从苹果公司的故事讲起,乔布斯在重新回到苹果之后,专门挖了一个牛人,就是库克,库克是供应链管理方面的顶级专家,那乔布斯为什么要挖这个人了,一个大公司,如果不做好供应链管理,保证供应链的安全,苹果是无法实现盈利,推动股价飙升的。同样,国内的小米公司在创业过程中也多次遇到供应链危机,为此不得不开除创业元老,可见任何一个公司,如果要做大做强就必须加强供应链管理,国家亦如此。
那么把供应链管理的理念放到网络空间安全中,是不是也是一样的道理,可见供应链安全在网络空间安全中也占着举足轻重的地位,没有供应链的安全,就无法谈网络空间安全。像XcodeGhost、Solarwinds、xz-utils等事件都是供应链攻击的典型案例,我们应当从这些案例中,深刻理解供应链攻击造成的影响。
供应链攻击是指攻击者通过供应链中某个环节的薄弱点或漏洞,渗透到目标系统或网络中的一种攻击方式。供应链攻击的方式有多种,可以通过软件、硬件、服务等多种方式实施供应链攻击。在当前我国数字经济建设中,供应链安全是我们当前面临最紧迫的问题。首先从芯片方面来讲,目前世界上主要芯片是Intel、AMD、ARM等,在和平时代,从经济利益角度考虑,有利可图的情况下,大家是相安无事,各取所需。一旦在风云变幻时局下,大国之间爆发战争或代理人之间爆发战争,难免不会像抗美援朝初期,美帝国主义越过边境扔几颗炸弹偷袭你,不断试探你的底线,这些芯片就会构成攻击的通道或桥梁,对信息系统会造成毁灭性打击。因此,在航天、航空等国家重点领域、重点部位,应当使用国产芯片,加快国产芯片的替代,像海光、兆芯、飞腾、鲲鹏这些芯片虽然是国外厂商授权,但是基本上能满足自主可控,就目前来说,和美欧国家存在一定差距是肯定的,但是起码得做到自主可控,这是底线原则,重点是要发展龙芯和申威,将芯片控制权掌握在自己手中。同时在产业化过程中,通过吸收美西方国家的技术来自主创新研发自己的芯片,争取摆脱芯片的供应链攻击,但是决不能做汉芯,找个农民工就可以磨出一个芯片,这简直是天大笑话。
从软件角度来谈,操作系统,数据库,中间件,应用软件都是供应链攻击的组成部分,通过这次微软CrowdStrike事件,我们看到一个杀毒软件的更新都会让众多和生活息息相关的业务停摆,那如果不是csagent.sys而是植入木马程序,那是不是可以控制所有相关联的设备了。这就是目前美国,英国等西方国家反对并打压华为的原因之一。目前国产的操作系统都是基于linux内核进行修改,发展出了银河麒麟,统信,中科方德,欧拉,鸿蒙等国产化操作系统,肯定有人又要说,还不是基于linux修改的等等一些言论,操作系统本身就是一个技术性要求高的产业,不管是微软,linux,android,ios等操作系统都是基于unix演变而来,所以说在技术成熟的今天,通过开源的linux内核打造自主可控的操作系统,通过消化,吸收逐步自主创新是可行的方案,是国家的战略高度。除了操作系统,还有中间件,数据库,及应用软件也一样,特别是开源的软件,说的好听点是遵循开源精神,通过开源来倡导所谓西方式的民主和自由,纵观西方近几百年的发展史,一面举着基督教的大旗,一面拿着机枪大炮,天天喊着民主和自由,实则是血腥杀戮,我们不能任其发展,应当基于他们开源程序进一步完善产品,师夷长技以制夷。说的不好听点,就是通过免费开源的思路,让你坐享其成,让你丧失自主创新的动力,从而控制你的精神和意志,放长线钓大鱼,无形建立各个攻击据点。目前国内常用的apache,tomcat,nginx,mysql,redis,es,flume,flink,hadoop,openstack等,虽然说暂时不能自己研发出这些著名组件,但是必须基于这些开源的组件,达到自主可控。纵观国内发展的现状,基本上都有可替代的方案,先不论好不好用,首先得保证有,再逐步通过使用达到完善,再经过十年左右,基本上可达到自主可控,在关键领域完成全面替换。数据库有达梦、人大金仓、神州通用、华为、中兴、阿里等。中间件有东方通、普元、宝兰德,阿里、华为等。信创之路,任重道远,虽然说我们不能别辟蹊径,但是我们可以通过先模仿、改造,这样可以缩短时间来达到快速自主可控。
