剖析美国政府视角下的ICT供应链安全

2018 年 11 月 15 日，美国国土安全部（DHS）宣布成立了信息和通信技术 (ICT) 供应链风险管理（SCRM）工作组，这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。

之后该组织非常活跃，2024 年 2 月 6 日，该组织刚刚宣布将工作组延长两年。我们翻阅了该组织从成立至今参与和主导发布的大量文章，从这里面可以发现该组织对于后续美国政府在ICT供应链安全领域的立法及一系列政策的制定和实施起到了非常关键的作用，那么我们也可以基于该组织发布的系列内容了解美国政府视角下的ICT供应链安全发展趋势和现状。

那么本文我们就从该组织的一些关键时间线的关键事件来分析一下美国ICT供应链安全的发展情况。

2018年11月15日，ICT SCRM 成立

[1] 2018年11月15日，美国国土安全部宣布成立信息和通信技术 (ICT) 供应链风险管理（SCRM）工作组。

该工作组有三名联合主席，分别是 Robert Mayer（CSCC 主席）代表通信部门、John Miller（主席 (IT-SCC) 代表 IT 部门）和 Bob Kolasky（CISA 国家风险管理中心助理主任）代表政府成员；

该工作组成员主要来自美国政府部门、IT届企业代表、通信行业企业代表，具体如下：

美国政府认为美国关键基础设施和各级政府严重依赖信息通信技术。确保 ICT 供应链的弹性和信任不仅仅是一个网络安全问题，更是一个影响国家安全、经济安全以及公共健康和安全的问题。ICT 供应链的设计、开发和生产、分销、采购和部署、维护和处置阶段很容易有意或无意地引入漏洞、恶意软件和硬件、假冒组件、劣质的产品设计、制造流程和维护程序都威胁着 ICT 供应链的安全、弹性和信任。而且过去已经出现过很多类似的事件，这并不是危言耸听。

该组织致力于识别和管理全球 ICT 供应链的风险，该组织的建立发挥了支点作用，集中政府和私营企业的力量建立协作框架。

2019年5月15日，美国13873号行政命令发布

[2]2019 年 5 月 15 日， 关于保护信息和通信技术及服务供应链安全的第 13873 号行政命令 (EO) 签署成为法律，该法律要求联邦政府加强对于美国关键基础设施的保护，以应对外部日益严峻的对于ICT的攻击威胁。

同时，该法律要求国土安全部部长应继续评估和识别在美国存在漏洞并对美国国家安全造成最大潜在后果的实体、硬件、软件和服务。国土安全部部长应酌情与特定部门机构和协调委员会协调，在本命令发布之日起 80 天内提出书面评估，此后每年提出一次。该评估应包括对多个信息和通信技术或服务提供商所依赖的硬件、软件或服务的评估，包括根据 2013年 2 月 12 日第 13636 号行政命令第 9 节确定的关键基础设施实体所依赖的通信服务。

2019年9月，ICT SCRM工作组发布中期报告

[3]第一次的中期报告应该是该工作组成立以后，对于职责划分和未来工作方向做了调研和讨论后得出一个阶段性的明确规划，对外发布的一个正式报告。从这份报告中可以大概了解该工作组当时的主要职责和工作方向大概分为四个：

