互联网上工业供应链的安全问题及对策

　　党的十九届五中全会提出提升产业链供应链现代化水平。这既是推动工业高质量发展、建设制造强国的新途径，也是加快构建国内大循环、国内国际双循环的新战略，是实现二氧化碳排放峰值和碳中和战略目标的新要求。然而，作为工业制造领域不可或缺的组织形式，随着工业互联网的不断发展，安全问题更加突出。

　　一、工业互联网供应链安全问题

　　1.供应链缺货

　　中国的工业基础薄弱。虽然已经建立了庞大完整的工业体系，但关键基础材料、精密零部件、芯片、高端生产设备、核心控制设备、工业操作系统、工业软件等产品仍从国外进口，技术受制于人。报告称，“工业和信息化部对国内30多家大型企业的130多种关键基础材料的调查显示，32%的关键材料国内尚属空白;95%的高端专用芯片依赖国外，70%以上的智能终端处理器和存储芯片依赖进口;95%的装备制造和检测设备依赖进口。”

　　随着新冠肺炎疫情、中美关系和台湾海峡局势的恶化，全球经济陷入动荡，这严重冲击了中国的制造业供应链。2020年和2021年，美国分别将147家中国实体和484家中国实体列入“实体清单”，并控制关键材料、零部件、芯片、核心设备和核心技术的出口，影响了中国制造业的发展。

　　2.工业盗版软件

　　由于国外技术垄断，价格昂贵，不法分子破解国外工业软件，包括设计、R&D、仿真、生产、运营、管理，如设计CAD、CAM/CAE、仿真ANSYS，生产MES、DNC、SCADA软件等。一段时间以来，工业盗版软件确实解决了中国制造业的“有无问题”、“卡死”等问题，但工业盗版软件也为中国制造业供应链埋下了安全隐患。

　　一方面，知识产权是国外厂商保护的重点，打击力度不断加大。由此，中国企业在使用工业盗版软件时，将承受巨大的法律风险、商业风险和品牌风险。另一方面，工业盗版软件的盛行，降低了国产软件的生存竞争力，失去了成长成熟的机会，制约了重构工业互联网供应链的速度。

　　3、供应链网络攻击

　　在产业数字化转型过程中，上下游供应链不断拉长和互联，导致企业的攻击面增加，尤其是针对供应商、渠道商、服务商和运维运营商。产品开发设计、生产、采购、交付、运营、使用、运维等环节安全事故频发。

　　首先，工业设备、软件、系统和其他产品在R&D和设计上存在缺陷。在早期工业控制系统和工业协议的设计和开发中，没有考虑安全问题，加密、授权、认证机制和不断暴露的安全漏洞是先天不足的。据CNVD统计，目前工业控制系统存在的安全漏洞超过3100个，主要涉及DCS、PLC、工业交换机、HMI、组态软件等。以及刚刚爆发的Apache Log4j漏洞。Log4j是一个开源的Java日志库，在工业领域也有广泛的应用。西门子、罗克韦尔、施耐德等厂商相继表态，旗下部分产品存在Log4j漏洞。这些设计上的缺陷和漏洞，不排除被外国势力用来窥视中国的工业生产。

　　第二，供应商和渠道商在发货过程中被黑客劫持。关键工业生产设备、控制系统等产品在生产、采购、销售、物流、交付等供应渠道被黑客劫持。比如伊朗Stuxnet事件，是美国和以色列军方针对设备供应商和系统集成商精心策划的网络攻击，植入了“Stuxnet”病毒，会被工程师带到调试环境中，攻击具有潜伏性。

　　三是工控系统上线运行使用，网络安全防护不足。由于工业控制系统长期处于独立封闭的环境中，企业操作人员安全意识不足，工业控制系统几乎没有防护措施，处于“裸奔”状态。整体来看，没有从系统调试、上线、运营、使用等方面的控制机制，没有供应链风险评估机制、上线检测、安全评估、安全加固等措施。随着工业设备和应用逐渐向云端扩散，行业上下游企业不断互联，不法分子瞄准这个机会，利用供应链进行攻击。

