网络安全宣传周 - 供应链安全

1.1 供应链安全，网络安全关键防线

在当今数字化时代，网络安全已成为国家、社会、企业乃至个人绕不开的重要命题。而供应链安全作为网络安全的关键防线，其重要性不言而喻。现代企业的供应链通常涉及多个环节和多个合作伙伴，一旦供应链出现安全漏洞，可能会对企业的核心利益造成严重影响。例如，软件供应链安全事件频发，攻击者利用软件供应链的复杂性和互联性，通过恶意软件植入、代码篡改等方式，实现对目标软件的深度渗透和控制，进而影响企业的竞争力和市场地位。同时，供应链安全也关乎消费者权益。消费者对产品和服务的质量和安全性要求越来越高，一旦供应链网络出现问题，可能导致产品质量问题或数据泄露，损害消费者利益，甚至引发消费者维权事件，对企业形象造成严重影响。此外，关键信息基础设施的稳定运行也离不开供应链安全。党的十八大以来，以习近平同志为核心的党中央高度重视网络安全和信息化工作，关键信息基础设施作为国家的重要资产，其安全稳定运行至关重要。而供应链安全问题可能会导致关键信息基础设施的停服断供、安全漏洞等，严重危害国家安全。

1.2 机遇与挑战并存，构建安全堡垒

在复杂的网络安全环境下，供应链安全既面临着挑战，也蕴含着机遇。一方面，随着合规压力的日益增大、安全事件的频繁发生，软件供应链引入的停服断供、安全漏洞以及外部代码组件违规使用等供应关系安全风险、技术安全风险和知识产权安全风险，导致传统软件安全面临新的挑战。有的安全事件已经阻碍正常工作生活的持续稳定运行，甚至危害国家安全。另一方面，数字化发展是数字技术与实体经济深度融合的 “加速器”，为提升供应链安全水平带来了机遇。政府应聚焦产业转型、质量升级和服务供给等方面的核心需求，积极引导构建供应链主体从供应链到物流的数字化全景图，不断提升端到端的数字化供应链运营能力。同时，围绕优势主导产业开展强链延链补链工程，进一步落实和细化龙头企业牵头带动供应链稳定的金融支持政策，推动更多的数字化转型领域国家标准的制定，不断完善供应链数字化转型升级的整体解决方案等。

1.3 多方协同，共筑安全生态

构建安全的网络安全供应链生态需要企业、政府等多主体合作。企业方面，要强化市场多主体通力协作，提升应急供应链的能动力。供应链企业要总结和提炼以往协作配合的经验，固化成链条，打通跨地域、跨组织、跨部门协同堵点，形成相互支撑的供应链体系。同时，企业要强化政务信息化项目网络安全管理，落实网络安全运营管理者主要职责，根据政务信息化项目要求建立和完善网络安全管理制度和责任制，将责任层层落实到位，确保政务信息化项目的机密性、完整性和可用性。政府方面，要将 “韧性” 纳入顶层设计，提升应急供应链的引导力。制定和实施国家供应链安全计划，完善供应链风险预警机制，提升供应链风险预警防控能力。出台相关激励政策，引导细分领域的应急物资供应链的企业加速发展，引导和规范供应链体系的韧性建设。此外，政府要建立联席会议制度，组织企业首席网络安全官开展联席会议，通报政务信息化项目供应链企业的网络安全情况，交流探讨网络安全最新形势，开展联防联控合作，提高整体网络安全防控水平。各供应链的企业首席网络安全官可发挥优势开展研发合作，协同攻克技术难题，带动提升整个创新链上下游企业的技术水平，实现关键核心技术的突破。

二、市场现状剖析

2.1 网络安全供应链安全形势严峻

2.1.1 攻击目标聚焦，威胁加剧

2023 年度网络安全报告显示，由于大多供应链企业缺乏 APT 攻击防护，逐渐成为攻击首要目标。以 APT - C - 06（DarkHotel）组织为例，其在攻击活动中主要以投递具有迷惑性主题的压缩包作为载荷投递的主要手法，2023 年中，该组织利用国内某邮件系统 0day 漏洞进行大规模攻击，攻击规模不可忽视。8 大软件供应链攻击事件中，CodeCov 源代码泄露，其 Docker 镜像中泄露的凭证使攻击者可以修改一个 bash 脚本，进而泄露客户凭证并访问他们的 Git 仓库；Kaseya 勒索软件攻击中，攻击者利用 Kaseya 系统中的零日漏洞，控制系统后在客户的系统中执行远程命令，约有 50 个客户受到直接影响，实际受影响企业达 800 至 1500 家。这些案例充分说明供应链已成为网络攻击的重点目标，威胁不断加剧。

