從蘋果公司的故事講起，喬布斯在重新回到蘋果之后，專門挖了一個牛人，就是庫克，庫克是供應鏈管理方面的頂級專家，那喬布斯為什么要挖這個人了，一個大公司，如果不做好供應鏈管理，保證供應鏈的安全，蘋果是無法實現盈利，推動股價飆升的。同樣，國內的小米公司在創業過程中也多次遇到供應鏈危機，為此不得不開除創業元老，可見任何一個公司，如果要做大做強就必須加強供應鏈管理，國家亦如此。

那么把供應鏈管理的理念放到網絡空間安全中，是不是也是一樣的道理，可見供應鏈安全在網絡空間安全中也占著舉足輕重的地位，沒有供應鏈的安全，就無法談網絡空間安全。像XcodeGhost、Solarwinds、xz-utils等事件都是供應鏈攻擊的典型案例，我們應當從這些案例中，深刻理解供應鏈攻擊造成的影響。

供應鏈攻擊是指攻擊者通過供應鏈中某個環節的薄弱點或漏洞，滲透到目標系統或網絡中的一種攻擊方式。供應鏈攻擊的方式有多種，可以通過軟件、硬件、服務等多種方式實施供應鏈攻擊。在當前我國數字經濟建設中，供應鏈安全是我們當前面臨最緊迫的問題。首先從芯片方面來講，目前世界上主要芯片是Intel、AMD、ARM等，在和平時代，從經濟利益角度考慮，有利可圖的情況下，大家是相安無事，各取所需。一旦在風云變幻時局下，大國之間爆發戰爭或代理人之間爆發戰爭，難免不會像抗美援朝初期，美帝國主義越過邊境扔幾顆炸彈偷襲你，不斷試探你的底線，這些芯片就會構成攻擊的通道或橋梁，對信息系統會造成毀滅性打擊。因此，在航天、航空等國家重點領域、重點部位，應當使用國產芯片，加快國產芯片的替代，像海光、兆芯、飛騰、鯤鵬這些芯片雖然是國外廠商授權，但是基本上能滿足自主可控，就目前來說，和美歐國家存在一定差距是肯定的，但是起碼得做到自主可控，這是底線原則，重點是要發展龍芯和申威，將芯片控制權掌握在自己手中。同時在產業化過程中，通過吸收美西方國家的技術來自主創新研發自己的芯片，爭取擺脫芯片的供應鏈攻擊，但是決不能做漢芯，找個農民工就可以磨出一個芯片，這簡直是天大笑話。

從軟件角度來談，操作系統，數據庫，中間件，應用軟件都是供應鏈攻擊的組成部分，通過這次微軟CrowdStrike事件，我們看到一個殺毒軟件的更新都會讓眾多和生活息息相關的業務停擺，那如果不是csagent.sys而是植入木馬程序，那是不是可以控制所有相關聯的設備了。這就是目前美國，英國等西方國家反對并打壓華為的原因之一。目前國產的操作系統都是基于linux內核進行修改，發展出了銀河麒麟，統信，中科方德，歐拉，鴻蒙等國產化操作系統，肯定有人又要說，還不是基于linux修改的等等一些言論，操作系統本身就是一個技術性要求高的產業，不管是微軟，linux，android，ios等操作系統都是基于unix演變而來，所以說在技術成熟的今天，通過開源的linux內核打造自主可控的操作系統，通過消化，吸收逐步自主創新是可行的方案，是國家的戰略高度。除了操作系統，還有中間件，數據庫，及應用軟件也一樣，特別是開源的軟件，說的好聽點是遵循開源精神，通過開源來倡導所謂西方式的民主和自由，縱觀西方近幾百年的發展史，一面舉著基督教的大旗，一面拿著機槍大炮，天天喊著民主和自由，實則是血腥殺戮，我們不能任其發展，應當基于他們開源程序進一步完善產品，師夷長技以制夷。說的不好聽點，就是通過免費開源的思路，讓你坐享其成，讓你喪失自主創新的動力，從而控制你的精神和意志，放長線釣大魚，無形建立各個攻擊據點。目前國內常用的apache，tomcat，nginx，mysql，redis，es，flume，flink，hadoop，openstack等，雖然說暫時不能自己研發出這些著名組件，但是必須基于這些開源的組件，達到自主可控。縱觀國內發展的現狀，基本上都有可替代的方案，先不論好不好用，首先得保證有，再逐步通過使用達到完善，再經過十年左右，基本上可達到自主可控，在關鍵領域完成全面替換。數據庫有達夢、人大金倉、神州通用、華為、中興、阿里等。中間件有東方通、普元、寶蘭德，阿里、華為等。信創之路，任重道遠，雖然說我們不能別辟蹊徑，但是我們可以通過先模仿、改造，這樣可以縮短時間來達到快速自主可控。

