黎巴嫩寻呼机爆炸：亟需打造自主可控的软硬件供应链安全新范式

9月17日至18日，黎巴嫩多地发生寻呼机和对讲机连环爆炸事件，造成至少37人死亡，其中包括2名儿童，超过3000人受伤。据报道，该事件利用供应链中的漏洞，将爆炸物预置在通讯设备中，利用远程信号激活控制，实现批量触发爆炸，该事件成为“历史上最广泛的实体供应链攻击之一”地缘安全事件。

安全玻璃盒对策与建议 

此次连环爆炸事件，敲响了国产自主可控、供应链安全管理以及关键基础设施安全保护的警钟，在全球化供应链大背景下，供应链的任何环节都可能存在安全漏洞，供应链安全成为防御网络攻击的重中之重，警醒各行业用户必须强化对供应链管理的重视与投入，确保每个生产环节的安全可信、自主可控，加强供应链安全审查、关键技术和设备的管控等。

安全玻璃基于多年软件供应链安全实践经验积累，针对制造商、需求方、监管侧，提出以下供应链安全治理建议。

1. 制造商

制造商在设计、开发、采购、生产、仓储、物流、销售、维护、返回等环节，应对产品或上游组件进行全生命周期的安全管理和保护，需要避免产品或上游组件被恶意篡改、植入、替换、嵌入包含恶意逻辑的软硬件等风险。

• 应加强供应商安全风险管理，对上游供应商进行背景审查，识别潜在安全风险。
• 应制定供应链安全策略和管理制度，包含人员安全、开发安全、环境安全、外包与供应商管理等内容。
• 应加强第三方组件（如产品零部件、开源组件）的安全性检测，包括物理安全检测、固件和软件恶意代码、漏洞、后门、木马、病毒等安全检测。
• 加强防范第三方组件或产品运输过程、传输过程中被替换、篡改的风险，应采取代码防篡改机制，如数字签名，以确保软件、固件和信息的完整性。
• 加强内部人员管理，规范生产流程管理，防范内部人员预置漏洞、后门、木马、病毒等恶意代码，或造成物理破坏的物质。
• 建立和维护可追溯性的策略和程序，记录和保留信息系统、组件或供应链中产品和服务的原产地或原提供商的信息渠道，同时确保可追溯信息和可追溯更改记录的抗抵赖性。
• 建立和维护供应链中包括开发、生产、仓储等环境的物理与网络环境安全策略，建立相应的访问控制机制和入侵防范措施。
• 不得根据国外法律向境外机构提供涉及关键基础设施用户的相关信息，如：产品信息、客户信息、项目材料、相关数据等，或为其获取相关信息提供便利条件。

2. 需求方
   • 关键基础设施单位应制定供应链风险管理体系，对供应链过程进行全面的风险评估，识别供应链中的脆弱性、威胁，并监控安全风险的变化并及时采取安全措施规避供应链安全风险。
   • 应制定供应链安全策略和管理制度，包含人员安全、环境安全、外包与供应商管理等内容。
   • 应加强供应商安全风险管理，对上游供应商进行背景审查，识别潜在安全风险。
   • 应加强对关键软件、硬件产品的组件成分识别与分析，识别潜在的安全风险。
   • 应加强产品的安全性检测，包括物理安全检测、固件和软件恶意代码、漏洞、后门、木马、病毒等安全检测。
   • 加强防范产品运输过程、传输过程中被替换、篡改的风险，应采用完整性校验机制，如防拆标签、数字签名等，以确保软件、硬件、固件和信息的完整性。
   • 建立和维护可追溯性的策略和程序，记录和保留信息系统、组件或供应链中产品和服务的原产地或原提供商的信息渠道，同时确保可追溯信息和可追溯更改记录的抗抵赖性。
3. 监管侧
   • 针对关键基础设施系统和重要信息系统，对其供应商及相关产品应提出明确的供应链安全要求。
   • 针对关键基础设施单位提出供应链安全的管理要求，定期对供应链管理活动进行考核。
   • 建立针对关键基础设施单位的供应链关系图谱、产品图谱等，识别重点供应商、制造商、开发商、服务商，并定向按序进行帮扶和监管。针对识别的重点核心关键产品，组织相关力量进行周期性定向安全检测。
   • 建立社会面供应链安全风险监测与预警系统，对重点行业的供应商、制造商、开发商、服务商及其产品进行安全监测，如：公司营运风险（破产、外资控股、退出中国市场）、技术风险（产品漏洞、系统失陷、源码外泄等威胁情报），并根据供应链关系图谱采取定向预警。
   • 应加强对供应链安全相关标准、规范的实施与落地，加快推进具有国内自主知识产权供应链安全相关的检测工具研制与应用。
   • 加快投入和建设供应链安全监测、预警、响应、处置的感知和防御能力。

作为软件供应链安全领航者，安全玻璃盒始终坚持以科技创新助力国家数字软件供应链安全，针对供应链安全问题，目前已形成了成熟、完善的软件供应链安全一体化解决方案、软件供应链安全安全检查评估工具等，目前已覆盖各大关键基础设施行业的TOP级用户。

安全玻璃盒核心团队编写的《软件供应链安全实践指南》，由电子工业出版社正式发行出版，并受到中国工程院院士沈昌祥等联合力荐。

本书全面阐述软件供应链安全的背景和定义，深入剖析软件供应链安全关键技术，具体分析软件安全研发全生命周期的安全建设，提出了软件供应链安全治理框架及方案，为我国软件供应链安全技术创新和发展提供参考。致力于通过本书的发布推动国家数字软件供应链安全领域的建设和发展，为筑牢国家数字安全屏障尽微薄之力。

未来，安全玻璃盒也将持续以创新安全技术构建基于信创的软件供应链安全体系，为国家安全保驾护航。

关于安全玻璃盒：

安全玻璃盒【杭州孝道科技】是一家专注于为用户提供软件供应链安全产品和解决方案的国家高新技术企业、省级专精特新企业。

安全玻璃盒始终坚持以科技创新助力国家数字软件供应链安全，以“不是需要更多的安全软件、而是需要更安全的软件”为安全发展理念。公司已拥有三十余项技术发明专利和七十余项自主软件著作权，通过基于AI模型和卷积神经网络，自主研发了全链路智能动态污点分析、函数级智能基因检测与自动化验证等核心技术与产品，为用户提供DevSecOps安全开发解决方案、软件供应链安全一体化解决方案、上线即安全与免疫防御解决方案、基于SBOM开源软件供应链安全情报与治理、软件供应链安全安全检查评估工具等。目前已覆盖各大关键基础设施行业的TOP级用户，包括中国证监会、兴业银行、浙商银行、广东农信社、浙江农信社、河北农信社、杭州银行、北京银行、河北银行、国家进出口保险、中国移动、中国电信、中国联通、国家电网及各省市级大数据发展管理局等TOP级用户，同时也服务了亚运会软件供应链安全检查、关键基础设施用户软件供应链安全专项检查等技术支撑工作。