從蘋果公司的故事講起，喬布斯在重新回到蘋果之后，專門挖了一個(gè)牛人，就是庫(kù)克，庫(kù)克是供應(yīng)鏈管理方面的頂級(jí)專家，那喬布斯為什么要挖這個(gè)人了，一個(gè)大公司，如果不做好供應(yīng)鏈管理，保證供應(yīng)鏈的安全，蘋果是無(wú)法實(shí)現(xiàn)盈利，推動(dòng)股價(jià)飆升的。同樣，國(guó)內(nèi)的小米公司在創(chuàng)業(yè)過(guò)程中也多次遇到供應(yīng)鏈危機(jī)，為此不得不開(kāi)除創(chuàng)業(yè)元老，可見(jiàn)任何一個(gè)公司，如果要做大做強(qiáng)就必須加強(qiáng)供應(yīng)鏈管理，國(guó)家亦如此。

那么把供應(yīng)鏈管理的理念放到網(wǎng)絡(luò)空間安全中，是不是也是一樣的道理，可見(jiàn)供應(yīng)鏈安全在網(wǎng)絡(luò)空間安全中也占著舉足輕重的地位，沒(méi)有供應(yīng)鏈的安全，就無(wú)法談網(wǎng)絡(luò)空間安全。像XcodeGhost、Solarwinds、xz-utils等事件都是供應(yīng)鏈攻擊的典型案例，我們應(yīng)當(dāng)從這些案例中，深刻理解供應(yīng)鏈攻擊造成的影響。

供應(yīng)鏈攻擊是指攻擊者通過(guò)供應(yīng)鏈中某個(gè)環(huán)節(jié)的薄弱點(diǎn)或漏洞，滲透到目標(biāo)系統(tǒng)或網(wǎng)絡(luò)中的一種攻擊方式。供應(yīng)鏈攻擊的方式有多種，可以通過(guò)軟件、硬件、服務(wù)等多種方式實(shí)施供應(yīng)鏈攻擊。在當(dāng)前我國(guó)數(shù)字經(jīng)濟(jì)建設(shè)中，供應(yīng)鏈安全是我們當(dāng)前面臨最緊迫的問(wèn)題。首先從芯片方面來(lái)講，目前世界上主要芯片是Intel、AMD、ARM等，在和平時(shí)代，從經(jīng)濟(jì)利益角度考慮，有利可圖的情況下，大家是相安無(wú)事，各取所需。一旦在風(fēng)云變幻時(shí)局下，大國(guó)之間爆發(fā)戰(zhàn)爭(zhēng)或代理人之間爆發(fā)戰(zhàn)爭(zhēng)，難免不會(huì)像抗美援朝初期，美帝國(guó)主義越過(guò)邊境扔幾顆炸彈偷襲你，不斷試探你的底線，這些芯片就會(huì)構(gòu)成攻擊的通道或橋梁，對(duì)信息系統(tǒng)會(huì)造成毀滅性打擊。因此，在航天、航空等國(guó)家重點(diǎn)領(lǐng)域、重點(diǎn)部位，應(yīng)當(dāng)使用國(guó)產(chǎn)芯片，加快國(guó)產(chǎn)芯片的替代，像海光、兆芯、飛騰、鯤鵬這些芯片雖然是國(guó)外廠商授權(quán)，但是基本上能滿足自主可控，就目前來(lái)說(shuō)，和美歐國(guó)家存在一定差距是肯定的，但是起碼得做到自主可控，這是底線原則，重點(diǎn)是要發(fā)展龍芯和申威，將芯片控制權(quán)掌握在自己手中。同時(shí)在產(chǎn)業(yè)化過(guò)程中，通過(guò)吸收美西方國(guó)家的技術(shù)來(lái)自主創(chuàng)新研發(fā)自己的芯片，爭(zhēng)取擺脫芯片的供應(yīng)鏈攻擊，但是決不能做漢芯，找個(gè)農(nóng)民工就可以磨出一個(gè)芯片，這簡(jiǎn)直是天大笑話。

