全球通訊供應鏈的安全性面臨前所未有的挑戰，特別是在美國，中國等國家的網路威脅成為國家安全的重大隱患。根據《工業網路安全》於2025年7月9日發布的文章，美國國防民主基金會（The Foundation for Defense of Democracies, FDD）敦促聯邦通訊委員會（FCC）採取行動，撤銷現有設備認證，以填補通訊供應鏈中的國家安全漏洞。文章引用FDD專家Jiwon Ma的觀點，指出當前FCC設備認證計畫存在監管漏洞，允許潛在高風險設備繼續合法銷售和使用。
 

當前挑戰與監管漏洞

文章指出，FCC的設備認證計畫允許在2023年2月6日之前獲得認證的設備（特別是來自華為、ZTE和海康威視等中國公司的設備）無限期合法進口、銷售和使用。儘管FCC自2023年2月起禁止新設備認證來自這些公司的產品，但先前認證的設備因監管框架缺失而未受影響，這一漏洞導致數千台潛在危險設備繼續運行於美國網絡中，構成國家安全威脅。關鍵問題包括：

1. 定義模糊：FCC對「由被覆蓋實體生產」的設備定義不清，未能涵蓋由被覆蓋實體（如華為）設計或製造的關鍵組件，允許敵對方透過複雜的供應鏈結構繞過監管。
2. 監管滯後：現行規則僅在技術不合規、虛假陳述或後續測試失敗時才撤銷認證，缺乏針對國家安全風險的系統性框架。
3. 供應鏈複雜性：產品在多個中間商手中轉手，追蹤組件來源困難，敵對方可隱藏其參與，滲透美國市場。

FCC主席Brendan Carr承認這些威脅，並表示FCC已採取具體行動解決中國威脅，但現有框架仍存在漏洞，危險設備因過往認證而合法存在。
 

FDD的建議與行動

FDD提出三項具體建議，以解決這些監管和安全漏洞：

1. 風險為基礎的撤銷框架：FCC應建立系統性風險評估機制，撤銷與被覆蓋實體相關的現有設備認證。該框架應優先替換高風險設備，允許低風險設備在較長時間內逐步替換或加固。
2. 擴展定義與安全評估：明確「生產」定義，涵蓋由被覆蓋實體設計或製造的關鍵組件，並要求FCC認可的測試實驗室和認證機構對待審設備進行安全評估，檢測潛在風險。
3. 增強資訊收集：擴大FCC的資訊蒐集範圍，識別外國敵對方的複雜企業結構和中間關係，確保供應鏈透明度。

這些措施需與商務部15 CFR § 791.2規則對齊，該規則考慮控制關係和所有權結構，已成為聯邦機構的既定先例。FDD建議FCC與業界合作，設計分級風險框架，平衡安全需求與中小型供應商的負擔。
 

國家安全與通訊基礎設施

文章指出，通訊供應鏈的安全直接影響美國的國家安全和緊急應變能力。敵對方透過供應鏈滲透可能導致數據洩露、網路間諜活動或基礎設施癱瘓。2025年7月的最新報告顯示，伊朗網路攻擊針對美國的頻率激增133%，運輸和製造業受影響最大，這進一步凸顯了供應鏈安全的急迫性。FCC的設備認證計畫若不更新，將無法有效應對這些威脅，特別是當敵對方利用複雜所有權結構隱藏其參與時。
 

未來展望與建議

展望未來，通訊供應鏈安全的挑戰將持續加劇，尤其是在人工智慧（AI）和物聯網（IoT）技術普及的背景下。FDD建議FCC加速實施風險為基礎的框架，並與網路安全與基礎設施安全局（CISA）及國家標準技術研究所（NIST）合作，制定通用的供應鏈安全標準。企業應主動識別網絡中高風險設備，優先替換，並投資於培訓以應對供應鏈威脅。2025年底前，FCC預計將更新相關政策，進一步明確撤銷認證的權限和程序。為企業提供以下建議：

1. 風險評估：定期檢查網絡中的設備，識別與被覆蓋實體相關的潛在風險。
2. 合作與合規：與FCC和業界聯盟合作，確保供應鏈符合新標準。
3. 技術升級：投資於安全遠程存取和加密技術，降低供應鏈攻擊風險。
4. 員工培訓：提高員工對供應鏈安全威脅的意識，減少人為錯誤。

總結

FDD敦促FCC撤銷現有設備認證的呼籲反映了2025年通訊供應鏈安全面臨的緊迫性。監管漏洞允許高風險設備繼續存在，威脅美國的國家安全與基礎設施完整性。透過風險為基礎的框架、擴展定義和增強資訊收集，FCC可有效填補這些差距。企業與監管機構的協作將是確保通訊網絡安全的關鍵，隨著威脅環境的演變，及早行動將顯著提升防禦能力。