一、前言
工業互聯網作為新一代信息技術與制造業深度融合的產物,日益成為新工業革命的關鍵支撐、深化“互聯網+先進制造業”的重要基石。供應鏈作為工業領域不可缺少的組織形態,以客戶需求為導向,以提高質量和效率為目標,以整合資源為手段,實現產品設計、采購、生產、銷售、服務等全過程的高效協同,成為工業制造業的重要組成部分。
工業互聯網新技術體系及其能力對行業轉型的牽引力不斷增強,工業領域出現了豐富的新模式新業態。隨著工業互聯網與實體經濟的不斷融合,工業領域供應鏈逐步開展數字化轉型,形成工業互聯網供應鏈。
本文將工業互聯網供應鏈定義為:在工業互聯網架構下,由工業設計、研發、原材料采購、加工、組裝、制造、運輸、銷售等環節中一組過程和資源構成的網絡;既包括生產商、批發商、物流商、配送商和其他工業制造過程中所涉及的企業,又包括企業間數據匯聚、分析、管理過程中所涉及的信息通信產品及服務。工業互聯網供應鏈能夠滿足企業數據及時匯聚、分析、再利用的需求,促進提升生產效率、降低經營成本,但同時擴大了工業控制系統、生產設備的受攻擊面,將引入新的安全風險。
當前,全球范圍內工業互聯網供應鏈安全事件頻發,斷供、網絡攻擊等威脅加劇。一方面,帶來眾多的重大生產事故和重要經濟損失,甚至危害到社會穩定和國家安全;另一方面,對工業企業的信息化建設構成重大隱患,嚴重制約工業互聯網的健康安全發展。
在此背景下,工業領域關鍵技術產品供應中的安全問題成為社會各界關注的焦點,已有學者對當前芯片、基礎軟件、工業互聯網平臺、工業應用等的發展及安全問題進行了分析,提出若干解決對策和建議。然而,當前在工業互聯網供應鏈安全問題及發展路徑研究方面尚存缺失。
針對于此,2020 年中國工程院啟動了“新一代工業互聯網安全技術發展戰略研究”咨詢項目,旨在分析國際工業互聯網安全領域技術趨勢和發展態勢,創新探索我國工業互聯網安全技術發展路徑。本文作為“工業互聯網供應鏈安全”方向研究成果的學術性展示,總結工業互聯網供應鏈發展情況,梳理工業互聯網供應鏈安全問題,針對我國工業互聯網供應鏈面臨的現實挑戰,提出工業互聯網供應鏈安全創新發展路徑,以期為新一代工業互聯網安全發展提供參考。
二、工業互聯網供應鏈發展形勢
在工業互聯網與制造業深化融合應用背景下,數字化和全球化是工業互聯網供應鏈發展的必然趨勢。
(一)數字化轉型
隨著“互聯網+”行動計劃的日益深入,商業新模式新業態不斷涌現,工業按需定制、彈性供給、高效配置的需求不斷增長,生產制造技術體系和供給能力不斷成熟,工業領域供應鏈的數字化需求和意愿加快釋放,全面數字化轉型已經成為共識。
工業互聯網供應鏈通過對上下游工業企業的信息化管理和信息的數字化連接,借助信息通信產品與服務,實現從工業產品需求分析到原材料采購、智能制造、倉儲、再到風險控制各環節的數字化。現如今,工業企業之間的競爭已經演變為工業互聯網供應鏈之間的競爭。
工業互聯網供應鏈以企業內外部各種信息系統的對接為基礎,通過采購、倉儲、生產等各業務流程數據的實時獲取和共享,配合外部供應商的協作,提高產品技術交互準確率、采購計劃準確率、物資供應與財務結算效率,降低庫存堆積,實現工業企業降本增效的目的。
工業互聯網供應鏈打破了傳統信息的阻隔,打通了從工業生產需求、物資供應、物流運輸到銷售售后的各個環節,達成了全方位信息覆蓋式的資源統籌調配共享和高效率協同作業。
