供应链是现代经济的重要形态,当前全球产业竞争已经进入“链时代”,在刚刚结束的2023年中央经济工作会议中,明确要求要提升产业链供应链韧性和安全水平。但随着大国博弈的升级,近年来,国内外针对我国供应链的窃密活动层出不穷,这种通过外围逐步渗透的窃密案件的数量和复杂度都在增加,给机关单位带来的安全保密风险也越来越大,亟须防微杜渐,堵塞漏洞。
典型案例✦
供应链窃密是一种通过入侵软件或硬件供应链中的弱点,将恶意软件或硬件植入业务系统,或利用单位供应商公司职员通过社会工程学收集情报,进而窃取单位机密的窃密手段。供应链窃密主要通过以下三种方式。
针对软件供应链的窃密。软件供应链窃密是利用软件开发、部署过程中的弱点,采取钓鱼攻击、恶意广告、社会工程学等方式,向软件中注入恶意代码或者控制代码,窃取党政机关、研究机构、国有企业的机密。被攻击者往往极难发现恶意代码或远程控制代码,因为它们往往隐藏在正常的软件之中,功能非常隐蔽,窃密行为较难发现。震网病毒(Stuxnet)作为供应链攻击的经典案例,在2003年至2011年期间,严重拖慢伊朗核武器进程,导致伊朗在七八年时间内一直被离心机故障困扰,数千台提纯浓缩铀离心机被破坏,大量核原料被浪费。由于伊朗无法制造离心机,大量宝贵的外汇资金被消耗在进口离心机零部件上,核计划完全脱离预定轨道。甚至伊朗由于误以为离心机故障是“人为失误”,解雇了一大批优秀的科学家和技术人员,造成了极大的人才损失。
震网病毒的成功,离不开火焰(Flame)病毒、毒曲(Duqu)病毒等长期运行所进行的信息采集和情报窃取。早在攻击伊朗铀离心设施之前,北约网络情报部门就网络入侵了多家伊朗主要国防工业厂商,包括伊朗工业设施自动化系统生产商和伊朗水电、石化工业自动化企业等供应商、软件开发商,在其内网投放了火焰、毒曲病毒。美国情报部门通过火焰蠕虫的漏洞攻击、加密压缩、信息盗取等模块,窃取了大量伊朗核设施设计图、开发文件,窃取到的情报信息多到甚至能完整仿真搭建一套伊朗核设施工厂的数据采集和监视控制系统。同时,他们还提前进行了各种攻击变量测试,为震网病毒的编制提供了完美的支撑。
又比如,美国国家安全局(NSA)的特定入侵行动办公室(TAO)拥有专门针对网络运营商特定业务系统的“敌后行动”系列攻击武器。2022年,特定入侵行动办公室为入侵西北工业大学,利用武器库中的“魔法学校”“小丑食物”和“诅咒之火”等攻击窃密工具,先是控制了两家中国基础设施运营商的业务服务器,窃取了多名身份敏感人员的用户信息,同时通过在西北工业大学网关服务器、边界路由器等网络设备安装“二次约会”中间人劫持工具,将海量数据进行精准过滤和自动化劫持,为下一步入侵西北工业大学内网构建好了外部策应体系。
针对硬件供应链的窃密。硬件供应链窃密是指攻击者在硬件制造或分发的过程中对硬件设备进行恶意植入或修改,来实现未经授权的远程访问或控制,从而窃取机密信息,其手段包括在生产线上添加恶意硬件模块、窃取设备并植入恶意模块、在设备运输或存储的过程中恶意植入等方式。硬件供应链窃密由于成本较高,通常由具有国家或国际犯罪组织背景的机构实施,且极难发现。
例如,2016年维基解密泄露的美国中央情报局(CIA)文件显示,在其开发的一款名为“NightSkies1.2”软件的使用说明手册中,明确提到“载入程序/植入工具”模块的用法是:需结合对目标供应链的渗透来完成对新出厂特定设备的改造,使用时需派遣特工阻断邮寄和其他发货途径或通过招投标方式,将正常设备拦截下来,再通过开箱、植入恶意代码、重新发货等流程,将正常硬件设备修改为窃密设备。
