國(guó)家保密局網(wǎng)站>>保密科技

美國(guó)ICT供應(yīng)鏈安全管理新政觀察

2020年01月15日    來(lái)源:國(guó)家保密科技測(cè)評(píng)中心【字體: 打印

【摘    要】文章首先對(duì)美國(guó)ICT供應(yīng)鏈安全管理策略進(jìn)行了回顧,然后從新建兩個(gè)跨部門的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理機(jī)構(gòu)、通過立法加強(qiáng)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理等方面介紹了美國(guó)近期ICT供應(yīng)鏈安全管理的最新舉措,在此基礎(chǔ)上從3個(gè)方面分析了美國(guó)ICT供應(yīng)鏈安全管理新政的特點(diǎn)。

【關(guān)鍵詞】ICT供應(yīng)鏈  安全管理  新政

1 美國(guó)ICT供應(yīng)鏈安全管理策略回顧

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)指出,美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的日常運(yùn)轉(zhuǎn)和功能正常都依賴信息通信技術(shù)(ICT)——NIST將“日常運(yùn)轉(zhuǎn)和功能正常”定義為“數(shù)據(jù)和信息的捕獲、存儲(chǔ)、檢索、處理、顯示、表示、表達(dá)、組織、管理、安全、傳輸和交換”。ICT供應(yīng)鏈的設(shè)計(jì)、開發(fā)和生產(chǎn)、分發(fā)、獲取和部署、維護(hù)和處置階段容易受到惡意或無(wú)意引入的漏洞的影響,如惡意軟件和硬件、假冒組件,以及不良的產(chǎn)品設(shè)計(jì)、制造過程和維護(hù)等。利用ICT供應(yīng)鏈漏洞可導(dǎo)致系統(tǒng)可靠性問題、數(shù)據(jù)盜竊和操作、惡意軟件傳播和網(wǎng)絡(luò)內(nèi)持續(xù)的未經(jīng)授權(quán)訪問,等等。

鑒于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施對(duì)ICT技術(shù)和服務(wù)的依賴,美國(guó)歷來(lái)重視ICT供應(yīng)鏈安全風(fēng)險(xiǎn)的管理,從2002年布什政府的信息安全戰(zhàn)略強(qiáng)調(diào)關(guān)注IT供應(yīng)鏈安全問題開始,美國(guó)就已將ICT供應(yīng)鏈安全問題提上了國(guó)家戰(zhàn)略的高度予以重視。2008年,布什政府發(fā)布的54號(hào)國(guó)家安全總統(tǒng)令(NSPD54)提出國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI),其部署的一項(xiàng)重要工作就是建立全方位的措施來(lái)實(shí)施全球供應(yīng)鏈風(fēng)險(xiǎn)管理。為落實(shí)該計(jì)劃對(duì)ICT供應(yīng)鏈安全問題的部署, 2008年NIST啟動(dòng)了ICT供應(yīng)鏈風(fēng)險(xiǎn)管理項(xiàng)目(SCRM),在原《信息保障技術(shù)框架》(IATF)提出的“縱深防御”戰(zhàn)略的基礎(chǔ)上,提出了“廣度防御”的戰(zhàn)略,開發(fā)全生命周期的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。NIST認(rèn)為,縱深防御戰(zhàn)略側(cè)重于通過分層的防御體系對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行保護(hù),其關(guān)注的是產(chǎn)品在運(yùn)行中的安全,因而不能解決供應(yīng)鏈安全問題,而“廣度防御”戰(zhàn)略的核心是在系統(tǒng)的完整生命周期內(nèi)減少風(fēng)險(xiǎn),這一認(rèn)識(shí)的變化也奠定了當(dāng)前ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理方法的基礎(chǔ)。

2009年奧巴馬政府在《網(wǎng)絡(luò)空間安全政策評(píng)估報(bào)告》中指出,應(yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)除了對(duì)國(guó)外產(chǎn)品服務(wù)供應(yīng)商進(jìn)行譴責(zé)外,更需要?jiǎng)?chuàng)建一套新的供應(yīng)鏈風(fēng)險(xiǎn)管理方法。2011年發(fā)布的《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》中將“與工業(yè)部門磋商,加強(qiáng)高科技供應(yīng)鏈的安全性”作為保護(hù)美國(guó)網(wǎng)絡(luò)空間安全的優(yōu)先政策。2012年,《全球供應(yīng)鏈安全國(guó)家戰(zhàn)略》中指出,美國(guó)政府應(yīng)當(dāng)盡可能防止企圖利用IT供應(yīng)鏈節(jié)點(diǎn)的脆弱性進(jìn)行攻擊的行為以及由非人為因素引發(fā)的供應(yīng)鏈中斷事故。對(duì)ICT供應(yīng)鏈風(fēng)險(xiǎn)的認(rèn)識(shí)不斷加深,管理方法持續(xù)完善更新。

