2024年,黎巴嫩发生了大面积有预谋的网络攻击。攻击者预先在大量寻呼机中植入炸药并远程引爆,造成了严重伤亡和社会恐慌。这一事件开启了民用设备武器化的危机,再次在全球范围内敲响了网络供应链安全的警钟。
透过事件不难看出,在全球化生产网络与紧张政治局势的交织下,恶意行为者得以有机可乘,但现有监管机制却无法有效应对现代供应链的复杂性。一旦设备供应链的某个环节被恶意利用,原本无害的设备便会转变为公共安全的威胁。这一事件也凸显了建立全面治理机制,规范网络设备安全标准以预防供应链渗透危机的紧迫性。
嵌入性安全风险日益严峻
随着信息技术快速发展,网络供应链安全风险也日益多样化、复杂化,尤其是嵌入性风险,其根源就在于产品来源的不可控性,而供应链中不可靠或不安全的产品,很可能会对国家安全构成威胁。
当前,全球供应链的复杂性让各国难以完全掌握设备与技术来源,任何环节都可能出现被恶意嵌入的组件,为攻击者提供了灵活的操作空间。而嵌入性风险隐蔽性极高,复杂的加工和运输流程又使得全面检测困难重重。一旦恶意组件嵌入成功,还可能长期潜伏,直至激活时才暴露,并迅速破坏电力、通信、交通等重要系统与基础设施,引发广泛的公共安全危机。
从嵌入方式来看,嵌入性威胁主要分为定点嵌入和大规模嵌入两种。定点嵌入通常针对军事、能源或金融领域的特定设备或网络,如伊朗核设施的"震网"事件;大规模嵌入则通过广泛植入恶意组件,导致大面积系统瘫痪,引发恶劣社会影响。
随着AI技术的发展,嵌入性风险被进一步放大。攻击者以AI为杠杆,仅通过有限的资源就能造成严重威胁。
首先,AI能够提升攻击的自动化与精准性。在前期,攻击者可利用AI分析供应链中的薄弱环节,从庞大的数据中筛选出有价值的目标,设计个性化的攻击方案,并能根据目标网络防御措施动态调整自身策略,极大地提高命中率。
其次,AI可放大攻击效果。一旦恶意组件被植入供应链,AI作为助推器,可协助其快速扩散甚至实现全局控制,并操纵多个节点同步发动攻击,导致整个系统在极短时间内发生全域性瘫痪。更有甚者,AI还能通过智能化的指挥系统联动跨行业、跨地域的破坏活动,从而使攻击的规模和破坏力成倍增加。
最后,AI的自我学习和进化能力为攻击者提供了可持续性优势。由于AI具备不断优化自身攻击模型的潜力,传统的防护手段可能会被迅速无效化。此外,AI驱动的嵌入性风险具有极强的伪装能力,使现有检测和防御机制难以应对,攻击者还可以通过持续优化,使攻击更难被察觉,最终在关键时刻发动毁灭性打击。
眼下,AI与供应链结合的双重威胁使得网络系统的防护难度陡然增加,亟须相关部门在立法和监管上采取更加严谨和系统化的应对策略,以有效应对这一复杂且日益迫切的挑战。
域外主要国家应对思路
美 国 作为网络安全领域经验最丰富的国家,在供应链安全方面采取了一系列措施,主要分为立法、行政和战略规划3大类,囊括了综合性和多层次的安全保障体系
在立法方面,美国实施了多项法律以强化网络供应链安全。首先,《2019年安全可信通信网络法案》要求美国企业在其供应链中全面替换被联邦通信委员会(FCC)认定有风险的设备与服务。紧接着,《2021年安全设备法案》禁止FCC对有关风险设备与服务颁发新的授权证书,进一步将特定来源的产品逐出美国市场。随后,美国《芯片和科学法案》于2022年通过,旨在增强美国半导体生产能力,减少对外依赖。最后,《2022年关键基础设施网络事件报告法案》进一步改善了关键基础设施所有者和运营商在网络安全事件发生时的报告流程,要求受攻击的实体在72小时内向联邦机构报告,以便迅速响应。
在行政措施方面,美国政府通过多项行政令提升网络安全防护能力。特朗普政府于2019年签署了13873号行政令《确保信息和通信技术及服务供应链安全》,以防止外国干预美国关键通信技术和服务。随后,拜登政府于2021年签署的14028号行政令《改善国家网络安全》强调提高国家网络安全防护能力,特别是软件供应链安全。在执行层面,美国国家标准与技术研究院(NIST)负责制定网络安全框架和标准,为各类组织提供了评估和管理网络安全风险的工具与方法。此外,美国网络安全和基础设施安全局(CISA)负责协调联邦政府与地方之间的网络安全措施,确保信息共享与响应。
在战略规划方面,美国提出了旨在防止外部干预,提高网络安全韧性的国家网络安全战略。作为战略的重要组成部分,美国协同盟友推行"清洁网络计划",在国际范围内发起了对特定来源产品的抵制,并通过与盟友大力协作,维持其在供应链中的优势地位。此外,美国还强调公私合作的重要性,重视私营部门的参与,以便不断评估和更新政策。
