工业互联网供应链的安全问题及应对思路
党的十九届五中全会提出,要提升产业链供应链现代化水平。这既是推动产业高质量发展、建设制造强国的新路径,也是加快构建以国内大循环、国内国际双循环的新战略,更是实现碳达峰、碳中和战略目标的新要求。然而供应链作为工业制造领域不可缺少的组织形态,随着工业互联网的不断发展,安全问题更加凸显。
一、工业互联网供应链安全问题
1、供应链断供
我国工业基础薄弱,虽然建立了大而全的工业体系,但是在关键基础材料、精密零部件、芯片、高端生产设备以及核心控制设备、工业操作系统、工业软件等产品还是依靠国外进口,技术受制于人。据工信部曾对全国30多家大型企业130多种关键基础材料调研结果显示,32%的关键材料在中国仍为空白;95%的高端专用芯片依赖国外,70%以上智能终端处理器、存储芯片依靠进口;95%装备制造、检测设备依赖进口。
随着新冠疫情、中美不断恶化,全球经济动荡不断,严重冲击了我国制造业供应链。2020年和2021年美国分别将147家、484家中国实体列入“实体清单”,对关键材料、元器件、芯片、核心设备以及核心技术进行出口管制,影响着我国制造业的发展。
2、工业盗版软件
由于受国外技术垄断、价格高,不法人员破解国外工业软件,从设计、研发、仿真、生产、运行、管理等环节无不例外,如设计CAD、辅助制造CAM/CAE、仿真ANSYS、以及生产MES、DNC、SCADA软件等。在一段时间内,工业盗版软件确实解决了我国制造业“有没有”和“卡脖子”的问题,但工业盗版软件也给我国制造业供应链埋下安全隐患。
一方面,知识产权是国外厂商一直保护的重点,不断加大打击力度,这样我国企业在使用工业盗版软件会蒙受着巨大的法律风险、商业风险以及品牌风险。另一方面,工业盗版软件的盛行,使国产软件生存竞争力不断降低,失去成长成熟、壮大的机会,也制约着重构工业互联网供应链的速度。
3、供应链网络攻击
工业企业在数字化转型时,不断将上下游供应链链条拉长拉通、互联互通,导致企业的受攻击面增大,尤其针对供应商、渠道商、服务商以及运维商的攻击已成为趋势,在产品开发设计、生产、采购、交付、运行、使用、运维等各个环节频发安全事件。
一是工业设备、软件、系统等产品在研发设计时存在缺陷。工业控制系统以及工业协议在早期设计研发时,并没有考虑安全问题,先天就缺失加密、授权、认证机制以及不断暴露出的安全漏洞。据CNVD统计,目前工业控制系统被爆出3100多个安全漏洞,主要涉及DCS、PLC、工业交换机、HMI、组态软件等,以及刚爆出的Apache Log4j漏洞。Log4j是一个开源Java日志库,也广泛应用于工业领域,西门子、罗克韦尔、施耐德等厂商相继发表声明,其部分产品存在Log4j漏洞。这些设计上的缺陷和漏洞,不排除被国外势力利用,窥视我国工业生产。
二是供应商、渠道商在交付时被黑客劫持。工业关键生产设备、控制系统等产品在生产、采购、销售、物流、交付等供应渠道环节中被黑客劫持。如伊朗震网事件,是美国和以色列军方针对设备供应商和系统集成商精心策划的一起网络攻击,并植入“震网”病毒,由工程师带到调试环境中,并潜伏实施攻击。
三是工业控制系统在上线、运行、使用阶段,网络安全防护不足。由于工业控制系统长时间处于独立封闭环境,以及企业运营人员安全认知不足等原因,工业控制系统几乎没有任何保护措施,处于“裸奔”状态。整体上缺乏从系统调试、上线、运行、使用等环节的管控机制,无供应链风险评估机制以及上线检测、安全评估、安全加固等措施。随着工业设备、应用逐渐上云,产业上下游企业不断互联互通,不法分子正瞄准这一时机,利用供应链攻击。
四是工业设备、机器、系统在运维阶段常被盗取数据和恶意攻击。一方面,关键生产设备、控制设备、工业应用软件等产品常常被国外厂商以远程运维或诊断为由,对生产设备、工业应用远程访问,窥视我国的工业生产过程。国内曾发生过多起安全事件,如某风电场的风机运行数据被远程传到国外。另一方面,工业软件常被“污染”,工具包、协议栈、升级包、固件库等组件常被植入恶意程序,用户下载后不经测试直接使用,导致系统被攻击。
随着国外对我国不断技术封锁和渗透攻击,工业互联网供应链安全问题更加严峻,应如何应对呢?
