摘要

隨著“震網(wǎng)”“NotPetya”“心臟滴血”“太陽風”等攻擊事件的相繼發(fā)生，軟件供應(yīng)鏈安全引起各國高度關(guān)注，而國家間競爭、地區(qū)沖突和全球性疫情等多種不利因素更加劇了對軟件供應(yīng)鏈安全生態(tài)的沖擊，也對裝備軟件供應(yīng)鏈安全提出嚴峻挑戰(zhàn)。首先，從軟件供應(yīng)鏈全鏈條安全、軟件源頭把控、開源代碼使用安全、軟件供應(yīng)鏈管控體系等幾個方面入手，分析裝備軟件供應(yīng)鏈面臨的網(wǎng)絡(luò)安全形勢和安全風險。然后，從形成裝備軟件供應(yīng)鏈的安全標準體系、安全監(jiān)管體系、安全測評體系和安全技術(shù)體系等角度，提出相應(yīng)對策措施，為裝備軟件供應(yīng)鏈安全提供支持。

所謂裝備供應(yīng)鏈，可以理解為與裝備相關(guān)的軟硬件產(chǎn)品及服務(wù)，或裝備在生產(chǎn)、流通、使用、維護更新等全生命周期內(nèi)，涉及的裝備研制單位或生產(chǎn)單位、第三方設(shè)備（包括軟硬件）提供者或生產(chǎn)者以及最終用戶等，通過與上游、下游組織連接而成的網(wǎng)鏈結(jié)構(gòu) 。軟件作為裝備的重要組成部分，在其功能實現(xiàn)上起到關(guān)鍵作用。軟件供應(yīng)鏈可以理解為通過一級或多級設(shè)計、開發(fā)階段編寫軟件，并通過軟件交付渠道將軟件從供應(yīng)商送往用戶的系統(tǒng) 。無論是自主研發(fā)軟件、現(xiàn)貨類軟件，還是定制開發(fā)軟件，其供應(yīng)鏈生命周期通常包括原始組件、集成組件、軟件產(chǎn)品和產(chǎn)品運營 4 個環(huán)節(jié)，其中軟件產(chǎn)品和產(chǎn)品運營環(huán)節(jié)涵蓋軟件生命周期 。軟件供應(yīng)鏈安全是軟件生產(chǎn)整個過程中所有安全問題的總和，包括軟件設(shè)計與開發(fā)的各個階段，涵蓋編碼過程、工具、設(shè)備、供應(yīng)商以及最終交付渠道等。

針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊，常常利用系統(tǒng)固有安全漏洞，或者預置的軟件后門開展攻擊活動，并通過軟件供應(yīng)鏈形成的網(wǎng)鏈結(jié)構(gòu)將攻擊效果向下游傳播給供應(yīng)鏈中所有參與者（包括最終用戶）。近年來，軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊事件頻發(fā)，影響越來越大。據(jù) Accenture 公司調(diào)查，2016 年 60% 以上的網(wǎng)絡(luò)攻擊是供應(yīng)鏈攻擊。典型的軟件供應(yīng)鏈攻擊事件包括：2010 年發(fā)生的“震網(wǎng)（Stuxnet）”病毒事件 ，是美國、以色列針對伊朗核設(shè)施發(fā)動的網(wǎng)絡(luò)攻擊，直接遲滯伊朗核計劃數(shù)年之久，“震網(wǎng)”病毒利用 Windows系 統(tǒng) 和 西 門 子 SIMATIC WinCC 系 統(tǒng) 的 多 個 漏洞；2014 年發(fā)生的“心臟滴血（HeartBleed）”漏洞事件 ，是由于基于安全套接字層 / 傳輸層安全協(xié)議（Secure Socket Layer/Transport Layer Security，SSL/TLS）的軟件和網(wǎng)絡(luò)服務(wù)廣泛使用存在漏洞的開源軟件包，從而感染了軟件和服務(wù)開發(fā)上游代碼和模塊，并沿著軟件供應(yīng)鏈對其下游造成了巨大傷害；2017 年發(fā)生的 NotPetya勒索病毒事件 ，與 WannaCry 利用的漏洞相同，黑客對含有“永恒之藍（EternalBlue）”漏洞的軟件更新發(fā)起攻擊，導致俄羅斯、烏克蘭等十多個國家的能源、交通、銀行、醫(yī)院、國家機構(gòu)及跨國企業(yè)受到影響，損失達上百億美元；2020 年底發(fā)生的“太陽風”事件 ，黑客組織利用 SolarWinds 公司銷售的數(shù)據(jù)管理軟件的軟件更新過程中存在的安全漏洞，對包括美國在內(nèi)的幾十個國家的政府及非政府組織發(fā)起網(wǎng)絡(luò)攻擊。這些攻擊事件對各國軟件供應(yīng)鏈安全敲響了警鐘，也為我國軟件供應(yīng)鏈網(wǎng)絡(luò)安全發(fā)出了警示。