(二)全球化發展
改革開放以來,越來越多的工業企業將產品研發、物料采購、生產制造、物流配送、銷售及服務進行全球化布局,形成具有全球化特征的供應鏈體系。隨著全球互聯網化和產業鏈的變化,一個核心部件可能包含多種關鍵技術與產品,由多個核心企業生產供應;同時這些核心企業可能分布在多個國家,并在全球范圍內采購原材料。
工業互聯網供應鏈將不同產業的多個參與主體串聯起來,通過人工智能、大數據、物聯網等新技術實現不同角色的高效協作和信息傳遞的無縫銜接,使傳統制造業供應鏈由單一鏈條上企業的單線鏈接轉向網絡化、多層次的全方位鏈接,助力企業縮短供應鏈環節,降低供應鏈成本。
南京大學長江產業經濟研究院發布的《2019 中國進口發展報告》顯示,自 2009 年起,我國穩居世界第二大進口國,進口來源涵蓋全球 230 多個國家和地區。中國海關總署進出口商品統計數據顯示,2019 年工業制品進口總額為 9.26 萬億元,占商品進口總量的 64.69%,相比 2018 年部分類別商品的進口數額仍在增長;如動力機械及設備類增加 3.8%,通用工業機械設備及零件類增加 1.5%,電力機械、器具及電氣零件類增加 0.8%。
2019 年美國聯合包裹運送服務公司(UPS)發布《工業采購趨勢洞察》亞太地區研究報告,調研中國、日本、泰國等國企業的工業采購者后發現,當今工業呈現采購來源日益國際化的趨勢,亞洲地區約有 33% 的企業采購來自區域外的供應商。
三、工業互聯網供應鏈典型安全問題分析
工業互聯網供應鏈涉及的系統、實體、活動多樣及結構復雜等特性擴大了其受攻擊面。國內外已經發生了多起工業互聯網供應鏈安全事件,本文將主要風險分為供應鏈的斷供和網絡攻擊兩類。
(一)供應鏈斷供
中國和美國在科技、制造領域存在結構性、長期性的競爭關系,而我國工業互聯網供應鏈在部分核心關鍵技術產品方面對美國等發達國家的依賴程度較高。國際形勢瞬息萬變,工業互聯網供應鏈一旦斷裂,我國的工業生態穩定性將受到嚴重威脅。
隨著中美經貿摩擦的不斷演進,美國不斷出臺限制措施以阻斷我國重點領域供應鏈。1990 年,美國將中國升級為“重點觀察國家”;1991 年對我國發起“特別 301”調查,此后公布的《特別 301 報告》都將中國列入“黑名單”重點調查,2017 年根據調查結果對我國實施單邊制裁。
筆者根據美國聯邦公報(Federal Register)的公開數據進行統計,截至 2021 年 1 月,美國將 484 個中國實體列入“實體清單”,針對關鍵新興技術、基礎技術和相關產品進行出口管制;僅在 2020 年,新增列入“實體清單”的中國實體數量多達 145 家。芯片斷供、內存禁售、呼吸機關鍵元器件缺貨等事件表明,我國科技制造業發展仍受制于工業互聯網供應鏈的短板弱項。
新型冠狀病毒肺炎疫情來臨之后,全球經濟動蕩,各國間的不信任度增加,單邊主義和貿易保護主義盛行,嚴重沖擊了全球既有的供應鏈;各國著手構建更獨立、完整、安全的工業互聯網供應鏈將是新的趨勢。
2020 年 4 月,美國和日本公開鼓勵本國企業撤出中國,歐洲通過《自貿協議》引導“4 換 1”計劃(用日本、韓國、越南、印度來整體替換中國的世界工廠)。隨著勞動力成本升高、貿易摩擦加劇等因素影響,我國制造業可能失去原有的國際競爭力,我們要警惕全球供應鏈和產業鏈的去中國化并針對性做好長期準備。
