5月17日，以“因聚而生 有能有為”為主題的“華為中國生態(tài)大會2021”在深圳會展中心召開，盛邦安全CEO權小文應邀出席智能制造議題的半導體電子閉門會議，并發(fā)表題為《半導體行業(yè)的供應鏈網(wǎng)絡安全應用探討》的主題演講，與參會嘉賓分享供應鏈安全的相關技術觀點與解決方案。

盛邦安全CEO權小文發(fā)表主題演講

近年來，供應鏈安全問題頻繁爆發(fā)，尤其是針對生產(chǎn)制造商的勒索病毒攻擊和APT攻擊影響更為突出，直接造成大量的經(jīng)濟損失，甚至危害到國家安全，而智能制造、智慧工廠等新興模式的建設也進一步增加了供應鏈安全的復雜度。從目的導向來看，針對供應鏈的攻擊可以分為兩種類：一種是直接攻擊上游廠商，竊取機密情報信息，或者單純?yōu)榱四怖?，例如勒索軟件、挖礦病毒等；另一種則是通過攻擊供應商來獲取新型的網(wǎng)絡武器，例如0day漏洞、原始口令和特權賬號等，進而再去攻擊能源、電信、金融等關鍵基礎設施單位。概括而言，供應鏈攻擊具備突破口多、破壞力強和波及面廣等特點，一次成功的攻擊通常會威脅到多條產(chǎn)業(yè)鏈的網(wǎng)絡安全。

完整的供應鏈覆蓋了從開發(fā)設計到交付實施再到用戶側使用的所有環(huán)節(jié)，包含了整個過程中涉及的人員、系統(tǒng)和各項制度規(guī)范等眾多內容，牽扯到最終用戶和各級供應商，其中每個環(huán)節(jié)的信息泄露都有可能成為網(wǎng)絡攻擊的突破口，而資產(chǎn)不清、非法接入、地址濫用、弱口令或無鑒權等各種問題則是造成這些風險的主要原因。常見的供應鏈攻擊手法有如下幾類：