黨的十九屆五中全會提出提升產(chǎn)業(yè)鏈供應(yīng)鏈現(xiàn)代化水平。這既是推動工業(yè)高質(zhì)量發(fā)展、建設(shè)制造強國的新途徑，也是加快構(gòu)建國內(nèi)大循環(huán)、國內(nèi)國際雙循環(huán)的新戰(zhàn)略，是實現(xiàn)二氧化碳排放峰值和碳中和戰(zhàn)略目標的新要求。然而，作為工業(yè)制造領(lǐng)域不可或缺的組織形式，隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展，安全問題更加突出。

　　一、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全問題

　　1.供應(yīng)鏈缺貨

　　中國的工業(yè)基礎(chǔ)薄弱。雖然已經(jīng)建立了龐大完整的工業(yè)體系，但關(guān)鍵基礎(chǔ)材料、精密零部件、芯片、高端生產(chǎn)設(shè)備、核心控制設(shè)備、工業(yè)操作系統(tǒng)、工業(yè)軟件等產(chǎn)品仍從國外進口，技術(shù)受制于人。報告稱，“工業(yè)和信息化部對國內(nèi)30多家大型企業(yè)的130多種關(guān)鍵基礎(chǔ)材料的調(diào)查顯示，32%的關(guān)鍵材料國內(nèi)尚屬空白;95%的高端專用芯片依賴國外，70%以上的智能終端處理器和存儲芯片依賴進口;95%的裝備制造和檢測設(shè)備依賴進口?！?/p>

　　隨著新冠肺炎疫情、中美關(guān)系和臺灣海峽局勢的惡化，全球經(jīng)濟陷入動蕩，這嚴重沖擊了中國的制造業(yè)供應(yīng)鏈。2020年和2021年，美國分別將147家中國實體和484家中國實體列入“實體清單”，并控制關(guān)鍵材料、零部件、芯片、核心設(shè)備和核心技術(shù)的出口，影響了中國制造業(yè)的發(fā)展。

　　2.工業(yè)盜版軟件

　　由于國外技術(shù)壟斷，價格昂貴，不法分子破解國外工業(yè)軟件，包括設(shè)計、R&D、仿真、生產(chǎn)、運營、管理，如設(shè)計CAD、CAM/CAE、仿真ANSYS，生產(chǎn)MES、DNC、SCADA軟件等。一段時間以來，工業(yè)盜版軟件確實解決了中國制造業(yè)的“有無問題”、“卡死”等問題，但工業(yè)盜版軟件也為中國制造業(yè)供應(yīng)鏈埋下了安全隱患。

　　一方面，知識產(chǎn)權(quán)是國外廠商保護的重點，打擊力度不斷加大。由此，中國企業(yè)在使用工業(yè)盜版軟件時，將承受巨大的法律風險、商業(yè)風險和品牌風險。另一方面，工業(yè)盜版軟件的盛行，降低了國產(chǎn)軟件的生存競爭力，失去了成長成熟的機會，制約了重構(gòu)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的速度。

　　3、供應(yīng)鏈網(wǎng)絡(luò)攻擊

　　在產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型過程中，上下游供應(yīng)鏈不斷拉長和互聯(lián)，導(dǎo)致企業(yè)的攻擊面增加，尤其是針對供應(yīng)商、渠道商、服務(wù)商和運維運營商。產(chǎn)品開發(fā)設(shè)計、生產(chǎn)、采購、交付、運營、使用、運維等環(huán)節(jié)安全事故頻發(fā)。

　　首先，工業(yè)設(shè)備、軟件、系統(tǒng)和其他產(chǎn)品在R&D和設(shè)計上存在缺陷。在早期工業(yè)控制系統(tǒng)和工業(yè)協(xié)議的設(shè)計和開發(fā)中，沒有考慮安全問題，加密、授權(quán)、認證機制和不斷暴露的安全漏洞是先天不足的。據(jù)CNVD統(tǒng)計，目前工業(yè)控制系統(tǒng)存在的安全漏洞超過3100個，主要涉及DCS、PLC、工業(yè)交換機、HMI、組態(tài)軟件等。以及剛剛爆發(fā)的Apache Log4j漏洞。Log4j是一個開源的Java日志庫，在工業(yè)領(lǐng)域也有廣泛的應(yīng)用。西門子、羅克韋爾、施耐德等廠商相繼表態(tài)，旗下部分產(chǎn)品存在Log4j漏洞。這些設(shè)計上的缺陷和漏洞，不排除被外國勢力用來窺視中國的工業(yè)生產(chǎn)。