特朗普上任以來(lái),在2017年《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》行政令確定的“集中管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、集中制定安全優(yōu)先決策”的核心基調(diào)下,通過《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》等一系列的政策措施,試圖構(gòu)建統(tǒng)一的國(guó)家ICT供應(yīng)鏈安全管理體系。

在近20年的時(shí)間里,美國(guó)各界政府都將ICT供應(yīng)鏈安全管理作為加強(qiáng)美國(guó)網(wǎng)絡(luò)安全保障的重要考慮,在戰(zhàn)略層面和管理措施層面都取得了一系列成果并不斷推進(jìn),以此確保與美國(guó)國(guó)家安全息息相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施持續(xù)正常運(yùn)行。

2 美國(guó)近期加強(qiáng)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理的政策措施

近兩年來(lái),隨著我國(guó)在云計(jì)算、人工智能、5G等新技術(shù)方面的崛起,美國(guó)對(duì)供應(yīng)鏈的完整性及脆弱性表示出了越來(lái)越多的擔(dān)憂。美國(guó)認(rèn)為供應(yīng)鏈安全問題對(duì)于美國(guó)技術(shù)領(lǐng)先以及美國(guó)的經(jīng)濟(jì)和國(guó)家安全的未來(lái)至關(guān)重要,正在通過戰(zhàn)略、立法、審查、評(píng)估等一系列政策措施加速構(gòu)建全面、統(tǒng)一的供應(yīng)鏈安全管理體系。

特別是2018年以來(lái),ICT供應(yīng)鏈安全風(fēng)險(xiǎn)成為美國(guó)各界關(guān)注和討論的熱點(diǎn),美國(guó)政府頻繁對(duì)“戰(zhàn)略敵人”國(guó)家的ICT供應(yīng)商下手,宣揚(yáng)“戰(zhàn)略敵人”國(guó)家威脅論,并采取了一系列激進(jìn)措施,如2018年1月8日,美國(guó)聯(lián)邦通訊委員會(huì)(FCC)收到美國(guó)參議院和眾議院的18位議員信函,敦促FCC就通信網(wǎng)絡(luò)和供應(yīng)鏈完整性免受安全威脅采取行動(dòng),并重提2012年《中國(guó)電信公司華為與中興通訊對(duì)美國(guó)國(guó)家安全問題的調(diào)查報(bào)告》。這一行動(dòng)被認(rèn)為是2018年年初AT&T與華為合作被臨時(shí)取消的根本原因。2018年4月19日,美中經(jīng)濟(jì)安全審查委員會(huì)(U.S-China Economic and Security Review Commission)發(fā)布了《美國(guó)聯(lián)邦信息通訊技術(shù)中來(lái)自中國(guó)供應(yīng)鏈的脆弱性分析》的報(bào)告,認(rèn)為 “中國(guó)在優(yōu)先自主生產(chǎn)、跨國(guó)企業(yè)獲得特許權(quán)等方面的相關(guān)政策,以及將中國(guó)企業(yè)作為針對(duì)美國(guó)聯(lián)邦網(wǎng)絡(luò)和聯(lián)邦承包商網(wǎng)絡(luò)的國(guó)家工具等,增加了美國(guó)信息和通信技術(shù)產(chǎn)業(yè)的供應(yīng)鏈風(fēng)險(xiǎn),也增加了美國(guó)國(guó)家和經(jīng)濟(jì)安全風(fēng)險(xiǎn)”,等等。

經(jīng)過這一系列的醞釀、發(fā)酵,在不到一年的時(shí)間內(nèi),美國(guó)政府在ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理方面頻繁推出了多項(xiàng)新的政策措施。

2.1 新建兩個(gè)跨部門的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理機(jī)構(gòu)

