黎巴嫩移動(dòng)設(shè)備爆炸事件敲響我國(guó)加快信創(chuàng)發(fā)展的警鐘

邱燕娜 許曉麗
黎巴嫩移動(dòng)設(shè)備爆炸案猶如一記警鐘,敲醒了我們對(duì)網(wǎng)絡(luò)安全形勢(shì)的新認(rèn)識(shí)。在網(wǎng)絡(luò)攻擊從數(shù)字空間向現(xiàn)實(shí)物理世界擴(kuò)展的大趨勢(shì)下,在供應(yīng)鏈安全重要性日益凸顯的當(dāng)下,發(fā)展信創(chuàng)產(chǎn)業(yè)已經(jīng)成為我國(guó)維護(hù)國(guó)家安全和經(jīng)濟(jì)命脈的必然選擇。

本文來自微信公眾號(hào)“安全牛”,【作者】邱燕娜 許曉麗。

微信圖片_20240927155752.jpg

黎巴嫩移動(dòng)設(shè)備爆炸事件敲響供應(yīng)鏈安全警鐘

當(dāng)?shù)貢r(shí)間2024年9月17日,黎巴嫩首都貝魯特以及多地發(fā)生手持尋呼機(jī)爆炸事件,爆炸波持續(xù)了約一個(gè)小時(shí)。9月18日下午,黎巴嫩多地再次發(fā)生通信設(shè)備爆炸事件,設(shè)備包括尋呼機(jī)、對(duì)講機(jī)以及無線通信設(shè)備等。據(jù)央視新聞消息,截至9月21日,兩次爆炸已造成39人死亡、約3000人受傷。

黎巴嫩駐聯(lián)合國(guó)代表團(tuán)在發(fā)給安理會(huì)的一封信中表示,根據(jù)初步調(diào)查,黎當(dāng)局發(fā)現(xiàn)爆炸的通信設(shè)備在抵達(dá)該國(guó)之前就被植入了炸藥,并通過向這些設(shè)備發(fā)送電子信息來引爆。而促成將尋呼機(jī)銷售至黎巴嫩的NortaGlobal公司,尋呼機(jī)爆炸之后刪除了其官網(wǎng),公司創(chuàng)始人Rinson Jose也離奇失蹤。當(dāng)前,事實(shí)的真相仍在調(diào)查中。

黎巴嫩移動(dòng)設(shè)備爆炸事件揭示了一個(gè)令人不安的趨勢(shì):網(wǎng)絡(luò)攻擊正在從虛擬領(lǐng)域向現(xiàn)實(shí)物理世界擴(kuò)展,并已經(jīng)能夠?qū)ΜF(xiàn)實(shí)世界造成切實(shí)的破壞和傷害。中國(guó)工程院院士鄔江興接受記者采訪時(shí)表示,這開創(chuàng)了一個(gè)很惡劣的先河,也就是網(wǎng)絡(luò)空間的安全,直接規(guī)?;绊懭松戆踩?/p>

傳統(tǒng)的網(wǎng)絡(luò)攻擊主要側(cè)重于竊取數(shù)據(jù)、破壞數(shù)字系統(tǒng),或通過軟件和網(wǎng)絡(luò)漏洞削弱基礎(chǔ)設(shè)施。然而,黎巴嫩移動(dòng)終端爆炸事件表明,網(wǎng)絡(luò)手段能夠直接造成物理破壞,數(shù)字攻擊可能轉(zhuǎn)化成為實(shí)際的人員傷亡。

包括智能穿戴設(shè)備在內(nèi)的智能網(wǎng)聯(lián)設(shè)備正在成為網(wǎng)絡(luò)攻擊的新目標(biāo)。所謂智能網(wǎng)聯(lián)設(shè)備,是指通過網(wǎng)絡(luò)連接的物理設(shè)備,如工業(yè)互聯(lián)網(wǎng)設(shè)備、智能電網(wǎng)、無人駕駛汽車等。這些系統(tǒng)一旦遭到網(wǎng)絡(luò)攻擊,其后果不僅限于數(shù)據(jù)泄露或系統(tǒng)癱瘓,更可能導(dǎo)致工廠爆炸、電網(wǎng)崩潰、車輛失控等災(zāi)難性事件。

黎巴嫩事件還揭示了當(dāng)前網(wǎng)絡(luò)安全方法的局限性。傳統(tǒng)的防御措施,如防火墻、入侵檢測(cè)系統(tǒng)和安全軟件,主要用于保護(hù)數(shù)字資產(chǎn)和網(wǎng)絡(luò)。然而,當(dāng)網(wǎng)絡(luò)攻擊以物理方式表現(xiàn)時(shí),這些措施可能無法提供足夠的保護(hù)。為了應(yīng)對(duì)這種新出現(xiàn)的威脅,我們需要采取全面的方法,不僅要確保設(shè)備和網(wǎng)絡(luò)中的數(shù)字信息安全,還要保護(hù)供應(yīng)鏈和物理組件安全。