(二)供應鏈網絡攻擊
在工業互聯網供應鏈全球化態勢下,能接觸到工業企業核心技術產品、核心部件、敏感數據的供應商和服務商數量大大增加,工業企業的受攻擊面大幅延展。針對企業外部合作伙伴、供應商或第三方服務商的供應鏈攻擊已經成為一種新型威脅。
近年來,工業互聯網關鍵技術產品在開發、交付、使用等不同環節遭受了多起實際攻擊,利用企業外部合作伙伴的安全疏忽與缺陷造成的關鍵基礎設施破壞、敏感數據泄露、信息系統入侵等網絡安全事件層出不窮。
一是工業生產廠商預留后門。廠商在開發過程中忘記刪除測試版本中的調試后門、方便售后管理或出于其他目的預留的超級后門,都可能被攻擊者發現并直接登錄,獲得工業產品的控制權。
2013 年 6 月,“棱鏡門”事件披露了美國在全球范圍內開展的絕密電子監聽計劃,以思科公司、國際商業機器公司(IBM)、谷歌公司、蘋果公司等為代表的科技巨頭利用其在全球軟硬件供應鏈中廣泛滲透的優勢在科技產品中隱藏“后門”,協助美國政府對世界各國實施大規模信息監控。2017 年 8 月,知名電信設備制造商 Arris 生產的調制解調器存在 3 個硬編碼后門賬號漏洞,可被攻擊者利用獲取設備控制器、安裝惡意固件、架設僵尸網絡等。
二是基礎軟件被污染。開發工具、協議棧等基礎軟件被植入惡意代碼、后門并編譯到其他應用程序中進行分發時,將造成威脅擴散,且難以在事中、事后由一般用戶發現和根除。
2015 年 9 月,“XcodeGhost”事件引發關注,攻擊者在 Mac 操作系統上的集成開發工具 Xcode 中加入惡意模塊并進行傳播,開發者使用被污染的軟件版本編譯應用程序時會植入惡意邏輯,可能導致彈窗攻擊和被遠程控制,僅我國感染該惡意程序的用戶當月就達到 2.14×107 個。2018 年,安全公司 ESET 發布的 OpenSSH 跟蹤報告指出,被植入后門代碼并經過編譯的 OpenSSH 能被攻擊者用于竊取合法登錄賬戶和密碼。
三是工業產品存在漏洞。攻擊者通過利用工業產品漏洞來實現遠程設備控制、拒絕服務攻擊等。
2018 年 3 月,思科公司發布了智能安裝客戶端遠程代碼執行漏洞(CVE-2018-0171)預警,隨后該漏洞被用于攻擊我國多個互聯網數據中心及組織機構,導致交換機因配置信息被清空而癱瘓,造成業務網絡不可用等問題。2019 年 2 月,蘇格蘭遠程監控系統制造商開發的制冷控制系統被發現存在重大安全缺陷,攻擊者利用默認賬戶和密碼登錄系統后臺,可修改制冷系統的溫度、報警閾值等參數,進而影響設備正常運行。
四是工業產品供應渠道劫持。工業產品在采購、銷售、物流等供應渠道中被劫持和篡改,攻擊者在產品中構建后門或漏洞以實現入侵。
2009 年,伊朗核設施的數據工控系統供應商、離心機制造商、零部件供應商已陸續被國家力量攻破并植入“震網”病毒,病毒被成功引入伊朗核設施并造成破壞,導致伊朗核計劃推遲數年之久。2015 年,卡巴斯基安全實驗室披露“方程式”組織擁有的超級信息武器庫,包括能對數十種常見品牌硬件固件重編程的惡意模塊;該攻擊可以通過在特定目標采購、返修主機或硬盤過程中修改硬盤固件程序實現,受攻擊目標包括中國、俄羅斯、印度等國家。2017 年,維基解密曝光了美國中央情報局的 Vault7 武器庫,可以推測其通過物流渠道劫持,在全新的 iPhone 手機中刷入固件達到入侵目的。