2.1.2 漏洞数量增长，风险凸显

2024 年，开源软件漏洞中高危及以上占比超 40%。开源软件漏洞传播范围广，危害性沿供应链传播且逐级放大，据调查，开源组件漏洞一级传播（直接依赖）影响范围扩大 125 倍，二级传播（间接依赖）影响范围扩大 173 倍。例如，开源文件共享软件 ownCloud 近日警告称存在三个严重安全漏洞，其中一个漏洞可能会暴漏管理员密码和邮件服务器凭证。2021 年爆发的 Log4j2 漏洞要十余年才能修完，期间将持续引发安全风险。开源社区的规模及活跃度参差不齐，导致开源软件漏洞修复与维护成本高，责任落实难。

2.2 安全措施与管理现状

2.2.1 企业安全管理实践

企业在供应链安全方面采取了一系列具体措施。例如，供应链可视化管理，借助先进的物联网技术、大数据分析等手段，实时追踪和监控整个供应链的运作情况，确保在任何环节出现问题时能够迅速做出反应。多元化供应商和采购渠道，避免过度依赖单一供应商或采购渠道，降低风险。建立紧密的合作关系，与供应链上下游的合作伙伴建立信任和透明度，在发生问题时更好地沟通和协作。此外，企业还制定风险评估和预警机制，对供应链各个环节的风险进行定期评估，识别可能的潜在威胁。

2.2.2 政府及机构举措

政府部门及相关机构在加强供应链网络安全管理方面也采取了诸多工作。深圳市气象局出台《深圳市气象局供应链网络安全管理实施细则》，明确工作职责，形成涵盖全生命周期的供应链网络安全管理规范标准和实践指南体系，强化供应链安全事件应急响应及处置要求。加强对供应链安全监控管理，规范入离岗流程，对全量供应链实体要素识别并形成台账，定期组织安全培训及考核，开展相关人员背景调查工作。云南省财政厅织密织牢六张网全面提升网络安全水平，包括织牢网络安全的工作责任网、监测预警的信息通报网、安全运维的机制管理网、等保密评的安全规范网、信息基础设施的防控网、网络安全意识的防护网，加强供应链安全管理，对运维人员开展背景调查，签订驻场保密安全协议。

三、挑战深度解析

3.1 完整性挑战

在供应链安全中，完整性面临着诸多严峻挑战。恶意篡改是当前供应链完整性的主要威胁之一。例如，在供应链的各个环节中，攻击者可能对产品、服务及其所包含的组件、部件、元器件、数据等进行恶意篡改、植入、替换、伪造，以嵌入包含恶意逻辑的软件或硬件。这种恶意篡改可能导致关键信息基础设施被非法控制，严重影响国家安全。据统计，近年来因恶意篡改导致的供应链安全事件呈上升趋势，约有 [X]% 的企业遭受过此类攻击。

假冒伪劣产品也对供应链完整性构成巨大威胁。网络产品或上游组件存在侵犯知识产权、质量低劣等问题，如盗版、翻新机、低配充高配、未经授权的贴牌或代工等。这些假冒伪劣产品一旦进入供应链，不仅会影响产品的性能和质量，还可能导致关键信息基础设施的运行出现故障，甚至引发安全事故。以电子产品为例，每年因假冒伪劣电子产品导致的供应链中断事件不在少数，给企业和消费者带来了巨大的损失。

违规远程控制同样不容忽视。网络产品和服务存在远程控制功能，但未告知远程控制的目的、范围和关闭方法，甚至采用隐蔽接口、未明示功能模块、加载禁用或绕过安全机制的组件等手段实现远程控制功能。这种违规远程控制可能被攻击者利用，对关键信息基础设施进行非法控制和破坏。据相关数据显示，约有 [X]% 的网络产品和服务存在违规远程控制的风险。

