當前位置:工程項目OA系統(tǒng) > 領(lǐng)域應(yīng)用 > 商務(wù)管理軟件 > 供應(yīng)鏈管理系統(tǒng)
美國“量子”項目敲響it供應(yīng)鏈管理系統(tǒng)警鐘
“上網(wǎng)不涉密、涉密不上網(wǎng)”是我國確保敏感信息安全的底線,但最近曝出的美國“量子”項目顯示,離線計算機也不再安全。據(jù)《紐約時報》2014年初報道,美國國家安全局(nsa)借助“量子”項目在it供應(yīng)鏈管理系統(tǒng)環(huán)節(jié)向重點目標植入惡意軟硬件,并據(jù)此與互聯(lián)網(wǎng)或鄰近接收裝置建立連接,竊取和收集目標中的重要、敏感信息。據(jù)悉,nsa已入侵近10萬臺電腦,包括俄羅斯軍方、歐盟貿(mào)易機構(gòu)以及中國軍隊等?!傲孔印表椖恳悦绹鴱姶蟮膇t產(chǎn)業(yè)為基礎(chǔ),將網(wǎng)絡(luò)攻擊前置于芯片設(shè)計、產(chǎn)品生產(chǎn)、商品流通等供應(yīng)鏈管理系統(tǒng)環(huán)節(jié),具有更強的隱蔽性。
2014年以來,斯諾登事件呈現(xiàn)出愈演愈烈之勢,在新近曝光的諸多機密信息中,美國國家安全局(nsa)的絕密“量子”項目(quantum)引起廣泛關(guān)注。據(jù)2014年1月14日《紐約時報》報道,nsa早在2008年就開始啟動該項目,通過植入間諜軟硬件,其能夠監(jiān)控目標計算機的一舉一動,并能夠借助事先安裝在電腦中的微電路板、usb連接線等裝置發(fā)送的秘密無線電波傳遞情報,從而達到監(jiān)控離線計算機的目的。除通過傳統(tǒng)間諜手段安裝外,這些裝置更多的是在生產(chǎn)或流通階段被惡意植入,具有極強的隱秘性。據(jù)披露,中國軍方是“量子”項目的主要目標之一,美國已經(jīng)在中國境內(nèi)設(shè)立了兩處數(shù)據(jù)中心,專門用于給電腦植入惡意軟硬件?!傲孔印表椖扛淖兞司W(wǎng)絡(luò)攻擊的根本模式,其攻擊行為早在芯片設(shè)計、產(chǎn)品生產(chǎn)、商品流通等供應(yīng)鏈管理系統(tǒng)環(huán)節(jié)就已經(jīng)展開。
“量子”項目的內(nèi)容
監(jiān)控在線和離線目標。在“量子”項目中,nsa能夠通過互聯(lián)網(wǎng)給電腦安裝間諜軟件,也能夠在電腦生產(chǎn)和流通環(huán)節(jié)植入電路板和usb等硬件,而后使用一種名為“高科技廣播頻率技術(shù)”,通過秘密無線電信號對在線和離線目標實現(xiàn)監(jiān)控。nsa用來接收信息的中繼設(shè)備代號為“床頭柜”,其可以被放在大號行李箱中以移動的方式接收13公里內(nèi)的無線信號,在nsa和監(jiān)控目標間承擔“橋梁”角色。這樣,無論監(jiān)控目標聯(lián)網(wǎng)與否,nsa都能夠?qū)ζ溥M行監(jiān)控。據(jù)披露,在對伊朗核電站實施網(wǎng)絡(luò)入侵時,nsa正是使用了上述設(shè)備成功在近千臺離心機中安裝了廣為人知的“震網(wǎng)”病毒。
發(fā)動網(wǎng)絡(luò)攻擊?!傲孔印表椖块_發(fā)了包括dns(域名系統(tǒng))和http注入式攻擊等在內(nèi)的一系列網(wǎng)絡(luò)攻擊工具,這些工具能夠借助“量子”項目操控基于irc和http的犯罪僵尸網(wǎng)絡(luò),其中關(guān)聯(lián)數(shù)據(jù)庫管理系統(tǒng)mysql插件工具能夠讓nsa篡改第三方數(shù)據(jù)庫內(nèi)容。據(jù)披露,nsa已經(jīng)實施了高達10萬次“全球范圍的植入”,已經(jīng)正如《紐約時報》所說,借助“床頭柜”等中繼設(shè)備,nsa構(gòu)建了一條“發(fā)動網(wǎng)絡(luò)攻擊的數(shù)字高速公路”,能夠隨時對在線或離線目標發(fā)動網(wǎng)絡(luò)攻擊。
