黨的十九屆五中全會提出,要提升產業鏈供應鏈現代化水平。這既是推動產業高質量發展、建設製造強國的新路徑,也是加快構建以國內大迴圈、國內國際雙迴圈的新戰略,更是實現碳達峰、碳中和戰略目標的新要求。然而供應鏈作為工業製造領域不可缺少的組織形態,隨著工業網際網路的不斷髮展,安全問題更加凸顯。
一、工業網際網路供應鏈安全問題
1、供應鏈斷供
我國工業基礎薄弱,雖然建立了大而全的工業體系,但是在關鍵基礎材料、精密零部件、晶片、高階生產裝置以及核心控制裝置、工業作業系統、工業軟體等產品還是依靠國外進口,技術受制於人。據報導,“工信部對全國30多家大型企業130多種關鍵基礎材料調研顯示,32%的關鍵材料在中國仍為空白;95%的高階專用晶片依賴國外,70%以上智慧終端處理器、儲存晶片依靠進口; 95%裝備製造、檢測裝置依賴進口。”
隨著新冠疫情、中美關係、臺海局勢不斷惡化,全球經濟動盪不斷,嚴重衝擊了我國製造業供應鏈。2020年和2021年美國分別將147家、484家中國實體列入“實體清單”,對關鍵材料、元器件、晶片、核心裝置以及核心技術進行出口管制,影響著我國製造業的發展。
2、工業盜版軟體
由於受國外技術壟斷、價格高,不法人員破解國外工業軟體,從設計、研發、模擬、生產、執行、管理等環節無不例外,如設計CAD、輔助製造CAM/CAE、模擬ANSYS、以及生產MES、DNC、SCADA軟體等。在一段時間內,工業盜版軟體確實解決了我國製造業“有沒有”和“卡脖子”的問題,但工業盜版軟體也給我國製造業供應鏈埋下安全隱患。
一方面,智慧財產權是國外廠商一直保護的重點,不斷加大打擊力度,這樣我國企業在使用工業盜版軟體會蒙受著巨大的法律風險、商業風險以及品牌風險。另一方面,工業盜版軟體的盛行,使國產軟體生存競爭力不斷降低,失去成長成熟、壯大的機會,也制約著重構工業網際網路供應鏈的速度。
3、供應鏈網路攻擊
工業企業在數字化轉型時,不斷將上下游供應鏈鏈條拉長拉通、互聯互通,導致企業的受攻擊面增大,尤其針對供應商、渠道商、服務商以及運維商的攻擊已成為趨勢,在產品開發設計、生產、採購、交付、執行、使用、運維等各個環節頻發安全事件。
一是工業裝置、軟體、系統等產品在研發設計時存在缺陷。工業控制系統以及工業協議在早期設計研發時,並沒有考慮安全問題,先天就缺失加密、授權、認證機制以及不斷暴露出的安全漏洞。據CNVD統計,目前工業控制系統被爆出3100多個安全漏洞,主要涉及DCS、PLC、工業交換機、HMI、組態軟體等,。以及剛爆出的Apache Log4j漏洞。,Log4j是一個開源Java日誌庫,也廣泛應用於工業領域,西門子、羅克韋爾、施耐德等廠商相繼發表宣告,其部分產品存在Log4j漏洞。這些設計上的缺陷和漏洞,不排除被國外勢力利用,窺視我國工業生產。
二是供應商、渠道商在交付時被駭客劫持。工業關鍵生產裝置、控制系統等產品在生產、採購、銷售、物流、交付等供應渠道環節中被駭客劫持。如伊朗震網事件,是美國和以色列軍方針對裝置供應商和系統整合商精心策劃的一起網路攻擊,並植入“震網”病毒,由工程師將帶到除錯環境中,並潛伏實施攻擊。
三是工業控制系統在上線、執行、使用階段,網路安全防護不足。由於工業控制系統長時間處於獨立封閉環境,以及企業運營人員安全認知不足等原因,工業控制系統幾乎沒有任何保護措施,處於“裸奔”狀態。整體上缺乏從系統除錯、上線、執行、使用等環節的管控機制,無供應鏈風險評估機制以及上線檢測、安全評估、安全加固等措施。隨著工業裝置、應用逐漸上雲,產業上下游企業不斷互聯互通,不法分子正瞄準這一時機,利用供應鏈攻擊。
四是工業裝置、機器、系統在運維階段常被盜取資料和惡意攻擊。一方面,關鍵生產裝置、控制裝置、工業應用軟體等產品常常被國外廠商以遠端運維或診斷為由,對生產裝置、工業應用遠端訪問,窺視我國的工業生產過程。國內,曾發生過多起安全事件,如某風電場的風機執行資料被遠端傳到國外。另一方面,工業軟體常被“汙染”,工具包、協議棧、升級包、韌體庫等元件常被植入惡意程式,使用者下載後不經測試直接使用,導致系統被攻擊。
隨著國外對我國不斷技術封鎖和滲透攻擊,工業網際網路供應鏈安全問題更加嚴峻,應如何應對呢?
