六月丁香 五月婷婷小说_资源库最新版在线_成人片色黄在线观看_欧美 中文字幕 日韩_国产人成高清亚洲精品_国产欧美一级天堂_国产午夜激无码av毛片不卡_香蕉伊伊色综合成人网_亚洲欧美日韩精品综久久久_精品视频一区二区在线观看免费

申請(qǐng)?bào)w驗(yàn)

互聯(lián)網(wǎng)上工業(yè)供應(yīng)鏈的安全問(wèn)題及對(duì)策

來(lái)源: 深圳市大創(chuàng)科技信息有限公司 人氣:797 發(fā)表時(shí)間:2022/06/14 10:25:55

  黨的十九屆五中全會(huì)提出提升產(chǎn)業(yè)鏈供應(yīng)鏈現(xiàn)代化水平。這既是推動(dòng)工業(yè)高質(zhì)量發(fā)展、建設(shè)制造強(qiáng)國(guó)的新途徑,也是加快構(gòu)建國(guó)內(nèi)大循環(huán)、國(guó)內(nèi)國(guó)際雙循環(huán)的新戰(zhàn)略,是實(shí)現(xiàn)二氧化碳排放峰值和碳中和戰(zhàn)略目標(biāo)的新要求。然而,作為工業(yè)制造領(lǐng)域不可或缺的組織形式,隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展,安全問(wèn)題更加突出。


proImg8-2_4.jpg


  一、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全問(wèn)題


  1.供應(yīng)鏈缺貨

  中國(guó)的工業(yè)基礎(chǔ)薄弱。雖然已經(jīng)建立了龐大完整的工業(yè)體系,但關(guān)鍵基礎(chǔ)材料、精密零部件、芯片、高端生產(chǎn)設(shè)備、核心控制設(shè)備、工業(yè)操作系統(tǒng)、工業(yè)軟件等產(chǎn)品仍從國(guó)外進(jìn)口,技術(shù)受制于人。報(bào)告稱(chēng),“工業(yè)和信息化部對(duì)國(guó)內(nèi)30多家大型企業(yè)的130多種關(guān)鍵基礎(chǔ)材料的調(diào)查顯示,32%的關(guān)鍵材料國(guó)內(nèi)尚屬空白;95%的高端專(zhuān)用芯片依賴(lài)國(guó)外,70%以上的智能終端處理器和存儲(chǔ)芯片依賴(lài)進(jìn)口;95%的裝備制造和檢測(cè)設(shè)備依賴(lài)進(jìn)口?!?/p>

  隨著新冠肺炎疫情、中美關(guān)系和臺(tái)灣海峽局勢(shì)的惡化,全球經(jīng)濟(jì)陷入動(dòng)蕩,這嚴(yán)重沖擊了中國(guó)的制造業(yè)供應(yīng)鏈。2020年和2021年,美國(guó)分別將147家中國(guó)實(shí)體和484家中國(guó)實(shí)體列入“實(shí)體清單”,并控制關(guān)鍵材料、零部件、芯片、核心設(shè)備和核心技術(shù)的出口,影響了中國(guó)制造業(yè)的發(fā)展。

  2.工業(yè)盜版軟件

  由于國(guó)外技術(shù)壟斷,價(jià)格昂貴,不法分子破解國(guó)外工業(yè)軟件,包括設(shè)計(jì)、R&D、仿真、生產(chǎn)、運(yùn)營(yíng)、管理,如設(shè)計(jì)CAD、CAM/CAE、仿真ANSYS,生產(chǎn)MES、DNC、SCADA軟件等。一段時(shí)間以來(lái),工業(yè)盜版軟件確實(shí)解決了中國(guó)制造業(yè)的“有無(wú)問(wèn)題”、“卡死”等問(wèn)題,但工業(yè)盜版軟件也為中國(guó)制造業(yè)供應(yīng)鏈埋下了安全隱患。

