本文来自微信公众号“安全牛”,【作者】邱燕娜 许晓丽。
黎巴嫩移动设备爆炸事件敲响供应链安全警钟
当地时间2024年9月17日,黎巴嫩首都贝鲁特以及多地发生手持寻呼机爆炸事件,爆炸波持续了约一个小时。9月18日下午,黎巴嫩多地再次发生通信设备爆炸事件,设备包括寻呼机、对讲机以及无线通信设备等。据央视新闻消息,截至9月21日,两次爆炸已造成39人死亡、约3000人受伤。
黎巴嫩驻联合国代表团在发给安理会的一封信中表示,根据初步调查,黎当局发现爆炸的通信设备在抵达该国之前就被植入了炸药,并通过向这些设备发送电子信息来引爆。而促成将寻呼机销售至黎巴嫩的NortaGlobal公司,寻呼机爆炸之后删除了其官网,公司创始人Rinson Jose也离奇失踪。当前,事实的真相仍在调查中。
黎巴嫩移动设备爆炸事件揭示了一个令人不安的趋势:网络攻击正在从虚拟领域向现实物理世界扩展,并已经能够对现实世界造成切实的破坏和伤害。中国工程院院士邬江兴接受记者采访时表示,这开创了一个很恶劣的先河,也就是网络空间的安全,直接规模化影响人身安全。
传统的网络攻击主要侧重于窃取数据、破坏数字系统,或通过软件和网络漏洞削弱基础设施。然而,黎巴嫩移动终端爆炸事件表明,网络手段能够直接造成物理破坏,数字攻击可能转化成为实际的人员伤亡。
包括智能穿戴设备在内的智能网联设备正在成为网络攻击的新目标。所谓智能网联设备,是指通过网络连接的物理设备,如工业互联网设备、智能电网、无人驾驶汽车等。这些系统一旦遭到网络攻击,其后果不仅限于数据泄露或系统瘫痪,更可能导致工厂爆炸、电网崩溃、车辆失控等灾难性事件。
黎巴嫩事件还揭示了当前网络安全方法的局限性。传统的防御措施,如防火墙、入侵检测系统和安全软件,主要用于保护数字资产和网络。然而,当网络攻击以物理方式表现时,这些措施可能无法提供足够的保护。为了应对这种新出现的威胁,我们需要采取全面的方法,不仅要确保设备和网络中的数字信息安全,还要保护供应链和物理组件安全。
通过破坏供应链,攻击者可以将恶意硬件或软件植入到各种网联设备,从而获得对这些设备的物理控制权。这种能力使得网络攻击的潜在影响远远超出了网络渗透、数据盗窃或系统中断,甚至可能威胁到生命安全。
供应链安全成为网络物理世界的软肋
随着信息技术的飞速发展和广泛应用,网络安全已经不再局限于网络空间,而是与物理世界日益交织,形成了错综复杂的网络物理系统。然而,这种融合也带来了新的安全隐患,其中最突出的就是供应链安全问题,供应链攻击成为一个新的更为严重、甚至危及生命的安全威胁。
供应链攻击,是指攻击者通过渗透或操纵软硬件供应链,在产品设计、制造、流通等环节植入恶意软件或硬件后门,从而实现对目标系统的远程控制或破坏。
让我们先通过一组数据来看看供应链安全的现实。Gartner预测,对软件供应链的攻击造成的损失将从2023年的460亿美元上升到2031年的1380亿美元;在2023年4月之前的12个月内,约2/3(61%)的美国企业直接受到软件供应链攻击的影响。Sonatype第九届年度软件供应链状态报告显示,而仅有7%的受访者表示他们已采取措施审查他们供应链中的安全风险。
供应链攻击之所以如此猖獗,根本原因在于现代供应链的高度复杂性和脆弱性。一方面,全球化分工使得供应链环节众多,任何一个环节都可能成为攻击的突破口。另一方面,供应链各环节之间高度互联互通,一旦某个环节被攻破,恶意代码就可能如病毒般快速传播,影响所有下游用户。这种攻击方式具有极大的隐蔽性和破坏性。
首先,供应链攻击会破坏设备和系统的完整性和可信性。一旦供应链被攻破,恶意代码或硬件被植入后门,即使系统本身没有漏洞,也难以保证其安全性和可靠性。这就像是给系统埋下了一颗"定时炸弹",随时可能被攻击者引爆。
其次,供应链攻击具有高度隐蔽性和难以察觉性。与传统的网络攻击不同,供应链攻击往往发生在产品交付之前,攻击者可以在硬件设计、固件开发、软件编译等环节下手,而这些环节通常不在最终用户的控制范围内。供应链攻击是一种"先污染,后感染"的攻击方式,其危害可能在数年后才会显现。这使得供应链攻击极难被及时发现和有效防范。