又比如美国国家安全局(NSA)泄露的行动培训手册显示,特定入侵行动办公室所采用的物流链劫持手段是:拦截发送到目标地区的计算机和网络设备的物流,由情报技术人员完成固件植入,并重新包装发送给目标机构。针对人员的供应链窃密。
针对人员的供应链窃密是指利用旧有人际关系或通过与其合作的第三方公司外包人员,通过拉拢策反内部人员,以工作配合或私人交往的方式来获取秘密的手段。例如,三星公司曾向韩国国家情报院举报,三星电子半导体事业部门下属事业部一名计划离职的员工,在家办公时疑似访问公司与半导体相关的机密电子文件,并对文件内容进行拍摄,涉嫌窃取公司数百份商业机密文件,随后该员工被逮捕。
工作建议✦
当前,全球开放自由的商贸体系,让供应链你中有我、我中有你,供应链窃密作为一种新型的风险隐患,亟须引起相关单位的高度重视,并采取积极有效的防范措施,及时消除隐患,堵塞漏洞。
一是制定严明制度。供应链企事业单位(指为机关单位提供各种服务的企业,包括各类外包人员、产品的提供公司,以及相关的事业单位)应切实担负保密管理主体责任,健全完善保密管理制度,制定严格的操作规范,定期审查和更新供应商,选择具备资质的单位参与工作,确保合作方和第三方严格遵规守矩。同时,加强对外来数据、设备、人员的管理,按照最小化原则,严格控制外来人员接触信息的范围,采取零信任验证技术和多层防御策略,对人员和行为操作进行多维度的综合分析和详细审计,及时处置异常或违规行为。
二是强化人员管理。供应链企事业单位应严格选配工作人员,对其政治立场、个人品行、日常表现等情况进行背景调查,及时上报从事涉密业务人员的身份信息、保密审查等材料,全面落实签订保密承诺书等规定要求,确保保密义务和管理责任落实到位。
三是加强教育培训。很多泄密案件的发生都与当事人及其所在单位甚至整个行业系统的保密教育缺失、保密意识不强有关。因此,供应链企事业单位应经常性开展保密案例警示教育和知识常识培训,加强全员的保密意识,及时发现潜在的风险隐患,守护好供应链安全。
来源:保密工作,2024年3期,作者:陈恭亲
北京世纪君达管理咨询有限公司成立于2011年,公司涉及军工四证等军密、国密资质咨询指导,定制化保密培训、各类安保产品销售等。是一家为企业提供保密工作咨询性服务的服务平台。公司专注于武器装备科研生产保密资格一级、二级、三级和国军标、武器装备科研生产许可证、武器装备承制名录、军工涉密业务咨询服务单位条件备案、国家秘密载体印制甲乙级、涉密信息系统集成甲乙级等军密国密资质的申请、复审等业务的咨询指导。立足北京,面向全国企、事业单位提供保密教育培训、企业保密管理咨询和军民融合科技咨询服务、涉密场所(保密室)建设、安全保密产品和涉密运行维护等服务。与多家法定行政许可鉴定评审/型式试验机构形成了合作互信关系,以便于能够第一时间掌握最新政策动向,知悉每一位客户所处行业动态,确保为广大客户提供最专业、最权威的企业顾问服务。
www.shijijunda.com
看到这里,你也了解了相关的知识内容了,在进行保密资质的办理时,只有按照相关的办理流程来进行才可以。如果你还有疑问,可以咨询我们专业的指导老师。
欢迎致电北京世纪君达,详询 13522228248我公司十年经验,超高的通过率,专业咨询指导,为您腾飞助力!
