟學學會.全國美國經濟學會第八屆會員代表大會論文集[C].中國美國經濟學學會，2007：13.

[10] 張楠.論美國對外國投資安全審查的法律制度[D].復旦大學，2012.

[11] 尹麗波.美國安全審查概況[J].中國信息安全，2014（08）：78-81.