编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,为大家介绍网络空间安全的方方面面。
一、从中兴被禁说起
小白:最近我的朋友圈这几天被“中兴被禁”的事情刷屏了,作为一个给别人贴了四年手机膜的通信毕业生,对突然发生的这件事表示非常震惊。
大东:嗯,不管事情到底是怎样的,结果就是中兴供应链被掐断,AI之路可能断送。高通、英特尔、微软和杜比都是中兴设备的主要提供商,如果没有高通构建的移动处理器平台,中兴将很难在美国生产手机。
小白:供应链断了那就找别的家呗。
大东:哪有那么简单,据估计,中兴通讯设备中25%至30%的组件来自美国,为这些组件寻找新的供应商需要时间,并且在此之前中兴几乎无法出售任何东西。
小白:好可怕。
大东:这就是供应链不安全造成的结果。中兴一直心存侥幸,觉得供应链不会断才造成此后果。这件事也是让我们醒悟,很多关键技术节点上我们受制于人。
小白:供应链一掐就断,确实很不安全,所以自主研发才是王道,不仅安全而且可控。
大东:没错。供应链安全不仅仅包括能够保证供应链不断这一方面的安全,还有很多方面。
二、供应链安全
小白:供应链安全的其他方面是什么?你快说说。
大东:那我先问你,啥是供应链?
小白:供应链是指由供应商、制造商、分销商、零售商直到最终用户所连成的网链结构。
大东:刚刚我们讲的供应链安全是什么?
小白:简单来说,就是保证整个供应链不断,不会因为各种原因掐断货源。供货渠道能够持续供货。
大东:没错,这只是供应链安全的一个方面,是商业合作伙伴的安全。供应链安全还包括场所&进入安全、人员安全、信息安全和运输&货物安全。无论链上的哪一个节点出问题,都会切断供应链,给企业造成不可低估的损失。在现在这个互联网时代,人们往往会采用更隐秘的方式来破坏你的供应链安全,其中面临严重威胁的就是商业合作伙伴安全和信息安全。
小白:所以中兴被禁就是在供应链上第三部分出了问题!
大东:没错,光明正大的给你把供应链掐了,这还算好的。还有一种是在背地里悄无声息的做一些坏事情,这就不能忍了。
小白:emmmm,不太懂。
大东:我先给你举个例子吧。前不久,惠普电脑的音频驱动程序被瑞士一家安全公司发现隐藏了内置的键盘记录器,可收集个人文档、网络账户和密码等一切键盘输入信息。该安全公司的报告发布后引起业界一片哗然,人们对惠普电脑全球范围内的隐私泄露及危害网络安全的行为深表担忧。
小白:问题就出现在供应链上了?
大东:没错。比如惠普台式电脑主要由主机和显示器组成,主机又包括电源、内存、CPU等硬件和操作系统、应用软件等,原材料大多都来自不同的厂商,这些厂商的集合就是供应链。供应链上的每一个产品都可能给网络安全带来损害,尤其是关键信息基础设施的核心器部件。
小白:这种事情太可恶了,总有人惦记着我的钱和隐私。
大东:不仅如此,电脑漏洞既可窥探个人用户信息,又能窃取国家或组织的机密,战时则可用于网络空间作战。惠普键盘记录器事件只是网络安全领域的冰山一角。2017年6月末,NotPetya恶意软件袭击了全球59个国家的跨国企业,世界首屈一指的集装箱货运公司马士基航运接单受阻,充分验证了供应链面临的巨大威胁。航运订单之前只能通过电话下单,马士基航运集团刚刚引入数字化策略,攻击便发生了。
小白:看来不仅仅是供应链里的厂商会出现问题,整个供应链都在面临着巨大威胁。
大东:尽管物联网携诸多优势渗透我们的日常生活,但也给我们的供应链系统带来了网络攻击和其他漏洞利用的威胁。随着公司企业和研究人员对端到端供应链的普及宣传,供应链也逐渐成为网络攻击的一大重点目标。
小白:这对每家公司企业而言都是发人深省的,因为很可能在不远的将来就会面临类似的情况。NotPetya勒索软件攻击还仅仅是个开始;如果公司企业继续认为“业务规模小”就没有风险威胁,那么更大的混乱就等在前方。
大东:没错,供应链上的每一个节点,都被敌人虎视眈眈的盯着。美国为保证供应链安全专门设有信息安全审查制度,专门审查从国外来的设备是否有植入后门。美国不让华为进入美国市场的重要原因就是对华为的手机没法做监控。
小白:保证供应链上的设备安全和设备的信息安全也是不可以掉以轻心的!
三、大神如是说
小白:大东,那如何保证供应链的安全呢?
大东:针对中兴被禁,我们应该觉醒,在很多核心的部件上不能一直依赖别人,自主才能可控,要从源头上自主研发实现。自主可控解决了安全问题之后,要进一步防止后门。要想保证供应链的安全,应该究其原因,找到影响供应链安全的因素才能对症下药。正如美国国家标准与技术局研讨会上讨论的一样,公司企业供应链中的几个关键网络安全风险与考虑,需要由网络空间相关公司的每个利益相关者好好思考并回答。
小白:都是什么呢?
大东:一方面就是第三方服务提供者或厂商。多少公司能确保其较低层供应商了解最新的系统、网络和应用级漏洞?好多全球商业巨头根本不清楚其供应商所用系统和应用的更新和受保护程度。此外,上游供应商应有何种网络安全实践?对这些期待或标准的遵从应如何评估?这是物流业面临的基本缺失之一。推荐供应商管理库存(VMI)和协同计划、预测和补充概念。
小白:那另一方面呢?
大东:另一方面就是雇员缺乏网络安全意识。网络安全人才极度紧缺,尤其是在供应链这一块。供应链上就没有什么广泛的网络安全模块覆盖。实际上,多数大学校园甚至没有在本科或研究生物流项目中,引入基础网络安全培训。而且,在为关键供应链职位招聘人员时,有多少招聘者对基本网络安全知识做了评估的?
小白:这个没话说,没有网络安全意识,还谈何供应链安全呢?那还有吗?
大东:还有就是公司或供应商系统中的软件安全漏洞。网络罪犯通常会进行网络扫描以发现薄弱环节。所以,无论你运营的是中小企业还是顶级公司,投资网络安全都是必须的。网络安全是个长期过程,因为网络罪犯一直在找寻你网络/系统中的新漏洞。他们永远不会停止利用漏洞。因此,不采用最佳网络安全实践的代价,比实现之高昂得多。
小白:没有网络安全,就没有国家安全;没有供应链安全,就没有网络空间安全。保障供应链安全刻不容缓!