2024年,,黎巴嫩發(fā)生了大面積有預謀的網絡攻擊,。攻擊者預先在大量尋呼機中植入炸藥并遠程引爆,造成了嚴重傷亡和社會恐慌,。這一事件開啟了民用設備武器化的危機,,再次在全球范圍內敲響了網絡供應鏈安全的警鐘。
透過事件不難看出,,在全球化生產網絡與緊張政治局勢的交織下,,惡意行為者得以有機可乘,但現有監(jiān)管機制卻無法有效應對現代供應鏈的復雜性,。一旦設備供應鏈的某個環(huán)節(jié)被惡意利用,,原本無害的設備便會轉變?yōu)楣舶踩耐{,。這一事件也凸顯了建立全面治理機制,規(guī)范網絡設備安全標準以預防供應鏈滲透危機的緊迫性,。
嵌入性安全風險日益嚴峻
隨著信息技術快速發(fā)展,,網絡供應鏈安全風險也日益多樣化、復雜化,,尤其是嵌入性風險,,其根源就在于產品來源的不可控性,而供應鏈中不可靠或不安全的產品,,很可能會對國家安全構成威脅,。
當前,全球供應鏈的復雜性讓各國難以完全掌握設備與技術來源,,任何環(huán)節(jié)都可能出現被惡意嵌入的組件,,為攻擊者提供了靈活的操作空間。而嵌入性風險隱蔽性極高,,復雜的加工和運輸流程又使得全面檢測困難重重,。一旦惡意組件嵌入成功,還可能長期潛伏,,直至激活時才暴露,,并迅速破壞電力、通信,、交通等重要系統(tǒng)與基礎設施,,引發(fā)廣泛的公共安全危機。
從嵌入方式來看,,嵌入性威脅主要分為定點嵌入和大規(guī)模嵌入兩種,。定點嵌入通常針對軍事、能源或金融領域的特定設備或網絡,,如伊朗核設施的"震網"事件,;大規(guī)模嵌入則通過廣泛植入惡意組件,導致大面積系統(tǒng)癱瘓,,引發(fā)惡劣社會影響,。
隨著AI技術的發(fā)展,嵌入性風險被進一步放大,。攻擊者以AI為杠桿,,僅通過有限的資源就能造成嚴重威脅。
首先,,AI能夠提升攻擊的自動化與精準性,。在前期,,攻擊者可利用AI分析供應鏈中的薄弱環(huán)節(jié),,從龐大的數據中篩選出有價值的目標,,設計個性化的攻擊方案,并能根據目標網絡防御措施動態(tài)調整自身策略,,極大地提高命中率,。
其次,AI可放大攻擊效果,。一旦惡意組件被植入供應鏈,,AI作為助推器,可協(xié)助其快速擴散甚至實現全局控制,,并操縱多個節(jié)點同步發(fā)動攻擊,,導致整個系統(tǒng)在極短時間內發(fā)生全域性癱瘓。更有甚者,,AI還能通過智能化的指揮系統(tǒng)聯(lián)動跨行業(yè),、跨地域的破壞活動,從而使攻擊的規(guī)模和破壞力成倍增加,。
最后,,AI的自我學習和進化能力為攻擊者提供了可持續(xù)性優(yōu)勢。由于AI具備不斷優(yōu)化自身攻擊模型的潛力,,傳統(tǒng)的防護手段可能會被迅速無效化,。此外,AI驅動的嵌入性風險具有極強的偽裝能力,,使現有檢測和防御機制難以應對,,攻擊者還可以通過持續(xù)優(yōu)化,使攻擊更難被察覺,,最終在關鍵時刻發(fā)動毀滅性打擊,。
眼下,AI與供應鏈結合的雙重威脅使得網絡系統(tǒng)的防護難度陡然增加,,亟須相關部門在立法和監(jiān)管上采取更加嚴謹和系統(tǒng)化的應對策略,,以有效應對這一復雜且日益迫切的挑戰(zhàn)。
域外主要國家應對思路
美 國 作為網絡安全領域經驗最豐富的國家,,在供應鏈安全方面采取了一系列措施,,主要分為立法、行政和戰(zhàn)略規(guī)劃3大類,,囊括了綜合性和多層次的安全保障體系