(1)國(guó)土安全部成立ICT供應(yīng)鏈風(fēng)險(xiǎn)管理特別工作組

國(guó)土安全部(DHS)認(rèn)為,外國(guó)對(duì)手、黑客和犯罪分子帶來(lái)的網(wǎng)絡(luò)威脅給美國(guó)政府和行業(yè)帶來(lái)了重大的新風(fēng)險(xiǎn),他們?cè)贗CT供應(yīng)鏈各層級(jí)的承包商、分包商和供應(yīng)商不斷受到攻擊,成為越來(lái)越多經(jīng)驗(yàn)豐富、有資金支持對(duì)手的攻擊目標(biāo),并尋求竊取、妥協(xié)、更改或銷毀敏感信息。在某些情況下,高級(jí)威脅行動(dòng)者將目標(biāo)鎖定在ICT供應(yīng)鏈深處的企業(yè),以獲得立足點(diǎn),然后向上游擴(kuò)展以獲取敏感信息和知識(shí)產(chǎn)權(quán)。隨著這種風(fēng)險(xiǎn)變得越來(lái)越明顯,美國(guó)官員和國(guó)會(huì)一直在尋求一種更全面的解決方案。

2018年7月,DHS在其組織召開的首次“DHS國(guó)家網(wǎng)絡(luò)安全峰會(huì)”上宣布組建ICT供應(yīng)鏈風(fēng)險(xiǎn)管理特別工作組,設(shè)在DHS的國(guó)家風(fēng)險(xiǎn)管理中心。該工作組的60名成員包括來(lái)自公共和私營(yíng)部門中舉足輕重的關(guān)鍵供應(yīng)鏈風(fēng)險(xiǎn)管理利益相關(guān)者,包括20個(gè)聯(lián)邦部門和機(jī)構(gòu),40個(gè)信息技術(shù)領(lǐng)域的大型企業(yè)。特別工作組成立的目的就是要建立一個(gè)公私合作伙伴關(guān)系,審查并制定達(dá)成共識(shí)的建議,以確定和管理全球ICT供應(yīng)鏈的風(fēng)險(xiǎn)。ICT供應(yīng)鏈風(fēng)險(xiǎn)管理特別工作組的成立,是落實(shí)特朗普政府倡導(dǎo)的以“集體防御”方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的舉措之一,也是國(guó)土安全部過去一年在處理來(lái)自全球的商業(yè)軟硬件產(chǎn)品安全漏洞和外國(guó)間諜威脅方面大力推進(jìn)工作的一部分。供應(yīng)鏈威脅涉及產(chǎn)品的整個(gè)生命周期并常常包含硬件這一本質(zhì)特征,使得供應(yīng)鏈威脅的應(yīng)對(duì)極具挑戰(zhàn)。政府和產(chǎn)業(yè)在識(shí)別和減輕這些威脅方面有共同的利益,因此有共同的責(zé)任。通過工作組建立的公私合作的伙伴關(guān)系,在廣泛的利益相關(guān)者中尋求整體解決方案,以制定解決供應(yīng)鏈風(fēng)險(xiǎn)的近期和長(zhǎng)期戰(zhàn)略。

當(dāng)前,除了收集政府和行業(yè)現(xiàn)有供應(yīng)鏈風(fēng)險(xiǎn)管理工作的清單外,工作組還啟動(dòng)了四個(gè)主要工作流程:制定一個(gè)政府和行業(yè)間雙向共享供應(yīng)鏈風(fēng)險(xiǎn)信息的共同框架;識(shí)別基于威脅來(lái)評(píng)估ICT技術(shù)供應(yīng)、產(chǎn)品和服務(wù)的過程和標(biāo)準(zhǔn);識(shí)別細(xì)分市場(chǎng)及合格投標(biāo)者和制造商名單的評(píng)價(jià)標(biāo)準(zhǔn);制定政策建議鼓勵(lì)從原始制造商或授權(quán)經(jīng)銷商處購(gòu)買ICT。

(2)成立聯(lián)邦采購(gòu)供應(yīng)鏈安全理事會(huì)

