北京邮电大学网络空间安全学院副院长、教授
当地时间2024年9月17日和18日,黎巴嫩多地接连发生传呼机、对讲机以及无线通信设备等大规模爆炸事件,造成数千人死伤,美国《纽约时报》将这一事件形容为“现代特洛伊木马”。当地时间2024年11月10日,以色列总理内塔尼亚胡在当天召开的内阁会议上首次承认针对黎巴嫩真主党成员制造了通信设备爆炸事件。在智能设备日渐普及的今天,供应链安全问题不容忽视。传呼机爆炸事件对全球ICT供应链安全敲响警钟,引发国际社会对供应链安全问题的深刻反思。从本次传呼机爆炸事件来看,全球ICT供应链面临的安全威胁主要体现在政治风险、技术风险和管理风险三个层面。第一,政治层面,地缘政治冲突是通信设备被恶意植入“爆炸物”的根本风险来源。当前,人们对终端通信设备的依赖较大,对终端设备进行监控、入侵、利用往往能达到比传统战争手段更精准、更大范围的攻击效果,这也导致终端通信设备随时能够实现“武器化”。第二,技术层面,ICT供应链面临硬件、软件两个方面的安全风险。硬件供应链风险主要集中于设备篡改、恶意软件植入、外部依赖性三个方面。设备篡改即硬件供应链在跨国生产和运输过程中可能被恶意植入硬件部件,如微型芯片、旁路电路等,从而在设备被使用时对其进行远程控制或窃取信息。由于硬件设备被篡改后极难察觉,其潜在风险一旦爆发将影响供应链的多个环节。例如,2019年美国超微公司(Super Micro)发现其服务器主板被植入微型芯片,这些芯片可以窃取数据,影响了多个美国公司和政府机构。恶意软件植入是指硬件设备被嵌入恶意代码或后门,以便攻击者未来利用其进行入侵或操控。例如,2017年安全研究人员发现某些医疗设备(如心脏起搏器)存在安全漏洞,其中可能包含恶意植入的硬件或软件。外部依赖性则是供应链中某些关键组件或原材料如半导体芯片等严重依赖少数供应商或原材料生产国,缺少自主生产链条,一旦出现“断供”事件即陷入“卡脖子”状态。软件供应链安全主要集中在软件自身漏洞与恶意代码注入、开源软件依赖性、第三方插件依赖性三个方面。软件自身漏洞作为脆弱点很可能被攻击者用来发起攻击,恶意代码则可能通过软件更新或打包流程传递给客户系统,如2020年爆发的“太阳风”(SolarWinds)网络攻击事件就是典型的恶意代码植入软件导致的攻击事件。开源软件依赖性是指供应链管理、产品开发等环节广泛依赖于开源软件,但由于开源代码的公开性,一旦某个开源软件组件存在漏洞或被篡改,则可能对整个供应链带来巨大威胁。特别是在复杂软件的依赖链中,一些小规模的开源项目难以进行安全管理和漏洞修复,使得供应链更易受到攻击。例如,2021年发生的Log4j漏洞事件,使得大量依赖该开源库的系统受到严重威胁。第三方插件依赖性是指很多企业提供的软件中引入了第三方插件或应用程序,一旦这些插件中存在安全漏洞或恶意代码,将会给使用这些插件的企业带来安全风险。例如,2017年Apache Struts由于存在远程代码执行漏洞而导致许多企业遭受网络攻击。第三,管理层面,ICT供应链面临追溯能力不足、韧性与应急管理不足、监管滞后风险等。追溯能力不足导致供应链发生问题时无法迅速追溯问题源头、隔离风险源,可能的原因是供应链的管理数据不透明导致无法溯源,或由于供应链层级复杂、地域分散等原因导致追溯难度高。韧性和应急管理不足导致面对突发事件或外部冲击时,应对能力与恢复能力薄弱,难以迅速恢复生产、维护市场供给而加剧供应链波动,可能的原因包括供应商选择单一化、供应链区域化与本地化战略缺失、应急预案与恢复机制缺乏等。监管滞后风险是指新兴技术如人工智能、物联网、区块链等技术更新迭代快且在短期内迅速普及应用,相关的法律法规、标准等不能及时快速跟进,造成安全风险。ICT供应链参与者众多、各环节彼此依赖、关系错综复杂,而供应链安全又是一个复杂的系统性问题,单点的防守难以奏效,同时,具有非常强的隐蔽性、伪装性,因此,它面临“易攻难守”的严峻局面,非常具有挑战性。我国一直非常重视供应链安全,从国家战略、法律法规、标准制定等方面已经取得一定成效。国家战略方面,党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》强调“健全提升产业链供应链韧性和安全水平制度”,并作出了系统全面部署。习近平总书记在《国家中长期经济社会发展战略若干重大问题》一文中强调:“产业链、供应链在关键时刻不能掉链子,这是大国经济必须具备的重要特征。”《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》也提出“坚持自主可控、安全高效,分行业做好供应链战略设计和精准施策,推动全产业链优化升级”。