随着俄乌冲突的不断演进,西方国家对俄罗斯开启一系列制裁“组合拳”,针对信息技术供应链的制裁是其中至关重要的一环。西方针对俄罗斯信息技术供应链制裁有哪些特点?俄罗斯在应对制裁的过程中做了哪些提前部署?俄乌信息技术供应链安全治理对我国有什么启示?等等。对此,我们基于团队研究,做简要分析。
一、西方对俄罗斯信息技术供应链制裁的措施
西方对俄罗斯的信息技术供应链制裁由来已久,俄乌冲突的爆发进一步扩大了制裁范围。具体来讲,包括以下三个方面。
第一,对基础信息技术和产品的出口管制与断供。一是将之前不受限制的半导体、计算机、信息安全设备、激光和传感器等产品和技术列入出口管制清单;二是将信息技术供应链相关公司列入实体清单,如贝加尔电子、电子计算和信息系统、新西伯利亚微电子研发中心等;三是多家科技巨头对俄罗斯实施产品断供,如AMD、因特尔、三星、台积电等芯片厂商停止对俄出售芯片,诺基亚、爱立信等公司停止对俄供应基础电信产品等。
第二,对信息服务和网络应用的封禁与停服。一是俄罗斯国有媒体“今日俄罗斯”和俄罗斯卫星通讯社遭到封禁,脸书、谷歌等公司禁止这些媒体在其平台投放广告;二是多家公司停止向俄罗斯提供信息服务产品,如网飞、Spotify等平台暂停在俄音视频服务;三是俄罗斯网络安全服务面临出局危机,如德国政府要求替换卡巴斯基的杀毒软件和其他产品,美国联邦通信委员会将卡巴斯基实验室列入“对美国国家安全构成威胁的通信设备和服务”的清单。
第三,对基础网络设施的“断网”威胁。一是乌克兰政府请求国际社会关闭俄罗斯的DNS根服务器,并撤销.ru、.рф和.su等顶级域名及其相关安全套接字层(SSL)证书;二是两家美国骨干网运营商巨头Lumen和Cogent以“网络安全”为由停止其在俄罗斯的网络运营服务,此举或将影响俄罗斯访问国际互联网;三是此前伊拉克和利比亚均出现过顶级域名被终止的情形,随着战争冲突的加剧,俄罗斯根服务器被禁止或其他形式的网络断开仍将带来持续的风险。
二、俄罗斯应对信息技术供应链制裁反制措施
针对西方国家的信息技术供应链制裁,俄罗斯采取了综合的反制措施,也反映出俄罗斯在信息技术领域的提前部署和远景规划。具体包括以下三方面。
第一,加强软件、芯片等基础信息技术供应链自主化发展。俄罗斯自克里米亚危机以来就出台了《俄罗斯联邦国家安全战略》,要求“实行积极的进口替代战略,降低对国外技术和工业品的依赖”。在军用领域,俄罗斯凭借着原有的电子管基础,利用模拟电路技术用激晶体震荡器代替传统意义上的芯片,在军事应用方面已经基本实现自主可控;在民用领域,俄罗斯拥有贝加尔电子开发的“贝加尔湖”和MCST开发的“厄尔布鲁士”两款国产处理器,且正在考虑将其芯片生产从台积电转移到中国大陆工厂进行代工。
第二,加强互联网信息服务的自主化替代。俄乌冲突爆发后,俄罗斯媒体监管机构宣布封禁脸书、推特及一众西方媒体;且普京签署俄联邦刑法修正案,将严惩发布涉俄军假消息的媒体,CNN、BBC、彭博社等西方媒体随即宣布停止在俄业务。俄罗斯也推出了相应的信息服务替代方案,例如VKontakte社交平台、Yandex搜索引擎以及Wildberries电子商务平台等。
第三,加强主权基础网络建设。一是出台系列法律法规,加强俄罗斯政府对境内互联网管控,如《Yarovaya法》《VPN法》及《主权互联网法》等;二是明确构建本地网络RuNet,开展“断网”演习,主要措施包括强制互联网服务供应商安装指定技术设备检测威胁、实现俄罗斯国家DNS自主、由国家机构集中管理电信网络等;三是采取措施应对俄乌冲突期间频繁发生的网络攻击,如将俄罗斯网站从外国托管服务切换到俄罗斯DNS服务器、删除外国公司创建的Javascript等。
三、俄乌信息技术供应链安全治理思考与启示
当前俄乌局势变换莫测,可以预见的是即便俄乌达成协议停战,西方国家也不会及时解除对俄罗斯的信息技术供应链制裁。
首先,我们对此应时刻保持战略警惕。一是和平时期供应采购关系,或将变成战争时期的武器;二是在军事冲突背景下,利用技术封锁实施科技制裁正在变成现实;三是缺乏核心技术盲目相信开源及技术无国界,最终难免陷入“卡脖子”局面。
其次,我们更应深入反思,并从多维度、多视角全面强化信息技术供应链安全保障体系。
1. 在监管侧做好关基领域供应链摸底工作
一是加紧开展关基认定工作并对考核结果进行验证,通过梳理资产来源判断隐忧所在。二是建立关基资产的供应链台账,汇总至监管机构,在问题发生前做到提前预判风险。三是梳理关基系统中所涉及到的开源技术和实际控制者,针对信息技术创新能力不足的关键组件需要开启替代研究工作。
2. 在需求侧建立供应链安全监测预警能力
一是针对供应商资质进行审查、对其所售卖的产品进行安全管制,严格落实网络安全审查办法,并对长期不合规的关基供应商进行处罚。二是建立长期监测机制,一方面是关基产品采购风险监测,包括整体脆弱性和软件组件脆弱性,尤其是针对开源层面的监测;另一方面是供应商监测,包括是否存在代码泄露、数据是否在暗网售卖等安全风险。
3. 在供给侧加强信创产品适配及生态建设
一是加强关键核心技术产品研发。对于专有类技术产品,强化战略储备与自主研发并举;对于开源类技术,强化战略联合和利益协同机制。二是强化非对称和杀手锏技术产品的研发和部署,注重以技术和应用的先进性突出反制能力。三是逐步提升在产业生态中的话语权,分阶段实现由依托相关生态平台向依托创新实力的转变,逐步提高产业生态中的先导影响。四是加强替代战略研究和储备,以防在战时和非常时期,不排除采取“断网”等极端举措的可能性,确保重要网络和系统的正常运行。
四、总结
不管俄乌战争结局如何,西方国家对俄罗斯发动的一系列制裁,都将对我国信息技术供应链产生深远影响。对此我们需未雨绸缪,将事关国家安全、社会发展的核心技术掌握在自己手中,方能在诡谲多变的国际环境中处变不惊。
声明:本文来自绿盟科技威胁情报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。