但表情略有松动（1/2）

总理拿起文件，仔细阅读了大约一分钟，然后点了点头，没有评论，但表情略微松动。

他接着说：

“我看到有Prof. Dr. Müller（柏林工大）和Prof. Dr. Schidt（马普所）的签名。他们是我方信任的专家。这一点，BSI可以在此基础上做最终确认。”

“第二，供应链攻击。”

沈烈继续，

“平台的所有硬件，从芯片到服务器，都采用‘可验证供应链’设计。每个组件都有唯一的加密哈希标识，从原材料来源、出厂、物流到部署、运维，全程可追溯且不可篡改。我们在德国提议的方案是：德国实例的所有硬件，必须来自经过德国联邦信息安全办公室（BSI）和联邦经济与出口管制局（BAFA）双重认证的、位于欧盟境内的供应商，并且在德国境内由经过安全审查的德国技术人员，在受监控的洁净环境中完成最终组装和初始化。软件构建过程必须在物理隔离、空气间隙（air-gapped）的环境中完成，每次构建都需经开发方、BSI代表及独立的第三方审计机构三方多位独立见证人数字签名。这是详细的供应链安全协议草案V2.1版，我们已经与博世、西门子、SAP以及贵国联邦采购部门的技术团队讨论过，并根据他们的意见进行了17处修订。”

总理翻到相关章节，快速浏览，手指在一张详细的供应链流程图上停留。

“这里，第三阶段，固件验证。你们要求每六个月由BSI进行一次现场审计和重新验证。BSI的初步意见是，对于核心路由器与安全网关的固件，这个周期是否足够？他们的担忧是高级持续性威胁（APT）可能利用更短的漏洞窗口。”

本章未完，点击下一页继续阅读。