2024年,黎巴嫩發(fā)生了大面積有預(yù)謀的網(wǎng)絡(luò)攻擊。攻擊者預(yù)先在大量尋呼機(jī)中植入炸藥并遠(yuǎn)程引爆,造成了嚴(yán)重傷亡和社會恐慌。這一事件開啟了民用設(shè)備武器化的危機(jī),再次在全球范圍內(nèi)敲響了網(wǎng)絡(luò)供應(yīng)鏈安全的警鐘。
透過事件不難看出,在全球化生產(chǎn)網(wǎng)絡(luò)與緊張政治局勢的交織下,惡意行為者得以有機(jī)可乘,但現(xiàn)有監(jiān)管機(jī)制卻無法有效應(yīng)對現(xiàn)代供應(yīng)鏈的復(fù)雜性。一旦設(shè)備供應(yīng)鏈的某個環(huán)節(jié)被惡意利用,原本無害的設(shè)備便會轉(zhuǎn)變?yōu)楣舶踩耐{。這一事件也凸顯了建立全面治理機(jī)制,規(guī)范網(wǎng)絡(luò)設(shè)備安全標(biāo)準(zhǔn)以預(yù)防供應(yīng)鏈滲透危機(jī)的緊迫性。
嵌入性安全風(fēng)險(xiǎn)日益嚴(yán)峻
隨著信息技術(shù)快速發(fā)展,網(wǎng)絡(luò)供應(yīng)鏈安全風(fēng)險(xiǎn)也日益多樣化、復(fù)雜化,尤其是嵌入性風(fēng)險(xiǎn),其根源就在于產(chǎn)品來源的不可控性,而供應(yīng)鏈中不可靠或不安全的產(chǎn)品,很可能會對國家安全構(gòu)成威脅。
當(dāng)前,全球供應(yīng)鏈的復(fù)雜性讓各國難以完全掌握設(shè)備與技術(shù)來源,任何環(huán)節(jié)都可能出現(xiàn)被惡意嵌入的組件,為攻擊者提供了靈活的操作空間。而嵌入性風(fēng)險(xiǎn)隱蔽性極高,復(fù)雜的加工和運(yùn)輸流程又使得全面檢測困難重重。一旦惡意組件嵌入成功,還可能長期潛伏,直至激活時才暴露,并迅速破壞電力、通信、交通等重要系統(tǒng)與基礎(chǔ)設(shè)施,引發(fā)廣泛的公共安全危機(jī)。
從嵌入方式來看,嵌入性威脅主要分為定點(diǎn)嵌入和大規(guī)模嵌入兩種。定點(diǎn)嵌入通常針對軍事、能源或金融領(lǐng)域的特定設(shè)備或網(wǎng)絡(luò),如伊朗核設(shè)施的"震網(wǎng)"事件;大規(guī)模嵌入則通過廣泛植入惡意組件,導(dǎo)致大面積系統(tǒng)癱瘓,引發(fā)惡劣社會影響。
隨著AI技術(shù)的發(fā)展,嵌入性風(fēng)險(xiǎn)被進(jìn)一步放大。攻擊者以AI為杠桿,僅通過有限的資源就能造成嚴(yán)重威脅。
首先,AI能夠提升攻擊的自動化與精準(zhǔn)性。在前期,攻擊者可利用AI分析供應(yīng)鏈中的薄弱環(huán)節(jié),從龐大的數(shù)據(jù)中篩選出有價值的目標(biāo),設(shè)計(jì)個性化的攻擊方案,并能根據(jù)目標(biāo)網(wǎng)絡(luò)防御措施動態(tài)調(diào)整自身策略,極大地提高命中率。
其次,AI可放大攻擊效果。一旦惡意組件被植入供應(yīng)鏈,AI作為助推器,可協(xié)助其快速擴(kuò)散甚至實(shí)現(xiàn)全局控制,并操縱多個節(jié)點(diǎn)同步發(fā)動攻擊,導(dǎo)致整個系統(tǒng)在極短時間內(nèi)發(fā)生全域性癱瘓。更有甚者,AI還能通過智能化的指揮系統(tǒng)聯(lián)動跨行業(yè)、跨地域的破壞活動,從而使攻擊的規(guī)模和破壞力成倍增加。
最后,AI的自我學(xué)習(xí)和進(jìn)化能力為攻擊者提供了可持續(xù)性優(yōu)勢。由于AI具備不斷優(yōu)化自身攻擊模型的潛力,傳統(tǒng)的防護(hù)手段可能會被迅速無效化。此外,AI驅(qū)動的嵌入性風(fēng)險(xiǎn)具有極強(qiáng)的偽裝能力,使現(xiàn)有檢測和防御機(jī)制難以應(yīng)對,攻擊者還可以通過持續(xù)優(yōu)化,使攻擊更難被察覺,最終在關(guān)鍵時刻發(fā)動毀滅性打擊。