五是工業軟件升級劫持。軟件產品在整個生命周期中要進行功能升級、補丁修復等更新,攻擊者通過劫持軟件升級過程中的更新模塊或下載鏈接,在工業軟件中植入惡意代碼。
2017 年,烏克蘭專用會計軟件 me-doc 的升級程序被劫持,用戶更新軟件時會感染 Petya 勒索病毒變種 NotPetya,導致烏克蘭、俄羅斯、印度、法國、英國等多個國家的政府、銀行、電力系統、通信系統等受到不同程度的影響。
近年來,一些國家對我國通信行業領頭企業實施了各種維度的供應鏈封鎖,硬件斷供會導致企業停產,軟件斷供將扼殺企業硬件設計和實驗試制能力。全球典型網絡安全事件表明,針對工業互聯網供應鏈的攻擊在數量上尚不及傳統網絡安全事件,但攻擊一旦成功可能影響上億個用戶,造成巨大的經濟損失,嚴重時甚至威脅國家安全。
部分工業領域依靠進口外國信息技術產品緩解關鍵零部件的供應需求,短時間內可以取得高速發展,但實則將為我國工業互聯網安全埋下隱患。我們需重視工業互聯網供應鏈安全風險,針對當前的安全問題,探尋針對性發展路徑。
四、工業互聯網供應鏈安全挑戰
工業互聯網供應鏈存在的斷供、網絡攻擊等安全風險,歸因于現階段我國工業互聯網供應鏈安全面臨的兩大現實挑戰:部分關鍵技術產品受制于人,網絡安全防護水平不足。
(一)部分關鍵技術產品受制于人
一是基礎工業技術歷史欠賬較多。我國雖然建立了大而全的工業體系,在高速鐵路、運載火箭等重大裝備領域達到世界領先水平,但基礎零部件、基礎材料、基礎工藝等基礎工業仍欠賬較多。低端產品大量出口,高端產品依賴進口,部分高端領域與發達國家差距較大,關鍵核心技術被壟斷。基礎工業技術復雜度高,需要長周期的研發投入,國外企業在領域內已深耕多年,形成了較高的技術壁壘。
相比之下,我國基礎工業產業起步較晚,核心技術落后較多,如在工業軟件開發過程中,存在頂層系統架構搭建難度大、設計開發程序使用門檻高、硬件環境構建開銷大、知識產權受限、后期維護繁瑣等問題。多數企業或者基于國外技術開展本地化的二次開發,或者在國外軟件的基礎上集成其他功能應用;但“二次開發”“代理集成”的核心技術產權依然屬于國外企業,國產基礎工業技術“空心化”嚴重,無法控制知識產權,難以突破國外限制。
二是部分關鍵產品高度依賴國外企業。在工業軟件方面,我國飛機、船舶、冶金、化工、生物醫藥、電子信息制造等重點制造領域長期以來習慣使用國外工業軟件,對于背后的設計原理了解不夠,缺乏基礎工藝研發數據的長期積累,導致基礎技術積累存在明顯差距。
工業控制系統及軟件高度依賴國外技術產品,工業基礎軟件、研發設計軟件、生產控制軟件、信息管理軟件、工業嵌入軟件等基本依靠進口;工業操作系統、工業軟件開發平臺、工業數據實時數據庫等重要基礎軟件全產業鏈缺失,導致工業控制應用軟件幾乎空白;工業軟件必須由工業實時數據庫提供后臺支撐,但我國尚缺乏國產工業實時數據庫產品。
在計算機輔助設計、輔助分析、輔助制造、輔助工藝規劃等工具軟件方面,以達索公司、西門子股份公司為代表的國外廠商仍占有絕對優勢;在制造執行系統、工業自動化系統等生產控制關鍵領域,通用電氣公司(GE)、ABB 集團等公司保持了行業龍頭地位;在供應鏈管理、定制化應用集成平臺系統、協同辦公系統等信息管理軟件領域,SAP、甲骨文股份有限公司等仍占據相當的份額。
