黨的十九屆五中全會(huì)提出提升產(chǎn)業(yè)鏈供應(yīng)鏈現(xiàn)代化水平。這既是推動(dòng)工業(yè)高質(zhì)量發(fā)展、建設(shè)制造強(qiáng)國(guó)的新途徑，也是加快構(gòu)建國(guó)內(nèi)大循環(huán)、國(guó)內(nèi)國(guó)際雙循環(huán)的新戰(zhàn)略，是實(shí)現(xiàn)二氧化碳排放峰值和碳中和戰(zhàn)略目標(biāo)的新要求。然而，作為工業(yè)制造領(lǐng)域不可或缺的組織形式，隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展，安全問(wèn)題更加突出。

　　一、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全問(wèn)題

　　1.供應(yīng)鏈缺貨

　　中國(guó)的工業(yè)基礎(chǔ)薄弱。雖然已經(jīng)建立了龐大完整的工業(yè)體系，但關(guān)鍵基礎(chǔ)材料、精密零部件、芯片、高端生產(chǎn)設(shè)備、核心控制設(shè)備、工業(yè)操作系統(tǒng)、工業(yè)軟件等產(chǎn)品仍從國(guó)外進(jìn)口，技術(shù)受制于人。報(bào)告稱(chēng)，“工業(yè)和信息化部對(duì)國(guó)內(nèi)30多家大型企業(yè)的130多種關(guān)鍵基礎(chǔ)材料的調(diào)查顯示，32%的關(guān)鍵材料國(guó)內(nèi)尚屬空白;95%的高端專(zhuān)用芯片依賴(lài)國(guó)外，70%以上的智能終端處理器和存儲(chǔ)芯片依賴(lài)進(jìn)口;95%的裝備制造和檢測(cè)設(shè)備依賴(lài)進(jìn)口?！?/p>

　　隨著新冠肺炎疫情、中美關(guān)系和臺(tái)灣海峽局勢(shì)的惡化，全球經(jīng)濟(jì)陷入動(dòng)蕩，這嚴(yán)重沖擊了中國(guó)的制造業(yè)供應(yīng)鏈。2020年和2021年，美國(guó)分別將147家中國(guó)實(shí)體和484家中國(guó)實(shí)體列入“實(shí)體清單”，并控制關(guān)鍵材料、零部件、芯片、核心設(shè)備和核心技術(shù)的出口，影響了中國(guó)制造業(yè)的發(fā)展。

　　2.工業(yè)盜版軟件

　　由于國(guó)外技術(shù)壟斷，價(jià)格昂貴，不法分子破解國(guó)外工業(yè)軟件，包括設(shè)計(jì)、R&D、仿真、生產(chǎn)、運(yùn)營(yíng)、管理，如設(shè)計(jì)CAD、CAM/CAE、仿真ANSYS，生產(chǎn)MES、DNC、SCADA軟件等。一段時(shí)間以來(lái)，工業(yè)盜版軟件確實(shí)解決了中國(guó)制造業(yè)的“有無(wú)問(wèn)題”、“卡死”等問(wèn)題，但工業(yè)盜版軟件也為中國(guó)制造業(yè)供應(yīng)鏈埋下了安全隱患。

　　一方面，知識(shí)產(chǎn)權(quán)是國(guó)外廠商保護(hù)的重點(diǎn)，打擊力度不斷加大。由此，中國(guó)企業(yè)在使用工業(yè)盜版軟件時(shí)，將承受巨大的法律風(fēng)險(xiǎn)、商業(yè)風(fēng)險(xiǎn)和品牌風(fēng)險(xiǎn)。另一方面，工業(yè)盜版軟件的盛行，降低了國(guó)產(chǎn)軟件的生存競(jìng)爭(zhēng)力，失去了成長(zhǎng)成熟的機(jī)會(huì)，制約了重構(gòu)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的速度。

　　3、供應(yīng)鏈網(wǎng)絡(luò)攻擊

　　在產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中，上下游供應(yīng)鏈不斷拉長(zhǎng)和互聯(lián)，導(dǎo)致企業(yè)的攻擊面增加，尤其是針對(duì)供應(yīng)商、渠道商、服務(wù)商和運(yùn)維運(yùn)營(yíng)商。產(chǎn)品開(kāi)發(fā)設(shè)計(jì)、生產(chǎn)、采購(gòu)、交付、運(yùn)營(yíng)、使用、運(yùn)維等環(huán)節(jié)安全事故頻發(fā)。

