工業互聯網供應鏈的安全問題及應對思路
黨的十九屆五中全會提出,要提升產業鏈供應鏈現代化水平。這既是推動產業高質量發展、建設制造強國的新路徑,也是加快構建以國內大循環、國內國際雙循環的新戰略,更是實現碳達峰、碳中和戰略目標的新要求。然而供應鏈作為工業制造領域不可缺少的組織形態,隨著工業互聯網的不斷發展,安全問題更加凸顯。
一、工業互聯網供應鏈安全問題
1、供應鏈斷供
我國工業基礎薄弱,雖然建立了大而全的工業體系,但是在關鍵基礎材料、精密零部件、芯片、高端生產設備以及核心控制設備、工業操作系統、工業軟件等產品還是依靠國外進口,技術受制于人。據工信部曾對全國30多家大型企業130多種關鍵基礎材料調研結果顯示,32%的關鍵材料在中國仍為空白;95%的高端專用芯片依賴國外,70%以上智能終端處理器、存儲芯片依靠進口;95%裝備制造、檢測設備依賴進口。
隨著新冠疫情、中美不斷惡化,全球經濟動蕩不斷,嚴重沖擊了我國制造業供應鏈。2020年和2021年美國分別將147家、484家中國實體列入“實體清單”,對關鍵材料、元器件、芯片、核心設備以及核心技術進行出口管制,影響著我國制造業的發展。
2、工業盜版軟件
由于受國外技術壟斷、價格高,不法人員破解國外工業軟件,從設計、研發、仿真、生產、運行、管理等環節無不例外,如設計CAD、輔助制造CAM/CAE、仿真ANSYS、以及生產MES、DNC、SCADA軟件等。在一段時間內,工業盜版軟件確實解決了我國制造業“有沒有”和“卡脖子”的問題,但工業盜版軟件也給我國制造業供應鏈埋下安全隱患。
一方面,知識產權是國外廠商一直保護的重點,不斷加大打擊力度,這樣我國企業在使用工業盜版軟件會蒙受著巨大的法律風險、商業風險以及品牌風險。另一方面,工業盜版軟件的盛行,使國產軟件生存競爭力不斷降低,失去成長成熟、壯大的機會,也制約著重構工業互聯網供應鏈的速度。
3、供應鏈網絡攻擊
工業企業在數字化轉型時,不斷將上下游供應鏈鏈條拉長拉通、互聯互通,導致企業的受攻擊面增大,尤其針對供應商、渠道商、服務商以及運維商的攻擊已成為趨勢,在產品開發設計、生產、采購、交付、運行、使用、運維等各個環節頻發安全事件。
一是工業設備、軟件、系統等產品在研發設計時存在缺陷。工業控制系統以及工業協議在早期設計研發時,并沒有考慮安全問題,先天就缺失加密、授權、認證機制以及不斷暴露出的安全漏洞。據CNVD統計,目前工業控制系統被爆出3100多個安全漏洞,主要涉及DCS、PLC、工業交換機、HMI、組態軟件等,以及剛爆出的Apache Log4j漏洞。Log4j是一個開源Java日志庫,也廣泛應用于工業領域,西門子、羅克韋爾、施耐德等廠商相繼發表聲明,其部分產品存在Log4j漏洞。這些設計上的缺陷和漏洞,不排除被國外勢力利用,窺視我國工業生產。
二是供應商、渠道商在交付時被黑客劫持。工業關鍵生產設備、控制系統等產品在生產、采購、銷售、物流、交付等供應渠道環節中被黑客劫持。如伊朗震網事件,是美國和以色列軍方針對設備供應商和系統集成商精心策劃的一起網絡攻擊,并植入“震網”病毒,由工程師帶到調試環境中,并潛伏實施攻擊。
三是工業控制系統在上線、運行、使用階段,網絡安全防護不足。由于工業控制系統長時間處于獨立封閉環境,以及企業運營人員安全認知不足等原因,工業控制系統幾乎沒有任何保護措施,處于“裸奔”狀態。整體上缺乏從系統調試、上線、運行、使用等環節的管控機制,無供應鏈風險評估機制以及上線檢測、安全評估、安全加固等措施。隨著工業設備、應用逐漸上云,產業上下游企業不斷互聯互通,不法分子正瞄準這一時機,利用供應鏈攻擊。
四是工業設備、機器、系統在運維階段常被盜取數據和惡意攻擊。一方面,關鍵生產設備、控制設備、工業應用軟件等產品常常被國外廠商以遠程運維或診斷為由,對生產設備、工業應用遠程訪問,窺視我國的工業生產過程。國內曾發生過多起安全事件,如某風電場的風機運行數據被遠程傳到國外。另一方面,工業軟件常被“污染”,工具包、協議棧、升級包、固件庫等組件常被植入惡意程序,用戶下載后不經測試直接使用,導致系統被攻擊。
隨著國外對我國不斷技術封鎖和滲透攻擊,工業互聯網供應鏈安全問題更加嚴峻,應如何應對呢?