隨著信息化的深入發(fā)展，大數(shù)據(jù)、云計算和人工智能等新技術(shù)在裝備中的應(yīng)用越來越廣泛，裝備信息化、網(wǎng)絡(luò)化、數(shù)字化、智能化程度越來越高，這在提升武器裝備作戰(zhàn)效能的同時，也使其面臨巨大的威脅，而供應(yīng)鏈攻擊是最重要的網(wǎng)絡(luò)攻擊形式之一，已經(jīng)嚴重威脅到裝備網(wǎng)絡(luò)安全。近年來，一方面由于新冠肺炎疫情、中美關(guān)系不斷惡化、俄烏沖突升級、全球經(jīng)濟動蕩不斷的形勢，對全球供應(yīng)鏈造成極大破壞，同時也對裝備供應(yīng)鏈安全造成嚴重沖擊；另一方面隨著開源代碼、第三方組件 / 軟件在裝備中廣泛應(yīng)用，與之相關(guān)的所有安全漏洞也與裝備軟件共生，裝備軟件供應(yīng)鏈遭受網(wǎng)絡(luò)攻擊的可能性愈發(fā)增加，對裝備安全造成日益嚴重的影響。裝備軟件供應(yīng)鏈安全事關(guān)國家安全、軍隊安全，一旦出現(xiàn)安全風險將會給國家和軍隊帶來重大安全挑戰(zhàn)，產(chǎn)生的后果不堪設(shè)想。

國內(nèi)外針對工業(yè)互聯(lián)網(wǎng) 、信息通信技術(shù)（Information Communications Technology，ICT）等領(lǐng)域的供應(yīng)鏈安全，以及軟件供應(yīng)鏈安全 進行了研究，提出了各自的解決方案。不過，由于裝備軟件保密性、穩(wěn)定性、可靠性要求高，且軟件更新升級難度較大，而國內(nèi)對該領(lǐng)域研究較少，亟須加強裝備軟件供應(yīng)鏈安全研究。為此，厘清裝備軟件供應(yīng)鏈面臨的安全形勢和安全風險，并在此基礎(chǔ)上有針對性地構(gòu)建完善的裝備軟件供應(yīng)鏈安全體系和制定積極有效的應(yīng)對策略，對于營造裝備軟件供應(yīng)鏈良好的生態(tài)環(huán)境，更好地推動裝備健康發(fā)展，具有十分重要的意義。

1 裝備軟件供應(yīng)鏈面臨的安全形勢和安全風險

近年來，由于西方國家利用技術(shù)優(yōu)勢在重要進口軟件中暗埋后門、裝備軟件大量使用未經(jīng)充分安全測評的開源代碼和第三方組件 / 軟件等因素，軟件供應(yīng)鏈的各個環(huán)節(jié)均可成為攻擊者的切入點，且軟件供應(yīng)鏈攻擊成本低、回報高、檢測難，從而導致軟件供應(yīng)鏈遭到破壞引發(fā)的網(wǎng)絡(luò)安全事件數(shù)量不斷上升，我國裝備軟件供應(yīng)鏈安全風險急劇增加，面臨的安全形勢異常嚴峻。