法律法规方面,我国发布一系列政策法规加强ICT供应链安全管理。《中华人民共和国网络安全法》确立了网络安全审查制度,要求对关键信息基础设施运营者采购的网络产品和服务进行安全审查,并规定了网络产品和服务提供者及关键信息基础设施运营者的安全性要求;《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《网络数据安全管理条例》强调了数据和个人信息在供应链中的安全风险评估与防范;《关键信息基础设施安全保护条例》和《网络安全审查办法》强调了关键信息基础设施的供应链安全,确保关键信息基础设施的稳定运行和国家安全;等等。标准制定方面,我国在ICT供应链安全领域制定多部国家标准,构建了较为完善的供应链安全标准体系。GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》是我国第一个ICT供应链安全国家标准,GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》是关于关键信息基础设施安全保护的国家标准,GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(即等级保护2.0)强调了产品采购、服务供应商选择、云服务商选择以及供应链管理的安全性,其他多部现行标准还从供应链安全管理、安全体系、供应链数字化等方面作出了具体规定。此外,包括《数字化供应链采购管理规范》(计划号:20231993-T-339)等在内的多部数字化供应链相关标准正在制定过程中,将进一步增强ICT供应链的安全保障。2023年11月28日至12月2日,首届中国国际供应链促进博览会在北京举办。
在全球化和数字化快速发展的背景下,我国在ICT领域,尤其是5G、云计算、大数据等新兴技术领域快速发展,形成了较强的竞争力,成为全球ICT供应链的重要参与者,但仍然面临严峻的供应链安全挑战,主要的挑战有:政治和地缘风险、关键核心技术依赖、产业链上游环节垄断、产品成熟度和稳定性等。要确保我国ICT供应链的稳定性和安全性,提高我国供应链的韧性,要从多个维度、多个角度协同发力,抓住关键环节、解决关键问题。结合传呼机爆炸事件带给我们的启示,应从以下几个方面重点提升产业链供应链安全。一是从供应链层面推动核心技术自主可控。当前,我国已经将芯片、操作系统等关键技术领域的自主可控提升至国家战略高度。然而,从科研攻关到产业化普及的转变是一个漫长而复杂的过程,这要求我们不仅要关注技术本身的发展,还要重视供应链安全对整个产业链的反作用力。为此,必须构建一个健康、可持续的核心技术生态体系,涵盖研发、应用和产业化等各个环节。以市场需求为驱动力,以产业发展为推动力,加速国产化产品的普及和应用推广,从而为技术攻关注入新的动力,确保我国在全球科技竞争中保持领先地位。二是加强在用设备全链条的安全监管。在我国,云计算、大数据、物联网等新兴技术领域的供应链安全受到高度重视。然而,众多老旧型号的ICT设备仍被广泛使用,且由于涉及系统性问题,这些设备不能及时更新换代。因此,必须加强对这些存量在用ICT设备的供应链安全和网络安全的关注,确保这些关键资产的安全性和可靠性,以防范潜在的风险和威胁。通过全面的安全监测和管理,可以更好地保护这些设备免受网络攻击,同时也为它们的顺利升级提供支持,从而维护整个ICT生态系统的稳定性和安全性。三是重视资金监管在供应链安全中的重要作用。当企业信息涉嫌伪造或存在隐蔽性问题时,资金流向提供了一个透明且难以伪造的追踪线索。必须将资金链监管作为供应链安全管理的核心组成部分,以确保整个供应链的透明度和安全性。通过加强对资金流动的监管,可以更有效地识别和防范潜在的风险,保障供应链的稳定和可靠。四是加强供应链安全人才培养。供应链安全已成为国家安全战略的重要组成部分,而人才是实现这一战略目标的关键。供应链安全是一个多维度、跨学科的交叉领域,不仅涉及网络安全、物流管理、应急管理等专业领域,还与国际贸易、法学、环境科学等学科紧密相关。高校应创新“知识、技能、意识”交叉融合的培养体系,培养出既精通技术又擅长管理,既能应对日常挑战又能处理紧急情况的复合型人才。供应链安全具有复杂性、普遍联系的特征,提升供应链安全任重而道远,未来还需要国家、企业、个人共同努力。
作者:张熙系北京邮电大学网络空间安全学院副院长、教授;颉夏青系北京邮电大学网络空间安全学院实验中心常务副主任、工程师投稿:zhongguowangxin@vip.sina.com