設(shè)置網(wǎng)絡(luò)陷阱。“量子”項目覆蓋范圍非常廣,其中名為quantumdefense的子項目通過設(shè)置網(wǎng)絡(luò)陷阱對國防部門遭遇的網(wǎng)絡(luò)攻擊進行分析、溯源和反制,以加強對美國重要系統(tǒng)和網(wǎng)絡(luò)的防護能力。在該項目中,nsa對訪問美國國防部ni-prnet網(wǎng)絡(luò)地址的dns請求進行監(jiān)控,通過給數(shù)據(jù)包注入虛假的dns請求,將攻擊者引向nsa所控制的網(wǎng)站,并采用技術(shù)手段定位攻擊來源。目的是留存其遭到網(wǎng)絡(luò)攻擊相關(guān)證據(jù),以證明自己是網(wǎng)絡(luò)攻擊受害方,為美國政府外交爭取主動權(quán)。
“量子”項目反映了美國在it供應(yīng)鏈管理系統(tǒng)的壟斷地位
美國借助it產(chǎn)業(yè)優(yōu)勢布控全球。從整體來看,美國毫無疑問是當今信息技術(shù)(it)產(chǎn)業(yè)第一強國,其在芯片、計算設(shè)備、網(wǎng)絡(luò)設(shè)備等領(lǐng)域的核心競爭優(yōu)勢突出。美國出口的電子產(chǎn)品往往預(yù)埋漏洞、后門,其情報機關(guān)能夠通過這些產(chǎn)品上的后門進行網(wǎng)絡(luò)入侵和情報竊取?!傲孔印表椖恳膊焕猓洳捎玫拈g諜硬件往往在制造階段就已經(jīng)植入到電腦中,用戶難以發(fā)現(xiàn)。此外,美國建立了完善的硬件漏洞共享機制,情報部門會首先最大化地利用被發(fā)現(xiàn)的漏洞,之后才會對外公開。
it企業(yè)成為美國監(jiān)控全球的“先鋒”。思科、英特爾、微軟等超級it企業(yè)與美國政府的合作關(guān)系非常緊密,這些企業(yè)已經(jīng)成為美國監(jiān)控全球的“急先鋒”?!袄忡R門”事件顯示,nsa等美國政府和情報部門可直接接入微軟、谷歌、facebook、蘋果等9家美國it企業(yè)中心服務(wù)器,挖掘數(shù)據(jù)、搜集情報、全面監(jiān)控民眾的網(wǎng)絡(luò)行為。斯諾登披露的“量子”項目資料顯示,美國已通過個別企業(yè)在中國設(shè)立了兩個數(shù)據(jù)中心,以方便情報機構(gòu)將惡意軟件植入中國的目標電腦。
產(chǎn)品流通環(huán)節(jié)成為美國情報部門關(guān)注重點。早在1997年,nsa就設(shè)立了名為“定制入口行動辦公室”(tao)的黑客部門。德國《明鏡》周刊在2013年12月29日的爆料顯示,tao在掌握目標人物的網(wǎng)購信息后,攔截運送途中的電腦、硬盤、路由器等電子產(chǎn)品,并對這些產(chǎn)品的硬件做手腳,然后通過這些硬件后門對目標人物進行實時監(jiān)控。被安裝后門的電子產(chǎn)品包括思科、三星、戴爾、西部數(shù)據(jù)等知名品牌。秘密文件顯示,在過去10年里,tao成功地進入到了89個國家的258個目標,僅在2010年就實施了279次網(wǎng)絡(luò)入侵行動,幾乎觸及世界上的每個地方。
“量子”項目折射出我國嚴峻的it供應(yīng)鏈管理系統(tǒng)安全形勢
國際it供應(yīng)鏈管理系統(tǒng)安全風(fēng)險突出。電子產(chǎn)品的構(gòu)成日益復(fù)雜,一件產(chǎn)品的配件可能來自不同的國家和廠商,一套復(fù)雜軟件系統(tǒng)可能由不同地方的人員共同設(shè)計完成,因此信息安全已經(jīng)成為全供應(yīng)鏈管理系統(tǒng)安全問題,任何一個環(huán)節(jié)都可能引入后門或漏洞,極大地增加了信息安全的防護難度。以芯片設(shè)計為例,芯片在設(shè)計過程中就可能存在有意的“漏洞”,隨著芯片復(fù)雜程度的提高和設(shè)計團隊的全球化,在其中插入后門的風(fēng)險也在逐漸增加。正如2013年11月布魯金斯學(xué)會johnvillasenor教授所說,“惡意芯片等硬件產(chǎn)品已經(jīng)成為信息系統(tǒng)、設(shè)備、產(chǎn)品預(yù)埋后門和漏洞的主要途徑”。