1）信息共享工作组：开发一个通用框架，以便在整个社区内双向共享可操作的供应链风险信息。

2）威胁评估工作组：确定流程和标准，以更好地理解和评估对 ICT 供应商、产品和服务的威胁。

3）合格投标人名单和合格制造商名单（QBL/QML）工作组：确定细分市场和评估标准，以建立合格投标人和合格制造商名单，以解决供应商和产品纳入和排除的考虑因素。

4）激励从原始设备制造商 (OEM) 和授权经销商处购买 ICT 的政策建议工作组：政策建议主要旨在制止日益严重的假冒 ICT 采购问题。

在威胁评估小组的工作中，识别到当前最具威胁的项包括以下：

A.假冒零件

B.网络安全

C.内部安全操作和控制

D.系统开发生命周期 (SDLC) 流程和工具

E.内部威胁

F.经济风险

G.继承风险（延伸供应链）

H.法律风险

I.外部端到端供应链风险（自然灾害、地缘政治问题）

2020年9月，工作组发布第二年报告

2020年9月，ICT SCRM工作组发布了第二年的工作报告，从报告中可以看出过去一年的工作调整，首先是工作组由原来的四个工作组发展为五个工作组：

1）信息共享工作组 (WG1) ：围绕双向信息共享的障碍，解决了供应链风险管理中一个离散且重要的生态系统范围挑战。结果将与所有其他工作组相关，但法律审查工作可能会在其他组相对自主的情况下进行

2）威胁评估工作组 (WG2) ：对 ICT 供应链面临的威胁进行了分类，并提供具体的补救和恢复活动（映射到现有框架和标准），以帮助降低这些威胁带来的风险。这种供应链威胁始于第一年的供应商视角，然后在第二年扩展到产品和服务

3）合格投标人名单/合格制造商名单 (QBL/QML) 工作组 (WG3) ：创建了 SCRM 标准，用于纳入合格投标人和制造商名单要求以及应用于各种联邦采购用例。有助于管理这些列表之一的包含或排除的标准也可以从 WG4 创建的模板的一部分中提取

4）供应商供应链风险管理 (SCRM) 保证模板工作组 (WG4) ：创建了一个灵活敏捷的模板来回答关键问题，这些问题共同提供了对组织供应链风险管理状况的深入了解。该模板中提炼的问题以现有行业标准为基础，反映了与其他工作组工作组的合作。

5）COVID-19 影响研究工作组 (WG5) ：研究了库存管理、供应链映射/透明度和供应链多样性等供应链运营主题，以了解基于外部事件对组织供应链的影响。

关于威胁评估工作组对于风险的分类和一年之前相比并没有什么区别，相比之下只是对于供应链产品和服务进行了明确的定义。

2021年2月24日，拜登签署关于保护美国供应链安全的第 14017 号行政命令

[5]2021年2月24日，美国总统拜登签署了关于保护美国供应链安全的第 14017 号行政命令，以增强美国供应链的弹性。该行政命令指示商务部 (DOC) 和国土安全部 (DHS)“提交一份关于信息和通信技术 (ICT) 工业基地关键部门和子部门供应链的报告（由商务部长和国土安全部长），包括开发信息通信技术软件、数据和相关服务的工业基础。

2022年2月，美国商务部部长&国土安全部部长联合发布《支持美国信息和通信技术产业的关键供应链评估》

[6]作为对于拜登的第 14017 号行政命令的回应，美国商务部及国土安全部在2022年2月联合发布了《支持美国信息和通信技术产业的关键供应链评估》报告，这份报告的长达96页，该报告主要从五个维度给出了美国ICT供应链现状分析：

1）ICT制造业现状及相关挑战：主要描述了美国的一些ICT核心产业的供应链不在美国本土带来的风险；

2）ICT软件行业的现状及相关风险：主要描述了两个风险，一个是开源软件安全问题带来的威胁；另外一个是商业的软件产品不透明带来的潜在威胁；

3）ICT相关领域劳动力下降带来的风险：大量的ICT外包导致美国本土的ICT劳动力数量大量下滑，从而带来严重威胁

4）ICT供应链中断风险：美国ICT供应链的结构性脆弱，包括某些产业供应链的单一性导致其很脆弱

5）ICT产业链的外部威胁：知识产权被窃取、网络入侵、气候问题、劳工标准的脆弱性等

当然，美国商务部和国土安全部也针对此给出了加强 ICT 供应链弹性的八大建议，作为美国长期战略：

1. 振兴美国信息通信技术制造基地：通过适当的联邦采购激励措施和资助《国防生产法》第三章和创造有益激励措施等计划，支持关键信息通信技术产品的国内投资和生产，可能包括印刷电路板 (PCB) 和半导体为美国生产半导体法案。

2. 通过安全和透明的供应链建立弹性：通过采购和监控工作促进供应链风险管理实践，例如为联邦政府实施 PCB 有保障的供应商计划以及在商务部建立关键供应链弹性计划。

