信息化觀察網(wǎng)

黨的十九屆五中全會提出，要提升產(chǎn)業(yè)鏈供應(yīng)鏈現(xiàn)代化水平。這既是推動產(chǎn)業(yè)高質(zhì)量發(fā)展、建設(shè)制造強國的新路徑，也是加快構(gòu)建以國內(nèi)大循環(huán)、國內(nèi)國際雙循環(huán)的新戰(zhàn)略，更是實現(xiàn)碳達峰、碳中和戰(zhàn)略目標的新要求。然而供應(yīng)鏈作為工業(yè)制造領(lǐng)域不可缺少的組織形態(tài)，隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展，安全問題更加凸顯。

一、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全問題

1、供應(yīng)鏈斷供

我國工業(yè)基礎(chǔ)薄弱，雖然建立了大而全的工業(yè)體系，但是在關(guān)鍵基礎(chǔ)材料、精密零部件、芯片、高端生產(chǎn)設(shè)備以及核心控制設(shè)備、工業(yè)操作系統(tǒng)、工業(yè)軟件等產(chǎn)品還是依靠國外進口，技術(shù)受制于人。據(jù)工信部曾對全國30多家大型企業(yè)130多種關(guān)鍵基礎(chǔ)材料調(diào)研結(jié)果顯示，32%的關(guān)鍵材料在中國仍為空白；95%的高端專用芯片依賴國外，70%以上智能終端處理器、存儲芯片依靠進口；95%裝備制造、檢測設(shè)備依賴進口。

隨著新冠疫情、中美不斷惡化，全球經(jīng)濟動蕩不斷，嚴重沖擊了我國制造業(yè)供應(yīng)鏈。2020年和2021年美國分別將147家、484家中國實體列入“實體清單”，對關(guān)鍵材料、元器件、芯片、核心設(shè)備以及核心技術(shù)進行出口管制，影響著我國制造業(yè)的發(fā)展。

2、工業(yè)盜版軟件

由于受國外技術(shù)壟斷、價格高，不法人員破解國外工業(yè)軟件，從設(shè)計、研發(fā)、仿真、生產(chǎn)、運行、管理等環(huán)節(jié)無不例外，如設(shè)計CAD、輔助制造CAM/CAE、仿真ANSYS、以及生產(chǎn)MES、DNC、SCADA軟件等。在一段時間內(nèi)，工業(yè)盜版軟件確實解決了我國制造業(yè)“有沒有”和“卡脖子”的問題，但工業(yè)盜版軟件也給我國制造業(yè)供應(yīng)鏈埋下安全隱患。

一方面，知識產(chǎn)權(quán)是國外廠商一直保護的重點，不斷加大打擊力度，這樣我國企業(yè)在使用工業(yè)盜版軟件會蒙受著巨大的法律風(fēng)險、商業(yè)風(fēng)險以及品牌風(fēng)險。另一方面，工業(yè)盜版軟件的盛行，使國產(chǎn)軟件生存競爭力不斷降低，失去成長成熟、壯大的機會，也制約著重構(gòu)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的速度。

3、供應(yīng)鏈網(wǎng)絡(luò)攻擊

工業(yè)企業(yè)在數(shù)字化轉(zhuǎn)型時，不斷將上下游供應(yīng)鏈鏈條拉長拉通、互聯(lián)互通，導(dǎo)致企業(yè)的受攻擊面增大，尤其針對供應(yīng)商、渠道商、服務(wù)商以及運維商的攻擊已成為趨勢，在產(chǎn)品開發(fā)設(shè)計、生產(chǎn)、采購、交付、運行、使用、運維等各個環(huán)節(jié)頻發(fā)安全事件。

一是工業(yè)設(shè)備、軟件、系統(tǒng)等產(chǎn)品在研發(fā)設(shè)計時存在缺陷。工業(yè)控制系統(tǒng)以及工業(yè)協(xié)議在早期設(shè)計研發(fā)時，并沒有考慮安全問題，先天就缺失加密、授權(quán)、認證機制以及不斷暴露出的安全漏洞。據(jù)CNVD統(tǒng)計，目前工業(yè)控制系統(tǒng)被爆出3100多個安全漏洞，主要涉及DCS、PLC、工業(yè)交換機、HMI、組態(tài)軟件等，以及剛爆出的Apache Log4j漏洞。Log4j是一個開源Java日志庫，也廣泛應(yīng)用于工業(yè)領(lǐng)域，西門子、羅克韋爾、施耐德等廠商相繼發(fā)表聲明，其部分產(chǎn)品存在Log4j漏洞。這些設(shè)計上的缺陷和漏洞，不排除被國外勢力利用，窺視我國工業(yè)生產(chǎn)。