必须坚持信创之路,像这次微软和CrowdStrike事件,充分说明了美国具备发动全面网络战的能力和经验,从芯片、操作系统、中间件、应用软件,在各行各业,只要与信息化相关的,都有其身影,正如1840年前后,但是我们不会像闭关锁国的清政府一样,因为我们在持续改革开放,学习西方先进技术,得益于领导人的高瞻远瞩,通过不断的引进、消化和吸收,至少是有备无患。当底子薄,根基浅的时候,就必须采取跟随战略来达到自主可控,实现直道超车。即使现在信创之路并不顺利,但是我们初期可以使用人海战术来应对稳定性问题,通过7*24小时人盯的方式来保证用起来,现场改的方式保证好用起来。人海战术也是人民战争的一部分,通过这种不对称的方式逐步做到自主创新。
75年前的1949年8月5日美国发表了《美国与中国的关系》白皮书,随后,毛泽东主席陆续发表了《丢掉幻想,准备斗争》、《别了,司徒雷登》、《为什么要讨论白皮书?》、《“友谊”,还是侵略?》、《唯心历史观的破产》等五篇评论文章,一针见血地揭露了当时美国对华政策的反动本质,并且清晰地阐明了中国革命发生和胜利的原因。在当前百年未有之大变局,大国竞争、地缘政治冲突情况下,更应当丢掉幻想,准备战斗。网络空间也是战场,谁掌握了主动权,谁就可以先发制人,谁就可以运筹帷幄之中,决胜千里之外。
如何保障供应链安全,除了坚持信创,在国防、军队、军工、能源、交通、金融等关键领域实现国产化替代,达到自主可控、可信保证安全可靠,应对未来可能爆发的网络战。在民生领域,对美国等西方社会来说,中国14亿人口,是巨大的市场机会,西方社会精英们是逐利而往,爱国是他们的奢望,哪里有利益就有他们身影。对此,应当避免所有国内民生领域的终端直接与美国服务器相联,应当做好适当的网络隔离,避免实时的补丁推送,对进出的数据做严格审查,有的人会说可以通过前期潜伏和定时启动,照样可以破坏,这样也说得通,但是至少能缓解一定的危害,难道需要敞开大门。任何国外公司和在华企业的数据必须经过严格审查,做好数据出入境合规检查,数据境内外流通必须做好可控,不能像大门完全不上锁一样,这个世界哪有那么自觉的人,即使你家里一贫如洗,他可能进来都要偷把刀,或者给你撒泡尿,淹不死你,也会让你闻闻尿骚味,强盗都是这个逻辑。
保证供应链安全,除了坚持信创,数据出入境合规检查之外,还应当持续做好基于供应链的攻防对抗演练,模拟攻击和防御供应链系统,通过入侵供应商系统、污染软件或植入恶意程序重新打包、伪造或篡改供应链中产品或数据、在供应链中间各个环节进行埋点等等方式,站在攻应链安全的视角进行长期的攻防对抗演练及安全有效性验证。
总之,网络空间是现代高科技战场,其激烈程度不亚于传统战争。供应链安全在其中起到至关重要的作用,能够实现“不战而屈人之兵”的战略目标,这也是孙子兵法的最高境界。确保供应链安全需从多个方面着手,包括坚持信创、出入境数据合规检查,以及基于攻击链的红蓝对抗等。通过信创技术,保障核心技术和设备的自主可控;出入境数据合规检查,防止数据泄露和跨境攻击;红蓝对抗演练,提高防御系统的实战能力和应对能力。综合这些措施,才能确保供应链的安全可靠,维护我国网络空间的和平与稳定。
