（有片）伊朗設備「失靈」敲響警鐘　專家籲構建韌性能源信息技術供應鏈

（大公文匯網記者趙一存 北京報道）伊朗官方媒體近日報道，在伊朗中部遇襲期間，大量美製通信設備突發「失靈」，操作系統崩潰。華北電力大學居庸關能源安全與智能技術重點實驗室主任鄔玉良今日（18日）在接受大公文匯網訪問時表示，這一事件揭示了全球技術依賴的致命軟肋，信息技術供應鏈安全已成為能源行業現代化進程中「生死攸關」的風險。他認為，面對從物理通道中斷到數字系統癱瘓的複合型危機，構建自主、可控、韌性的信息技術供應鏈，已是中國保障國家能源安全必須跨過的門檻。

伊朗媒體的報道稱，出故障的通信設備全部來自美國的思科、飛塔和朱尼珀等品牌。伊朗網絡安全專家就此分析認為，這並非簡單的技術故障，而是預置的惡意攻擊，背後可能隱藏着四種極其可怕的惡意攻擊手段，包括隱藏訪問、惡意數據包、潛伏式「殭屍網絡」以及生產鏈污染等。對此，鄔玉良指出，無論是通過「隱藏訪問後門」在無網狀態下被激活，還是通過「生產鏈污染」在出廠前被篡改，這一事件都說明，在高度數字化的今天，關鍵基礎設施的「命門」可能掌握在他人手中。

「短短數日，物理通道中斷與核心產能癱瘓的『雙重危機』疊加共振，全球能源市場應聲巨震。」鄔玉良指出，當前能源供應鏈的風險，已從傳統的地緣政治動盪，演變為一個涵蓋物理通道、關鍵節點、高端裝備和數字系統的綜合性、系統性危機。他直言，「它像一面鏡子，照見了我國在資源獲取、技術自主和通道安全等方面必須直面的嚴峻挑戰。」

他告訴記者，研究揭示，能源行業信息技術供應鏈的風險呈現出系統性、複合性的特徵，其中「技術依賴」與「供應鏈投毒」尤為致命。

在高端工業軟件領域，長期依賴國外平台已成行業痛點。從設計仿真到生產控制，Autodesk、西門子等公司的軟件佔據主導。鄔玉良舉例稱，「中國海油在『深海一號』二期工程中雖已部署國產水下採油樹，但數據分析平台的本土化率不足40%，30%的監測數據未被有效利用。」在他看來，這種「路徑依賴」不僅導致成本外流，更埋下了安全隱患。一旦遭遇「斷供」或「後門」植入，關鍵基礎設施的運行安全將直接受到威脅。他強調，中國目前工業軟件領域的國產化率僅約10%，形勢嚴峻。

然而，更為隱蔽的威脅來自「供應鏈投毒」。他引述國家網絡安全通報中心監測數據稱，2025至2026年間，針對能源行業的此類攻擊頻發。攻擊者不再局限於傳統的網絡滲透，而是通過污染開發工具、開源組件等上游供應鏈，實現對下游能源關鍵基礎設施的滲透。在此方面，針對API協作平台Apifox的投毒攻擊便是一例。攻擊者篡改其JavaScript文件，利用Electron框架漏洞，在用戶主機上竊取高敏信息。這種攻擊具有高度隱蔽性，往往利用Axios等高普及率組件進行依賴鏈擴散，形成「一次感染，全網蔓延」的效果。

此外，地緣政治帶來的「規鎖」風險也不容忽視。鄔玉良表示，歐盟《凈零工業法案》等法規通過設立「非價格評估標準」和本土製造比例，實質上為中國包括軟件和智能設備等在內的能源技術產品進入其市場設置了更高的壁壘。而長臂管轄式的制裁，則讓依賴美元結算體系和美國技術的跨國能源交易面臨隨時被切斷的風險。

面對複合型風險，鄔玉良提出「居庸關方案」，認為應從四維構建韌性供應鏈。技術突圍方面，將能源控制系統、電力調度軟件等納入關鍵領域清單，集中攻關卡脖子技術，推動新一代信息技術賦能，以中望ZW3D等國產軟件實現替代。管理保障上，建立軟件物料清單管理體系，要求供應商提供組件清單，實現白盒透明分析，同時建立風險預警與熔斷機制。生態協同層面，打造行業級安全開發與分發環境，建設私有代碼倉庫，推動行業標準與兼容適配中心建設，加速國產軟件優化。

此外，在安全底線方面，須實施全生命周期加固，利用行為沙箱等技術預警未知攻擊，探索本幣互換與數字貨幣結算，降低金融依賴。鄔玉良強調，需多方合力構建新型供應鏈生態，以自主技術為基石、精細管理為骨架、產業生態為血肉、縱深防禦為免疫系統，築牢能源「數字基座」。