1.1裝備軟件供應(yīng)鏈所有環(huán)節(jié)均有被網(wǎng)絡(luò)攻擊的風險

裝備軟件供應(yīng)鏈安全涉及的角色和環(huán)節(jié)多、流程鏈條較長。以裝備定制開發(fā)軟件為例，除裝備承研單位作為主要軟件供方角色外，還有許多不受采購用戶控制的其他軟件開發(fā)者、軟件供應(yīng)商（如提供裝備仿真軟件）等第三方角色，從而擴大了潛在攻擊面，使得軟件供應(yīng)鏈各個環(huán)節(jié)及其脆弱點都可能成為攻擊者的切入點和目標，增加了裝備軟件不可控的安全風險，給裝備軟件埋下安全隱患?？梢哉f，除軟件供應(yīng)鏈的原始組件和集成組件環(huán)節(jié)給裝備軟件帶來安全問題外，在軟件定義、軟件開發(fā)、交付部署、運行維護等軟件全生命周期的各個環(huán)節(jié)均可能引入安全隱患，導致出現(xiàn)軟件漏洞、軟件后門、惡意篡改、假冒偽劣、知識產(chǎn)權(quán)風險、供應(yīng)中斷、信息泄露等安全風險 ，如圖 1 所示。

圖 1軟件全生命周期各環(huán)節(jié)潛在的安全風險

1.2西方軍事強國通過技術(shù)壟斷威脅我國裝備軟件安全

美國等軍事強國依托技術(shù)壟斷地位，政企勾結(jié)預置軟件后門，嚴重威脅我國軟件安全，極大推高了裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全風險。雖然我國在國防軍工等領(lǐng)域大力推行國產(chǎn)化措施并取得一定成效，但裝備研發(fā)生產(chǎn)領(lǐng)域許多高端軟硬件設(shè)備還依賴國外進口，特別是 ICT 領(lǐng)域大量使用國外軟硬件（如裝備仿真設(shè)計軟件等）產(chǎn)品極易被暗埋軟件后門，使用不安全的仿真設(shè)計軟件極易將安全風險引入其設(shè)計的各種裝備軟件中，很難從源頭把控裝備軟件安全風險 。從近年來相繼曝光的安全事件（如“棱鏡門”事件 中可以發(fā)現(xiàn)，美國政府依托其在 IT 領(lǐng)域的技術(shù)與市場優(yōu)勢，強化與思科、微軟、谷歌、英特爾等科技公司的合作，在這些公司研發(fā)、銷售的相關(guān)軟硬件產(chǎn)品中預置后門，對我國及其他主要國家（甚至是其盟友）進行全方位監(jiān)控，竊取政治、經(jīng)濟、軍事等重要信息，以達到繼續(xù)維持其霸權(quán)地位的目的。比如，思科公司多款主流路由器的虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）隧道通信和加密模塊中，被發(fā)現(xiàn)存在暗埋的“后門”，美國政府能夠輕而易舉地獲取密鑰等核心敏感數(shù)據(jù)，并實現(xiàn)信息監(jiān)控 ；美國 RSA 信息安全公司與美國國家安全局（National Security Agency，NSA）達成協(xié)議，用其安全軟件的優(yōu)先或默認隨機數(shù)生成算法替代雙橢圓曲線算法，通過預置的“后門”，NSA 能夠輕松破解各種加密數(shù)據(jù) ；2022 年 2月 23 日，北京奇安盤古實驗室披露了來自美國的后門——“電幕行動”（Bvp47），該后門由NSA 的黑客組織“方程式”制造，可以攻擊多數(shù) Linux 發(fā)行版、Solaris、SUN 等操作系統(tǒng)，入侵成功后將在網(wǎng)絡(luò)空間里暢通無阻，能夠隱秘控制受害組織網(wǎng)絡(luò)并輕而易舉地獲取數(shù)據(jù)。

