從蘋果公司的故事講起，喬布斯在重新回到蘋果之后，專門挖了一個牛人，就是庫克，庫克是供應鏈管理方面的頂級專家，那喬布斯為什么要挖這個人了，一個大公司，如果不做好供應鏈管理，保證供應鏈的安全，蘋果是無法實現(xiàn)盈利，推動股價飆升的。同樣，國內(nèi)的小米公司在創(chuàng)業(yè)過程中也多次遇到供應鏈危機，為此不得不開除創(chuàng)業(yè)元老，可見任何一個公司，如果要做大做強就必須加強供應鏈管理，國家亦如此。

那么把供應鏈管理的理念放到網(wǎng)絡空間安全中，是不是也是一樣的道理，可見供應鏈安全在網(wǎng)絡空間安全中也占著舉足輕重的地位，沒有供應鏈的安全，就無法談網(wǎng)絡空間安全。像XcodeGhost、Solarwinds、xz-utils等事件都是供應鏈攻擊的典型案例，我們應當從這些案例中，深刻理解供應鏈攻擊造成的影響。

供應鏈攻擊是指攻擊者通過供應鏈中某個環(huán)節(jié)的薄弱點或漏洞，滲透到目標系統(tǒng)或網(wǎng)絡中的一種攻擊方式。供應鏈攻擊的方式有多種，可以通過軟件、硬件、服務等多種方式實施供應鏈攻擊。在當前我國數(shù)字經(jīng)濟建設中，供應鏈安全是我們當前面臨最緊迫的問題。首先從芯片方面來講，目前世界上主要芯片是Intel、AMD、ARM等，在和平時代，從經(jīng)濟利益角度考慮，有利可圖的情況下，大家是相安無事，各取所需。一旦在風云變幻時局下，大國之間爆發(fā)戰(zhàn)爭或代理人之間爆發(fā)戰(zhàn)爭，難免不會像抗美援朝初期，美帝國主義越過邊境扔幾顆炸彈偷襲你，不斷試探你的底線，這些芯片就會構成攻擊的通道或橋梁，對信息系統(tǒng)會造成毀滅性打擊。因此，在航天、航空等國家重點領域、重點部位，應當使用國產(chǎn)芯片，加快國產(chǎn)芯片的替代，像海光、兆芯、飛騰、鯤鵬這些芯片雖然是國外廠商授權，但是基本上能滿足自主可控，就目前來說，和美歐國家存在一定差距是肯定的，但是起碼得做到自主可控，這是底線原則，重點是要發(fā)展龍芯和申威，將芯片控制權掌握在自己手中。同時在產(chǎn)業(yè)化過程中，通過吸收美西方國家的技術來自主創(chuàng)新研發(fā)自己的芯片，爭取擺脫芯片的供應鏈攻擊，但是決不能做漢芯，找個農(nóng)民工就可以磨出一個芯片，這簡直是天大笑話。

從軟件角度來談，操作系統(tǒng)，數(shù)據(jù)庫，中間件，應用軟件都是供應鏈攻擊的組成部分，通過這次微軟CrowdStrike事件，我們看到一個殺毒軟件的更新都會讓眾多和生活息息相關的業(yè)務停擺，那如果不是csagent.sys而是植入木馬程序，那是不是可以控制所有相關聯(lián)的設備了。這就是目前美國，英國等西方國家反對并打壓華為的原因之一。目前國產(chǎn)的操作系統(tǒng)都是基于linux內(nèi)核進行修改，發(fā)展出了銀河麒麟，統(tǒng)信，中科方德，歐拉，鴻蒙等國產(chǎn)化操作系統(tǒng)，肯定有人又要說，還不是基于linux修改的等等一些言論，操作系統(tǒng)本身就是一個技術性要求高的產(chǎn)業(yè)，不管是微軟，linux，android，ios等操作系統(tǒng)都是基于unix演變而來，所以說在技術成熟的今天，通過開源的linux內(nèi)核打造自主可控的操作系統(tǒng)，通過消化，吸收逐步自主創(chuàng)新是可行的方案，是國家的戰(zhàn)略高度。除了操作系統(tǒng)，還有中間件，數(shù)據(jù)庫，及應用軟件也一樣，特別是開源的軟件，說的好聽點是遵循開源精神，通過開源來倡導所謂西方式的民主和自由，縱觀西方近幾百年的發(fā)展史，一面舉著基督教的大旗，一面拿著機槍大炮，天天喊著民主和自由，實則是血腥殺戮，我們不能任其發(fā)展，應當基于他們開源程序進一步完善產(chǎn)品，師夷長技以制夷。說的不好聽點，就是通過免費開源的思路，讓你坐享其成，讓你喪失自主創(chuàng)新的動力，從而控制你的精神和意志，放長線釣大魚，無形建立各個攻擊據(jù)點。目前國內(nèi)常用的apache，tomcat，nginx，mysql，redis，es，flume，flink，hadoop，openstack等，雖然說暫時不能自己研發(fā)出這些著名組件，但是必須基于這些開源的組件，達到自主可控。縱觀國內(nèi)發(fā)展的現(xiàn)狀，基本上都有可替代的方案，先不論好不好用，首先得保證有，再逐步通過使用達到完善，再經(jīng)過十年左右，基本上可達到自主可控，在關鍵領域完成全面替換。數(shù)據(jù)庫有達夢、人大金倉、神州通用、華為、中興、阿里等。中間件有東方通、普元、寶蘭德，阿里、華為等。信創(chuàng)之路，任重道遠，雖然說我們不能別辟蹊徑，但是我們可以通過先模仿、改造，這樣可以縮短時間來達到快速自主可控。