  一方面,知識(shí)產(chǎn)權(quán)是國(guó)外廠商保護(hù)的重點(diǎn),打擊力度不斷加大。由此,中國(guó)企業(yè)在使用工業(yè)盜版軟件時(shí),將承受巨大的法律風(fēng)險(xiǎn)、商業(yè)風(fēng)險(xiǎn)和品牌風(fēng)險(xiǎn)。另一方面,工業(yè)盜版軟件的盛行,降低了國(guó)產(chǎn)軟件的生存競(jìng)爭(zhēng)力,失去了成長(zhǎng)成熟的機(jī)會(huì),制約了重構(gòu)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的速度。

  3、供應(yīng)鏈網(wǎng)絡(luò)攻擊

  在產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中,上下游供應(yīng)鏈不斷拉長(zhǎng)和互聯(lián),導(dǎo)致企業(yè)的攻擊面增加,尤其是針對(duì)供應(yīng)商、渠道商、服務(wù)商和運(yùn)維運(yùn)營(yíng)商。產(chǎn)品開(kāi)發(fā)設(shè)計(jì)、生產(chǎn)、采購(gòu)、交付、運(yùn)營(yíng)、使用、運(yùn)維等環(huán)節(jié)安全事故頻發(fā)。

  首先,工業(yè)設(shè)備、軟件、系統(tǒng)和其他產(chǎn)品在R&D和設(shè)計(jì)上存在缺陷。在早期工業(yè)控制系統(tǒng)和工業(yè)協(xié)議的設(shè)計(jì)和開(kāi)發(fā)中,沒(méi)有考慮安全問(wèn)題,加密、授權(quán)、認(rèn)證機(jī)制和不斷暴露的安全漏洞是先天不足的。據(jù)CNVD統(tǒng)計(jì),目前工業(yè)控制系統(tǒng)存在的安全漏洞超過(guò)3100個(gè),主要涉及DCS、PLC、工業(yè)交換機(jī)、HMI、組態(tài)軟件等。以及剛剛爆發(fā)的Apache Log4j漏洞。Log4j是一個(gè)開(kāi)源的Java日志庫(kù),在工業(yè)領(lǐng)域也有廣泛的應(yīng)用。西門(mén)子、羅克韋爾、施耐德等廠商相繼表態(tài),旗下部分產(chǎn)品存在Log4j漏洞。這些設(shè)計(jì)上的缺陷和漏洞,不排除被外國(guó)勢(shì)力用來(lái)窺視中國(guó)的工業(yè)生產(chǎn)。

  第二,供應(yīng)商和渠道商在發(fā)貨過(guò)程中被黑客劫持。關(guān)鍵工業(yè)生產(chǎn)設(shè)備、控制系統(tǒng)等產(chǎn)品在生產(chǎn)、采購(gòu)、銷(xiāo)售、物流、交付等供應(yīng)渠道被黑客劫持。比如伊朗Stuxnet事件,是美國(guó)和以色列軍方針對(duì)設(shè)備供應(yīng)商和系統(tǒng)集成商精心策劃的網(wǎng)絡(luò)攻擊,植入了“Stuxnet”病毒,會(huì)被工程師帶到調(diào)試環(huán)境中,攻擊具有潛伏性。

  三是工控系統(tǒng)上線(xiàn)運(yùn)行使用,網(wǎng)絡(luò)安全防護(hù)不足。由于工業(yè)控制系統(tǒng)長(zhǎng)期處于獨(dú)立封閉的環(huán)境中,企業(yè)操作人員安全意識(shí)不足,工業(yè)控制系統(tǒng)幾乎沒(méi)有防護(hù)措施,處于“裸奔”狀態(tài)。整體來(lái)看,沒(méi)有從系統(tǒng)調(diào)試、上線(xiàn)、運(yùn)營(yíng)、使用等方面的控制機(jī)制,沒(méi)有供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估機(jī)制、上線(xiàn)檢測(cè)、安全評(píng)估、安全加固等措施。隨著工業(yè)設(shè)備和應(yīng)用逐漸向云端擴(kuò)散,行業(yè)上下游企業(yè)不斷互聯(lián),不法分子瞄準(zhǔn)這個(gè)機(jī)會(huì),利用供應(yīng)鏈進(jìn)行攻擊。