1.3開源代碼的廣泛應(yīng)用極易引入新的裝備軟件供應(yīng)鏈安全風險

開源代碼開放靈活、應(yīng)用廣泛，在軟件開發(fā)中起著非常重要的作用，已成為軟件供應(yīng)鏈的重要環(huán)節(jié)，是軟件生態(tài)不可或缺的組成部分。根據(jù) WhiteSource 發(fā)布的 2020 年度《開源漏洞管理現(xiàn)狀》，除非企業(yè)政策要求禁止使用外，96.8% 的開發(fā)人員依賴于開源軟件；此外，據(jù)奇安信代碼安全實驗室分析，在所調(diào)查的國內(nèi)軟件項目中，幾乎全部使用了開源代碼，而有的項目最多使用了約 3 878 個開源軟件，且項目中使用的開源軟件數(shù)量大大超出了軟件項目管理者和程序員自身的認知 。為了提高開發(fā)效率并降低開發(fā)成本，裝備軟件中使用的開源軟件比例呈逐年上升趨勢。比如，裝備中采用的國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)軟件及大量應(yīng)用軟件都使用了開源代碼。不過，開源代碼中存在大量安全漏洞。據(jù)統(tǒng)計，截至 2020 年年底，通用漏洞披露（Common Vulnerabilities & Exposures，CVE）、美國國家計算機通用漏洞數(shù)據(jù)庫（National Vulnerability Database，NVD）、中國國家信息安全 漏 洞 庫（China National Vulnerability Database of Information Security，CNNVD）、國家信息安全 漏 洞 共 享 平 臺（China National Vulnerability Database，CNVD）等公開漏洞庫中共收錄開源軟件相關(guān)漏洞 41 342 個，其中 2020 年度新增漏洞 5 366 個，而歷史漏洞排名第一的大型開源項目 Linux Kernel 漏洞總數(shù)達到 4 139 個 。在軟件產(chǎn)品國產(chǎn)化要求下，我國對包括開源 Linux 內(nèi)核等在內(nèi)的開源代碼進行了消化吸收，發(fā)布了相關(guān)軟件產(chǎn)品并得到大力推廣，在武器裝備制造領(lǐng)域也得到廣泛應(yīng)用。不過由于各種原因，還很難發(fā)現(xiàn)潛藏其中的安全漏洞或“后門”，難以準確評估這些重要國產(chǎn)軟件存在的安全風險，而開源軟件中存在的安全漏洞，也會延續(xù)到裝備軟件中，嚴重威脅裝備的安全使用及其作戰(zhàn)適應(yīng)性。

此外，近年來針對開源軟件的網(wǎng)絡(luò)攻擊持續(xù)走高。Sonatype 調(diào)查顯示，通過滲透開源代碼，并將后門植入軟件產(chǎn)品，所引發(fā)的軟件供應(yīng)鏈攻擊比上一年度增長了近 430%[17]。一旦裝備軟件中使用的開源代碼存在安全漏洞，很容易被不法分子利用，勢必對裝備使用造成嚴重后果。

1.4裝備軟件供應(yīng)鏈管控與安全測評能力不足導致存在較大安全管理風險

伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊事件表明，與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)和系統(tǒng)也不是絕對安全的，同樣，武器裝備網(wǎng)絡(luò)也存在類似問題，攻擊者除從內(nèi)部發(fā)起攻擊外，還可以通過軟件供應(yīng)鏈活動滲透裝備網(wǎng)絡(luò)，比如軟件更新 / 升級服務(wù)、裝備軟件維護服務(wù)等活動。而黑客常常利用軟件供應(yīng)鏈中各方建立的信任機制發(fā)起攻擊，如用戶與軟件產(chǎn)品提供者之間的信任關(guān)系、設(shè)備之間受用戶信任的通信鏈路等。一旦軟件供應(yīng)鏈某個環(huán)節(jié)（如軟件更新升級或維護等）被攻陷，黑客就能輕易攻擊該環(huán)節(jié)的所有下游用戶。

由于裝備軟件穩(wěn)定性、安全性要求高，且在裝備操作使用中很少有專職的網(wǎng)絡(luò)安全人員參與，從而在使用與運維時很容易引入安全風險，因此，在裝備交付部隊使用之前開展充分的網(wǎng)絡(luò)安全測試，并對裝備軟件供應(yīng)鏈安全風險進行有效管控是非常必要的。不幸的是，大多數(shù)裝備采購方（或需方）和供方（如裝備承研單位、供應(yīng)商等）并沒有對裝備軟件供應(yīng)鏈進行有效管控。

一是裝備軟件供應(yīng)鏈安全的軍用標準尚未建立，安全管控體系不健全。我國相繼出臺了《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》、GB/T 36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風險管理指南》等法規(guī)標準，且與軟件供應(yīng)鏈安全強相關(guān)的標準《信息安全技術(shù) 軟件供應(yīng)鏈安全要求》也將正式發(fā)布 ，這些標準為軟件供應(yīng)鏈安全管理提供了有效指導。與裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全管控和風險管理有關(guān)的軍用法規(guī)標準尚未建立，軟件供應(yīng)鏈網(wǎng)絡(luò)安全測評規(guī)范缺乏，安全測評體系還未形成，裝備采購方和承研單位軟件供應(yīng)鏈的管理制度和監(jiān)管機制尚不完備，安全管控的連續(xù)性與持久性（由裝備采購方延伸至承研單位及更遠）還不夠，尤其缺乏針對軟件交付、更新升級等重要環(huán)節(jié)的安全管控措施。