2018年12月,美國(guó)國(guó)會(huì)通過了《安全技術(shù)法案》,《聯(lián)邦采購(gòu)供應(yīng)鏈安全法案2018》作為該法案的第二部分一并簽發(fā)!堵(lián)邦采購(gòu)供應(yīng)鏈安全法案2018》創(chuàng)建了一個(gè)新的聯(lián)邦采購(gòu)供應(yīng)鏈安全理事會(huì)并授予其廣泛權(quán)利,為聯(lián)邦供應(yīng)鏈安全制定規(guī)則,以增強(qiáng)聯(lián)邦采購(gòu)和采購(gòu)規(guī)則的網(wǎng)絡(luò)安全彈性。理事會(huì)主席由管理和預(yù)算辦公室(OMB)高級(jí)官員擔(dān)任,理事會(huì)負(fù)責(zé)識(shí)別和建議NIST應(yīng)該制定哪些標(biāo)準(zhǔn)、指南和實(shí)踐,供執(zhí)行機(jī)構(gòu)在評(píng)估和制定緩解策略以應(yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)時(shí)使用。識(shí)別或制定供執(zhí)行機(jī)構(gòu)與其他聯(lián)邦實(shí)體和非聯(lián)邦實(shí)體就供應(yīng)鏈風(fēng)險(xiǎn)共享信息的標(biāo)準(zhǔn),建立領(lǐng)導(dǎo)機(jī)構(gòu),負(fù)責(zé)監(jiān)督信息共享過程和調(diào)查廣泛適用的承包方案,如訂閱服務(wù)或機(jī)器強(qiáng)化知識(shí)分析以及指導(dǎo)采購(gòu)決策。更為重要的是,聯(lián)邦采購(gòu)供應(yīng)鏈安全理事會(huì)還將制定內(nèi)閣部長(zhǎng)下達(dá)的排除或刪除指令的標(biāo)準(zhǔn),禁止各機(jī)構(gòu)購(gòu)買某些產(chǎn)品,或根據(jù)供應(yīng)鏈風(fēng)險(xiǎn)命令其從其信息系統(tǒng)中刪除軟件。

在《聯(lián)邦采購(gòu)供應(yīng)鏈安全法案2018》頒布之日起180天內(nèi),理事會(huì)應(yīng)制定戰(zhàn)略計(jì)劃,以解決采購(gòu)相關(guān)條款所帶來(lái)的供應(yīng)鏈風(fēng)險(xiǎn),并管理此類風(fēng)險(xiǎn)。

(3)兩個(gè)機(jī)構(gòu)合作并存、協(xié)同工作

美國(guó)官員指出,政府并不擔(dān)心兩個(gè)機(jī)構(gòu)重復(fù)工作流程或爭(zhēng)奪地盤,因?yàn)閮蓚(gè)機(jī)構(gòu)的代表有大量的重疊,目前正在研究如何加強(qiáng)兩個(gè)機(jī)構(gòu)的合作。采購(gòu)安全理事會(huì)的職責(zé)是協(xié)調(diào)整個(gè)政府的供應(yīng)鏈風(fēng)險(xiǎn)管理選擇,制定采購(gòu)法規(guī),并真正幫助制定標(biāo)準(zhǔn),建立一種機(jī)制,使美國(guó)能夠更可靠地識(shí)別聯(lián)邦供應(yīng)鏈的例外情況和主要威脅。特別工作組的工作流程包括改善政府和私營(yíng)部門之間的雙向威脅信息共享,制定評(píng)估威脅何時(shí)會(huì)導(dǎo)致不同的基于風(fēng)險(xiǎn)的決策框架的標(biāo)準(zhǔn),對(duì)合格的投標(biāo)人和制造商名單提出建議,并圍繞原始設(shè)備制造商和授權(quán)經(jīng)銷商制定采購(gòu)規(guī)則。因此,特別工作組可以被視為是解決供應(yīng)鏈風(fēng)險(xiǎn)管理及政府與行業(yè)合作方面的長(zhǎng)期基礎(chǔ)問題的工具,成為政府和產(chǎn)業(yè)之間的主要連接點(diǎn)。特別工作組對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)管理中這些問題的研究和調(diào)查結(jié)果,將成為安全理事會(huì)制定和更新政府采購(gòu)規(guī)則的重要輸入,也可以作為理事會(huì)制定排除令標(biāo)準(zhǔn)的參考,確定禁止某一公司或產(chǎn)品進(jìn)入政府網(wǎng)絡(luò)的合理?xiàng)l件。