在工業硬件方面,對于工控微控制單元(MCU)、數字信號處理(DSP)、現場可編程邏輯門陣列(FPGA)等核心元器件和數據采集與監視控制系統(SCADA)、可編輯邏輯控制器(PLC)、分散控制系統(DCS)等系統,國外產品占領大部分國內市場;超高精度機床、高端工業機器人技術和產品基本掌握在國外廠商手中。
三是工業協議標準由國外標準化組織和廠商主導。工業互聯網基礎設施所應用的關鍵核心協議大都由國際標準化組織(ISO)、國際電工委員會(IEC)、OPC 基金會等國際組織聯合主要工業廠商制定,各種現場總線通信協議標準、OPC 協議標準等一直由國外機構控制。
全球各類自動化廠商、研究機構、標準化組織圍繞設備聯網推出了數百種現場總線協議、工業以太網協議和無線協議,協議標準眾多且相對封閉;西門子股份公司、施耐德電氣有限公司、羅克韋爾自動化有限公司等企業通過將私有協議、工業控制設備與制造設備捆綁銷售,已經形成了事實上的標準壟斷。
在現場總線方面,羅斯蒙特公司、霍尼韋爾國際公司、ABB 集團、GE、西門子股份公司等長期控制著國際標準的制定。在工業以太網方面,國內廠商主要選擇適用于專有工控產品的工業以太網協議,如西門子 Profinet、施耐德 Modbus TCP/IP、羅克韋爾 Ethernet/IP 等。
(二)網絡安全防護水平不足
一是網絡攻擊手段多變導致風險加劇。工業互聯網供應鏈網絡攻擊風險主要源于企業外部合作伙伴存在的安全疏忽與缺陷,被攻擊者用于破壞企業數據及入侵企業系統。工業互聯網供應鏈網絡攻擊涉及工業產品開發、交付、使用等不同環節,包括污染軟件開發、測試、部署、維護環境或工具,在設備上預裝惡意軟件,感染合法應用以分發惡意軟件,盜用合法證書簽名惡意軟件 4 種典型手段。
面對日益普遍且影響復雜的工業互聯網供應鏈攻擊活動,原材料采購、加工、包裝、運輸、配額、售后等諸多環節都可能遭到攻擊,網絡安全隱患較為突出。工業互聯網供應鏈一旦遭受攻擊,幾乎很難發現,但破壞力巨大、覆蓋面積廣,通過召回或升級產品阻止攻擊的成本高、周期長,應對較為困難。
二是工業互聯網安全技術產品尚處于攻關階段。工業互聯網供應鏈包含工業產品或服務從開發到交付過程中涉及的通信網絡、軟硬件設備等信息系統,安全防護對象擴大、連接范圍更廣。傳統網絡安全技術的防護對象和方法與工業互聯網供應鏈并不完全一致,不考慮區別直接套用必然導致防護效果不佳、存在安全風險。
我國安全廠商目前大多以網絡安全業務為主,在工業信息安全、工業互聯網安全等領域的產品積累和服務經驗不足,仍處于攻關階段;已有安全能力重點關注提升工業設備、工控系統、工業企業單點的安全防御能力,難以保障工業互聯網供應鏈各環節的安全。為了抵御日益增多的有組織、針對性、不計成本的網絡攻擊,需要重新評估和審視工業互聯網供應鏈安全防護架構與邊界,構建覆蓋監測感知、協同防御、響應恢復的安全技術體系。
三是工業互聯網供應鏈安全管理能力不足。工業互聯網供應鏈涉及制造商、供應商、系統集成商、服務提供商等多個實體以及技術、法律、政策等軟環境。當前我國多數企業存在應對網絡攻擊的意識不強、安全管理制度不完善、安全檢測評估機制不健全、對工業企業網絡安全的引導不夠等問題。工業互聯網供應鏈的安全取決于鏈上所有合作伙伴之間的配合,安全協同發展仍面臨巨大挑戰。