通過破壞供應(yīng)鏈,攻擊者可以將惡意硬件或軟件植入到各種網(wǎng)聯(lián)設(shè)備,從而獲得對(duì)這些設(shè)備的物理控制權(quán)。這種能力使得網(wǎng)絡(luò)攻擊的潛在影響遠(yuǎn)遠(yuǎn)超出了網(wǎng)絡(luò)滲透、數(shù)據(jù)盜竊或系統(tǒng)中斷,甚至可能威脅到生命安全。

供應(yīng)鏈安全成為網(wǎng)絡(luò)物理世界的軟肋

隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用,網(wǎng)絡(luò)安全已經(jīng)不再局限于網(wǎng)絡(luò)空間,而是與物理世界日益交織,形成了錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)物理系統(tǒng)。然而,這種融合也帶來了新的安全隱患,其中最突出的就是供應(yīng)鏈安全問題,供應(yīng)鏈攻擊成為一個(gè)新的更為嚴(yán)重、甚至危及生命的安全威脅。

供應(yīng)鏈攻擊,是指攻擊者通過滲透或操縱軟硬件供應(yīng)鏈,在產(chǎn)品設(shè)計(jì)、制造、流通等環(huán)節(jié)植入惡意軟件或硬件后門,從而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的遠(yuǎn)程控制或破壞。

讓我們先通過一組數(shù)據(jù)來看看供應(yīng)鏈安全的現(xiàn)實(shí)。Gartner預(yù)測(cè),對(duì)軟件供應(yīng)鏈的攻擊造成的損失將從2023年的460億美元上升到2031年的1380億美元;在2023年4月之前的12個(gè)月內(nèi),約2/3(61%)的美國(guó)企業(yè)直接受到軟件供應(yīng)鏈攻擊的影響。Sonatype第九屆年度軟件供應(yīng)鏈狀態(tài)報(bào)告顯示,而僅有7%的受訪者表示他們已采取措施審查他們供應(yīng)鏈中的安全風(fēng)險(xiǎn)。

供應(yīng)鏈攻擊之所以如此猖獗,根本原因在于現(xiàn)代供應(yīng)鏈的高度復(fù)雜性和脆弱性。一方面,全球化分工使得供應(yīng)鏈環(huán)節(jié)眾多,任何一個(gè)環(huán)節(jié)都可能成為攻擊的突破口。另一方面,供應(yīng)鏈各環(huán)節(jié)之間高度互聯(lián)互通,一旦某個(gè)環(huán)節(jié)被攻破,惡意代碼就可能如病毒般快速傳播,影響所有下游用戶。這種攻擊方式具有極大的隱蔽性和破壞性。

首先,供應(yīng)鏈攻擊會(huì)破壞設(shè)備和系統(tǒng)的完整性和可信性。一旦供應(yīng)鏈被攻破,惡意代碼或硬件被植入后門,即使系統(tǒng)本身沒有漏洞,也難以保證其安全性和可靠性。這就像是給系統(tǒng)埋下了一顆"定時(shí)炸彈",隨時(shí)可能被攻擊者引爆。

其次,供應(yīng)鏈攻擊具有高度隱蔽性和難以察覺性。與傳統(tǒng)的網(wǎng)絡(luò)攻擊不同,供應(yīng)鏈攻擊往往發(fā)生在產(chǎn)品交付之前,攻擊者可以在硬件設(shè)計(jì)、固件開發(fā)、軟件編譯等環(huán)節(jié)下手,而這些環(huán)節(jié)通常不在最終用戶的控制范圍內(nèi)。供應(yīng)鏈攻擊是一種"先污染,后感染"的攻擊方式,其危害可能在數(shù)年后才會(huì)顯現(xiàn)。這使得供應(yīng)鏈攻擊極難被及時(shí)發(fā)現(xiàn)和有效防范。

更為嚴(yán)重的是,供應(yīng)鏈攻擊可能導(dǎo)致災(zāi)難性后果。比如說,2020年美國(guó)網(wǎng)絡(luò)安全公司FireEye遭遇供應(yīng)鏈攻擊,導(dǎo)致其用于紅隊(duì)攻防演練的黑客工具被竊取。這些工具隨后被公開,并被多個(gè)黑客組織用于勒索軟件攻擊,造成了巨大的經(jīng)濟(jì)損失和社會(huì)影響??梢韵胂?,如果供應(yīng)鏈攻擊的目標(biāo)是關(guān)鍵基礎(chǔ)設(shè)施,如電力系統(tǒng)、交通系統(tǒng)、金融系統(tǒng)等,其后果將不堪設(shè)想。