眼下,AI與供應(yīng)鏈結(jié)合的雙重威脅使得網(wǎng)絡(luò)系統(tǒng)的防護(hù)難度陡然增加,亟須相關(guān)部門在立法和監(jiān)管上采取更加嚴(yán)謹(jǐn)和系統(tǒng)化的應(yīng)對策略,以有效應(yīng)對這一復(fù)雜且日益迫切的挑戰(zhàn)。
域外主要國家應(yīng)對思路
美 國 作為網(wǎng)絡(luò)安全領(lǐng)域經(jīng)驗(yàn)最豐富的國家,在供應(yīng)鏈安全方面采取了一系列措施,主要分為立法、行政和戰(zhàn)略規(guī)劃3大類,囊括了綜合性和多層次的安全保障體系
在立法方面,美國實(shí)施了多項(xiàng)法律以強(qiáng)化網(wǎng)絡(luò)供應(yīng)鏈安全。首先,《2019年安全可信通信網(wǎng)絡(luò)法案》要求美國企業(yè)在其供應(yīng)鏈中全面替換被聯(lián)邦通信委員會(FCC)認(rèn)定有風(fēng)險(xiǎn)的設(shè)備與服務(wù)。緊接著,《2021年安全設(shè)備法案》禁止FCC對有關(guān)風(fēng)險(xiǎn)設(shè)備與服務(wù)頒發(fā)新的授權(quán)證書,進(jìn)一步將特定來源的產(chǎn)品逐出美國市場。隨后,美國《芯片和科學(xué)法案》于2022年通過,旨在增強(qiáng)美國半導(dǎo)體生產(chǎn)能力,減少對外依賴。最后,《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》進(jìn)一步改善了關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商在網(wǎng)絡(luò)安全事件發(fā)生時的報(bào)告流程,要求受攻擊的實(shí)體在72小時內(nèi)向聯(lián)邦機(jī)構(gòu)報(bào)告,以便迅速響應(yīng)。
在行政措施方面,美國政府通過多項(xiàng)行政令提升網(wǎng)絡(luò)安全防護(hù)能力。特朗普政府于2019年簽署了13873號行政令《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》,以防止外國干預(yù)美國關(guān)鍵通信技術(shù)和服務(wù)。隨后,拜登政府于2021年簽署的14028號行政令《改善國家網(wǎng)絡(luò)安全》強(qiáng)調(diào)提高國家網(wǎng)絡(luò)安全防護(hù)能力,特別是軟件供應(yīng)鏈安全。在執(zhí)行層面,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)負(fù)責(zé)制定網(wǎng)絡(luò)安全框架和標(biāo)準(zhǔn),為各類組織提供了評估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的工具與方法。此外,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)負(fù)責(zé)協(xié)調(diào)聯(lián)邦政府與地方之間的網(wǎng)絡(luò)安全措施,確保信息共享與響應(yīng)。
在戰(zhàn)略規(guī)劃方面,美國提出了旨在防止外部干預(yù),提高網(wǎng)絡(luò)安全韌性的國家網(wǎng)絡(luò)安全戰(zhàn)略。作為戰(zhàn)略的重要組成部分,美國協(xié)同盟友推行"清潔網(wǎng)絡(luò)計(jì)劃",在國際范圍內(nèi)發(fā)起了對特定來源產(chǎn)品的抵制,并通過與盟友大力協(xié)作,維持其在供應(yīng)鏈中的優(yōu)勢地位。此外,美國還強(qiáng)調(diào)公私合作的重要性,重視私營部門的參與,以便不斷評估和更新政策。
