总理拿起文件,仔细阅读了大约一分钟,然后点了点头,没有评论,但表情略微松动。
他接着说:
“我看到有Prof. Dr. Müller(柏林工大)和Prof. Dr. Schidt(马普所)的签名。他们是我方信任的专家。这一点,BSI可以在此基础上做最终确认。”
“第二,供应链攻击。”
沈烈继续,
“平台的所有硬件,从芯片到服务器,都采用‘可验证供应链’设计。每个组件都有唯一的加密哈希标识,从原材料来源、出厂、物流到部署、运维,全程可追溯且不可篡改。我们在德国提议的方案是:德国实例的所有硬件,必须来自经过德国联邦信息安全办公室(BSI)和联邦经济与出口管制局(BAFA)双重认证的、位于欧盟境内的供应商,并且在德国境内由经过安全审查的德国技术人员,在受监控的洁净环境中完成最终组装和初始化。软件构建过程必须在物理隔离、空气间隙(air-gapped)的环境中完成,每次构建都需经开发方、BSI代表及独立的第三方审计机构三方多位独立见证人数字签名。这是详细的供应链安全协议草案V2.1版,我们已经与博世、西门子、SAP以及贵国联邦采购部门的技术团队讨论过,并根据他们的意见进行了17处修订。”
总理翻到相关章节,快速浏览,手指在一张详细的供应链流程图上停留。
“这里,第三阶段,固件验证。你们要求每六个月由BSI进行一次现场审计和重新验证。BSI的初步意见是,对于核心路由器与安全网关的固件,这个周期是否足够?他们的担忧是高级持续性威胁(APT)可能利用更短的漏洞窗口。”
唐彻接话:
“总理先生,我们与弗劳恩霍夫协会信息安全研究所(Fraunhofer SIT)的专家联合进行了威胁建模和成本-效益分析。如果短于六个月,例如三个月一次,运维成本和业务中断频率会指数级上升,而由于硬件物理审计和深度检测所需时间固定,安全增益的边际效应会急剧递减。这是详细的成本-效益与风险曲线分析报告,已提交给BSI。”他调出平板电脑上的图表,示意施密特博士可以辅助解释图表中的技术细节。
总理仔细看了图表,然后看向自己的中文翻译,翻译低声确认了技术术语的准确性。
总理再次点头,这次是明确的认可。
“合理。BSI将与弗劳恩霍夫研究所就这个周期做最终联合确认。”
“第三,内部人员攻击。”
沈烈进入最后一个问题,语速平稳,
“我们设计了‘最小特权+动态权限+多方制衡’模型。没有任何单一个人或单一角色能独立访问完整密钥或接触完整的明文敏感数据。所有敏感操作,如密钥恢复、核心规则修改、批量数据导出,需要至少来自三个不同独立机构的授权人(四眼原则的扩展)进行生物特征与硬件密钥双重认证授权。在德国,我们建议的模型是:一人来自联邦刑事警察局(BKA),一人来自联邦宪法保卫局(BfV),一人来自联邦数据保护与信息自由专员(BfDI)办公室。同时,所有操作都有基于拜占庭容错共识机制的、日志实时同步到联邦议院监督委员会、联邦审计院以及一个由宪法法院指定的独立托管机构。这意味着,任何内部人员的异常行为,不仅会被立即发现和记录,而且任何试图篡改记录的行为都会立即触发警报并导致系统局部锁定。”