發(fā)展信創(chuàng)是提升供應(yīng)鏈韌性的戰(zhàn)略必施

面對(duì)供應(yīng)鏈安全的嚴(yán)峻挑戰(zhàn),發(fā)展信創(chuàng)產(chǎn)業(yè),構(gòu)建自主可控、安全可信的信息技術(shù)體系,是我們必須采取的戰(zhàn)略舉措。

發(fā)展信創(chuàng),首要任務(wù)是通過自主可控技術(shù)提升供應(yīng)鏈安全韌性。只有掌握了核心技術(shù),實(shí)現(xiàn)關(guān)鍵軟硬件的自主可控,才能從根本上防范供應(yīng)鏈安全風(fēng)險(xiǎn)。從芯片、操作系統(tǒng)、數(shù)據(jù)庫等底層架構(gòu)入手,打造自主可控的信息技術(shù)底座,是提升供應(yīng)鏈安全韌性的重要手段。

與此同時(shí),還要建立全流程可信供應(yīng)鏈管理和驗(yàn)證機(jī)制。供應(yīng)鏈安全管理要貫穿產(chǎn)品全生命周期,從設(shè)計(jì)、采購、生產(chǎn)到交付、維護(hù)的每一個(gè)環(huán)節(jié),都要進(jìn)行嚴(yán)格的安全管控和可信驗(yàn)證。這需要構(gòu)建一套完善的供應(yīng)鏈安全標(biāo)準(zhǔn)體系,建立第三方安全評(píng)估和認(rèn)證機(jī)制,并運(yùn)用區(qū)塊鏈、可信計(jì)算等新興技術(shù)手段,實(shí)現(xiàn)供應(yīng)鏈全流程的可追溯、可審計(jì)、可信任。

更為重要的是,要發(fā)揮信創(chuàng)產(chǎn)業(yè)在供應(yīng)鏈安全生態(tài)構(gòu)建中的引領(lǐng)作用。網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)性工程,需要產(chǎn)業(yè)鏈各方協(xié)同發(fā)力、共同治理。信創(chuàng)產(chǎn)業(yè)要發(fā)揮龍頭企業(yè)的示范帶動(dòng)作用,帶動(dòng)產(chǎn)業(yè)鏈上下游企業(yè)提升供應(yīng)鏈安全意識(shí)和能力,共同構(gòu)建可信可控的供應(yīng)鏈安全生態(tài)。同時(shí),還要加強(qiáng)產(chǎn)學(xué)研用協(xié)同創(chuàng)新,促進(jìn)安全技術(shù)研發(fā)成果的產(chǎn)業(yè)化應(yīng)用,推動(dòng)形成可持續(xù)發(fā)展的供應(yīng)鏈安全產(chǎn)業(yè)生態(tài)。

信創(chuàng)產(chǎn)業(yè):筑牢網(wǎng)絡(luò)安全的"壓艙石"

當(dāng)前,供應(yīng)鏈"卡脖子"問題不僅制約了數(shù)字經(jīng)濟(jì)的發(fā)展,更給國(guó)家安全埋下了隱患。發(fā)展信創(chuàng)產(chǎn)業(yè),就是要從根本上解決我國(guó)在關(guān)鍵信息技術(shù)領(lǐng)域"受制于人"的問題,構(gòu)筑起維護(hù)國(guó)家網(wǎng)絡(luò)安全和數(shù)字主權(quán)的"壓艙石"。

正因?yàn)槿绱?,近年來我?guó)高度重視信創(chuàng)產(chǎn)業(yè)發(fā)展,將其列為"十四五"規(guī)劃的重點(diǎn)任務(wù)之一。目前,我國(guó)在多個(gè)關(guān)鍵技術(shù)領(lǐng)域?qū)崿F(xiàn)了突破,部分核心技術(shù)已經(jīng)達(dá)到國(guó)際先進(jìn)水平。以華為鴻蒙操作系統(tǒng)為例,其在部分技術(shù)指標(biāo)上已經(jīng)超越安卓,成為全球領(lǐng)先的分布式操作系統(tǒng)。

首先,信創(chuàng)產(chǎn)業(yè)的發(fā)展,為夯實(shí)我國(guó)網(wǎng)絡(luò)安全基礎(chǔ)提供了堅(jiān)實(shí)支撐。