英 國 在英國通過的《2021電信安全法》中要求通信服務(wù)提供商采取更嚴(yán)格的措施,實(shí)施相關(guān)篩查政策。英國通信管理局(Ofcom)負(fù)責(zé)監(jiān)督網(wǎng)絡(luò)供應(yīng)鏈合規(guī)情況,國家網(wǎng)絡(luò)安全中心(NCSC)則承擔(dān)評估和監(jiān)控網(wǎng)絡(luò)供應(yīng)鏈安全風(fēng)險(xiǎn)的任務(wù)。此外,為強(qiáng)化物聯(lián)網(wǎng)設(shè)備和電信基礎(chǔ)設(shè)施的安全性,英國還于2022年通過了《產(chǎn)品安全與電信基礎(chǔ)設(shè)施法案》。其中,消費(fèi)者可要求供應(yīng)商遵循一系列安全舉措,包括提供明確的漏洞披露政策、向消費(fèi)者披露產(chǎn)品的安全支持時限等。
日 本 日本采取了與其產(chǎn)業(yè)政策緊密相關(guān)的網(wǎng)絡(luò)供應(yīng)鏈安全戰(zhàn)略。2022年,日本政府通過了《經(jīng)濟(jì)安全保障推進(jìn)法》,從而確保對關(guān)鍵基礎(chǔ)設(shè)施及相關(guān)技術(shù)供應(yīng)鏈的國家控制權(quán)。同時,日本特別注重半導(dǎo)體及關(guān)鍵通信技術(shù)本土生產(chǎn)能力的提升。日本的應(yīng)對措施也體現(xiàn)了其特有的公私合作模式,即通過國內(nèi)信息技術(shù)促進(jìn)機(jī)構(gòu)與私營部門緊密合作,確保供應(yīng)鏈安全,同時通過工業(yè)網(wǎng)絡(luò)安全中心,促進(jìn)工業(yè)供應(yīng)鏈中企業(yè)的合作與信息共享。
澳大利亞 澳大利亞采取了強(qiáng)化本土產(chǎn)業(yè)與國際合作的雙軌策略。2020年,澳大利亞發(fā)布了新的網(wǎng)絡(luò)安全戰(zhàn)略,強(qiáng)調(diào)通過立法和政策工具加強(qiáng)網(wǎng)絡(luò)安全,特別是在供應(yīng)鏈領(lǐng)域,關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)成為優(yōu)先事項(xiàng)。為進(jìn)一步鞏固網(wǎng)絡(luò)安全,澳大利亞專門成立了網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全中心,并通過"五眼聯(lián)盟"的協(xié)作強(qiáng)化與盟友的情報(bào)共享及聯(lián)合應(yīng)對機(jī)制,以確保供應(yīng)鏈安全。此外,澳大利亞還推出了網(wǎng)絡(luò)安全立法一攬子計(jì)劃,在2018年《關(guān)鍵基礎(chǔ)設(shè)施安全法案》的基礎(chǔ)上持續(xù)推進(jìn),實(shí)施改革。
綜上所述,美國、英國、日本、澳大利亞在網(wǎng)絡(luò)供應(yīng)鏈安全方面展現(xiàn)了各自獨(dú)特的政策考量與實(shí)施路徑。盡管政策重點(diǎn)各異,但均體現(xiàn)出加強(qiáng)對非盟友的審查、深化盟友間合作,以鞏固國家安全和供應(yīng)鏈自主性的重要共識。
應(yīng)對新形勢下網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)的啟示
