工業互聯網供應鏈安全問題有哪些

供應鏈作為工業制造領域不可缺少的組織形態，隨著工業互聯網的不斷發展，安全問題更加凸顯。工業互聯網存在的供應鏈安全問題有：

供應鏈斷供

我國工業基礎薄弱，雖然建立了大而全的工業體系，但是在關鍵基礎材料、精密零部件、芯片、高端生產設備以及核心控制設備、工業操作系統、工業軟件等產品還是依靠國外進口，技術受制于人。

工業盜版軟件

由于受國外技術壟斷、價格高，不法人員破解國外工業軟件，從設計、研發、仿真、生產、運行、管理等環節無不例外，如設計 CAD、輔助制造 CAM/CAE、仿真 ANSYS、以及生產 MES、DNC、SCADA 軟件等。在一段時間內，工業盜版軟件確實解決了我國制造業 “有沒有” 和 “卡脖子” 的問題，但工業盜版軟件也給我國制造業供應鏈埋下安全隱患。

工業設備、軟件、系統等產品在研發設計時存在缺陷

工業控制系統以及工業協議在早期設計研發時，并沒有考慮安全問題，先天就缺失加密、授權、認證機制以及不斷暴露出的安全漏洞。據 CNVD 統計，目前工業控制系統被爆出 3100 多個安全漏洞，主要涉及 DCS、PLC、工業交換機、HMI、組態軟件等，以及剛爆出的 Apache Log4j 漏洞。Log4j 是一個開源 Java 日志庫，也廣泛應用于工業領域，西門子、羅克韋爾、施耐德等廠商相繼發表聲明，其部分產品存在 Log4j 漏洞。這些設計上的缺陷和漏洞，不排除被國外勢力利用，窺視我國工業生產。

供應商、渠道商在交付時被黑客劫持

工業關鍵生產設備、控制系統等產品在生產、采購、銷售、物流、交付等供應渠道環節中被黑客劫持。如伊朗震網事件，是美國和以色列軍方針對設備供應商和系統集成商精心策劃的一起網絡攻擊，并植入 “震網” 病毒，由工程師帶到調試環境中，并潛伏實施攻擊。

工業控制系統在上線、運行、使用階段，網絡安全防護不足

由于工業控制系統長時間處于獨立封閉環境，以及企業運營人員安全認知不足等原因，工業控制系統幾乎沒有任何保護措施，處于 “裸奔” 狀態。整體上缺乏從系統調試、上線、運行、使用等環節的管控機制，無供應鏈風險評估機制以及上線檢測、安全評估、安全加固等措施。隨著工業設備、應用逐漸上云，產業上下游企業不斷互聯互通，不法分子正瞄準這一時機，利用供應鏈攻擊。

工業設備、機器、系統在運維階段常被盜取數據和惡意攻擊

一方面，關鍵生產設備、控制設備、工業應用軟件等產品常常被國外廠商以遠程運維或診斷為由，對生產設備、工業應用遠程訪問，窺視我國的工業生產過程。國內曾發生過多起安全事件，如某風電場的風機運行數據被遠程傳到國外。另一方面，工業軟件常被 “污染”，工具包、協議棧、升級包、固件庫等組件常被植入惡意程序，用戶下載后不經測試直接使用，導致系統被攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。