  第四,工業(yè)設(shè)備、機(jī)器和系統(tǒng)在運(yùn)維階段經(jīng)常被竊取數(shù)據(jù)和惡意攻擊。一方面,關(guān)鍵生產(chǎn)設(shè)備、控制設(shè)備、工業(yè)應(yīng)用軟件等產(chǎn)品經(jīng)常被國(guó)外廠商以遠(yuǎn)程運(yùn)維或診斷為由遠(yuǎn)程訪(fǎng)問(wèn),以窺視我國(guó)工業(yè)生產(chǎn)過(guò)程。在中國(guó),已經(jīng)發(fā)生了多起安全事故,比如某風(fēng)電場(chǎng)的風(fēng)機(jī)運(yùn)行數(shù)據(jù)被遠(yuǎn)程傳輸?shù)絿?guó)外。另一方面,工業(yè)軟件經(jīng)常被“污染”。工具包、協(xié)議棧、升級(jí)包、固件庫(kù)等組件往往被植入惡意程序,用戶(hù)下載后無(wú)需測(cè)試即可直接使用,導(dǎo)致系統(tǒng)被攻擊。

  隨著國(guó)外對(duì)我國(guó)不斷的技術(shù)封鎖和滲透攻擊,工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的安全問(wèn)題更加嚴(yán)峻。應(yīng)該如何應(yīng)對(duì)?


  二,工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全應(yīng)對(duì)思路


  1.加強(qiáng)供應(yīng)鏈管理,支持國(guó)貨。

  充分利用《網(wǎng)絡(luò)安全審查辦法》,建立工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全常態(tài)化管理機(jī)制。工業(yè)經(jīng)營(yíng)者在采購(gòu)產(chǎn)品和服務(wù)時(shí),應(yīng)當(dāng)申請(qǐng)網(wǎng)絡(luò)安全審查,確保供應(yīng)鏈安全;行業(yè)主管部門(mén)要關(guān)注重點(diǎn)領(lǐng)域和行業(yè),定期開(kāi)展供應(yīng)鏈安全檢查,企業(yè)要實(shí)施自我評(píng)估。對(duì)于國(guó)內(nèi)短期內(nèi)無(wú)法替代的產(chǎn)品,要做好供應(yīng)鏈建設(shè),不斷完善供應(yīng)鏈生態(tài)系統(tǒng),防止斷供斷貨。同時(shí),加快國(guó)產(chǎn)化替代進(jìn)程,重點(diǎn)支持國(guó)內(nèi)企業(yè),優(yōu)先部署國(guó)產(chǎn)產(chǎn)品,最大限度整合政、產(chǎn)、學(xué)、研、用等各界資源,實(shí)現(xiàn)關(guān)鍵設(shè)備、軟件、系統(tǒng)可用性、可靠性、安全性的突破,重構(gòu)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈架構(gòu)。

  2.重視知識(shí)產(chǎn)權(quán)強(qiáng)化自主創(chuàng)新之路。

  國(guó)內(nèi)工業(yè)企業(yè)在享受盜版軟件帶來(lái)的低價(jià)的同時(shí),也面臨著法律和商業(yè)風(fēng)險(xiǎn)。企業(yè)要注意這個(gè)問(wèn)題。針對(duì)產(chǎn)業(yè)領(lǐng)域的短板,采取引進(jìn)、消化、吸收、再創(chuàng)新的策略,強(qiáng)化自主創(chuàng)新之路。高端工業(yè)軟件和核心技術(shù)是買(mǎi)不到、討論不到、竊取不到的。更關(guān)鍵的是從基礎(chǔ)做起,加強(qiáng)理論和前沿技術(shù)研究,做好設(shè)計(jì),寫(xiě)好一行代碼。盜版軟件看似省錢(qián)又占便宜,實(shí)際上卻挫傷了自主創(chuàng)新的積極性,破壞了工業(yè)互聯(lián)網(wǎng)行業(yè)良性發(fā)展的基礎(chǔ)。要從源頭的供給側(cè)克服短板和短板,就要從根本上突破和解決供應(yīng)鏈斷供威脅。