3. 与国际合作伙伴合作，提高供应链安全性和弹性：通过现有论坛改善国际参与，以促进 ICT 行业的共同利益。这些利益包括加强关键产品的供应链安全和多样性、加强贸易执法以及加强对国际标准制定的参与。

4. 投资未来 ICT 技术：通过联邦计划和立法，支持和扩大旨在将新兴技术推向市场以及推进制造技术的计划，维持研发 (R&D) 生态系统。

5. 加强信息通信技术劳动力管道：通过加强计算机科学课程和投资多种中学和高等教育途径，包括通过注册学徒、职业和技术教育项目以及社区学院，支持和扩大吸引、教育和培训信息通信技术劳动力的计划程式。赠款投资应与雇主主导的部门伙伴关系保持一致，以确保培训与现实世界的就业机会挂钩。

6. 确保可持续性仍然是信息通信技术发展的基石：通过财政激励措施和政府计划，促进采用强化的劳工和环境标准以及更可持续的信息通信技术生产设施。

7. 与行业利益相关者合作开展抗灾工作：加强公私合作，以提高人们对风险缓解技术和最佳实践的认识和采用，以确保 ICT 供应链的安全。

8. 继续研究ICT产业基础：对PCB和相关微电子等关键ICT产品进行进一步的产业基础研究，以监测产业发展并指导长期政策规划。

2023年9月25日，发布用于供应链风险管理 (SCRM) 的硬件物料清单框架 (HBOM)

[7]网络安全和基础设施安全局 (CISA) 发布了信息和通信技术 (ICT) 供应链风险管理 (SCRM) 工作组针对供应链风险管理产品的新硬件物料清单框架 (HBOM)，该框架致力于帮助ICT硬件产品提高透明度和可追溯性，利益相关者可以识别并解决供应链内的潜在风险，确保数字环境保持稳健和安全，抵御新出现的威胁和挑战。” 

2024年2月6日，ICT SCRM 工作组延长两年

CISA 宣布工作组延长两年，工作组将继续开发有价值的产品，例如软件保障购买者指南，并继续与新成立的人工智能（AI）工作组相关的工作。

从ICT SCRM的成立及后续的工作日志可以看出，美国政府在ICT供应链安全方面的工作布局很早，且过程中相关政策和配套落地的更新非常频繁。可见，美国政府已充分认识到随着数字化产业的高速发展，ICT供应链的弹性、可信及安全是当前面临的重要挑战，也是未来的重要工作方向。

[1]https://www.dhs.gov/news/2018/11/15/dhs-announces-ict-supply-chain-risk-management-task-force-members

[2]https://www.federalregister.gov/documents/2019/05/17/2019-10538/securing-the-information-and-communications-technology-and-services-supply-chain

[3]https://www.cisa.gov/resources-tools/resources/ict-scrm-task-force-interim-report

[4]https://www.cisa.gov/sites/default/files/publications/ict-scrm-task-force\_year-two-report\_508.pdf

[5]https://www.whitehouse.gov/briefing-room/presidential-actions/2021/02/24/executive-order-on-americas-supply-chains/

[6]https://www.dhs.gov/sites/default/files/2022-02/ICT%20Supply%20Chain%20Report\_2.pdf

[7]https://www.cisa.gov/news-events/news/cisa-releases-hardware-bill-materials-framework-hbom-supply-chain-risk-management-scrm

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，围绕着开源组件安全风险治理、资产管理及漏洞投毒应急响应、高危风险组件准入管控、开源组件许可证合规风险治理、商业软件安全风险治理等场景，向企业中研发工程师、安全工程师、法务人员等角色提供简单易用的安全产品。

产品形态包括：软件成分分析(SCA)、资产管理及漏洞预警、源安全网关、静态代码扫描(SAST)，丰富的安全工具助您打造完备的软件供应链安全能力。

旗下的安全研究团队墨菲安全实验室，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

墨菲安全的部分典型客户

添加 Abby 加入交流群