在立法方面,,美國實施了多項法律以強化網絡供應鏈安全。首先,,《2019年安全可信通信網絡法案》要求美國企業(yè)在其供應鏈中全面替換被聯(lián)邦通信委員會(FCC)認定有風險的設備與服務,。緊接著,《2021年安全設備法案》禁止FCC對有關風險設備與服務頒發(fā)新的授權證書,,進一步將特定來源的產品逐出美國市場,。隨后,,美國《芯片和科學法案》于2022年通過,旨在增強美國半導體生產能力,,減少對外依賴,。最后,《2022年關鍵基礎設施網絡事件報告法案》進一步改善了關鍵基礎設施所有者和運營商在網絡安全事件發(fā)生時的報告流程,,要求受攻擊的實體在72小時內向聯(lián)邦機構報告,,以便迅速響應。
在行政措施方面,,美國政府通過多項行政令提升網絡安全防護能力,。特朗普政府于2019年簽署了13873號行政令《確保信息和通信技術及服務供應鏈安全》,以防止外國干預美國關鍵通信技術和服務,。隨后,,拜登政府于2021年簽署的14028號行政令《改善國家網絡安全》強調提高國家網絡安全防護能力,特別是軟件供應鏈安全,。在執(zhí)行層面,,美國國家標準與技術研究院(NIST)負責制定網絡安全框架和標準,為各類組織提供了評估和管理網絡安全風險的工具與方法,。此外,,美國網絡安全和基礎設施安全局(CISA)負責協(xié)調聯(lián)邦政府與地方之間的網絡安全措施,確保信息共享與響應,。
在戰(zhàn)略規(guī)劃方面,,美國提出了旨在防止外部干預,提高網絡安全韌性的國家網絡安全戰(zhàn)略,。作為戰(zhàn)略的重要組成部分,,美國協(xié)同盟友推行"清潔網絡計劃",在國際范圍內發(fā)起了對特定來源產品的抵制,,并通過與盟友大力協(xié)作,,維持其在供應鏈中的優(yōu)勢地位。此外,,美國還強調公私合作的重要性,,重視私營部門的參與,以便不斷評估和更新政策,。
英 國 在英國通過的《2021電信安全法》中要求通信服務提供商采取更嚴格的措施,,實施相關篩查政策。英國通信管理局(Ofcom)負責監(jiān)督網絡供應鏈合規(guī)情況,,國家網絡安全中心(NCSC)則承擔評估和監(jiān)控網絡供應鏈安全風險的任務,。此外,,為強化物聯(lián)網設備和電信基礎設施的安全性,英國還于2022年通過了《產品安全與電信基礎設施法案》。其中,,消費者可要求供應商遵循一系列安全舉措,包括提供明確的漏洞披露政策、向消費者披露產品的安全支持時限等。
日 本 日本采取了與其產業(yè)政策緊密相關的網絡供應鏈安全戰(zhàn)略,。2022年,,日本政府通過了《經濟安全保障推進法》,,從而確保對關鍵基礎設施及相關技術供應鏈的國家控制權。同時,,日本特別注重半導體及關鍵通信技術本土生產能力的提升,。日本的應對措施也體現了其特有的公私合作模式,即通過國內信息技術促進機構與私營部門緊密合作,,確保供應鏈安全,,同時通過工業(yè)網絡安全中心,促進工業(yè)供應鏈中企業(yè)的合作與信息共享,。
澳大利亞 澳大利亞采取了強化本土產業(yè)與國際合作的雙軌策略,。2020年,澳大利亞發(fā)布了新的網絡安全戰(zhàn)略,,強調通過立法和政策工具加強網絡安全,,特別是在供應鏈領域,關鍵基礎設施的保護成為優(yōu)先事項,。為進一步鞏固網絡安全,,澳大利亞專門成立了網絡和基礎設施安全中心,并通過"五眼聯(lián)盟"的協(xié)作強化與盟友的情報共享及聯(lián)合應對機制,,以確保供應鏈安全,。此外,澳大利亞還推出了網絡安全立法一攬子計劃,,在2018年《關鍵基礎設施安全法案》的基礎上持續(xù)推進,,實施改革。