五、工業互聯網供應鏈安全創新發展路徑
我國高度重視工業互聯網供應鏈安全問題,自 2016 年起相繼發布《國家網絡空間安全戰略》《網絡空間國際合作戰略》《關于積極推進供應鏈創新與應用的指導意見》《關于進一步做好供應鏈創新與應用試點工作的通知》《網絡安全審查辦法》《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》等多項政策文件。
針對我國工業互聯網供應鏈安全面臨的現實挑戰,依據國家相關政策要求,本文提出工業互聯網供應鏈安全創新發展路徑(見圖 1)。立足我國制造產業種類齊全的良好優勢,首先從知識產權布局、信創產業建設、技術安全保障 3 個方面給出建議,通過技術手段應對工業互聯網供應鏈斷供和網絡攻擊問題;其次從重視渠道安全、上下游企業協同、優化發展環境 3 個方面給出解決思路,通過供應途徑、企業協同、總體環境 3 個角度的安全管理,保障工業互聯網供應鏈安全技術的有效落實。
圖 1 工業互聯網供應鏈安全創新發展路徑
(一)發揮制造產業種類齊全的良好優勢
改革開放以來,我國制造業持續快速發展,建成了門類齊全、規模最大的工業體系,有機地嵌入全球供應鏈之中,形成顯著的產業優勢,為我國工業互聯網供應鏈安全發展提供了新機遇。
一是基于我國超大規模、多層次、多元化的內需市場,發揮我國工業門類齊全、生產能力強大、配套能力齊全、適應能力靈活的優勢,擴大消費水平,提升傳統制造業水平。
二是在各行業中下游產業形成合力,著力補短板、強弱項,掃除工業互聯網供應鏈中的瘀點和堵點,促進國內各個環節、各個產業、各個區域之間的暢通。
三是促進國內與國外的經濟聯通,構建國內國際相互促進的新發展格局,提高供給側制造體系與需求側的適配性,帶動高價值、高水平、系統性的供需循環,構建完整、安全、可靠的工業互聯網供應鏈體系。
(二)加強工業互聯網安全知識產權布局
立足我國產業規模優勢、配套優勢、部分領域先發優勢,針對工業互聯網供應鏈安全領域的短板弱項,運用新思想、新理論、新方法、新模型、新發現,完善工業互聯網安全知識產權布局,從“基礎”“源頭”鍛造長板優勢,緩解“斷供”威脅。
一是加強基礎理論和前沿技術研究,注重原創導向,充分發揮基礎研究對工業互聯網供應鏈安全的源頭供給和引領作用。
二是加強標準研制,圍繞工業互聯網供應鏈數字化、全球化帶來的安全發展要求,促進工業互聯網供應鏈安全標準的同步規劃、同步制定,從適用性、先進性、規范性方面提高標準質量,加強標準信息服務能力和符合性測試能力,提升參與和塑造國際標準的能力和水平。
三是健全知識產權風險評估體系,加強工業互聯網供應鏈全環節、全領域安全的專利布局,探索建立知識產權風險評估制度,充分發揮知識產權的應有作用,在工業互聯網供應鏈安全專利許可、技術轉讓、開源軟件風險測評、工業數據信息、商業秘密保護等方面加強預警,切實提升風險應對能力。
(三)加速實現信息創新產業體系建設
著力產業體系建設要求實現從 IT 底層基礎軟硬件到上層應用軟件全產業鏈的信息技術應用創新發展。基于我國工業制造業種類齊全、信息化基礎良好的優勢,加速實現信息創新產業體系建設,規避直接使用國外技術產品可能存在的工業生產廠商預留后門或開發工具被“污染”問題。