二是裝備軟件在交付前沒有進行充分的網(wǎng)絡(luò)安全測試，裝備網(wǎng)絡(luò)安全底數(shù)不清。雖然試驗主管部門對裝備網(wǎng)絡(luò)安全測試進行了要求，但仍處于起步階段，且對軟件供應(yīng)鏈安全測試還缺乏明確要求。由于缺乏標準化的軟件供應(yīng)鏈安全測評方法，裝備軟件在交付前通常只進行軟件測評，并沒有開展網(wǎng)絡(luò)安全測評，更沒有針對其供應(yīng)鏈進行安全測評，難以盡早發(fā)現(xiàn)并消除軟件中潛在的安全隱患。在要求裝備軟件國產(chǎn)化的同時，卻對其中的開源代碼安全管控不夠重視，造成開源代碼隨意使用而不進行安全評估。此外，由于裝備承研等單位軟件安全測評能力不夠，尤其是在惡意代碼檢測、漏洞挖掘分析、協(xié)議逆向工程等技術(shù)能力方面存在嚴重不足，難以對裝備軟件中的開源代碼進行嚴格安全測試。

三是對國外軟件安全審查不嚴格。雖然我國頒布了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》，重點審查軟件產(chǎn)品研發(fā)、測試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風險，但在 ICT等重點領(lǐng)域的網(wǎng)絡(luò)安全審查尚處于起步階段，并且較少涉及我軍所采購的仿真設(shè)計軟件、程序開發(fā)工具等國外軟件產(chǎn)品及其衍生產(chǎn)品，對國外軟件供應(yīng)鏈的網(wǎng)絡(luò)安全審查與評估等配套標準需進一步完善。

2 裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全對策

建立和完善裝備軟件供應(yīng)鏈的安全標準體系、安全監(jiān)管體系、安全測評體系和安全技術(shù)體系，是應(yīng)對裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全風險的有效舉措。

2.1完善裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全標準體系，加強軟件安全風險管理

一是加快制定裝備軟件供應(yīng)鏈安全管理的軍用標準規(guī)范。充分借鑒《信息安全技術(shù) 軟件 供 應(yīng) 鏈 安 全 要 求（ 征 求 意 見 稿）》、GB/T36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風險管理指南》《信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求（征求意見稿）》、行業(yè)標準《網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求》等國家和行業(yè)相關(guān)供應(yīng)鏈安全標準，以及涉及軟件供應(yīng)鏈安全內(nèi)容的相關(guān)信息安全標準，制定裝備軟件供應(yīng)鏈安全管理、風險管理等標準，規(guī)范裝備軟件供應(yīng)鏈的組織管理（如機構(gòu)管理、制度管理、人員管理、供應(yīng)商管理、知識產(chǎn)權(quán)管理等）和供應(yīng)活動管理（如軟件采購、外部組件使用、軟件交付、軟件運維、軟件廢止等），指導裝備軟件采購方、承研單位、供應(yīng)商和服務(wù)商等供應(yīng)鏈各個角色制定本級軟件供應(yīng)鏈安全管理制度和措施，確保裝備軟件供應(yīng)鏈各個環(huán)節(jié)均安全可控。

二是建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測評標準規(guī)范。在相關(guān)信息安全測評標準基礎(chǔ)上，結(jié)合裝備軟件網(wǎng)絡(luò)安全實際，補充完善裝備軟件供應(yīng)鏈安全測評要求和測評方法，并針對不同業(yè)務(wù)領(lǐng)域、不同供應(yīng)鏈活動環(huán)節(jié)制定相應(yīng)的軟件供應(yīng)鏈安全測評標準和測評方法。與國家網(wǎng)絡(luò)安全審查法等法規(guī)配合，從而形成“通專結(jié)合”的裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測評標準體系，為裝備軟件安全測評提供支持。