二、工業網際網路供應鏈安全應對思路
1、加強供應鏈管理,扶持國產化產品
充分利用好《網路安全審查辦法》,建立工業網際網路供應鏈安全常態化管理機制。工業網際網路運營者在採購產品和服務時,應當申報網路安全審查,確保供應鏈安全;行業主管部門應對關鍵領域和行業進行重點關注,定期開展供應鏈安全檢查,企業落實自評估。針對短時間內無法國產化替代的產品,應做好供應鏈建設工作,不斷完善供應鏈生態體系,防止斷供斷貨。同時加快加強國產化替代程式,重點扶持國產企業,優先部署國產產品,最大限度地整合政、產、學、研、用各界資源,實現關鍵裝置、軟體和系統在易用性、可靠性和安全性上的突破,重構工業網際網路供應鏈結構。
2、重視智慧財產權,堅定自主創新道路
國內工業企業在享受盜版軟體帶來低廉價格的同時也面臨著法律和商業風險,企業要重視這一問題。針對工業領域的短板不足,應採用引進消化吸收再創新戰略,堅定自主創新道路。高階工業軟體、核心技術買不來、討不來,更盜不來,唯有從基礎做起,加強理論和前沿技術研究,做好一個設計,寫好一行程式碼,更為關鍵。盜版軟體,看上去省了錢佔了便宜,但實際上是打擊自主創新的積極性,破壞工業網際網路產業良性發展的根基。要從源頭供給側彌足短板和不足,要從根本上突破,解決供應鏈斷供威脅。
3、立足網路安全,全面保障供應鏈安全
首先,要正視供應鏈網路安全問題。行業主管部門應儘快制定關鍵生產裝置、精密零部件、核心控制裝置、工業作業系統、工業交換機、應用軟體等重要產品進口目錄、分類分級,建立工業網路安全審查和檢查制度。對涉及國計民生、國家安全的重要裝置,在進口時應充分評估其網路安全風險,審查透過後方能採購。對我國電力、石油石化、航空航天、交通、水務等關鍵基礎設施領域正在使用的進口工控產品進行網路安全檢查,封堵和規避安全漏洞和後門,從供應鏈源頭保障安全。
其次,要重視供應鏈風險評估機制。工業企業應利用安全檢測技術,如程式碼審計、漏洞掃描、惡意程式碼檢測、威脅監測、攻防演練等技術手段對關鍵裝置、軟體、系統等工業控制產品進行安全檢測、滲透測試,形成常態化安全評估機制;建立工業軟體升級管理機制,從正規渠道購買、下載升級包,在測試環境中驗證後方可上線;加強對供應商安全管理,在合同中明確雙方的安全責任和義務,並要求針對出現的安全漏洞和後門進行免費修補服務。同時,做好內部員工網路安全培訓工作,提升人員安全意識,避免由內部員工引入的供應鏈渠道劫持風險。
最後,要積極推進工業網際網路安全防護建設工作。工業企業應積極利用如人工智慧、工業協議DPI、白名單、可信計算、威脅情報、知識圖譜、態勢感知等技術,構建工業網際網路供應鏈安全技術防禦體系。加強對關鍵生產裝置、控制裝置、工業主機、工業平臺應用等產品的安全防護,從接入認證、邊界安全、訪問控制、入侵檢測、計算環境、應用和資料安全等全方位的安全保障;建設“全場景、可信任、實戰化”的工業網際網路安全運營體系,最終實現工業網際網路“全面防護,智慧分析,自動響應”的防護效果。
參考文獻:
[1]樊佩茹,李俊,王衝華,張雪瑩,郝志強.工業網際網路供應鏈安全發展路徑研究[J],中國工程科學,2021(23):57-64.
[2]張曉菲,盧春景,於盟.工業網際網路供應鏈安全風險研究[J],網路空間安全,2020(07):23-26.