國內(nèi)it供應(yīng)鏈管理系統(tǒng)基礎(chǔ)薄弱。我國it產(chǎn)業(yè)起步較晚,包括技術(shù)、產(chǎn)品、企業(yè)等在內(nèi)的it供應(yīng)鏈管理系統(tǒng)各環(huán)節(jié)與發(fā)達國家存在較大差距。一是it技術(shù)相對落后,一直在“跟隨”國外先進技術(shù)發(fā)展;二是it產(chǎn)品缺乏競爭優(yōu)勢,芯片、微型處理器等基礎(chǔ)硬件產(chǎn)業(yè)與國外存在代差,高端電子產(chǎn)品競爭力弱;三是it企業(yè)還未形成規(guī)模,我國it企業(yè)國際化步伐緩慢,市場主要集中在亞非拉地區(qū),難以撼動美國等發(fā)達國家的it市場壟斷地位。
it產(chǎn)業(yè)鏈路徑依賴積重難返。我國政府、金融、電力等關(guān)鍵領(lǐng)域的信息系統(tǒng)嚴重依賴國外技術(shù)產(chǎn)品。在基礎(chǔ)網(wǎng)絡(luò)領(lǐng)域,思科占據(jù)了我國骨干通信網(wǎng)絡(luò)設(shè)備70%~80%的市場份額,把持了幾乎所有超級核心節(jié)點和國際交換節(jié)點;在金融領(lǐng)域,70%以上的路由器等網(wǎng)絡(luò)產(chǎn)品來自思科、80%以上的服務(wù)器來自ibm。一直沿用國外的信息系統(tǒng)架構(gòu),導(dǎo)致我國各領(lǐng)域信息系統(tǒng)對國外硬件產(chǎn)品存在路徑依賴。在這種情況下,即便某些國產(chǎn)it產(chǎn)品性能足夠優(yōu)異,但仍無法很好地應(yīng)用于現(xiàn)有it體系中,這嚴重阻礙著我國it產(chǎn)業(yè)國產(chǎn)化替代進程。
加強我國it供應(yīng)鏈管理系統(tǒng)安全的對策建議
加強硬件安全技術(shù)研發(fā)。與傳統(tǒng)病毒、木馬不同,惡意硬件更加隱蔽,一些硬件后門以邏輯漏洞的形式直接存在于被封裝好的芯片中,其惡意功能只在特定條件下才會觸發(fā),難以通過常規(guī)檢測手段檢測出。為此,一是應(yīng)開展針對性的硬件安全檢測,重點檢查“量子”項目中涉及的電路板和usb接口等軟硬件模塊;二是應(yīng)盡快匯集惡意硬件信息并建立漏洞庫,對已知惡意硬件進行梳理和分析,找出其結(jié)構(gòu)特征、觸發(fā)條件等關(guān)鍵信息,提出預(yù)防、封堵硬件漏洞的普適性方法;三是應(yīng)加快開發(fā)惡意硬件監(jiān)控工具,以便在惡意硬件觸發(fā)后能夠及時發(fā)現(xiàn)。
加速打造自主可控的產(chǎn)業(yè)生態(tài)體系。全球化趨勢下it供應(yīng)鏈管理系統(tǒng)安全已經(jīng)成為軟硬件安全的首要風(fēng)險,只有使用可控的硬件才有可能做到可靠,自主可控的產(chǎn)業(yè)體系是確保it供應(yīng)鏈管理系統(tǒng)安全乃至國家網(wǎng)絡(luò)和信息安全的基礎(chǔ)和前提。
加大資金支持力度,優(yōu)化支出模式。改變資金支持方式,由給資金、先補助改為促應(yīng)用、后補助的方式,同時通過科學(xué)評估,集中優(yōu)勢資源對重點企業(yè)進行集中支持;合理引導(dǎo),引入社會基金等資金的投入,最大限度地整合政、產(chǎn)、學(xué)、研、用各界資源,發(fā)揮集中力量辦大事的制度優(yōu)勢,實現(xiàn)國產(chǎn)芯片、微處理器、操作系統(tǒng)在易用性、可靠性和安全性上的突破。
全力推動國產(chǎn)軟硬件產(chǎn)品的應(yīng)用。加大政策扶持力度,鼓勵和扶助國內(nèi)電子產(chǎn)品廠商優(yōu)先采用國產(chǎn)硬件,要求新建的重要網(wǎng)絡(luò)和信息系統(tǒng)采用國產(chǎn)產(chǎn)品;加大對網(wǎng)絡(luò)和信息系統(tǒng)整體架構(gòu)研究力度,采取斷然措施,設(shè)定時間表,建立中國自己的架構(gòu)體系,打破制度、技術(shù)、產(chǎn)品和人員等方面的路徑依賴。