英 国 在英国通过的《2021电信安全法》中要求通信服务提供商采取更严格的措施,实施相关筛查政策。英国通信管理局(Ofcom)负责监督网络供应链合规情况,国家网络安全中心(NCSC)则承担评估和监控网络供应链安全风险的任务。此外,为强化物联网设备和电信基础设施的安全性,英国还于2022年通过了《产品安全与电信基础设施法案》。其中,消费者可要求供应商遵循一系列安全举措,包括提供明确的漏洞披露政策、向消费者披露产品的安全支持时限等。
日 本 日本采取了与其产业政策紧密相关的网络供应链安全战略。2022年,日本政府通过了《经济安全保障推进法》,从而确保对关键基础设施及相关技术供应链的国家控制权。同时,日本特别注重半导体及关键通信技术本土生产能力的提升。日本的应对措施也体现了其特有的公私合作模式,即通过国内信息技术促进机构与私营部门紧密合作,确保供应链安全,同时通过工业网络安全中心,促进工业供应链中企业的合作与信息共享。
澳大利亚 澳大利亚采取了强化本土产业与国际合作的双轨策略。2020年,澳大利亚发布了新的网络安全战略,强调通过立法和政策工具加强网络安全,特别是在供应链领域,关键基础设施的保护成为优先事项。为进一步巩固网络安全,澳大利亚专门成立了网络和基础设施安全中心,并通过"五眼联盟"的协作强化与盟友的情报共享及联合应对机制,以确保供应链安全。此外,澳大利亚还推出了网络安全立法一揽子计划,在2018年《关键基础设施安全法案》的基础上持续推进,实施改革。
综上所述,美国、英国、日本、澳大利亚在网络供应链安全方面展现了各自独特的政策考量与实施路径。尽管政策重点各异,但均体现出加强对非盟友的审查、深化盟友间合作,以巩固国家安全和供应链自主性的重要共识。
应对新形势下网络供应链风险的启示
反观美国等供应链安全措施,具体执行中也存在着诸多挑战与问题。首先,推动产业本土化虽然能减少对外依赖,降低高风险供应链对国家安全的威胁,但实现全面本土化并非易事。这不仅需要生产能力的提升,更需要在研发投入、基础设施建设和人才培养等方面进行长期、持续的资源倾斜。在短期内过度强调本土化,可能导致对国际资源和技术的隔绝,从而限制技术交流与创新的活力。其次,尽管加强供应链审查能够有效遏制潜在风险,但这一过程往往伴随着高昂的经济和制度成本。例如,严格的审查需要动员大量的人力和技术资源,建立从原材料到终端产品的全面追溯机制,对政企而言都构成了不小的负担。除此之外,审查制度还可能引发贸易壁垒,加剧国际分工的割裂,进而影响全球供应链的效率与稳定性。再次,跨国协作在供应链治理中不可或缺,但其实际成效往往受到国际协调机制的限制。由于各国在利益分配、技术标准和监管框架上存在分歧,跨国合作通常耗时耗力,难以及时应对快速变化的风险环境。特别是在全球化与逆全球化潮流交替作用下,跨国协作的推进可能遭遇更多现实障碍。
黎巴嫩寻呼机爆炸事件充分说明,供应链风险不仅局限于虚拟空间的数据安全,还可能引发现实中的人员伤亡和公共安全危机,成为威胁国家安全的重大隐患。合理监管供应链安全的关键在于平衡本土化与全球化、监管程度与市场自由,以及长期技术积累与短期应急响应等方面的关系。结合域外多层次立法保障及公私合作模式等经验,笔者认为,对我国而言,应多管齐下,从政策引导、产业协同和法律监管等方面共同推进供应链安全治理。
首先,推进关键领域技术自主可控,并持续深化国际合作。在核心技术领域,应努力提升本土研发投入的资源利用效率,构建独立可控的技术体系,同时充分利用国际资源和市场优势,打造开放且稳定的供应链网络,建立互信的供应链伙伴关系。
其次,优化供应链治理中的审查体系。当前针对全球供应链的复杂性,我国需科学评估审查措施的适用范围与执行成本,可通过构建分级审查机制,平衡国家安全与经济发展的需求。同时提升监管透明度,吸纳社会力量参与,形成广泛的治理合力。
最后,加强供应链动态监测与技术防控能力。设立供应链风险预警平台,利用AI和大数据技术提升其可视化和风险预测能力,从而实现动态监控与快速响应。同时推动制定相关技术标准与监管机制,通过开发技术检测与防护工具,持续评估和防控供应链漏洞,通过探索多层次、多领域的综合治理,逐步形成符合我国国情的供应链安全治理体系,为全球供应链的稳定与安全贡献"中国方案"。