　　首先，工業(yè)設(shè)備、軟件、系統(tǒng)和其他產(chǎn)品在R&D和設(shè)計(jì)上存在缺陷。在早期工業(yè)控制系統(tǒng)和工業(yè)協(xié)議的設(shè)計(jì)和開(kāi)發(fā)中，沒(méi)有考慮安全問(wèn)題，加密、授權(quán)、認(rèn)證機(jī)制和不斷暴露的安全漏洞是先天不足的。據(jù)CNVD統(tǒng)計(jì)，目前工業(yè)控制系統(tǒng)存在的安全漏洞超過(guò)3100個(gè)，主要涉及DCS、PLC、工業(yè)交換機(jī)、HMI、組態(tài)軟件等。以及剛剛爆發(fā)的Apache Log4j漏洞。Log4j是一個(gè)開(kāi)源的Java日志庫(kù)，在工業(yè)領(lǐng)域也有廣泛的應(yīng)用。西門(mén)子、羅克韋爾、施耐德等廠商相繼表態(tài)，旗下部分產(chǎn)品存在Log4j漏洞。這些設(shè)計(jì)上的缺陷和漏洞，不排除被外國(guó)勢(shì)力用來(lái)窺視中國(guó)的工業(yè)生產(chǎn)。

　　第二，供應(yīng)商和渠道商在發(fā)貨過(guò)程中被黑客劫持。關(guān)鍵工業(yè)生產(chǎn)設(shè)備、控制系統(tǒng)等產(chǎn)品在生產(chǎn)、采購(gòu)、銷(xiāo)售、物流、交付等供應(yīng)渠道被黑客劫持。比如伊朗Stuxnet事件，是美國(guó)和以色列軍方針對(duì)設(shè)備供應(yīng)商和系統(tǒng)集成商精心策劃的網(wǎng)絡(luò)攻擊，植入了“Stuxnet”病毒，會(huì)被工程師帶到調(diào)試環(huán)境中，攻擊具有潛伏性。

　　三是工控系統(tǒng)上線(xiàn)運(yùn)行使用，網(wǎng)絡(luò)安全防護(hù)不足。由于工業(yè)控制系統(tǒng)長(zhǎng)期處于獨(dú)立封閉的環(huán)境中，企業(yè)操作人員安全意識(shí)不足，工業(yè)控制系統(tǒng)幾乎沒(méi)有防護(hù)措施，處于“裸奔”狀態(tài)。整體來(lái)看，沒(méi)有從系統(tǒng)調(diào)試、上線(xiàn)、運(yùn)營(yíng)、使用等方面的控制機(jī)制，沒(méi)有供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估機(jī)制、上線(xiàn)檢測(cè)、安全評(píng)估、安全加固等措施。隨著工業(yè)設(shè)備和應(yīng)用逐漸向云端擴(kuò)散，行業(yè)上下游企業(yè)不斷互聯(lián)，不法分子瞄準(zhǔn)這個(gè)機(jī)會(huì)，利用供應(yīng)鏈進(jìn)行攻擊。

　　第四，工業(yè)設(shè)備、機(jī)器和系統(tǒng)在運(yùn)維階段經(jīng)常被竊取數(shù)據(jù)和惡意攻擊。一方面，關(guān)鍵生產(chǎn)設(shè)備、控制設(shè)備、工業(yè)應(yīng)用軟件等產(chǎn)品經(jīng)常被國(guó)外廠商以遠(yuǎn)程運(yùn)維或診斷為由遠(yuǎn)程訪(fǎng)問(wèn)，以窺視我國(guó)工業(yè)生產(chǎn)過(guò)程。在中國(guó)，已經(jīng)發(fā)生了多起安全事故，比如某風(fēng)電場(chǎng)的風(fēng)機(jī)運(yùn)行數(shù)據(jù)被遠(yuǎn)程傳輸?shù)絿?guó)外。另一方面，工業(yè)軟件經(jīng)常被“污染”。工具包、協(xié)議棧、升級(jí)包、固件庫(kù)等組件往往被植入惡意程序，用戶(hù)下載后無(wú)需測(cè)試即可直接使用，導(dǎo)致系統(tǒng)被攻擊。

　　隨著國(guó)外對(duì)我國(guó)不斷的技術(shù)封鎖和滲透攻擊，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的安全問(wèn)題更加嚴(yán)峻。應(yīng)該如何應(yīng)對(duì)?

　　二，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全應(yīng)對(duì)思路

　　1.加強(qiáng)供應(yīng)鏈管理，支持國(guó)貨。

　　充分利用《網(wǎng)絡(luò)安全審查辦法》，建立工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全常態(tài)化管理機(jī)制。工業(yè)經(jīng)營(yíng)者在采購(gòu)產(chǎn)品和服務(wù)時(shí)，應(yīng)當(dāng)申請(qǐng)網(wǎng)絡(luò)安全審查，確保供應(yīng)鏈安全;行業(yè)主管部門(mén)要關(guān)注重點(diǎn)領(lǐng)域和行業(yè)，定期開(kāi)展供應(yīng)鏈安全檢查，企業(yè)要實(shí)施自我評(píng)估。對(duì)于國(guó)內(nèi)短期內(nèi)無(wú)法替代的產(chǎn)品，要做好供應(yīng)鏈建設(shè)，不斷完善供應(yīng)鏈生態(tài)系統(tǒng)，防止斷供斷貨。同時(shí)，加快國(guó)產(chǎn)化替代進(jìn)程，重點(diǎn)支持國(guó)內(nèi)企業(yè)，優(yōu)先部署國(guó)產(chǎn)產(chǎn)品，最大限度整合政、產(chǎn)、學(xué)、研、用等各界資源，實(shí)現(xiàn)關(guān)鍵設(shè)備、軟件、系統(tǒng)可用性、可靠性、安全性的突破，重構(gòu)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈架構(gòu)。

