信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”，【作者】邱燕娜 許曉麗。

黎巴嫩移動設(shè)備爆炸事件敲響供應(yīng)鏈安全警鐘

當(dāng)?shù)貢r間2024年9月17日，黎巴嫩首都貝魯特以及多地發(fā)生手持尋呼機爆炸事件，爆炸波持續(xù)了約一個小時。9月18日下午，黎巴嫩多地再次發(fā)生通信設(shè)備爆炸事件，設(shè)備包括尋呼機、對講機以及無線通信設(shè)備等。據(jù)央視新聞消息，截至9月21日，兩次爆炸已造成39人死亡、約3000人受傷。

黎巴嫩駐聯(lián)合國代表團在發(fā)給安理會的一封信中表示，根據(jù)初步調(diào)查，黎當(dāng)局發(fā)現(xiàn)爆炸的通信設(shè)備在抵達該國之前就被植入了炸藥，并通過向這些設(shè)備發(fā)送電子信息來引爆。而促成將尋呼機銷售至黎巴嫩的NortaGlobal公司，尋呼機爆炸之后刪除了其官網(wǎng)，公司創(chuàng)始人Rinson Jose也離奇失蹤。當(dāng)前，事實的真相仍在調(diào)查中。

黎巴嫩移動設(shè)備爆炸事件揭示了一個令人不安的趨勢：網(wǎng)絡(luò)攻擊正在從虛擬領(lǐng)域向現(xiàn)實物理世界擴展，并已經(jīng)能夠?qū)ΜF(xiàn)實世界造成切實的破壞和傷害。中國工程院院士鄔江興接受記者采訪時表示，這開創(chuàng)了一個很惡劣的先河，也就是網(wǎng)絡(luò)空間的安全，直接規(guī)?；绊懭松戆踩?/p>

傳統(tǒng)的網(wǎng)絡(luò)攻擊主要側(cè)重于竊取數(shù)據(jù)、破壞數(shù)字系統(tǒng)，或通過軟件和網(wǎng)絡(luò)漏洞削弱基礎(chǔ)設(shè)施。然而，黎巴嫩移動終端爆炸事件表明，網(wǎng)絡(luò)手段能夠直接造成物理破壞，數(shù)字攻擊可能轉(zhuǎn)化成為實際的人員傷亡。

包括智能穿戴設(shè)備在內(nèi)的智能網(wǎng)聯(lián)設(shè)備正在成為網(wǎng)絡(luò)攻擊的新目標(biāo)。所謂智能網(wǎng)聯(lián)設(shè)備，是指通過網(wǎng)絡(luò)連接的物理設(shè)備，如工業(yè)互聯(lián)網(wǎng)設(shè)備、智能電網(wǎng)、無人駕駛汽車等。這些系統(tǒng)一旦遭到網(wǎng)絡(luò)攻擊，其后果不僅限于數(shù)據(jù)泄露或系統(tǒng)癱瘓，更可能導(dǎo)致工廠爆炸、電網(wǎng)崩潰、車輛失控等災(zāi)難性事件。

黎巴嫩事件還揭示了當(dāng)前網(wǎng)絡(luò)安全方法的局限性。傳統(tǒng)的防御措施，如防火墻、入侵檢測系統(tǒng)和安全軟件，主要用于保護數(shù)字資產(chǎn)和網(wǎng)絡(luò)。然而，當(dāng)網(wǎng)絡(luò)攻擊以物理方式表現(xiàn)時，這些措施可能無法提供足夠的保護。為了應(yīng)對這種新出現(xiàn)的威脅，我們需要采取全面的方法，不僅要確保設(shè)備和網(wǎng)絡(luò)中的數(shù)字信息安全，還要保護供應(yīng)鏈和物理組件安全。

通過破壞供應(yīng)鏈，攻擊者可以將惡意硬件或軟件植入到各種網(wǎng)聯(lián)設(shè)備，從而獲得對這些設(shè)備的物理控制權(quán)。這種能力使得網(wǎng)絡(luò)攻擊的潛在影響遠遠超出了網(wǎng)絡(luò)滲透、數(shù)據(jù)盜竊或系統(tǒng)中斷，甚至可能威脅到生命安全。