  3.基于網(wǎng)絡(luò)安全,全力保障供應(yīng)鏈安全。

  首先,要正視供應(yīng)鏈網(wǎng)絡(luò)安全問(wèn)題。行業(yè)主管部門(mén)要盡快制定關(guān)鍵生產(chǎn)設(shè)備、精密零部件、核心控制設(shè)備、工業(yè)操作系統(tǒng)、工業(yè)交換機(jī)、應(yīng)用軟件等重要產(chǎn)品的進(jìn)口目錄、分類(lèi)分級(jí),建立工業(yè)網(wǎng)絡(luò)安全審查和檢驗(yàn)制度。對(duì)于關(guān)系國(guó)計(jì)民生和國(guó)家安全的重要設(shè)備,在進(jìn)口時(shí)應(yīng)充分評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn),經(jīng)審查合格后方可采購(gòu)。檢查電力、石油石化、航空航天、交通運(yùn)輸、水務(wù)等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正在使用的進(jìn)口工控產(chǎn)品的網(wǎng)絡(luò)安全。在國(guó)內(nèi),堵住和避免安全漏洞和后門(mén),從供應(yīng)鏈源頭保障安全。

  其次,要重視供應(yīng)鏈的風(fēng)險(xiǎn)評(píng)估機(jī)制。企業(yè)應(yīng)當(dāng)利用安全檢測(cè)技術(shù),如代碼審計(jì)、漏洞掃描、惡意代碼檢測(cè)、威脅監(jiān)控、攻防演練等技術(shù)手段,對(duì)關(guān)鍵設(shè)備、軟件、系統(tǒng)等工控產(chǎn)品進(jìn)行安全檢測(cè)和滲透測(cè)試,形成常態(tài)化的安全評(píng)估機(jī)制;建立工業(yè)軟件升級(jí)管理機(jī)制,從正規(guī)渠道購(gòu)買(mǎi)下載升級(jí)包,在測(cè)試環(huán)境下驗(yàn)證后再上線(xiàn);加強(qiáng)對(duì)供應(yīng)商的安全管理,在合同中明確雙方的安全責(zé)任和義務(wù),對(duì)安全漏洞和后門(mén)要求免費(fèi)修復(fù)服務(wù)。同時(shí),做好內(nèi)部員工的網(wǎng)絡(luò)安全培訓(xùn),增強(qiáng)員工的安全意識(shí),避免內(nèi)部員工引入的供應(yīng)鏈渠道劫持風(fēng)險(xiǎn)。

  最后,要積極推進(jìn)工業(yè)互聯(lián)網(wǎng)安全防護(hù)建設(shè)。企業(yè)應(yīng)積極運(yùn)用人工智能、工業(yè)協(xié)議DPI、白名單、可信計(jì)算、威脅情報(bào)、知識(shí)地圖、態(tài)勢(shì)感知等技術(shù)。構(gòu)建工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全技術(shù)防御體系。加強(qiáng)關(guān)鍵生產(chǎn)設(shè)備、控制設(shè)備、工業(yè)主機(jī)、工業(yè)平臺(tái)應(yīng)用等產(chǎn)品的安全保護(hù),從接入認(rèn)證、邊界安全、訪(fǎng)問(wèn)控制、入侵檢測(cè)、計(jì)算環(huán)境、應(yīng)用和數(shù)據(jù)安全等方面,構(gòu)建“全場(chǎng)景、可信、實(shí)用”的工業(yè)互聯(lián)網(wǎng)安全運(yùn)營(yíng)體系,最終實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)“全面防護(hù)、智能分析、自動(dòng)響應(yīng)”的防護(hù)效果。