2.2 通過立法加強(qiáng)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理

在《聯(lián)邦采購(gòu)供應(yīng)鏈安全法案2018》發(fā)布僅僅5個(gè)月后,2019年5月15日,美國(guó)總統(tǒng)特朗普簽署了名為《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》的行政令,宣布美國(guó)進(jìn)入受信息威脅的國(guó)家緊急狀態(tài),禁止美國(guó)個(gè)人和各類實(shí)體購(gòu)買和使用被美國(guó)認(rèn)定為可能給美國(guó)帶來(lái)安全風(fēng)險(xiǎn)的外國(guó)設(shè)計(jì)制造的ICT技術(shù)設(shè)備和服務(wù)[1]。

行政令提出了明確的禁止交易行為:任何人通過已經(jīng)簽署、正在履行或?qū)⒃诒拘姓畎l(fā)布之日后完成的交易,獲取、進(jìn)口、轉(zhuǎn)讓、安裝、買賣或使用受美國(guó)管轄的信息通信技術(shù)或服務(wù)(以下統(tǒng)稱為“交易”)或與之相關(guān)的財(cái)產(chǎn),如該交易包含外國(guó)財(cái)產(chǎn)或與外國(guó)國(guó)家利益相關(guān)(包括通過提供技術(shù)或服務(wù)合同的方式獲取利益)。且商務(wù)部部長(zhǎng)(本行政令下簡(jiǎn)稱“部長(zhǎng)”)經(jīng)與財(cái)政部部長(zhǎng)、國(guó)務(wù)卿、國(guó)防部部長(zhǎng)、司法部部長(zhǎng)、國(guó)土安全部部長(zhǎng)、美國(guó)貿(mào)易代表、國(guó)家情報(bào)總監(jiān)、總務(wù)處處長(zhǎng)、聯(lián)邦通信委員會(huì)主席、其他執(zhí)行部門和機(jī)構(gòu)的負(fù)責(zé)人協(xié)商后認(rèn)定:

(1)交易涉及由外國(guó)對(duì)手擁有、控制或受其管轄或指導(dǎo)的人設(shè)計(jì)、開發(fā)、制造或供應(yīng)的信息和通信技術(shù)或服務(wù);

(2)交易可能:(A)在美國(guó)構(gòu)成破壞或顛覆信息和通信技術(shù)或服務(wù)的設(shè)計(jì)、整裝、制造、生產(chǎn)、分配、安裝、操作或維護(hù)的不當(dāng)風(fēng)險(xiǎn);(B)對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施或美國(guó)數(shù)字經(jīng)濟(jì)的安全性或彈性造成災(zāi)難性影響的不當(dāng)風(fēng)險(xiǎn);(C)對(duì)美國(guó)的國(guó)家安全或美國(guó)人的安全和保障構(gòu)成不可接受的風(fēng)險(xiǎn)。

行政令要求在本行政令發(fā)出之日起150天內(nèi),由商務(wù)部部長(zhǎng)牽頭制定配套的落實(shí)措施,將包括基于本行政令目的確定特定國(guó)家或個(gè)人為外國(guó)對(duì)手;基于本行政令目的,識(shí)別由外國(guó)對(duì)手擁有、控制、管轄或指示的主體;識(shí)別涉及信息通信技術(shù)或服務(wù)的交易需要根據(jù)本行政令的規(guī)定進(jìn)行特別審查的特定技術(shù)或國(guó)家;制定程序以許可根據(jù)本行政令禁止的交易等若干清單、程序、標(biāo)準(zhǔn)等。

盡管沒有直接點(diǎn)名,但在當(dāng)前中美貿(mào)易戰(zhàn)升級(jí)及美方近年來(lái)對(duì)我國(guó)華為、中興等ICT企業(yè)頻繁下手的情況下,發(fā)布這個(gè)行政命令的用意非常明顯。

美國(guó)政府網(wǎng)站近期消息[2]顯示,參議院提出了一項(xiàng)《供應(yīng)鏈反情報(bào)培訓(xùn)法》,法案將建立一個(gè)政府范圍內(nèi)保護(hù)ICT技術(shù)的方法,通過確保所有具有供應(yīng)鏈風(fēng)險(xiǎn)管理職責(zé)的執(zhí)行機(jī)構(gòu)官員受訓(xùn)以識(shí)別和減輕反情報(bào)威脅,旨在培訓(xùn)聯(lián)邦政府機(jī)構(gòu)檢測(cè)通信和信息技術(shù)系統(tǒng)中的外國(guó)網(wǎng)絡(luò)安全威脅,幫助政府驗(yàn)證可能存在潛在間諜風(fēng)險(xiǎn)的技術(shù)。