二、工業互聯網供應鏈安全應對思路
1、加強供應鏈管理,扶持國產化產品
充分利用好《網絡安全審查辦法》,建立工業互聯網供應鏈安全常態化管理機制。工業互聯網運營者在采購產品和服務時,應當申報網絡安全審查,確保供應鏈安全;行業主管部門應對關鍵領域和行業進行重點關注,定期開展供應鏈安全檢查,企業落實自評估。針對短時間內無法國產化替代的產品,應做好供應鏈建設工作,不斷完善供應鏈生態體系,防止斷供斷貨。同時加快加強國產化替代進程,重點扶持國產企業,優先部署國產產品,最大限度地整合政、產、學、研、用各界資源,實現關鍵設備、軟件和系統在易用性、可靠性和安全性上的突破,重構工業互聯網供應鏈結構。
2、重視知識產權,堅定自主創新道路
國內工業企業在享受盜版軟件帶來低廉價格的同時也面臨著法律和商業風險,企業要重視這一問題。針對工業領域的短板不足,應采用引進消化吸收再創新戰略,堅定自主創新道路。高端工業軟件、核心技術買不來、討不來,更盜不來,唯有從基礎做起,加強理論和前沿技術研究,做好一個設計,寫好一行代碼,更為關鍵。盜版軟件,看上去省了錢占了便宜,但實際上是打擊自主創新的積極性,破壞工業互聯網產業良性發展的根基。要從源頭供給側彌足短板和不足,要從根本上突破,解決供應鏈斷供威脅。
3、立足網絡安全,全面保障供應鏈安全
首先,要正視供應鏈網絡安全問題。行業主管部門應盡快制定關鍵生產設備、精密零部件、核心控制設備、工業操作系統、工業交換機、應用軟件等重要產品進口目錄、分類分級,建立工業網絡安全審查和檢查制度。對涉及國計民生、國家安全的重要設備,在進口時應充分評估其網絡安全風險,審查通過后方能采購。對我國電力、石油石化、航空航天、交通、水務等關鍵基礎設施領域正在使用的進口工控產品進行網絡安全檢查,封堵和規避安全漏洞和后門,從供應鏈源頭保障安全。
其次,要重視供應鏈風險評估機制。工業企業應利用安全檢測技術,如代碼審計、漏洞掃描、惡意代碼檢測、威脅監測、攻防演練等技術手段對關鍵設備、軟件、系統等工業控制產品進行安全檢測、滲透測試,形成常態化安全評估機制;建立工業軟件升級管理機制,從正規渠道購買、下載升級包,在測試環境中驗證后方可上線;加強對供應商安全管理,在合同中明確雙方的安全責任和義務,并要求針對出現的安全漏洞和后門進行免費修補服務。同時,做好內部員工網絡安全培訓工作,提升人員安全意識,避免由內部員工引入的供應鏈渠道劫持風險。
最后,要積極推進工業互聯網安全防護建設工作。工業企業應積極利用如人工智能、工業協議DPI、白名單、可信計算、威脅情報、知識圖譜、態勢感知等技術,構建工業互聯網供應鏈安全技術防御體系。加強對關鍵生產設備、控制設備、工業主機、工業平臺應用等產品的安全防護,從接入認證、邊界安全、訪問控制、入侵檢測、計算環境、應用和數據安全等全方位的安全保障;建設“全場景、可信任、實戰化”的工業互聯網安全運營體系,最終實現工業互聯網“全面防護,智能分析,自動響應”的防護效果。