從軟件角度來(lái)談，操作系統(tǒng)，數(shù)據(jù)庫(kù)，中間件，應(yīng)用軟件都是供應(yīng)鏈攻擊的組成部分，通過(guò)這次微軟CrowdStrike事件，我們看到一個(gè)殺毒軟件的更新都會(huì)讓眾多和生活息息相關(guān)的業(yè)務(wù)停擺，那如果不是csagent.sys而是植入木馬程序，那是不是可以控制所有相關(guān)聯(lián)的設(shè)備了。這就是目前美國(guó)，英國(guó)等西方國(guó)家反對(duì)并打壓華為的原因之一。目前國(guó)產(chǎn)的操作系統(tǒng)都是基于linux內(nèi)核進(jìn)行修改，發(fā)展出了銀河麒麟，統(tǒng)信，中科方德，歐拉，鴻蒙等國(guó)產(chǎn)化操作系統(tǒng)，肯定有人又要說(shuō)，還不是基于linux修改的等等一些言論，操作系統(tǒng)本身就是一個(gè)技術(shù)性要求高的產(chǎn)業(yè)，不管是微軟，linux，android，ios等操作系統(tǒng)都是基于unix演變而來(lái)，所以說(shuō)在技術(shù)成熟的今天，通過(guò)開(kāi)源的linux內(nèi)核打造自主可控的操作系統(tǒng)，通過(guò)消化，吸收逐步自主創(chuàng)新是可行的方案，是國(guó)家的戰(zhàn)略高度。除了操作系統(tǒng)，還有中間件，數(shù)據(jù)庫(kù)，及應(yīng)用軟件也一樣，特別是開(kāi)源的軟件，說(shuō)的好聽(tīng)點(diǎn)是遵循開(kāi)源精神，通過(guò)開(kāi)源來(lái)倡導(dǎo)所謂西方式的民主和自由，縱觀西方近幾百年的發(fā)展史，一面舉著基督教的大旗，一面拿著機(jī)槍大炮，天天喊著民主和自由，實(shí)則是血腥殺戮，我們不能任其發(fā)展，應(yīng)當(dāng)基于他們開(kāi)源程序進(jìn)一步完善產(chǎn)品，師夷長(zhǎng)技以制夷。說(shuō)的不好聽(tīng)點(diǎn)，就是通過(guò)免費(fèi)開(kāi)源的思路，讓你坐享其成，讓你喪失自主創(chuàng)新的動(dòng)力，從而控制你的精神和意志，放長(zhǎng)線釣大魚，無(wú)形建立各個(gè)攻擊據(jù)點(diǎn)。目前國(guó)內(nèi)常用的apache，tomcat，nginx，mysql，redis，es，flume，flink，hadoop，openstack等，雖然說(shuō)暫時(shí)不能自己研發(fā)出這些著名組件，但是必須基于這些開(kāi)源的組件，達(dá)到自主可控?？v觀國(guó)內(nèi)發(fā)展的現(xiàn)狀，基本上都有可替代的方案，先不論好不好用，首先得保證有，再逐步通過(guò)使用達(dá)到完善，再經(jīng)過(guò)十年左右，基本上可達(dá)到自主可控，在關(guān)鍵領(lǐng)域完成全面替換。數(shù)據(jù)庫(kù)有達(dá)夢(mèng)、人大金倉(cāng)、神州通用、華為、中興、阿里等。中間件有東方通、普元、寶蘭德，阿里、華為等。信創(chuàng)之路，任重道遠(yuǎn)，雖然說(shuō)我們不能別辟蹊徑，但是我們可以通過(guò)先模仿、改造，這樣可以縮短時(shí)間來(lái)達(dá)到快速自主可控。

必須堅(jiān)持信創(chuàng)之路，像這次微軟和CrowdStrike事件，充分說(shuō)明了美國(guó)具備發(fā)動(dòng)全面網(wǎng)絡(luò)戰(zhàn)的能力和經(jīng)驗(yàn)，從芯片、操作系統(tǒng)、中間件、應(yīng)用軟件，在各行各業(yè)，只要與信息化相關(guān)的，都有其身影，正如1840年前后，但是我們不會(huì)像閉關(guān)鎖國(guó)的清政府一樣，因?yàn)槲覀冊(cè)诔掷m(xù)改革開(kāi)放，學(xué)習(xí)西方先進(jìn)技術(shù)，得益于領(lǐng)導(dǎo)人的高瞻遠(yuǎn)矚，通過(guò)不斷的引進(jìn)、消化和吸收，至少是有備無(wú)患。當(dāng)?shù)鬃颖?，根基淺的時(shí)候，就必須采取跟隨戰(zhàn)略來(lái)達(dá)到自主可控，實(shí)現(xiàn)直道超車。即使現(xiàn)在信創(chuàng)之路并不順利，但是我們初期可以使用人海戰(zhàn)術(shù)來(lái)應(yīng)對(duì)穩(wěn)定性問(wèn)題，通過(guò)7*24小時(shí)人盯的方式來(lái)保證用起來(lái)，現(xiàn)場(chǎng)改的方式保證好用起來(lái)。人海戰(zhàn)術(shù)也是人民戰(zhàn)爭(zhēng)的一部分，通過(guò)這種不對(duì)稱的方式逐步做到自主創(chuàng)新。