更为严重的是,供应链攻击可能导致灾难性后果。比如说,2020年美国网络安全公司FireEye遭遇供应链攻击,导致其用于红队攻防演练的黑客工具被窃取。这些工具随后被公开,并被多个黑客组织用于勒索软件攻击,造成了巨大的经济损失和社会影响。可以想象,如果供应链攻击的目标是关键基础设施,如电力系统、交通系统、金融系统等,其后果将不堪设想。
发展信创是提升供应链韧性的战略必施
面对供应链安全的严峻挑战,发展信创产业,构建自主可控、安全可信的信息技术体系,是我们必须采取的战略举措。
发展信创,首要任务是通过自主可控技术提升供应链安全韧性。只有掌握了核心技术,实现关键软硬件的自主可控,才能从根本上防范供应链安全风险。从芯片、操作系统、数据库等底层架构入手,打造自主可控的信息技术底座,是提升供应链安全韧性的重要手段。
与此同时,还要建立全流程可信供应链管理和验证机制。供应链安全管理要贯穿产品全生命周期,从设计、采购、生产到交付、维护的每一个环节,都要进行严格的安全管控和可信验证。这需要构建一套完善的供应链安全标准体系,建立第三方安全评估和认证机制,并运用区块链、可信计算等新兴技术手段,实现供应链全流程的可追溯、可审计、可信任。
更为重要的是,要发挥信创产业在供应链安全生态构建中的引领作用。网络安全是一项系统性工程,需要产业链各方协同发力、共同治理。信创产业要发挥龙头企业的示范带动作用,带动产业链上下游企业提升供应链安全意识和能力,共同构建可信可控的供应链安全生态。同时,还要加强产学研用协同创新,促进安全技术研发成果的产业化应用,推动形成可持续发展的供应链安全产业生态。
信创产业:筑牢网络安全的"压舱石"
当前,供应链"卡脖子"问题不仅制约了数字经济的发展,更给国家安全埋下了隐患。发展信创产业,就是要从根本上解决我国在关键信息技术领域"受制于人"的问题,构筑起维护国家网络安全和数字主权的"压舱石"。
正因为如此,近年来我国高度重视信创产业发展,将其列为"十四五"规划的重点任务之一。目前,我国在多个关键技术领域实现了突破,部分核心技术已经达到国际先进水平。以华为鸿蒙操作系统为例,其在部分技术指标上已经超越安卓,成为全球领先的分布式操作系统。
首先,信创产业的发展,为夯实我国网络安全基础提供了坚实支撑。
一方面,信创产业助力构建自主可控的网络安全技术体系。通过突破"卡脖子"技术,打造自主可控的网络安全芯片、操作系统、数据库等底层架构,为构建完整的网络安全技术体系奠定了基础。
另一方面,信创产业推动网络安全核心技术突破和应用。当前,我国网络安全呈现"需求旺盛、市场广阔、人才紧缺、核心技术缺乏"的特点。信创产业通过加大研发投入,集聚优势资源,加速网络安全核心技术的研发和产业化,并通过示范应用和推广普及,促进网络安全技术在关键领域的规模化应用,提升了我国网络安全的整体防护能力。
其次,信创产业还将为我国关键信息基础设施安全保驾护航。关键信息基础设施是国家的"命门",一旦遭到攻击,后果不堪设想。信创产业通过为电力、交通、金融等关键行业提供安全可靠的信息技术产品和解决方案,有效提升了关键信息基础设施的安全水平,筑牢了国家网络安全的"铜墙铁壁"。
最后,信创产业还将引领数字经济新业态新模式的安全创新发展。新一代信息技术与各行业的深度融合,催生了众多数字经济新业态新模式,但也带来了新的安全风险和挑战。信创产业通过运用自主可控的创新技术,研发适应新业态新模式特点的安全解决方案,引领新兴数字产业的安全发展,为数字经济培育新的增长点和发展动能。
但同时我们需要看到,当前我国信创产业发展还面临一些挑战:一是技术积累不足,高端产品供给能力有待提高;二是产业生态不健全,核心技术产品的迭代升级能力不强;三是创新动力不足,龙头企业“排头兵”作用发挥不够;四是人才培养滞后,高端复合型人才缺乏。破解这些难题,需要持之以恒推进自主创新,大力发展关键核心技术,完善产业政策,加强人才培养,促进产学研深度融合,不断提升产业基础高级化、产业链现代化水平。
总而言之,没有网络安全就没有国家安全。当今世界,网络安全形势日趋严峻,网络战争已经从虚拟空间走向现实世界,从信息领域向实体经济扩展。黎巴嫩移动设备爆炸案更进一步凸显了供应链安全的重要性和紧迫性。在这场没有硝烟的战争中,谁掌握了关键信息技术,谁就掌握了网络空间的主动权和话语权。唯有加快信创发展,我们才能在波诡云谲的数字化时代,确保国家安全和发展利益。