3.2 数据安全挑战

敏感数据泄露是供应链数据安全面临的首要风险。由于数据安全能力不足、内部人员违规操作、违规共享等原因，网络产品和服务收集的个人信息和重要数据可能被未授权泄露。未公开的政府信息、大面积人口、基因健康、地理等重要数据一旦泄露，可能直接影响经济安全、社会稳定、公共健康和安全。例如，某大型企业因数据安全管理不善，导致大量用户个人信息被泄露，给用户带来了极大的困扰，同时也对企业的声誉造成了严重影响。据不完全统计，每年因敏感数据泄露导致的经济损失高达 [X] 亿元。

敏感数据滥用也是一个严重问题。网络产品和服务提供者可能汇聚了大量供货信息和用户信息，尤其当这些产品和服务应用于关键信息基础设施时，一旦滥用大数据技术对掌握的大量敏感数据进行分析挖掘并任意共享或发布，可能对国家安全和公众利益造成威胁。例如，某些企业为了追求商业利益，滥用用户数据进行精准营销，不仅侵犯了用户的隐私权，还可能导致国家重要信息的泄露。

3.3 供应链中断挑战

突发事件是引发供应链中断的常见原因之一。由于战争等人为的和地震、台风等自然的不可抗力引发的突发事件，造成产品和服务的供应链中断，例如数量、质量或成本与预订管理目标的显著偏离等。例如，苏伊士运河发生拥塞事件，导致国际货运价格上涨，大量货物在港口积压，一度引发对全球物流供应链 “断链” 的思考。此后，货船堵塞、到港滞留、供货延误更是频频发生，港口和码头成为船舶的 “停车场”，全球港口拥堵状况持续恶化。

国际环境的变化也可能导致供应链中断。随着信息通信产业的全球化发展，许多网络产品均由全球分布的供应商开发、集成和交付。由于国际环境和地域的复杂性，存在因贸易管制、限制销售、知识产权、合规标准差异等因素，导致产品服务中必需的组件、算法或技术等无法获取或难以满足当地合规要求，从而造成产品不能及时交付。例如，中美贸易摩擦导致一些关键技术和产品的供应链受到影响，许多企业面临着原材料短缺、生产停滞的困境。

不正当竞争行为也可能引发供应链中断。供应商利用用户对产品和服务的依赖性，实施不正当竞争或损害用户利益的行为，例如通过技术手段，限制或阻碍用户选择其他供应商的产品、组件或技术等。这种行为不仅破坏了市场竞争秩序，还可能导致供应链的中断。例如，某些垄断企业通过技术封锁，限制其他企业的发展，从而影响整个供应链的稳定性。

支持服务中断同样会导致供应链中断。当供应商停止生产和维护某些系统或其中某些组件时，网络产品和服务可能由于不被支持而被迫中断运行。例如，某些软件供应商停止对旧版本软件的维护，导致用户无法获得安全更新和技术支持，从而增加了系统被攻击的风险。

四、应对策略指南

4.1 技术层面措施

区块链技术作为一种新兴的技术手段，在提升供应链安全方面具有巨大潜力。区块链的去中心化、防篡改、加密算法、智能合约和共识机制等特性，可以为供应链安全提供多方面的保障。例如，利用区块链技术进行去中心化的数据存储，避免传统中心化数据存储方式存在的单点故障和数据泄露风险。通过将供应链中的信息存储在区块链上，实现信息的共享和透明，防止供应链中的欺诈和欺骗行为的发生。同时，区块链可以实现供应链的自动化管理，提高供应链的效率和安全性。

此外，加强源代码安全检测也是技术层面的重要措施。常规的软件成分分析工具可以通过分析组件版本及依赖，完成对引用的三方开源组件的检查，从而识别已知的组件漏洞以及授权许可风险。对于引用开源组件源码的部分代码片段导致引入存在安全缺陷代码的场景，则需要使用代码同源检测技术进行检查。代码同源检测技术主要用于检测应用源代码中某个片段代码与项目中其他片段代码或开源代码存在的相同代码成分，可以准确地分析出引用的开源软件及其关联信息。