75年前的1949年8月5日美國(guó)發(fā)表了《美國(guó)與中國(guó)的關(guān)系》白皮書，隨后，毛澤東主席陸續(xù)發(fā)表了《丟掉幻想，準(zhǔn)備斗爭(zhēng)》、《別了，司徒雷登》、《為什么要討論白皮書？》、《“友誼”，還是侵略？》、《唯心歷史觀的破產(chǎn)》等五篇評(píng)論文章，一針見(jiàn)血地揭露了當(dāng)時(shí)美國(guó)對(duì)華政策的反動(dòng)本質(zhì)，并且清晰地闡明了中國(guó)革命發(fā)生和勝利的原因。在當(dāng)前百年未有之大變局，大國(guó)競(jìng)爭(zhēng)、地緣政治沖突情況下，更應(yīng)當(dāng)丟掉幻想，準(zhǔn)備戰(zhàn)斗。網(wǎng)絡(luò)空間也是戰(zhàn)場(chǎng)，誰(shuí)掌握了主動(dòng)權(quán)，誰(shuí)就可以先發(fā)制人，誰(shuí)就可以運(yùn)籌帷幄之中，決勝千里之外。

如何保障供應(yīng)鏈安全，除了堅(jiān)持信創(chuàng)，在國(guó)防、軍隊(duì)、軍工、能源、交通、金融等關(guān)鍵領(lǐng)域?qū)崿F(xiàn)國(guó)產(chǎn)化替代，達(dá)到自主可控、可信保證安全可靠，應(yīng)對(duì)未來(lái)可能爆發(fā)的網(wǎng)絡(luò)戰(zhàn)。在民生領(lǐng)域，對(duì)美國(guó)等西方社會(huì)來(lái)說(shuō)，中國(guó)14億人口，是巨大的市場(chǎng)機(jī)會(huì)，西方社會(huì)精英們是逐利而往，愛(ài)國(guó)是他們的奢望，哪里有利益就有他們身影。對(duì)此，應(yīng)當(dāng)避免所有國(guó)內(nèi)民生領(lǐng)域的終端直接與美國(guó)服務(wù)器相聯(lián)，應(yīng)當(dāng)做好適當(dāng)?shù)木W(wǎng)絡(luò)隔離，避免實(shí)時(shí)的補(bǔ)丁推送，對(duì)進(jìn)出的數(shù)據(jù)做嚴(yán)格審查，有的人會(huì)說(shuō)可以通過(guò)前期潛伏和定時(shí)啟動(dòng)，照樣可以破壞，這樣也說(shuō)得通，但是至少能緩解一定的危害，難道需要敞開(kāi)大門。任何國(guó)外公司和在華企業(yè)的數(shù)據(jù)必須經(jīng)過(guò)嚴(yán)格審查，做好數(shù)據(jù)出入境合規(guī)檢查，數(shù)據(jù)境內(nèi)外流通必須做好可控，不能像大門完全不上鎖一樣，這個(gè)世界哪有那么自覺(jué)的人，即使你家里一貧如洗，他可能進(jìn)來(lái)都要偷把刀，或者給你撒泡尿，淹不死你，也會(huì)讓你聞聞尿騷味，強(qiáng)盜都是這個(gè)邏輯。

保證供應(yīng)鏈安全，除了堅(jiān)持信創(chuàng)，數(shù)據(jù)出入境合規(guī)檢查之外，還應(yīng)當(dāng)持續(xù)做好基于供應(yīng)鏈的攻防對(duì)抗演練，模擬攻擊和防御供應(yīng)鏈系統(tǒng)，通過(guò)入侵供應(yīng)商系統(tǒng)、污染軟件或植入惡意程序重新打包、偽造或篡改供應(yīng)鏈中產(chǎn)品或數(shù)據(jù)、在供應(yīng)鏈中間各個(gè)環(huán)節(jié)進(jìn)行埋點(diǎn)等等方式，站在攻應(yīng)鏈安全的視角進(jìn)行長(zhǎng)期的攻防對(duì)抗演練及安全有效性驗(yàn)證。

總之，網(wǎng)絡(luò)空間是現(xiàn)代高科技戰(zhàn)場(chǎng)，其激烈程度不亞于傳統(tǒng)戰(zhàn)爭(zhēng)。供應(yīng)鏈安全在其中起到至關(guān)重要的作用，能夠?qū)崿F(xiàn)“不戰(zhàn)而屈人之兵”的戰(zhàn)略目標(biāo)，這也是孫子兵法的最高境界。確保供應(yīng)鏈安全需從多個(gè)方面著手，包括堅(jiān)持信創(chuàng)、出入境數(shù)據(jù)合規(guī)檢查，以及基于攻擊鏈的紅藍(lán)對(duì)抗等。通過(guò)信創(chuàng)技術(shù)，保障核心技術(shù)和設(shè)備的自主可控；出入境數(shù)據(jù)合規(guī)檢查，防止數(shù)據(jù)泄露和跨境攻擊；紅藍(lán)對(duì)抗演練，提高防御系統(tǒng)的實(shí)戰(zhàn)能力和應(yīng)對(duì)能力。綜合這些措施，才能確保供應(yīng)鏈的安全可靠，維護(hù)我國(guó)網(wǎng)絡(luò)空間的和平與穩(wěn)定。