　　第四，工业设备、机器和系统在运维阶段经常被窃取数据和恶意攻击。一方面，关键生产设备、控制设备、工业应用软件等产品经常被国外厂商以远程运维或诊断为由远程访问，以窥视我国工业生产过程。在中国，已经发生了多起安全事故，比如某风电场的风机运行数据被远程传输到国外。另一方面，工业软件经常被“污染”。工具包、协议栈、升级包、固件库等组件往往被植入恶意程序，用户下载后无需测试即可直接使用，导致系统被攻击。

　　随着国外对我国不断的技术封锁和渗透攻击，工业互联网供应链的安全问题更加严峻。应该如何应对?

　　二，工业互联网供应链安全应对思路

　　1.加强供应链管理，支持国货。

　　充分利用《网络安全审查办法》，建立工业互联网供应链安全常态化管理机制。工业经营者在采购产品和服务时，应当申请网络安全审查，确保供应链安全;行业主管部门要关注重点领域和行业，定期开展供应链安全检查，企业要实施自我评估。对于国内短期内无法替代的产品，要做好供应链建设，不断完善供应链生态系统，防止断供断货。同时，加快国产化替代进程，重点支持国内企业，优先部署国产产品，最大限度整合政、产、学、研、用等各界资源，实现关键设备、软件、系统可用性、可靠性、安全性的突破，重构工业互联网供应链架构。

　　2.重视知识产权强化自主创新之路。

　　国内工业企业在享受盗版软件带来的低价的同时，也面临着法律和商业风险。企业要注意这个问题。针对产业领域的短板，采取引进、消化、吸收、再创新的策略，强化自主创新之路。高端工业软件和核心技术是买不到、讨论不到、窃取不到的。更关键的是从基础做起，加强理论和前沿技术研究，做好设计，写好一行代码。盗版软件看似省钱又占便宜，实际上却挫伤了自主创新的积极性，破坏了工业互联网行业良性发展的基础。要从源头的供给侧克服短板和短板，就要从根本上突破和解决供应链断供威胁。

　　3.基于网络安全，全力保障供应链安全。

　　首先，要正视供应链网络安全问题。行业主管部门要尽快制定关键生产设备、精密零部件、核心控制设备、工业操作系统、工业交换机、应用软件等重要产品的进口目录、分类分级，建立工业网络安全审查和检验制度。对于关系国计民生和国家安全的重要设备，在进口时应充分评估网络安全风险，经审查合格后方可采购。检查电力、石油石化、航空航天、交通运输、水务等关键基础设施领域正在使用的进口工控产品的网络安全。在国内，堵住和避免安全漏洞和后门，从供应链源头保障安全。

　　其次，要重视供应链的风险评估机制。企业应当利用安全检测技术，如代码审计、漏洞扫描、恶意代码检测、威胁监控、攻防演练等技术手段，对关键设备、软件、系统等工控产品进行安全检测和渗透测试，形成常态化的安全评估机制;建立工业软件升级管理机制，从正规渠道购买下载升级包，在测试环境下验证后再上线;加强对供应商的安全管理，在合同中明确双方的安全责任和义务，对安全漏洞和后门要求免费修复服务。同时，做好内部员工的网络安全培训，增强员工的安全意识，避免内部员工引入的供应链渠道劫持风险。

　　最后，要积极推进工业互联网安全防护建设。企业应积极运用人工智能、工业协议DPI、白名单、可信计算、威胁情报、知识地图、态势感知等技术。构建工业互联网供应链安全技术防御体系。加强关键生产设备、控制设备、工业主机、工业平台应用等产品的安全保护，从接入认证、边界安全、访问控制、入侵检测、计算环境、应用和数据安全等方面，构建“全场景、可信、实用”的工业互联网安全运营体系，最终实现工业互联网“全面防护、智能分析、自动响应”的防护效果。