4.2 管理层面举措

健全管理制度是提升供应链安全的基础。企业应制定完善的供应链网络安全管理制度，明确各部门和人员的职责，规范供应链各个环节的操作流程。例如，出台供应链网络安全管理实施细则，形成涵盖全生命周期的供应链网络安全管理规范标准和实践指南体系，强化供应链安全事件应急响应及处置要求。

加强安全监控是保障供应链安全的重要手段。企业应利用先进的技术手段，对供应链进行实时监控，及时发现和处理安全隐患。例如，规范供应链入离岗流程，对全量供应链实体要素识别并形成台账，定期组织供应链安全培训及考核，开展相关人员的背景调查工作。重点对软件开发环节、交付环节、使用运维环节强化供应链服务活动安全监管措施。

定期风险评估可以帮助企业及时了解供应链的安全状况，采取相应的措施降低风险。企业应细化供应链网络安全风险评估内容，构建全流程供应链安全评估机制，实现可快速识别并修复供应链开发、交付和使用环节实体要素存在的安全风险，最大限度消除供应链安全隐患，维护网络空间安全。

4.3 合作协同策略

企业与供应商之间的合作协同对于提升供应链安全至关重要。企业应与供应商建立紧密的合作关系，将安全保证条款纳入合同中，明确双方的安全责任和义务。例如，在采购合同中明确要求供应商提供安全可靠的产品和服务，遵守相关的安全标准和规范。同时，企业应与供应商共同开展安全培训和演练，提高双方的安全意识和应急响应能力。

此外，企业还可以与行业内的其他企业建立合作联盟，共同应对供应链安全挑战。通过共享安全信息和资源，实现联防联控，提高整个行业的供应链安全水平。例如，建立供应链安全信息共享平台，及时分享安全漏洞和攻击情报，共同制定应对策略。

五、风险管控策略

5.1 风险精准识别

供应链安全面临着诸多风险，除了前文提到的完整性挑战、数据安全挑战和供应链中断挑战外，还面临着网络攻击、数据泄露等风险。网络攻击方面，供应链攻击是利用组织机构与外部之间的信任关系，如第三方访问、可信的外部软件、第三方代码等方式进行攻击。例如，全球 SolarWinds 黑客攻击就是通过将恶意代码注入第三方软件更新包，变成恶意软件从而访问组织机构环境中受信任且敏感的数据、系统。数据泄露方面，由于数据安全能力不足、内部人员违规操作、违规共享等原因，网络产品和服务收集的个人信息和重要数据可能被未授权泄露。未公开的政府信息、大面积人口、基因健康、地理等重要数据一旦泄露，可能直接影响经济安全、社会稳定、公共健康和安全。

5.2 风险综合评估

构建评估模型对于分析不同风险对企业的综合影响至关重要。可以借鉴基于 ANN 的供应链风险综合评估模型与应用，运用人工神经元网络（ANN）与专家系统（ES）相结合的方法建立综合评估模型。该模型中评价因素集和评价权重集综合考虑了影响供应链稳定的各种风险因素及其所占的权重，并可在评判过程中通过变换各个指标的权重来进行敏感性分析。同时，也可以参考供应链网络风险 “双层双维” 风险评估模型，从 “微观” 和 “宏观” 两个层次，从 “点中断” 和 “边中断” 两个维度，建立供应链网络风险的 “双层双维” 评估模型，对供应链网络风险进行综合评估。通过这些评估模型，可以更加全面地了解不同风险对企业的综合影响，为制定风险应对方案提供科学依据。

5.3 风险应对方案

为了应对供应链安全风险，可以提出多元化的风险应对手段。加密技术是一种重要的风险应对手段，如在供应链网络中，开发人员应该在他们的应用程序中构建最新的加密技术，对供应链使用数字签名、会话中断和多因素身份验证，增加从企业发送到供应商的数据的安全性。保险也是一种有效的风险应对手段，供应商拥有网络安全保险可以更好地理解他们获得保险必须满足的先决条件，仅此一项就可以告诉很多关于他们所在公司面临威胁的信息。此外，还可以采取加强员工培训、建立应急响应机制、定期进行安全审计等手段，提高供应链的安全性。例如，通知开发人员有关网络攻击的信息，通过使用微培训，如文本培训或短视频，让开发人员既可以获得他们需要的课程，也可以提高他们的意识。监控开源项目，减少依赖项混淆问题，降低开源开发带来的风险。采用零信任方法，假设任何设备、用户或数据都不安全，除非另有证明，减少和消除可能损害供应链的威胁。