二是供應(yīng)商、渠道商在交付時被黑客劫持。工業(yè)關(guān)鍵生產(chǎn)設(shè)備、控制系統(tǒng)等產(chǎn)品在生產(chǎn)、采購、銷售、物流、交付等供應(yīng)渠道環(huán)節(jié)中被黑客劫持。如伊朗震網(wǎng)事件，是美國和以色列軍方針對設(shè)備供應(yīng)商和系統(tǒng)集成商精心策劃的一起網(wǎng)絡(luò)攻擊，并植入“震網(wǎng)”病毒，由工程師帶到調(diào)試環(huán)境中，并潛伏實施攻擊。

三是工業(yè)控制系統(tǒng)在上線、運行、使用階段，網(wǎng)絡(luò)安全防護不足。由于工業(yè)控制系統(tǒng)長時間處于獨立封閉環(huán)境，以及企業(yè)運營人員安全認知不足等原因，工業(yè)控制系統(tǒng)幾乎沒有任何保護措施，處于“裸奔”狀態(tài)。整體上缺乏從系統(tǒng)調(diào)試、上線、運行、使用等環(huán)節(jié)的管控機制，無供應(yīng)鏈風(fēng)險評估機制以及上線檢測、安全評估、安全加固等措施。隨著工業(yè)設(shè)備、應(yīng)用逐漸上云，產(chǎn)業(yè)上下游企業(yè)不斷互聯(lián)互通，不法分子正瞄準這一時機，利用供應(yīng)鏈攻擊。

四是工業(yè)設(shè)備、機器、系統(tǒng)在運維階段常被盜取數(shù)據(jù)和惡意攻擊。一方面，關(guān)鍵生產(chǎn)設(shè)備、控制設(shè)備、工業(yè)應(yīng)用軟件等產(chǎn)品常常被國外廠商以遠程運維或診斷為由，對生產(chǎn)設(shè)備、工業(yè)應(yīng)用遠程訪問，窺視我國的工業(yè)生產(chǎn)過程。國內(nèi)曾發(fā)生過多起安全事件，如某風(fēng)電場的風(fēng)機運行數(shù)據(jù)被遠程傳到國外。另一方面，工業(yè)軟件常被“污染”，工具包、協(xié)議棧、升級包、固件庫等組件常被植入惡意程序，用戶下載后不經(jīng)測試直接使用，導(dǎo)致系統(tǒng)被攻擊。

隨著國外對我國不斷技術(shù)封鎖和滲透攻擊，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全問題更加嚴峻，應(yīng)如何應(yīng)對呢？

二、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全應(yīng)對思路

1、加強供應(yīng)鏈管理，扶持國產(chǎn)化產(chǎn)品

充分利用好《網(wǎng)絡(luò)安全審查辦法》，建立工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全常態(tài)化管理機制。工業(yè)互聯(lián)網(wǎng)運營者在采購產(chǎn)品和服務(wù)時，應(yīng)當申報網(wǎng)絡(luò)安全審查，確保供應(yīng)鏈安全；行業(yè)主管部門應(yīng)對關(guān)鍵領(lǐng)域和行業(yè)進行重點關(guān)注，定期開展供應(yīng)鏈安全檢查，企業(yè)落實自評估。針對短時間內(nèi)無法國產(chǎn)化替代的產(chǎn)品，應(yīng)做好供應(yīng)鏈建設(shè)工作，不斷完善供應(yīng)鏈生態(tài)體系，防止斷供斷貨。同時加快加強國產(chǎn)化替代進程，重點扶持國產(chǎn)企業(yè)，優(yōu)先部署國產(chǎn)產(chǎn)品，最大限度地整合政、產(chǎn)、學(xué)、研、用各界資源，實現(xiàn)關(guān)鍵設(shè)備、軟件和系統(tǒng)在易用性、可靠性和安全性上的突破，重構(gòu)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈結(jié)構(gòu)。