3 美國(guó)ICT供應(yīng)鏈風(fēng)險(xiǎn)管理新政的特點(diǎn)分析

從這些政策措施可以看出,美國(guó)政府近期的舉動(dòng)正在回應(yīng)2018年4月美中經(jīng)濟(jì)安全審查委員會(huì)發(fā)布的《美國(guó)聯(lián)邦信息通訊技術(shù)中來(lái)自中國(guó)供應(yīng)鏈的脆弱性分析》中的相關(guān)建議,在ICT供應(yīng)鏈風(fēng)險(xiǎn)管理方面形成了如下趨勢(shì)和特點(diǎn)。

一是強(qiáng)化政府與私營(yíng)部門的合作。通過DHS的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理特別工作組、NIST建立的《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》及相關(guān)標(biāo)準(zhǔn)指南,在聯(lián)邦政府內(nèi)部建立評(píng)估供應(yīng)鏈風(fēng)險(xiǎn)的能力,以確保政府購(gòu)買安全的技術(shù)。通過理事會(huì)成員機(jī)構(gòu)間的信息共享加強(qiáng)監(jiān)控ICT技術(shù)采購(gòu)方面的網(wǎng)絡(luò)安全威脅。同時(shí),理事會(huì)也要為私營(yíng)機(jī)構(gòu)提供供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)的咨詢和指導(dǎo),以此來(lái)促進(jìn)聯(lián)邦政府與私營(yíng)部門之間在ICT供應(yīng)鏈風(fēng)險(xiǎn)管理方面的合作和雙向信息共享。

二是加強(qiáng)對(duì)聯(lián)邦I(lǐng)CT技術(shù)供應(yīng)鏈安全風(fēng)險(xiǎn)管理的集中統(tǒng)一領(lǐng)導(dǎo)和統(tǒng)一方法指導(dǎo)。不論是特別工作組、采購(gòu)安全理事會(huì)還是新的行政令,都在試圖推動(dòng)構(gòu)建跨部門參與、政府統(tǒng)一領(lǐng)導(dǎo)的ICT供應(yīng)鏈風(fēng)險(xiǎn)管理機(jī)制。國(guó)土安全部、預(yù)算管理辦公室(OMB)、情報(bào)機(jī)構(gòu)、總務(wù)管理局、國(guó)防部、聯(lián)邦調(diào)查局、商務(wù)部和政府其他部門的官員、專家和代表都在這個(gè)大的機(jī)制之下,共同發(fā)力,努力打造政府部門主導(dǎo)、私營(yíng)部門積極參與配合的局面。形成通用評(píng)估和特殊評(píng)估相結(jié)合,既抓ICT供應(yīng)鏈全生命周期的風(fēng)險(xiǎn)管理,又突出抓采購(gòu)環(huán)節(jié)把控,旨在形成一個(gè)統(tǒng)一的、整體的供應(yīng)鏈風(fēng)險(xiǎn)管理方法。

三是ICT供應(yīng)鏈風(fēng)險(xiǎn)管理的范圍不斷擴(kuò)大、作用不斷升級(jí)。美國(guó)對(duì)ICT供應(yīng)鏈各層級(jí)的承包商、分包商和供應(yīng)商的評(píng)估審查將不斷深入,對(duì)各級(jí)供應(yīng)商的評(píng)估深度和廣度進(jìn)一步擴(kuò)大,并從聯(lián)邦政府的采購(gòu)供應(yīng)鏈評(píng)估擴(kuò)大到任何個(gè)人和實(shí)體。同時(shí),新的行政令更是表明,美國(guó)已將ICT供應(yīng)鏈安全管理作為其維護(hù)技術(shù)領(lǐng)先、實(shí)施貿(mào)易制裁和達(dá)到政治目的的重要手段之一。

參考文獻(xiàn)

[1]公安部第三研究所網(wǎng)絡(luò)安全法律研究中心.全譯文:美國(guó)最新總統(tǒng)行政令《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全》[EB/OL].(2019-05-16)[2019-05-18].https://mp.weixin.qq.com/s/Idwe7eQHDz31aXPLTqBYJg.

[2] Senate Introduces Supply Chain Security Training Bill[EB/OL].(2019-03-13)[2019-05-18].https://www.executivegov.com/2019/05/senate-introduces-supply-chain-security-training-bill/.