三是完善裝備安全管理法規(guī)制度，實施軟件供應(yīng)鏈網(wǎng)絡(luò)安全風險管理。裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全與其各環(huán)節(jié)中的人員、工具、環(huán)境等因素密切相關(guān)，網(wǎng)絡(luò)安全風險可能由各環(huán)節(jié)中任一因素引入。因此，需要借鑒 GB/T 36637—2018《信息安全技術(shù) ICT 供應(yīng)鏈安全風險管理指南》、ISO 28000《供應(yīng)鏈安全管理體系》和ISO/IEC 27005《信息安全技術(shù) 風險管理》等相關(guān)風險管理標準，制定裝備軟件供應(yīng)鏈安全管理制度，對裝備采購、研制、測試、交付、部署、運行、維護等過程中的網(wǎng)絡(luò)安全風險進行監(jiān)管和控制。同時對裝備及其中的軟硬件產(chǎn)品實施風險管理，摸清裝備軟件供應(yīng)鏈中面臨的安全威脅和脆弱性，采取有效應(yīng)對措施，將裝備軟件供應(yīng)鏈安全風險降至最低，做到風險可控。

2.2建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全監(jiān)管體系，實施軟件全方位安全管控

一是建立裝備軟件供應(yīng)鏈安全監(jiān)管體制機制，對各方實施監(jiān)管。在裝備研制或采購過程中，裝備采購方需要對裝備承研單位、供應(yīng)商等相關(guān)供方單位進行充分調(diào)研、審查與監(jiān)管。在資質(zhì)要求方面，裝備承研方應(yīng)具備安全保密資質(zhì)等，對于軟件供應(yīng)鏈上的供應(yīng)商需要提供證明其軟件安全開發(fā)能力的企業(yè)級資質(zhì)，并要求其在軟件安全開發(fā)的過程管理、質(zhì)量管理、配置管理、人員能力等方面提供證明，以證明其有能力把安全融入軟件開發(fā)全過程。在質(zhì)量管理及安全開發(fā)標準規(guī)范方面，要求承研單位、參與單位或供應(yīng)商提供質(zhì)量管理體系認證證明，對于軟件供應(yīng)鏈上的供應(yīng)商，需要審查其內(nèi)部軟件安全開發(fā)標準與規(guī)范，能夠?qū)M開發(fā)軟件的不同應(yīng)用場景、不同架構(gòu)設(shè)計、不同開發(fā)語言進行約束和參考。此外，建立裝備采購黑、白名單，實施獎懲機制。對于信譽好、網(wǎng)絡(luò)安全問題少、售后服務(wù)響應(yīng)快的供應(yīng)商或軟硬件產(chǎn)品，將其納入白名單；對于信譽差、網(wǎng)絡(luò)安全問題多、售后服務(wù)響應(yīng)慢的供應(yīng)商或軟硬件產(chǎn)品，將其納入黑名單。定期對黑、白名單進行更新，并將黑、白名單向全機構(gòu)公布。

二是落實裝備軟件供應(yīng)鏈各方主體責任。按照裝備軟件研制或采購實際情況，確定軟件產(chǎn)品研制、采購、使用等供應(yīng)鏈流程，分析各個環(huán)節(jié)存在的網(wǎng)絡(luò)安全風險活動并對其進行約束，嚴格要求裝備軟件承研單位、供應(yīng)商和服務(wù)商加強自身安全開發(fā)、集成、運維的能力，落實供應(yīng)鏈安全的主體責任。對于裝備軟件采購方，應(yīng)將網(wǎng)絡(luò)安全人員納入采購小組，參與裝備采購評審全流程，對裝備軟件網(wǎng)絡(luò)安全負責。網(wǎng)絡(luò)安全人員應(yīng)熟悉裝備軟件供應(yīng)鏈安全要求等相關(guān)標準規(guī)范，在裝備軟件采購時，需要充分了解裝備采購所有供應(yīng)商 / 研制方信息、產(chǎn)品信息（版本、License、更新 / 升級方式等）、維護單位與人員信息，以及其他與網(wǎng)絡(luò)安全相關(guān)的信息，建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全檔案，為裝備軟件安全風險管理提供技術(shù)支持，并為裝備驗收測試中的軟件供應(yīng)鏈安全測評提供支撐。

2.3建立裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全測評體系，加強軟件安全測評能力建設(shè)