盡快建立進口it產(chǎn)品審查和檢測制度。近年來,進口it產(chǎn)品不斷被曝存在后門,盡管廠家一再宣稱這些只是設(shè)計漏洞,但對于大量使用進口it產(chǎn)品的我國而言,這些所謂的“設(shè)計漏洞”已經(jīng)成為對我國進行窺探的后門。應(yīng)盡快建立進口it產(chǎn)品信息安全審查和檢測制度。對我國航空航天、石油石化等重點領(lǐng)域正在使用的進口it產(chǎn)品進行信息安全檢測,發(fā)現(xiàn)和封堵漏洞;建立進口it產(chǎn)品國家安全審查制度,對涉及國計民生的重要設(shè)備,在進口時應(yīng)充分評估其信息安全風(fēng)險,審查通過后方能采購。
強化國外企業(yè)在華業(yè)務(wù)的監(jiān)管。為避免“棱鏡門”事件再次上演,應(yīng)加強對思科、英特爾、微軟等國外it企業(yè)在華業(yè)務(wù)的管理。一方面,盡快制定it企業(yè)收集、處理、保護數(shù)據(jù)和信息的有關(guān)法律,建立相關(guān)的標準制度,對數(shù)據(jù)和信息的跨境流動做出限制性規(guī)定;另一方面,明確國外it企業(yè)在國內(nèi)提供產(chǎn)品、技術(shù)和服務(wù)時的責(zé)任和義務(wù),防范國外企業(yè)對我國互聯(lián)網(wǎng)的窺探。
- 1 互聯(lián)網(wǎng)金融應(yīng)為實體經(jīng)濟和民生服務(wù)
- 2 互聯(lián)網(wǎng)創(chuàng)新催熟在線供應(yīng)鏈管理系統(tǒng)金融“蘋果”
- 3 第九屆“物博會”開幕并同期舉行第一屆跨境電商物流與供應(yīng)鏈管理系
- 4 電商特快開啟綠色物流新篇章
- 5 發(fā)力供應(yīng)鏈管理系統(tǒng)金融 P2P公司瞄準金融牌照
- 6 供應(yīng)鏈管理系統(tǒng)金融進入文化產(chǎn)業(yè)未來票房可融資
- 7重慶供應(yīng)鏈管理系統(tǒng)的特性
- 8 通用汽車稱尚無供應(yīng)鏈管理系統(tǒng)安全流程調(diào)整計劃
- 9 淺談電商品牌的倉儲與供應(yīng)鏈管理系統(tǒng)發(fā)展趨勢
- 10 供應(yīng)鏈管理系統(tǒng)金融大比拼
- 11 解決企業(yè)供應(yīng)鏈管理系統(tǒng)融資難題
- 12 互聯(lián)網(wǎng)供應(yīng)鏈管理系統(tǒng)金融創(chuàng)新模式
- 13醫(yī)療供應(yīng)鏈管理存在的問題及解決方案
- 14 全球食品供應(yīng)鏈管理系統(tǒng)監(jiān)管難在何處
- 15企業(yè)供應(yīng)鏈管理系統(tǒng)的功能模塊
- 16 供應(yīng)鏈管理系統(tǒng)管理的八大核心過程
- 17 如何避免供應(yīng)鏈管理系統(tǒng)中斷
- 18 供應(yīng)鏈管理系統(tǒng)金融對商業(yè)銀行的價值分析
- 19 供應(yīng)鏈管理系統(tǒng)的發(fā)展趨勢
- 20 什么是供應(yīng)鏈管理系統(tǒng)金融
- 21 商業(yè)銀行供應(yīng)鏈管理系統(tǒng)金融格局生變:風(fēng)控依托“大數(shù)據(jù)”
- 22工程公司供應(yīng)鏈金融管理軟件怎么用
- 23 供應(yīng)鏈管理系統(tǒng)金融:從線下走到線上
- 24數(shù)字化供應(yīng)鏈管理系統(tǒng)的功能需求
- 25企業(yè)供應(yīng)鏈管理系統(tǒng)有哪些價值?
- 26 沃爾瑪供應(yīng)商融資案例
- 27 供應(yīng)鏈管理系統(tǒng)金融風(fēng)險防范策略
- 28 首家全國性物流金融服務(wù)平臺上線--防范供應(yīng)鏈管理系統(tǒng)金融風(fēng)險
- 29 戰(zhàn)略供應(yīng)鏈管理系統(tǒng)管理
- 30供應(yīng)鏈管理系統(tǒng)怎樣選?