一是制定信息技術應用創新產業發展規劃,從技術體系引進、產業基礎強化兩個方面推動工業互聯網供應鏈安全關鍵技術產品的創新發展,重點突破高端制造與高科技技術產品,將智能制造作為產業端升級的新方向。
二是推動信息技術應用創新產業關鍵技術和產品的規模化部署,開展試點應用,分行業、分場景形成可推廣、可復制、可移植的解決方案和試點示范。
三是構建信息技術應用創新產業鏈,構建區域級產業聚集集群,打造覆蓋芯片、服務器、存儲、交換機、操作系統、數據庫、中間件、工業操作系統、政務軟件、辦公軟件等完整的工業互聯網供應鏈體系,保障工業設計、生產、加工、銷售過程中工業智能芯片、工業控制系統等工業設備產品的安全。
(四)提升工業互聯網供應鏈技術安全保障能力
工業互聯網供應鏈涉及的實體和環節多樣,直接套用傳統網絡安全技術會導致防護效果不佳,需針對工業互聯網供應鏈安全防護對象開展核心技術攻關,抵御日益復雜的網絡攻擊。
一是分析工業互聯網供應鏈安全防護對象的新特征和新需求,從傳統網絡安全技術中借鑒思路和方法,發展可統籌兼顧工業互聯網供應鏈全環節安全的技術體系。
二是研究工業產品安全檢測技術,加大在開源代碼安全檢測、漏洞挖掘與分析、惡意軟件識別及清除、網絡劫持檢測、智能情報、動態預警等方面的資源投入,充分發揮技術創新在工業產品安全保障中的作用。
三是研究工業產品安全防御技術,利用工業產品的安全標識、安全審查、產品溯源、假冒產品排查、威脅監測、態勢感知、攻防演練等手段,提升對工業產品的安全控制能力。
四是融合應用新技術保障工業互聯網供應鏈安全,研究人工智能、區塊鏈、可信計算、威脅情報、知識圖譜、基礎安全資源庫等在安全技術中的應用,促進構建工業互聯網供應鏈安全技術體系。
五是推進企業側工業軟硬件安全防護措施部署,對企業信息資產進行跟蹤,加強工業生產、主機、智能終端等設備安全接入和防護,強化網絡協議、裝置設備、工業軟件等安全保障,強化工業互聯網平臺、工業應用程序安全,強化應用過程中關鍵信息和數據的安全保護,落實相關網絡安全標準要求,提升企業內外網安全防護能力。
(五)重視工業互聯網供應鏈渠道安全
工業互聯網供應鏈的產品、零部件、軟件由上游向下游的轉移過程依賴互聯網,任一環節遭到攻擊,都可能在最終工業產品中引入軟件缺陷或漏洞,埋下安全隱患。需重視工業互聯網供應鏈的渠道安全,應對工業產品供應渠道和軟件升級劫持攻擊。
一是針對工業互聯網供應鏈上的各類渠道,設計針對性的安全防護措施,重點保障負責軟件、產品交付的集中式分發渠道安全,支持軟件供應商和用戶及時識別惡意渠道。
二是在正規渠道發布技術或產品,向用戶提供可驗證正確性的校驗數據;在安裝或升級軟件時,校驗相應安裝包或升級模塊的簽名,防止軟件升級劫持等風險。
三是從正規渠道購買、下載軟硬件,采用可信的第三方開源、商業庫、算法,采購安全可信的軟件外包服務等;關注所用組件的安全信息,針對已被披露的嚴重安全問題,通過配置或加入其他安全措施進行控制,及時升級相關組件,緩解安全影響。
四是加強對合作第三方的安全管理,在合同或協議中明確雙方的安全責任,要求合作第三方定期進行自評估并及時反饋評估結果。