2、重視知識產(chǎn)權(quán)，堅定自主創(chuàng)新道路

國內(nèi)工業(yè)企業(yè)在享受盜版軟件帶來低廉價格的同時也面臨著法律和商業(yè)風(fēng)險，企業(yè)要重視這一問題。針對工業(yè)領(lǐng)域的短板不足，應(yīng)采用引進消化吸收再創(chuàng)新戰(zhàn)略，堅定自主創(chuàng)新道路。高端工業(yè)軟件、核心技術(shù)買不來、討不來，更盜不來，唯有從基礎(chǔ)做起，加強理論和前沿技術(shù)研究，做好一個設(shè)計，寫好一行代碼，更為關(guān)鍵。盜版軟件，看上去省了錢占了便宜，但實際上是打擊自主創(chuàng)新的積極性，破壞工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)良性發(fā)展的根基。要從源頭供給側(cè)彌足短板和不足，要從根本上突破，解決供應(yīng)鏈斷供威脅。

3、立足網(wǎng)絡(luò)安全，全面保障供應(yīng)鏈安全

首先，要正視供應(yīng)鏈網(wǎng)絡(luò)安全問題。行業(yè)主管部門應(yīng)盡快制定關(guān)鍵生產(chǎn)設(shè)備、精密零部件、核心控制設(shè)備、工業(yè)操作系統(tǒng)、工業(yè)交換機、應(yīng)用軟件等重要產(chǎn)品進口目錄、分類分級，建立工業(yè)網(wǎng)絡(luò)安全審查和檢查制度。對涉及國計民生、國家安全的重要設(shè)備，在進口時應(yīng)充分評估其網(wǎng)絡(luò)安全風(fēng)險，審查通過后方能采購。對我國電力、石油石化、航空航天、交通、水務(wù)等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正在使用的進口工控產(chǎn)品進行網(wǎng)絡(luò)安全檢查，封堵和規(guī)避安全漏洞和后門，從供應(yīng)鏈源頭保障安全。

其次，要重視供應(yīng)鏈風(fēng)險評估機制。工業(yè)企業(yè)應(yīng)利用安全檢測技術(shù)，如代碼審計、漏洞掃描、惡意代碼檢測、威脅監(jiān)測、攻防演練等技術(shù)手段對關(guān)鍵設(shè)備、軟件、系統(tǒng)等工業(yè)控制產(chǎn)品進行安全檢測、滲透測試，形成常態(tài)化安全評估機制；建立工業(yè)軟件升級管理機制，從正規(guī)渠道購買、下載升級包，在測試環(huán)境中驗證后方可上線；加強對供應(yīng)商安全管理，在合同中明確雙方的安全責任和義務(wù)，并要求針對出現(xiàn)的安全漏洞和后門進行免費修補服務(wù)。同時，做好內(nèi)部員工網(wǎng)絡(luò)安全培訓(xùn)工作，提升人員安全意識，避免由內(nèi)部員工引入的供應(yīng)鏈渠道劫持風(fēng)險。

最后，要積極推進工業(yè)互聯(lián)網(wǎng)安全防護建設(shè)工作。工業(yè)企業(yè)應(yīng)積極利用如人工智能、工業(yè)協(xié)議DPI、白名單、可信計算、威脅情報、知識圖譜、態(tài)勢感知等技術(shù)，構(gòu)建工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全技術(shù)防御體系。加強對關(guān)鍵生產(chǎn)設(shè)備、控制設(shè)備、工業(yè)主機、工業(yè)平臺應(yīng)用等產(chǎn)品的安全防護，從接入認證、邊界安全、訪問控制、入侵檢測、計算環(huán)境、應(yīng)用和數(shù)據(jù)安全等全方位的安全保障；建設(shè)“全場景、可信任、實戰(zhàn)化”的工業(yè)互聯(lián)網(wǎng)安全運營體系，最終實現(xiàn)工業(yè)互聯(lián)網(wǎng)“全面防護，智能分析，自動響應(yīng)”的防護效果。