一是構(gòu)建全流程裝備軟件供應(yīng)鏈安全評估機制。建立集法規(guī)政策、管理和技術(shù)為一體的，涵蓋軟件定義、設(shè)計開發(fā)、交付部署、運行維護等軟件生命周期各環(huán)節(jié)在內(nèi)的全流程軟件供應(yīng)鏈安全評估機制，并對裝備軟件中使用的開源代碼及其他原始組件和集成組件進行測試評估，全面評估裝備軟件供應(yīng)鏈各環(huán)節(jié)的安全風險。不斷完善裝備軟件安全測評體系，加強軟件供應(yīng)鏈安全測評技術(shù)研究及相關(guān)安全測評工具研制，形成系統(tǒng)化、標準化的軟件供應(yīng)鏈安全解決方案，不斷促進裝備軟件供應(yīng)鏈安全測評工作的落地實施。

二是加強裝備軟件供應(yīng)鏈安全測評能力建設(shè)。采取“軍民融合、地理分布、邏輯一體”的方式，開展裝備軟件安全測評條件建設(shè)，形成裝備軟件安全測評能力體系。在第三方試驗機構(gòu)、裝備研制單位分別建設(shè)軟件安全測評環(huán)境，開展裝備軟件供應(yīng)鏈安全測評工作。軍隊試驗機構(gòu)可以借助地方優(yōu)勢安全測評、安全審查機構(gòu)的能力，為裝備軟件供應(yīng)鏈提供安全測評與安全審查服務(wù)。在開源代碼安全測評方面，積極推動安全測評機構(gòu)、安全企業(yè)開展開源代碼安全檢測服務(wù)，要求裝備軟件中使用的開源代碼必須經(jīng)過安全測評，以便有效管控裝備軟件安全風險。

三是在推進裝備網(wǎng)絡(luò)安全測試的同時要積極開展軟件供應(yīng)鏈安全測評。為了避免和消除裝備軟件中的安全漏洞，盡可能地減輕安全風險，確保裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全，需要在軟件安全測評活動中開展全面的供應(yīng)鏈安全測評，力爭在裝備交付使用前將安全風險降至最低，并在裝備軟件全生命周期的各個環(huán)節(jié)持續(xù)開展網(wǎng)絡(luò)安全測試活動。在軟件開發(fā)環(huán)節(jié)，采用軟件安全開發(fā)生命周期流程方法，并利用基于靜態(tài)應(yīng)用安全測試、交互式應(yīng)用安全測試和模糊測試技術(shù)的安全開發(fā)工具，開展安全測試。在軟件使用、運行維護等環(huán)節(jié)，依據(jù)信息安全相關(guān)標準規(guī)范，實施安全風險管理活動。對裝備軟件中使用的第三方組件和開源代碼，需充分驗證測試其網(wǎng)絡(luò)安全性，并采取必要的技術(shù)手段和管理手段，以便確保所使用第三方組件和開源代碼的安全性。

2.4完善裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全技術(shù)體系，加強軟件安全防護能力建設(shè)

在加強裝備軟件供應(yīng)鏈標準、管控、測評體系能力建設(shè)的同時，還需要從技術(shù)層面防范供應(yīng)鏈安全風險，特別需要注重裝備軟件供應(yīng)鏈安全管理知識圖譜等基礎(chǔ)能力、軟件供應(yīng)鏈全鏈條縱深安全防御能力、安全審計與應(yīng)急響應(yīng)能力等方面的能力建設(shè)。

一是建立裝備安全管理知識庫，構(gòu)建裝備軟件供應(yīng)鏈安全知識圖譜。建立裝備管理基礎(chǔ)庫，廣泛收集裝備中軟件、硬件、數(shù)據(jù)庫、中間件、組件 / 固件、控制器、數(shù)據(jù)總線等與網(wǎng)絡(luò)安全有關(guān)的資產(chǎn)信息，以及各種軟件開發(fā)、運行、編譯環(huán)境信息。建立裝備供應(yīng)鏈管理庫，收集裝備軟件及其組件、開發(fā)工具、設(shè)計軟件等供應(yīng)鏈各環(huán)節(jié)中的信息，如開發(fā)者、參與者、第三方組件 / 軟件供應(yīng)商、服務(wù)商、使用的開源代碼等，要求裝備及其軟硬件供應(yīng)鏈信息均可追溯。建 立 裝 備 網(wǎng) 絡(luò) 安 全 漏 洞 庫， 收 集 來 自 CVE、NVD、CNNVD 及其他漏洞源的安全漏洞。建立裝備威脅情報庫，幫助安全人員明確單位重要資產(chǎn)的安全狀況，根據(jù)單位自身資產(chǎn)的重要程度和影響面，進行相關(guān)的漏洞修復和風險管理。以各類裝備安全管理數(shù)據(jù)庫為基礎(chǔ)，利用知識圖譜技術(shù)，構(gòu)建裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全知識圖譜，能夠讓安全管理人員提前了解軟件供應(yīng)鏈中潛在的漏洞或缺陷，準確評估其安全風險，及時采取有效安全措施規(guī)避或消減安全風險，以便從全局把控裝備軟件供應(yīng)鏈安全的整體態(tài)勢。