六、未来展望

6.1 技术创新趋势

随着科技的不断进步，未来可能出现一系列新技术，对供应链安全产生重大影响并带来广阔的应用前景。

• 人工智能与机器学习：在供应链安全领域，人工智能和机器学习的应用将更加广泛。通过对大量供应链数据的分析，能够快速识别潜在的安全风险，如异常的交易模式、供应商行为变化等。例如，利用机器学习算法可以对供应商的信用风险进行评估，提前预警可能出现的违约情况。同时，人工智能还可以实现智能监控，实时监测供应链中的活动，一旦发现异常情况立即发出警报，提高应对风险的速度。据统计，未来三年内，预计将有超过 70% 的企业在供应链安全中采用人工智能和机器学习技术。
• 量子计算：虽然目前量子计算仍处于发展阶段，但它对供应链安全的潜在影响不可忽视。量子计算的强大计算能力可能会对现有的加密技术构成挑战，促使供应链企业加快研发抗量子加密算法。此外，量子计算还可以用于优化供应链网络，提高物流效率和降低成本。例如，通过量子算法可以快速找到最佳的运输路线和库存配置，减少运输时间和库存积压。
• 物联网与传感器技术：物联网和传感器技术的不断发展，将使供应链的可视化程度进一步提高。通过在货物、运输设备和仓库等环节部署传感器，可以实时获取位置、温度、湿度等信息，确保货物的安全运输和存储。同时，物联网技术还可以实现对供应链设备的远程监控和管理，及时发现设备故障和安全隐患。例如，在冷链物流中，传感器可以实时监测温度变化，确保食品和药品的质量安全。据预测，到 2025 年，全球物联网在供应链领域的市场规模将超过 5000 亿美元。
• 生物识别技术：生物识别技术如指纹识别、面部识别等，可以用于加强供应链中的身份验证和访问控制。在供应商管理、货物交接等环节，采用生物识别技术可以确保只有授权人员才能进行操作，降低人为因素带来的安全风险。例如，在仓库入口处安装面部识别系统，只有经过授权的员工才能进入，提高仓库的安全性。

6.2 行业发展方向

网络安全供应链安全行业在未来将呈现以下发展趋势和方向：

• 更加注重风险管理与合规性：随着供应链安全法规的不断完善和企业对风险的重视程度提高，风险管理和合规性将成为行业发展的重点。企业将加强对供应商的审核和评估，确保其符合相关法规和标准。同时，建立完善的风险预警机制，及时应对潜在的安全威胁。例如，企业将采用供应链风险管理软件，对供应商的风险进行实时监测和评估，制定相应的风险应对策略。
• 强调技术创新与协作共享：技术创新是推动行业发展的关键因素。未来，企业将加大对供应链安全技术的研发投入，不断推出新的安全解决方案。同时，供应链各方之间的协作与信息共享将更加密切，通过建立有效的沟通渠道和信息共享平台，共同应对安全挑战。例如，行业协会将组织企业开展供应链安全技术交流活动，促进技术创新和经验分享。
• 推动供应链的透明度与可追溯性：消费者对产品的透明度和可追溯性要求将不断提高，这将促使企业加强供应链的可追溯体系建设。通过采用区块链、物联网等技术，实现产品从原材料采购到最终销售的全过程追溯，提高产品的质量和信誉。例如，食品行业将广泛应用区块链技术，确保食品的安全和可追溯性。
• 培养专业的供应链安全人才：随着供应链安全的重要性日益凸显，对专业人才的需求也将不断增加。未来，企业将加大对供应链安全人才的培养和引进力度，提高员工的安全意识和技能水平。同时，高校和培训机构也将加强供应链安全相关课程的设置，为行业培养更多的专业人才。例如，一些高校将开设供应链安全专业，培养具备技术和管理能力的复合型人才。