供應(yīng)鏈安全成為網(wǎng)絡(luò)物理世界的軟肋

隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)安全已經(jīng)不再局限于網(wǎng)絡(luò)空間，而是與物理世界日益交織，形成了錯綜復(fù)雜的網(wǎng)絡(luò)物理系統(tǒng)。然而，這種融合也帶來了新的安全隱患，其中最突出的就是供應(yīng)鏈安全問題，供應(yīng)鏈攻擊成為一個新的更為嚴重、甚至危及生命的安全威脅。

供應(yīng)鏈攻擊，是指攻擊者通過滲透或操縱軟硬件供應(yīng)鏈，在產(chǎn)品設(shè)計、制造、流通等環(huán)節(jié)植入惡意軟件或硬件后門，從而實現(xiàn)對目標(biāo)系統(tǒng)的遠程控制或破壞。

讓我們先通過一組數(shù)據(jù)來看看供應(yīng)鏈安全的現(xiàn)實。Gartner預(yù)測，對軟件供應(yīng)鏈的攻擊造成的損失將從2023年的460億美元上升到2031年的1380億美元；在2023年4月之前的12個月內(nèi)，約2/3（61%）的美國企業(yè)直接受到軟件供應(yīng)鏈攻擊的影響。Sonatype第九屆年度軟件供應(yīng)鏈狀態(tài)報告顯示，而僅有7％的受訪者表示他們已采取措施審查他們供應(yīng)鏈中的安全風(fēng)險。

供應(yīng)鏈攻擊之所以如此猖獗，根本原因在于現(xiàn)代供應(yīng)鏈的高度復(fù)雜性和脆弱性。一方面，全球化分工使得供應(yīng)鏈環(huán)節(jié)眾多，任何一個環(huán)節(jié)都可能成為攻擊的突破口。另一方面，供應(yīng)鏈各環(huán)節(jié)之間高度互聯(lián)互通，一旦某個環(huán)節(jié)被攻破，惡意代碼就可能如病毒般快速傳播，影響所有下游用戶。這種攻擊方式具有極大的隱蔽性和破壞性。

首先，供應(yīng)鏈攻擊會破壞設(shè)備和系統(tǒng)的完整性和可信性。一旦供應(yīng)鏈被攻破，惡意代碼或硬件被植入后門，即使系統(tǒng)本身沒有漏洞，也難以保證其安全性和可靠性。這就像是給系統(tǒng)埋下了一顆"定時炸彈"，隨時可能被攻擊者引爆。

其次，供應(yīng)鏈攻擊具有高度隱蔽性和難以察覺性。與傳統(tǒng)的網(wǎng)絡(luò)攻擊不同，供應(yīng)鏈攻擊往往發(fā)生在產(chǎn)品交付之前，攻擊者可以在硬件設(shè)計、固件開發(fā)、軟件編譯等環(huán)節(jié)下手，而這些環(huán)節(jié)通常不在最終用戶的控制范圍內(nèi)。供應(yīng)鏈攻擊是一種"先污染，后感染"的攻擊方式，其危害可能在數(shù)年后才會顯現(xiàn)。這使得供應(yīng)鏈攻擊極難被及時發(fā)現(xiàn)和有效防范。

更為嚴重的是，供應(yīng)鏈攻擊可能導(dǎo)致災(zāi)難性后果。比如說，2020年美國網(wǎng)絡(luò)安全公司FireEye遭遇供應(yīng)鏈攻擊，導(dǎo)致其用于紅隊攻防演練的黑客工具被竊取。這些工具隨后被公開，并被多個黑客組織用于勒索軟件攻擊，造成了巨大的經(jīng)濟損失和社會影響。可以想象，如果供應(yīng)鏈攻擊的目標(biāo)是關(guān)鍵基礎(chǔ)設(shè)施，如電力系統(tǒng)、交通系統(tǒng)、金融系統(tǒng)等，其后果將不堪設(shè)想。