綜上所述,,美國,、英國、日本,、澳大利亞在網絡供應鏈安全方面展現了各自獨特的政策考量與實施路徑,。盡管政策重點各異,但均體現出加強對非盟友的審查,、深化盟友間合作,,以鞏固國家安全和供應鏈自主性的重要共識。
應對新形勢下網絡供應鏈風險的啟示
反觀美國等供應鏈安全措施,,具體執(zhí)行中也存在著諸多挑戰(zhàn)與問題,。首先,,推動產業(yè)本土化雖然能減少對外依賴,降低高風險供應鏈對國家安全的威脅,,但實現全面本土化并非易事,。這不僅需要生產能力的提升,更需要在研發(fā)投入,、基礎設施建設和人才培養(yǎng)等方面進行長期,、持續(xù)的資源傾斜。在短期內過度強調本土化,,可能導致對國際資源和技術的隔絕,,從而限制技術交流與創(chuàng)新的活力。其次,,盡管加強供應鏈審查能夠有效遏制潛在風險,,但這一過程往往伴隨著高昂的經濟和制度成本。例如,,嚴格的審查需要動員大量的人力和技術資源,,建立從原材料到終端產品的全面追溯機制,對政企而言都構成了不小的負擔,。除此之外,,審查制度還可能引發(fā)貿易壁壘,加劇國際分工的割裂,,進而影響全球供應鏈的效率與穩(wěn)定性,。再次,跨國協(xié)作在供應鏈治理中不可或缺,,但其實際成效往往受到國際協(xié)調機制的限制,。由于各國在利益分配、技術標準和監(jiān)管框架上存在分歧,,跨國合作通常耗時耗力,,難以及時應對快速變化的風險環(huán)境。特別是在全球化與逆全球化潮流交替作用下,,跨國協(xié)作的推進可能遭遇更多現實障礙,。
黎巴嫩尋呼機爆炸事件充分說明,供應鏈風險不僅局限于虛擬空間的數據安全,,還可能引發(fā)現實中的人員傷亡和公共安全危機,,成為威脅國家安全的重大隱患。合理監(jiān)管供應鏈安全的關鍵在于平衡本土化與全球化,、監(jiān)管程度與市場自由,,以及長期技術積累與短期應急響應等方面的關系。結合域外多層次立法保障及公私合作模式等經驗,筆者認為,,對我國而言,,應多管齊下,從政策引導,、產業(yè)協(xié)同和法律監(jiān)管等方面共同推進供應鏈安全治理,。
首先,推進關鍵領域技術自主可控,,并持續(xù)深化國際合作,。在核心技術領域,應努力提升本土研發(fā)投入的資源利用效率,,構建獨立可控的技術體系,,同時充分利用國際資源和市場優(yōu)勢,,打造開放且穩(wěn)定的供應鏈網絡,,建立互信的供應鏈伙伴關系。
其次,,優(yōu)化供應鏈治理中的審查體系,。當前針對全球供應鏈的復雜性,我國需科學評估審查措施的適用范圍與執(zhí)行成本,,可通過構建分級審查機制,,平衡國家安全與經濟發(fā)展的需求。同時提升監(jiān)管透明度,,吸納社會力量參與,,形成廣泛的治理合力。
最后,,加強供應鏈動態(tài)監(jiān)測與技術防控能力,。設立供應鏈風險預警平臺,利用AI和大數據技術提升其可視化和風險預測能力,,從而實現動態(tài)監(jiān)控與快速響應,。同時推動制定相關技術標準與監(jiān)管機制,通過開發(fā)技術檢測與防護工具,,持續(xù)評估和防控供應鏈漏洞,,通過探索多層次、多領域的綜合治理,,逐步形成符合我國國情的供應鏈安全治理體系,,為全球供應鏈的穩(wěn)定與安全貢獻"中國方案"。
