黎巴嫩寻呼机爆炸：亟需打造自主可控的软硬件供应链安全新范式

此次连环爆炸事件，敲响了国产自主可控、供应链安全管理以及关键基础设施安全保护的警钟，在全球化供应链大背景下，供应链的任何环节都可能存在安全漏洞，供应链安全成为防御网络攻击的重中之重，警醒各行业用户必须强化对供应链管理的重视与投入，确保每个生产环节的安全可信、自主可控，加强供应链安全审查、关键技术和设备的管控等。

安全玻璃基于多年软件供应链安全实践经验积累，针对制造商、需求方、监管侧，提出以下供应链安全治理建议。

    制造商在设计、开发、采购、生产、仓储、物流、销售、维护、返回等环节，应对产品或上游组件进行全生命周期的安全管理和保护，需要避免产品或上游组件被恶意篡改、植入、替换、嵌入包含恶意逻辑的软硬件等风险。

    (1) 应加强供应商安全风险管理，对上游供应商进行背景审查，识别潜在安全风险。

    (2) 应制定供应链安全策略和管理制度，包含人员安全、开发安全、环境安全、外包与供应商管理等内容。

    (3) 应加强第三方组件（如产品零部件、开源组件）的安全性检测，包括物理安全检测、固件和软件恶意代码、漏洞、后门、木马、病毒等安全检测。

    (4) 加强防范第三方组件或产品运输过程、传输过程中被替换、篡改的风险，应采取代码防篡改机制，如数字签名，以确保软件、固件和信息的完整性。

    (5) 加强内部人员管理，规范生产流程管理，防范内部人员预置漏洞、后门、木马、病毒等恶意代码，或造成物理破坏的物质。

    (6) 建立和维护可追溯性的策略和程序，记录和保留信息系统、组件或供应链中产品和服务的原产地或原提供商的信息渠道，同时确保可追溯信息和可追溯更改记录的抗抵赖性。

    (7) 建立和维护供应链中包括开发、生产、仓储等环境的物理与网络环境安全策略，建立相应的访问控制机制和入侵防范措施。

    (8) 不得根据国外法律向境外机构提供涉及关键基础设施用户的相关信息，如：产品信息、客户信息、项目材料、相关数据等，或为其获取相关信息提供便利条件。

    (1) 关键基础设施单位应制定供应链风险管理体系，对供应链过程进行全面的风险评估，识别供应链中的脆弱性、威胁，并监控安全风险的变化并及时采取安全措施规避供应链安全风险。

    (2) 应制定供应链安全策略和管理制度，包含人员安全、环境安全、外包与供应商管理等内容。

    (3) 应加强供应商安全风险管理，对上游供应商进行背景审查，识别潜在安全风险。

    (4) 应加强对关键软件、硬件产品的组件成分识别与分析，识别潜在的安全风险。

    (5) 应加强产品的安全性检测，包括物理安全检测、固件和软件恶意代码、漏洞、后门、木马、病毒等安全检测。

    (6) 加强防范产品运输过程、传输过程中被替换、篡改的风险，应采用完整性校验机制，如防拆标签、数字签名等，以确保软件、硬件、固件和信息的完整性。

    (7) 建立和维护可追溯性的策略和程序，记录和保留信息系统、组件或供应链中产品和服务的原产地或原提供商的信息渠道，同时确保可追溯信息和可追溯更改记录的抗抵赖性。

    (1) 针对关键基础设施系统和重要信息系统，对其供应商及相关产品应提出明确的供应链安全要求。

    (2) 针对关键基础设施单位提出供应链安全的管理要求，定期对供应链管理活动进行考核。

    (3) 建立针对关键基础设施单位的供应链关系图谱、产品图谱等，识别重点供应商、制造商、开发商、服务商，并定向按序进行帮扶和监管。针对识别的重点核心关键产品，组织相关力量进行周期性定向安全检测。

    (4) 建立社会面供应链安全风险监测与预警系统，对重点行业的供应商、制造商、开发商、服务商及其产品进行安全监测，如：公司营运风险（破产、外资控股、退出中国市场）、技术风险（产品漏洞、系统失陷、源码外泄等威胁情报），并根据供应链关系图谱采取定向预警。

    (5) 应加强对供应链安全相关标准、规范的实施与落地，加快推进具有国内自主知识产权供应链安全相关的检测工具研制与应用。

    (6) 加快投入和建设供应链安全监测、预警、响应、处置的感知和防御能力。