發(fā)展信創(chuàng)是提升供應(yīng)鏈韌性的戰(zhàn)略必施

面對供應(yīng)鏈安全的嚴峻挑戰(zhàn)，發(fā)展信創(chuàng)產(chǎn)業(yè)，構(gòu)建自主可控、安全可信的信息技術(shù)體系，是我們必須采取的戰(zhàn)略舉措。

發(fā)展信創(chuàng)，首要任務(wù)是通過自主可控技術(shù)提升供應(yīng)鏈安全韌性。只有掌握了核心技術(shù)，實現(xiàn)關(guān)鍵軟硬件的自主可控，才能從根本上防范供應(yīng)鏈安全風(fēng)險。從芯片、操作系統(tǒng)、數(shù)據(jù)庫等底層架構(gòu)入手，打造自主可控的信息技術(shù)底座，是提升供應(yīng)鏈安全韌性的重要手段。

與此同時，還要建立全流程可信供應(yīng)鏈管理和驗證機制。供應(yīng)鏈安全管理要貫穿產(chǎn)品全生命周期，從設(shè)計、采購、生產(chǎn)到交付、維護的每一個環(huán)節(jié)，都要進行嚴格的安全管控和可信驗證。這需要構(gòu)建一套完善的供應(yīng)鏈安全標(biāo)準(zhǔn)體系，建立第三方安全評估和認證機制，并運用區(qū)塊鏈、可信計算等新興技術(shù)手段，實現(xiàn)供應(yīng)鏈全流程的可追溯、可審計、可信任。

更為重要的是，要發(fā)揮信創(chuàng)產(chǎn)業(yè)在供應(yīng)鏈安全生態(tài)構(gòu)建中的引領(lǐng)作用。網(wǎng)絡(luò)安全是一項系統(tǒng)性工程，需要產(chǎn)業(yè)鏈各方協(xié)同發(fā)力、共同治理。信創(chuàng)產(chǎn)業(yè)要發(fā)揮龍頭企業(yè)的示范帶動作用，帶動產(chǎn)業(yè)鏈上下游企業(yè)提升供應(yīng)鏈安全意識和能力，共同構(gòu)建可信可控的供應(yīng)鏈安全生態(tài)。同時，還要加強產(chǎn)學(xué)研用協(xié)同創(chuàng)新，促進安全技術(shù)研發(fā)成果的產(chǎn)業(yè)化應(yīng)用，推動形成可持續(xù)發(fā)展的供應(yīng)鏈安全產(chǎn)業(yè)生態(tài)。

信創(chuàng)產(chǎn)業(yè)：筑牢網(wǎng)絡(luò)安全的"壓艙石"

當(dāng)前，供應(yīng)鏈"卡脖子"問題不僅制約了數(shù)字經(jīng)濟的發(fā)展，更給國家安全埋下了隱患。發(fā)展信創(chuàng)產(chǎn)業(yè)，就是要從根本上解決我國在關(guān)鍵信息技術(shù)領(lǐng)域"受制于人"的問題，構(gòu)筑起維護國家網(wǎng)絡(luò)安全和數(shù)字主權(quán)的"壓艙石"。

正因為如此，近年來我國高度重視信創(chuàng)產(chǎn)業(yè)發(fā)展，將其列為"十四五"規(guī)劃的重點任務(wù)之一。目前，我國在多個關(guān)鍵技術(shù)領(lǐng)域?qū)崿F(xiàn)了突破，部分核心技術(shù)已經(jīng)達到國際先進水平。以華為鴻蒙操作系統(tǒng)為例，其在部分技術(shù)指標(biāo)上已經(jīng)超越安卓，成為全球領(lǐng)先的分布式操作系統(tǒng)。

首先，信創(chuàng)產(chǎn)業(yè)的發(fā)展，為夯實我國網(wǎng)絡(luò)安全基礎(chǔ)提供了堅實支撐。

一方面，信創(chuàng)產(chǎn)業(yè)助力構(gòu)建自主可控的網(wǎng)絡(luò)安全技術(shù)體系。通過突破"卡脖子"技術(shù)，打造自主可控的網(wǎng)絡(luò)安全芯片、操作系統(tǒng)、數(shù)據(jù)庫等底層架構(gòu)，為構(gòu)建完整的網(wǎng)絡(luò)安全技術(shù)體系奠定了基礎(chǔ)。