必須堅持信創之路，像這次微軟和CrowdStrike事件，充分說明了美國具備發動全面網絡戰的能力和經驗，從芯片、操作系統、中間件、應用軟件，在各行各業，只要與信息化相關的，都有其身影，正如1840年前后，但是我們不會像閉關鎖國的清政府一樣，因為我們在持續改革開放，學習西方先進技術，得益于領導人的高瞻遠矚，通過不斷的引進、消化和吸收，至少是有備無患。當底子薄，根基淺的時候，就必須采取跟隨戰略來達到自主可控，實現直道超車。即使現在信創之路并不順利，但是我們初期可以使用人海戰術來應對穩定性問題，通過7*24小時人盯的方式來保證用起來，現場改的方式保證好用起來。人海戰術也是人民戰爭的一部分，通過這種不對稱的方式逐步做到自主創新。

75年前的1949年8月5日美國發表了《美國與中國的關系》白皮書，隨后，毛澤東主席陸續發表了《丟掉幻想，準備斗爭》、《別了，司徒雷登》、《為什么要討論白皮書？》、《“友誼”，還是侵略？》、《唯心歷史觀的破產》等五篇評論文章，一針見血地揭露了當時美國對華政策的反動本質，并且清晰地闡明了中國革命發生和勝利的原因。在當前百年未有之大變局，大國競爭、地緣政治沖突情況下，更應當丟掉幻想，準備戰斗。網絡空間也是戰場，誰掌握了主動權，誰就可以先發制人，誰就可以運籌帷幄之中，決勝千里之外。

如何保障供應鏈安全，除了堅持信創，在國防、軍隊、軍工、能源、交通、金融等關鍵領域實現國產化替代，達到自主可控、可信保證安全可靠，應對未來可能爆發的網絡戰。在民生領域，對美國等西方社會來說，中國14億人口，是巨大的市場機會，西方社會精英們是逐利而往，愛國是他們的奢望，哪里有利益就有他們身影。對此，應當避免所有國內民生領域的終端直接與美國服務器相聯，應當做好適當的網絡隔離，避免實時的補丁推送，對進出的數據做嚴格審查，有的人會說可以通過前期潛伏和定時啟動，照樣可以破壞，這樣也說得通，但是至少能緩解一定的危害，難道需要敞開大門。任何國外公司和在華企業的數據必須經過嚴格審查，做好數據出入境合規檢查，數據境內外流通必須做好可控，不能像大門完全不上鎖一樣，這個世界哪有那么自覺的人，即使你家里一貧如洗，他可能進來都要偷把刀，或者給你撒泡尿，淹不死你，也會讓你聞聞尿騷味，強盜都是這個邏輯。

保證供應鏈安全，除了堅持信創，數據出入境合規檢查之外，還應當持續做好基于供應鏈的攻防對抗演練，模擬攻擊和防御供應鏈系統，通過入侵供應商系統、污染軟件或植入惡意程序重新打包、偽造或篡改供應鏈中產品或數據、在供應鏈中間各個環節進行埋點等等方式，站在攻應鏈安全的視角進行長期的攻防對抗演練及安全有效性驗證。

總之，網絡空間是現代高科技戰場，其激烈程度不亞于傳統戰爭。供應鏈安全在其中起到至關重要的作用，能夠實現“不戰而屈人之兵”的戰略目標，這也是孫子兵法的最高境界。確保供應鏈安全需從多個方面著手，包括堅持信創、出入境數據合規檢查，以及基于攻擊鏈的紅藍對抗等。通過信創技術，保障核心技術和設備的自主可控；出入境數據合規檢查，防止數據泄露和跨境攻擊；紅藍對抗演練，提高防御系統的實戰能力和應對能力。綜合這些措施，才能確保供應鏈的安全可靠，維護我國網絡空間的和平與穩定。