一方面,信創(chuàng)產(chǎn)業(yè)助力構(gòu)建自主可控的網(wǎng)絡(luò)安全技術(shù)體系。通過突破"卡脖子"技術(shù),打造自主可控的網(wǎng)絡(luò)安全芯片、操作系統(tǒng)、數(shù)據(jù)庫等底層架構(gòu),為構(gòu)建完整的網(wǎng)絡(luò)安全技術(shù)體系奠定了基礎(chǔ)。

另一方面,信創(chuàng)產(chǎn)業(yè)推動(dòng)網(wǎng)絡(luò)安全核心技術(shù)突破和應(yīng)用。當(dāng)前,我國(guó)網(wǎng)絡(luò)安全呈現(xiàn)"需求旺盛、市場(chǎng)廣闊、人才緊缺、核心技術(shù)缺乏"的特點(diǎn)。信創(chuàng)產(chǎn)業(yè)通過加大研發(fā)投入,集聚優(yōu)勢(shì)資源,加速網(wǎng)絡(luò)安全核心技術(shù)的研發(fā)和產(chǎn)業(yè)化,并通過示范應(yīng)用和推廣普及,促進(jìn)網(wǎng)絡(luò)安全技術(shù)在關(guān)鍵領(lǐng)域的規(guī)?;瘧?yīng)用,提升了我國(guó)網(wǎng)絡(luò)安全的整體防護(hù)能力。

其次,信創(chuàng)產(chǎn)業(yè)還將為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保駕護(hù)航。關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家的"命門",一旦遭到攻擊,后果不堪設(shè)想。信創(chuàng)產(chǎn)業(yè)通過為電力、交通、金融等關(guān)鍵行業(yè)提供安全可靠的信息技術(shù)產(chǎn)品和解決方案,有效提升了關(guān)鍵信息基礎(chǔ)設(shè)施的安全水平,筑牢了國(guó)家網(wǎng)絡(luò)安全的"銅墻鐵壁"。

最后,信創(chuàng)產(chǎn)業(yè)還將引領(lǐng)數(shù)字經(jīng)濟(jì)新業(yè)態(tài)新模式的安全創(chuàng)新發(fā)展。新一代信息技術(shù)與各行業(yè)的深度融合,催生了眾多數(shù)字經(jīng)濟(jì)新業(yè)態(tài)新模式,但也帶來了新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。信創(chuàng)產(chǎn)業(yè)通過運(yùn)用自主可控的創(chuàng)新技術(shù),研發(fā)適應(yīng)新業(yè)態(tài)新模式特點(diǎn)的安全解決方案,引領(lǐng)新興數(shù)字產(chǎn)業(yè)的安全發(fā)展,為數(shù)字經(jīng)濟(jì)培育新的增長(zhǎng)點(diǎn)和發(fā)展動(dòng)能。

但同時(shí)我們需要看到,當(dāng)前我國(guó)信創(chuàng)產(chǎn)業(yè)發(fā)展還面臨一些挑戰(zhàn):一是技術(shù)積累不足,高端產(chǎn)品供給能力有待提高;二是產(chǎn)業(yè)生態(tài)不健全,核心技術(shù)產(chǎn)品的迭代升級(jí)能力不強(qiáng);三是創(chuàng)新動(dòng)力不足,龍頭企業(yè)“排頭兵”作用發(fā)揮不夠;四是人才培養(yǎng)滯后,高端復(fù)合型人才缺乏。破解這些難題,需要持之以恒推進(jìn)自主創(chuàng)新,大力發(fā)展關(guān)鍵核心技術(shù),完善產(chǎn)業(yè)政策,加強(qiáng)人才培養(yǎng),促進(jìn)產(chǎn)學(xué)研深度融合,不斷提升產(chǎn)業(yè)基礎(chǔ)高級(jí)化、產(chǎn)業(yè)鏈現(xiàn)代化水平。

總而言之,沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全。當(dāng)今世界,網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻,網(wǎng)絡(luò)戰(zhàn)爭(zhēng)已經(jīng)從虛擬空間走向現(xiàn)實(shí)世界,從信息領(lǐng)域向?qū)嶓w經(jīng)濟(jì)擴(kuò)展。黎巴嫩移動(dòng)設(shè)備爆炸案更進(jìn)一步凸顯了供應(yīng)鏈安全的重要性和緊迫性。在這場(chǎng)沒有硝煙的戰(zhàn)爭(zhēng)中,誰掌握了關(guān)鍵信息技術(shù),誰就掌握了網(wǎng)絡(luò)空間的主動(dòng)權(quán)和話語權(quán)。唯有加快信創(chuàng)發(fā)展,我們才能在波詭云譎的數(shù)字化時(shí)代,確保國(guó)家安全和發(fā)展利益。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論