之前我们谈及供应链在企业中的位置有三个发展阶段,那在工业互联网中保障供应链的安全就成了不容忽视的问题。
工业互联网作为新一代信息技术与制造业深度融合的产物,已逐渐体现其重要性。而供应链作为工业领域不可缺少的组织形态是工业制造业的重要组成部分。
而工业互联网供应链因出现断供、网络攻击等安全问题,不仅带来的重大生产事故和经济损失,还对工业企业的信息化建设构成隐患,从而制约了工业互联网的健康安全发展。
一、工业互联网供应链发展形势
(一)数字化转型
工业互联网供应链通过对上下游工业企业的信息化管理和信息的数字化连接,借助信息通信产品与服务,实现从工业产品需求分析到原材料采购、智能制造、仓储、再到风险控制各环节的数字化。
(二)全球化发展
工业互联网供应链将不同产业的多个参与主体串联起来,通过大数据、物联网等新技术的无缝衔接,使传统制造业供应链由单一链条上企业的单线链接转向网络化、多层次的全方位链接,助力企业缩短供应链环节,降低供应链成本。
二、工业互联网供应链典型安全问题分析
(一)供应链断供
因我国工业互联网供应链在部分核心关键技术产品方面对美国等发达国家的依赖程度较高。一旦因国际局势的动荡而导致工业互联网供应链断裂,将使我国的工业生态稳定性受到严重威胁。
(二)供应链网络攻击
1. 工业生产厂商预留后门。
厂商在开发过程中忘记删除调试后门或出于其他目的预留的超级后门,都可能被攻击者发现并直接登录,获得工业产品的控制权。
2. 基础软件被污染。
开发工具等基础软件被植入恶意代码、后门并编译到其他应用程序中进行分发时,将造成威胁扩散,且难以在事中、事后由一般用户发现和根除。
3. 工业产品存在漏洞。
攻击者通过利用工业产品漏洞来实现远程设备控制、拒绝服务攻击等。
4. 工业产品供应渠道劫持。
工业产品在采购、销售、物流等供应渠道中被劫持和篡改,攻击者在产品中构建后门或漏洞以实现入侵。
5. 工业软件升级劫持。
软件产品在整个生命周期中要进行功能升级、补丁修复等更新,攻击者通过劫持软件升级过程中的更新模块或下载链接,在工业软件中植入恶意代码。
三、工业互联网供应链安全挑战
(一)部分关键技术产品受制于人
一是基础工业技术历史欠账较多。我国基础工业产业起步较晚,核心技术落后较多,如多数企业所用的“二次开发”“代理集成”方案,这些核心技术产权依然属于国外企业,国产基础工业技术“空心化”严重,无法控制知识产权,难以突破国外限制。
二是部分关键产品高度依赖国外企业。在工业软硬件方面,我国冶金、化工、电子信息制造等重点制造领域长期以来习惯使用国外工业软件,并不了解其设计原理,导致基础技术积累存在明显差距。
三是工业协议标准由国外标准化组织和厂商主导。
(二)网络安全防护水平不足
① 网络攻击手段多变导致风险加剧。
② 工业互联网安全技术产品尚处于攻关阶段。
③ 工业互联网供应链安全管理能力不足。
四、工业互联网供应链安全创新发展路径
(一)发挥制造产业种类齐全的良好优势
一是继续发挥我国工业门类齐全、生产能力强大、配套能力齐全、适应能力灵活的优势,扩大消费水平,提升传统制造业水平。
二是联合各行业中下游产业的力量,取长补短,促进国内各环节、各产业、各区域间的畅通。
三是促进国内外的经济联通,构建国内国际相互促进的新发展格局,形成完整、安全、可靠的工业互联网供应链体系。
(二)加强工业互联网安全知识产权布局
加强基础理论,前沿技术研究和标准的研制,从而达到健全知识产权风险评估体系的目的。
(三)加速实现信息创新产业体系建设
一是制定信息技术应用创新产业发展规划。
二是推动信息技术应用创新产业关键技术和产品的规模化部署。
三是构建信息技术应用创新产业链。
(四)提升工业互联网供应链技术安全保障能力
根据分析工业互联网供应链安全防护对象的特征和需求,来研究工业产品安全监测技术和防御技术,融合应用新技术来保障其安全性,并推进企业对工业软硬件安全防护措施部署的认知。
(五)重视工业互联网供应链渠道安全
针对工业互联网供应链上的各类渠道,设计针对性的安全防护措施。引导和鼓励使用方企业在正规渠道购买和下载软硬件,并在生产经营过程中加强对合作第三方的安全管理,积极引进相关专业人才对企业工业互联网供应链维护和管理。
(六)鼓励上下游企业良性协同发展
深入调查和研究工业互联网重点技术及核心企业上下游供应链关系,并针对其短板,加强上下游企业产销对接,建立良性互动关系,并在各自工业生产的各个环节建立好检查点,便于在出现问题时及时解决。
(七)优化工业互联网供应链安全发展环境
根据国家相关法规制度,建立针对性的安全管理框架和健全的监管制度,并制定出适合国情的安全评价标准,从而推动工业企业与配套企业建立完善的工业互联网供应链安全管理制度和国际产业的安全合作。【1】
【1】节选自《中国传动网》之《工业互联网,如何保障供应链安全?》