五是積極引入專業安全人才,設立專職的網絡安全技術崗位、安全運營服務崗位;建立安全操作及運維管理制度,加強企業員工網絡安全培訓及審計,提升企業內部人員安全意識,避免由人員引入的工業互聯網供應鏈渠道劫持風險。
(六)鼓勵上下游企業良性協同發展
工業互聯網供應鏈涉及的實體和環節多樣,受攻擊面廣;基于某些環節必然被突破的假設,需推動上下游企業聯動協調、相融共生、協同發展,共同抵御層出不窮的網絡攻擊活動。
一是深入調查研究工業互聯網重點技術及核心企業上下游供應鏈關系,整合和優化供應商、制造商、經銷商以及自主知識產權等各種資源信息。
二是針對供應鏈薄弱環節和供需短板,圍繞企業解決用工、原材料供應、物流、融資等需求,全面梳理并摸清堵點、難點,針對性施策,打通上下游關聯環節,暢通供應鏈大循環。
三是加強工業互聯網上下游企業的產銷對接,鼓勵鏈上合作伙伴建立良性互動關系,鏈上企業堅持保障本環節的安全,形成企業間利益共享、風險共擔、共同成長的生態群落,促進工業互聯網供應鏈協同安全發展。
四是在工業生產的各個環節建立檢查點,將安全性評估列為必要評審項,嚴格遵守安全規范,防止因配置錯誤導致后門、漏洞等安全威脅;自主研發或采購的軟硬件在投入使用前應經由獨立的內部或外部測評組織進行安全性評估,及時解決所發現的問題。
(七)優化工業互聯網供應鏈安全發展環境
我國已出臺相應的法規制度,發布了相關安全標準,以保障工業互聯網供應鏈安全;但相比于工業強國,尚缺乏有效的網絡安全風險審查評估機制和手段,在專項政策法規和配套措施、組織實施等方面亟需提升。
一是建立針對性的工業互聯網供應鏈安全管理框架,明確各方在供應鏈攻擊防護中需要承擔的責任和義務,在國家層面保障工業互聯網供應鏈安全發展。
二是建立健全工業互聯網供應鏈安全監管制度,制定相關審查評估規范,對關鍵工業軟硬件產品進行檢測,評估其安全性和合規性,形成負責任的供應商清單,并對供應商進行分級管理。
三是制定適合國情的工業互聯網供應鏈網絡安全評價標準,重點針對新技術新應用帶來的安全風險,加強調查研究,在開源軟件風險測評、工業數據安全防護等方面加強預警,提升風險應對能力。
四是推動工業企業和配套企業建立完善的工業互聯網供應鏈安全管理制度,引導企業建立供應商審核制度,從行業資質、管理體系、技術能力、產品質量、網絡安全防護能力等多個角度對供應商進行安全評估,并采取針對性的管控措施,及時淘汰不符合要求的供應商。
五是加強國際產業安全合作,開展技術、標準、檢測檢驗、認證等方面的國際交流,建立多渠道、多層次供應鏈安全體系,增強產業鏈供應鏈韌性,形成具有更強創新力、更高附加值、更安全的工業互聯網供應鏈。
六、結語
當前國際環境日趨復雜,世界經貿格局的不確定性明顯增加,我國工業互聯網供應鏈安全正在遭遇嚴峻考驗。作為制造業大國,我國擁有全球最全的工業門類,最多的工業設備,豐富的工業互聯網生態以及大量的工業和信息化人才。
我國應充分利用這一優勢條件,加強知識產權布局,加速開展信息技術應用創新產業體系建設,提升技術安全保障能力,重視渠道安全,鼓勵上下游企業良性協同發展,優化安全發展環境;以技術和管理相結合的思路創新我國工業互聯網供應鏈安全發展路徑,保障工業互聯網產業安全健康發展。
網站客服
粵公網安備 44030402000946號