必須堅持信創(chuàng)之路，像這次微軟和CrowdStrike事件，充分說明了美國具備發(fā)動全面網(wǎng)絡戰(zhàn)的能力和經(jīng)驗，從芯片、操作系統(tǒng)、中間件、應用軟件，在各行各業(yè)，只要與信息化相關的，都有其身影，正如1840年前后，但是我們不會像閉關鎖國的清政府一樣，因為我們在持續(xù)改革開放，學習西方先進技術，得益于領導人的高瞻遠矚，通過不斷的引進、消化和吸收，至少是有備無患。當?shù)鬃颖?，根基淺的時候，就必須采取跟隨戰(zhàn)略來達到自主可控，實現(xiàn)直道超車。即使現(xiàn)在信創(chuàng)之路并不順利，但是我們初期可以使用人海戰(zhàn)術來應對穩(wěn)定性問題，通過7*24小時人盯的方式來保證用起來，現(xiàn)場改的方式保證好用起來。人海戰(zhàn)術也是人民戰(zhàn)爭的一部分，通過這種不對稱的方式逐步做到自主創(chuàng)新。

75年前的1949年8月5日美國發(fā)表了《美國與中國的關系》白皮書，隨后，毛澤東主席陸續(xù)發(fā)表了《丟掉幻想，準備斗爭》、《別了，司徒雷登》、《為什么要討論白皮書？》、《“友誼”，還是侵略？》、《唯心歷史觀的破產(chǎn)》等五篇評論文章，一針見血地揭露了當時美國對華政策的反動本質(zhì)，并且清晰地闡明了中國革命發(fā)生和勝利的原因。在當前百年未有之大變局，大國競爭、地緣政治沖突情況下，更應當丟掉幻想，準備戰(zhàn)斗。網(wǎng)絡空間也是戰(zhàn)場，誰掌握了主動權，誰就可以先發(fā)制人，誰就可以運籌帷幄之中，決勝千里之外。

如何保障供應鏈安全，除了堅持信創(chuàng)，在國防、軍隊、軍工、能源、交通、金融等關鍵領域?qū)崿F(xiàn)國產(chǎn)化替代，達到自主可控、可信保證安全可靠，應對未來可能爆發(fā)的網(wǎng)絡戰(zhàn)。在民生領域，對美國等西方社會來說，中國14億人口，是巨大的市場機會，西方社會精英們是逐利而往，愛國是他們的奢望，哪里有利益就有他們身影。對此，應當避免所有國內(nèi)民生領域的終端直接與美國服務器相聯(lián)，應當做好適當?shù)木W(wǎng)絡隔離，避免實時的補丁推送，對進出的數(shù)據(jù)做嚴格審查，有的人會說可以通過前期潛伏和定時啟動，照樣可以破壞，這樣也說得通，但是至少能緩解一定的危害，難道需要敞開大門。任何國外公司和在華企業(yè)的數(shù)據(jù)必須經(jīng)過嚴格審查，做好數(shù)據(jù)出入境合規(guī)檢查，數(shù)據(jù)境內(nèi)外流通必須做好可控，不能像大門完全不上鎖一樣，這個世界哪有那么自覺的人，即使你家里一貧如洗，他可能進來都要偷把刀，或者給你撒泡尿，淹不死你，也會讓你聞聞尿騷味，強盜都是這個邏輯。

保證供應鏈安全，除了堅持信創(chuàng)，數(shù)據(jù)出入境合規(guī)檢查之外，還應當持續(xù)做好基于供應鏈的攻防對抗演練，模擬攻擊和防御供應鏈系統(tǒng)，通過入侵供應商系統(tǒng)、污染軟件或植入惡意程序重新打包、偽造或篡改供應鏈中產(chǎn)品或數(shù)據(jù)、在供應鏈中間各個環(huán)節(jié)進行埋點等等方式，站在攻應鏈安全的視角進行長期的攻防對抗演練及安全有效性驗證。

總之，網(wǎng)絡空間是現(xiàn)代高科技戰(zhàn)場，其激烈程度不亞于傳統(tǒng)戰(zhàn)爭。供應鏈安全在其中起到至關重要的作用，能夠?qū)崿F(xiàn)“不戰(zhàn)而屈人之兵”的戰(zhàn)略目標，這也是孫子兵法的最高境界。確保供應鏈安全需從多個方面著手，包括堅持信創(chuàng)、出入境數(shù)據(jù)合規(guī)檢查，以及基于攻擊鏈的紅藍對抗等。通過信創(chuàng)技術，保障核心技術和設備的自主可控；出入境數(shù)據(jù)合規(guī)檢查，防止數(shù)據(jù)泄露和跨境攻擊；紅藍對抗演練，提高防御系統(tǒng)的實戰(zhàn)能力和應對能力。綜合這些措施，才能確保供應鏈的安全可靠，維護我國網(wǎng)絡空間的和平與穩(wěn)定。