　　2.重視知識(shí)產(chǎn)權(quán)強(qiáng)化自主創(chuàng)新之路。

　　國(guó)內(nèi)工業(yè)企業(yè)在享受盜版軟件帶來(lái)的低價(jià)的同時(shí)，也面臨著法律和商業(yè)風(fēng)險(xiǎn)。企業(yè)要注意這個(gè)問(wèn)題。針對(duì)產(chǎn)業(yè)領(lǐng)域的短板，采取引進(jìn)、消化、吸收、再創(chuàng)新的策略，強(qiáng)化自主創(chuàng)新之路。高端工業(yè)軟件和核心技術(shù)是買(mǎi)不到、討論不到、竊取不到的。更關(guān)鍵的是從基礎(chǔ)做起，加強(qiáng)理論和前沿技術(shù)研究，做好設(shè)計(jì)，寫(xiě)好一行代碼。盜版軟件看似省錢(qián)又占便宜，實(shí)際上卻挫傷了自主創(chuàng)新的積極性，破壞了工業(yè)互聯(lián)網(wǎng)行業(yè)良性發(fā)展的基礎(chǔ)。要從源頭的供給側(cè)克服短板和短板，就要從根本上突破和解決供應(yīng)鏈斷供威脅。

　　3.基于網(wǎng)絡(luò)安全，全力保障供應(yīng)鏈安全。

　　首先，要正視供應(yīng)鏈網(wǎng)絡(luò)安全問(wèn)題。行業(yè)主管部門(mén)要盡快制定關(guān)鍵生產(chǎn)設(shè)備、精密零部件、核心控制設(shè)備、工業(yè)操作系統(tǒng)、工業(yè)交換機(jī)、應(yīng)用軟件等重要產(chǎn)品的進(jìn)口目錄、分類(lèi)分級(jí)，建立工業(yè)網(wǎng)絡(luò)安全審查和檢驗(yàn)制度。對(duì)于關(guān)系國(guó)計(jì)民生和國(guó)家安全的重要設(shè)備，在進(jìn)口時(shí)應(yīng)充分評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，經(jīng)審查合格后方可采購(gòu)。檢查電力、石油石化、航空航天、交通運(yùn)輸、水務(wù)等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正在使用的進(jìn)口工控產(chǎn)品的網(wǎng)絡(luò)安全。在國(guó)內(nèi)，堵住和避免安全漏洞和后門(mén)，從供應(yīng)鏈源頭保障安全。

　　其次，要重視供應(yīng)鏈的風(fēng)險(xiǎn)評(píng)估機(jī)制。企業(yè)應(yīng)當(dāng)利用安全檢測(cè)技術(shù)，如代碼審計(jì)、漏洞掃描、惡意代碼檢測(cè)、威脅監(jiān)控、攻防演練等技術(shù)手段，對(duì)關(guān)鍵設(shè)備、軟件、系統(tǒng)等工控產(chǎn)品進(jìn)行安全檢測(cè)和滲透測(cè)試，形成常態(tài)化的安全評(píng)估機(jī)制;建立工業(yè)軟件升級(jí)管理機(jī)制，從正規(guī)渠道購(gòu)買(mǎi)下載升級(jí)包，在測(cè)試環(huán)境下驗(yàn)證后再上線(xiàn);加強(qiáng)對(duì)供應(yīng)商的安全管理，在合同中明確雙方的安全責(zé)任和義務(wù)，對(duì)安全漏洞和后門(mén)要求免費(fèi)修復(fù)服務(wù)。同時(shí)，做好內(nèi)部員工的網(wǎng)絡(luò)安全培訓(xùn)，增強(qiáng)員工的安全意識(shí)，避免內(nèi)部員工引入的供應(yīng)鏈渠道劫持風(fēng)險(xiǎn)。

　　最后，要積極推進(jìn)工業(yè)互聯(lián)網(wǎng)安全防護(hù)建設(shè)。企業(yè)應(yīng)積極運(yùn)用人工智能、工業(yè)協(xié)議DPI、白名單、可信計(jì)算、威脅情報(bào)、知識(shí)地圖、態(tài)勢(shì)感知等技術(shù)。構(gòu)建工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全技術(shù)防御體系。加強(qiáng)關(guān)鍵生產(chǎn)設(shè)備、控制設(shè)備、工業(yè)主機(jī)、工業(yè)平臺(tái)應(yīng)用等產(chǎn)品的安全保護(hù)，從接入認(rèn)證、邊界安全、訪(fǎng)問(wèn)控制、入侵檢測(cè)、計(jì)算環(huán)境、應(yīng)用和數(shù)據(jù)安全等方面，構(gòu)建“全場(chǎng)景、可信、實(shí)用”的工業(yè)互聯(lián)網(wǎng)安全運(yùn)營(yíng)體系，最終實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)“全面防護(hù)、智能分析、自動(dòng)響應(yīng)”的防護(hù)效果。