二是全面使用網(wǎng)絡(luò)安全技術(shù)和手段，建立縱深防御體系，提升裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全防御能力。裝備軟件供應(yīng)鏈的各個環(huán)節(jié)都有可能成為潛在攻擊面，從而需要對軟件供應(yīng)鏈各環(huán)節(jié)的關(guān)鍵資產(chǎn)、存在的安全漏洞、面臨的安全威脅進行全面分析，并采取針對性的網(wǎng)絡(luò)安全技術(shù)手段防御、檢測并響應(yīng)供應(yīng)鏈攻擊。在軟件開發(fā)環(huán)節(jié)，對項目中使用的開源代碼、第三方軟件等，利用軟件安全測評、漏洞掃描、漏洞挖掘、滲透測試及惡意代碼識別等技術(shù)，發(fā)現(xiàn)其中可能存在的安全漏洞或惡意軟件，并開發(fā)相應(yīng)補丁進行安全加固或清除惡意代碼。在交付與更新升級環(huán)節(jié)，可以利用網(wǎng)絡(luò)劫持檢測與安全防范、加密驗證等技術(shù)，以防在交付與更新升級環(huán)節(jié)被劫持。在軟件部署使用和運行環(huán)節(jié)，可以對裝備系統(tǒng)采用零信任架構(gòu)和內(nèi)生安全思想進行安全防護體系設(shè)計，并應(yīng)用安全態(tài)勢感知、訪問控制、可信密碼及擬態(tài)防御等技術(shù)進行主動防御。

三是重視安全審計與應(yīng)急響應(yīng)能力建設(shè)。網(wǎng)絡(luò)安全審計有助于系統(tǒng)管理員及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患，對系統(tǒng)網(wǎng)絡(luò)安全起著非常重要的作用。“太陽風”攻擊事件就是由火眼公司（FireEye）審計人員在審查其內(nèi)部安全日志時發(fā)現(xiàn)端倪的，并最終揭開了整個勒索事件的全貌 。一方面，要加強安全審計與應(yīng)急響應(yīng)技術(shù)研究和系統(tǒng)建設(shè)，針對裝備軟件供應(yīng)鏈各個環(huán)節(jié)提出安全審計與應(yīng)急響應(yīng)能力要求，部署安全審計系統(tǒng)，形成全鏈條一體的安全審計與應(yīng)急響應(yīng)聯(lián)動體系。另一方面，要注重安全審計與應(yīng)急響應(yīng)人才隊伍建設(shè)，加強網(wǎng)絡(luò)安全人才培養(yǎng)與引進，提升安全審計、逆向工程、漏洞挖掘分析等各類網(wǎng)絡(luò)安全人員的業(yè)務(wù)能力。

3 結(jié)語

隨著裝備信息化、數(shù)字化、智能化水平的提升，其作戰(zhàn)能力越來越依賴于軟件對其功能的實現(xiàn)，而裝備系統(tǒng)的網(wǎng)絡(luò)安全性在很大程度上取決于系統(tǒng)中使用軟件的安全性，軟件供應(yīng)鏈安全是軟件安全的重要部分。為了確保裝備軟件供應(yīng)鏈網(wǎng)絡(luò)安全，應(yīng)盡快建立與我軍裝備軟件供應(yīng)鏈發(fā)展相適應(yīng)的安全標準體系、安全監(jiān)管體系、安全測評體系和安全技術(shù)體系，這是當前保障裝備軟件網(wǎng)絡(luò)安全的一項重要工作。