另一方面，信創(chuàng)產(chǎn)業(yè)推動網(wǎng)絡(luò)安全核心技術(shù)突破和應(yīng)用。當(dāng)前，我國網(wǎng)絡(luò)安全呈現(xiàn)"需求旺盛、市場廣闊、人才緊缺、核心技術(shù)缺乏"的特點。信創(chuàng)產(chǎn)業(yè)通過加大研發(fā)投入，集聚優(yōu)勢資源，加速網(wǎng)絡(luò)安全核心技術(shù)的研發(fā)和產(chǎn)業(yè)化，并通過示范應(yīng)用和推廣普及，促進網(wǎng)絡(luò)安全技術(shù)在關(guān)鍵領(lǐng)域的規(guī)?；瘧?yīng)用，提升了我國網(wǎng)絡(luò)安全的整體防護能力。

其次，信創(chuàng)產(chǎn)業(yè)還將為我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保駕護航。關(guān)鍵信息基礎(chǔ)設(shè)施是國家的"命門"，一旦遭到攻擊，后果不堪設(shè)想。信創(chuàng)產(chǎn)業(yè)通過為電力、交通、金融等關(guān)鍵行業(yè)提供安全可靠的信息技術(shù)產(chǎn)品和解決方案，有效提升了關(guān)鍵信息基礎(chǔ)設(shè)施的安全水平，筑牢了國家網(wǎng)絡(luò)安全的"銅墻鐵壁"。

最后，信創(chuàng)產(chǎn)業(yè)還將引領(lǐng)數(shù)字經(jīng)濟新業(yè)態(tài)新模式的安全創(chuàng)新發(fā)展。新一代信息技術(shù)與各行業(yè)的深度融合，催生了眾多數(shù)字經(jīng)濟新業(yè)態(tài)新模式，但也帶來了新的安全風(fēng)險和挑戰(zhàn)。信創(chuàng)產(chǎn)業(yè)通過運用自主可控的創(chuàng)新技術(shù)，研發(fā)適應(yīng)新業(yè)態(tài)新模式特點的安全解決方案，引領(lǐng)新興數(shù)字產(chǎn)業(yè)的安全發(fā)展，為數(shù)字經(jīng)濟培育新的增長點和發(fā)展動能。

但同時我們需要看到，當(dāng)前我國信創(chuàng)產(chǎn)業(yè)發(fā)展還面臨一些挑戰(zhàn)：一是技術(shù)積累不足，高端產(chǎn)品供給能力有待提高；二是產(chǎn)業(yè)生態(tài)不健全，核心技術(shù)產(chǎn)品的迭代升級能力不強；三是創(chuàng)新動力不足，龍頭企業(yè)“排頭兵”作用發(fā)揮不夠；四是人才培養(yǎng)滯后，高端復(fù)合型人才缺乏。破解這些難題，需要持之以恒推進自主創(chuàng)新，大力發(fā)展關(guān)鍵核心技術(shù)，完善產(chǎn)業(yè)政策，加強人才培養(yǎng)，促進產(chǎn)學(xué)研深度融合，不斷提升產(chǎn)業(yè)基礎(chǔ)高級化、產(chǎn)業(yè)鏈現(xiàn)代化水平。

總而言之，沒有網(wǎng)絡(luò)安全就沒有國家安全。當(dāng)今世界，網(wǎng)絡(luò)安全形勢日趨嚴峻，網(wǎng)絡(luò)戰(zhàn)爭已經(jīng)從虛擬空間走向現(xiàn)實世界，從信息領(lǐng)域向?qū)嶓w經(jīng)濟擴展。黎巴嫩移動設(shè)備爆炸案更進一步凸顯了供應(yīng)鏈安全的重要性和緊迫性。在這場沒有硝煙的戰(zhàn)爭中，誰掌握了關(guān)鍵信息技術(shù)，誰就掌握了網(wǎng)絡(luò)空間的主動權(quán)和話語權(quán)。唯有加快信創(chuàng)發(fā)展，我們才能在波詭云譎的數(shù)字化時代，確保國家安全和發(fā)展利益。