反觀美國等供應(yīng)鏈安全措施,具體執(zhí)行中也存在著諸多挑戰(zhàn)與問題。首先,推動產(chǎn)業(yè)本土化雖然能減少對外依賴,降低高風(fēng)險(xiǎn)供應(yīng)鏈對國家安全的威脅,但實(shí)現(xiàn)全面本土化并非易事。這不僅需要生產(chǎn)能力的提升,更需要在研發(fā)投入、基礎(chǔ)設(shè)施建設(shè)和人才培養(yǎng)等方面進(jìn)行長期、持續(xù)的資源傾斜。在短期內(nèi)過度強(qiáng)調(diào)本土化,可能導(dǎo)致對國際資源和技術(shù)的隔絕,從而限制技術(shù)交流與創(chuàng)新的活力。其次,盡管加強(qiáng)供應(yīng)鏈審查能夠有效遏制潛在風(fēng)險(xiǎn),但這一過程往往伴隨著高昂的經(jīng)濟(jì)和制度成本。例如,嚴(yán)格的審查需要動員大量的人力和技術(shù)資源,建立從原材料到終端產(chǎn)品的全面追溯機(jī)制,對政企而言都構(gòu)成了不小的負(fù)擔(dān)。除此之外,審查制度還可能引發(fā)貿(mào)易壁壘,加劇國際分工的割裂,進(jìn)而影響全球供應(yīng)鏈的效率與穩(wěn)定性。再次,跨國協(xié)作在供應(yīng)鏈治理中不可或缺,但其實(shí)際成效往往受到國際協(xié)調(diào)機(jī)制的限制。由于各國在利益分配、技術(shù)標(biāo)準(zhǔn)和監(jiān)管框架上存在分歧,跨國合作通常耗時耗力,難以及時應(yīng)對快速變化的風(fēng)險(xiǎn)環(huán)境。特別是在全球化與逆全球化潮流交替作用下,跨國協(xié)作的推進(jìn)可能遭遇更多現(xiàn)實(shí)障礙。
黎巴嫩尋呼機(jī)爆炸事件充分說明,供應(yīng)鏈風(fēng)險(xiǎn)不僅局限于虛擬空間的數(shù)據(jù)安全,還可能引發(fā)現(xiàn)實(shí)中的人員傷亡和公共安全危機(jī),成為威脅國家安全的重大隱患。合理監(jiān)管供應(yīng)鏈安全的關(guān)鍵在于平衡本土化與全球化、監(jiān)管程度與市場自由,以及長期技術(shù)積累與短期應(yīng)急響應(yīng)等方面的關(guān)系。結(jié)合域外多層次立法保障及公私合作模式等經(jīng)驗(yàn),筆者認(rèn)為,對我國而言,應(yīng)多管齊下,從政策引導(dǎo)、產(chǎn)業(yè)協(xié)同和法律監(jiān)管等方面共同推進(jìn)供應(yīng)鏈安全治理。
首先,推進(jìn)關(guān)鍵領(lǐng)域技術(shù)自主可控,并持續(xù)深化國際合作。在核心技術(shù)領(lǐng)域,應(yīng)努力提升本土研發(fā)投入的資源利用效率,構(gòu)建獨(dú)立可控的技術(shù)體系,同時充分利用國際資源和市場優(yōu)勢,打造開放且穩(wěn)定的供應(yīng)鏈網(wǎng)絡(luò),建立互信的供應(yīng)鏈伙伴關(guān)系。
其次,優(yōu)化供應(yīng)鏈治理中的審查體系。當(dāng)前針對全球供應(yīng)鏈的復(fù)雜性,我國需科學(xué)評估審查措施的適用范圍與執(zhí)行成本,可通過構(gòu)建分級審查機(jī)制,平衡國家安全與經(jīng)濟(jì)發(fā)展的需求。同時提升監(jiān)管透明度,吸納社會力量參與,形成廣泛的治理合力。
最后,加強(qiáng)供應(yīng)鏈動態(tài)監(jiān)測與技術(shù)防控能力。設(shè)立供應(yīng)鏈風(fēng)險(xiǎn)預(yù)警平臺,利用AI和大數(shù)據(jù)技術(shù)提升其可視化和風(fēng)險(xiǎn)預(yù)測能力,從而實(shí)現(xiàn)動態(tài)監(jiān)控與快速響應(yīng)。同時推動制定相關(guān)技術(shù)標(biāo)準(zhǔn)與監(jiān)管機(jī)制,通過開發(fā)技術(shù)檢測與防護(hù)工具,持續(xù)評估和防控供應(yīng)鏈漏洞,通過探索多層次、多領(lǐng)域的綜合治理,逐步形成符合我國國情的供應(yīng)鏈安全治理體系,為全球供應(yīng)鏈的穩(wěn)定與安全貢獻(xiàn)"中國方案"。