二、工业互联网供应链安全应对思路
1、加强供应链管理,扶持国产化产品
充分利用好《网络安全审查办法》,建立工业互联网供应链安全常态化管理机制。工业互联网运营者在采购产品和服务时,应当申报网络安全审查,确保供应链安全;行业主管部门应对关键领域和行业进行重点关注,定期开展供应链安全检查,企业落实自评估。针对短时间内无法国产化替代的产品,应做好供应链建设工作,不断完善供应链生态体系,防止断供断货。同时加快加强国产化替代进程,重点扶持国产企业,优先部署国产产品,最大限度地整合政、产、学、研、用各界资源,实现关键设备、软件和系统在易用性、可靠性和安全性上的突破,重构工业互联网供应链结构。
2、重视知识产权,坚定自主创新道路
国内工业企业在享受盗版软件带来低廉价格的同时也面临着法律和商业风险,企业要重视这一问题。针对工业领域的短板不足,应采用引进消化吸收再创新战略,坚定自主创新道路。高端工业软件、核心技术买不来、讨不来,更盗不来,唯有从基础做起,加强理论和前沿技术研究,做好一个设计,写好一行代码,更为关键。盗版软件,看上去省了钱占了便宜,但实际上是打击自主创新的积极性,破坏工业互联网产业良性发展的根基。要从源头供给侧弥足短板和不足,要从根本上突破,解决供应链断供威胁。
3、立足网络安全,全面保障供应链安全
首先,要正视供应链网络安全问题。行业主管部门应尽快制定关键生产设备、精密零部件、核心控制设备、工业操作系统、工业交换机、应用软件等重要产品进口目录、分类分级,建立工业网络安全审查和检查制度。对涉及国计民生、国家安全的重要设备,在进口时应充分评估其网络安全风险,审查通过后方能采购。对我国电力、石油石化、航空航天、交通、水务等关键基础设施领域正在使用的进口工控产品进行网络安全检查,封堵和规避安全漏洞和后门,从供应链源头保障安全。
其次,要重视供应链风险评估机制。工业企业应利用安全检测技术,如代码审计、漏洞扫描、恶意代码检测、威胁监测、攻防演练等技术手段对关键设备、软件、系统等工业控制产品进行安全检测、渗透测试,形成常态化安全评估机制;建立工业软件升级管理机制,从正规渠道购买、下载升级包,在测试环境中验证后方可上线;加强对供应商安全管理,在合同中明确双方的安全责任和义务,并要求针对出现的安全漏洞和后门进行免费修补服务。同时,做好内部员工网络安全培训工作,提升人员安全意识,避免由内部员工引入的供应链渠道劫持风险。
最后,要积极推进工业互联网安全防护建设工作。工业企业应积极利用如人工智能、工业协议DPI、白名单、可信计算、威胁情报、知识图谱、态势感知等技术,构建工业互联网供应链安全技术防御体系。加强对关键生产设备、控制设备、工业主机、工业平台应用等产品的安全防护,从接入认证、边界安全、访问控制、入侵检测、计算环境、应用和数据安全等全方位的安全保障;建设“全场景、可信任、实战化”的工业互联网安全运营体系,最终实现工业互联网“全面防护,智能分析,自动响应”的防护效果。