　　第二，供應(yīng)商和渠道商在發(fā)貨過程中被黑客劫持。關(guān)鍵工業(yè)生產(chǎn)設(shè)備、控制系統(tǒng)等產(chǎn)品在生產(chǎn)、采購、銷售、物流、交付等供應(yīng)渠道被黑客劫持。比如伊朗Stuxnet事件，是美國和以色列軍方針對設(shè)備供應(yīng)商和系統(tǒng)集成商精心策劃的網(wǎng)絡(luò)攻擊，植入了“Stuxnet”病毒，會被工程師帶到調(diào)試環(huán)境中，攻擊具有潛伏性。

　　三是工控系統(tǒng)上線運行使用，網(wǎng)絡(luò)安全防護不足。由于工業(yè)控制系統(tǒng)長期處于獨立封閉的環(huán)境中，企業(yè)操作人員安全意識不足，工業(yè)控制系統(tǒng)幾乎沒有防護措施，處于“裸奔”狀態(tài)。整體來看，沒有從系統(tǒng)調(diào)試、上線、運營、使用等方面的控制機制，沒有供應(yīng)鏈風險評估機制、上線檢測、安全評估、安全加固等措施。隨著工業(yè)設(shè)備和應(yīng)用逐漸向云端擴散，行業(yè)上下游企業(yè)不斷互聯(lián)，不法分子瞄準這個機會，利用供應(yīng)鏈進行攻擊。

　　第四，工業(yè)設(shè)備、機器和系統(tǒng)在運維階段經(jīng)常被竊取數(shù)據(jù)和惡意攻擊。一方面，關(guān)鍵生產(chǎn)設(shè)備、控制設(shè)備、工業(yè)應(yīng)用軟件等產(chǎn)品經(jīng)常被國外廠商以遠程運維或診斷為由遠程訪問，以窺視我國工業(yè)生產(chǎn)過程。在中國，已經(jīng)發(fā)生了多起安全事故，比如某風電場的風機運行數(shù)據(jù)被遠程傳輸?shù)絿?。另一方面，工業(yè)軟件經(jīng)常被“污染”。工具包、協(xié)議棧、升級包、固件庫等組件往往被植入惡意程序，用戶下載后無需測試即可直接使用，導(dǎo)致系統(tǒng)被攻擊。

　　隨著國外對我國不斷的技術(shù)封鎖和滲透攻擊，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的安全問題更加嚴峻。應(yīng)該如何應(yīng)對?

　　二，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全應(yīng)對思路

　　1.加強供應(yīng)鏈管理，支持國貨。

　　充分利用《網(wǎng)絡(luò)安全審查辦法》，建立工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全常態(tài)化管理機制。工業(yè)經(jīng)營者在采購產(chǎn)品和服務(wù)時，應(yīng)當申請網(wǎng)絡(luò)安全審查，確保供應(yīng)鏈安全;行業(yè)主管部門要關(guān)注重點領(lǐng)域和行業(yè)，定期開展供應(yīng)鏈安全檢查，企業(yè)要實施自我評估。對于國內(nèi)短期內(nèi)無法替代的產(chǎn)品，要做好供應(yīng)鏈建設(shè)，不斷完善供應(yīng)鏈生態(tài)系統(tǒng)，防止斷供斷貨。同時，加快國產(chǎn)化替代進程，重點支持國內(nèi)企業(yè)，優(yōu)先部署國產(chǎn)產(chǎn)品，最大限度整合政、產(chǎn)、學、研、用等各界資源，實現(xiàn)關(guān)鍵設(shè)備、軟件、系統(tǒng)可用性、可靠性、安全性的突破，重構(gòu)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈架構(gòu)。

　　2.重視知識產(chǎn)權(quán)強化自主創(chuàng)新之路。

　　國內(nèi)工業(yè)企業(yè)在享受盜版軟件帶來的低價的同時，也面臨著法律和商業(yè)風險。企業(yè)要注意這個問題。針對產(chǎn)業(yè)領(lǐng)域的短板，采取引進、消化、吸收、再創(chuàng)新的策略，強化自主創(chuàng)新之路。高端工業(yè)軟件和核心技術(shù)是買不到、討論不到、竊取不到的。更關(guān)鍵的是從基礎(chǔ)做起，加強理論和前沿技術(shù)研究，做好設(shè)計，寫好一行代碼。盜版軟件看似省錢又占便宜，實際上卻挫傷了自主創(chuàng)新的積極性，破壞了工業(yè)互聯(lián)網(wǎng)行業(yè)良性發(fā)展的基礎(chǔ)。要從源頭的供給側(cè)克服短板和短板，就要從根本上突破和解決供應(yīng)鏈斷供威脅。

　　3.基于網(wǎng)絡(luò)安全，全力保障供應(yīng)鏈安全。

　　首先，要正視供應(yīng)鏈網(wǎng)絡(luò)安全問題。行業(yè)主管部門要盡快制定關(guān)鍵生產(chǎn)設(shè)備、精密零部件、核心控制設(shè)備、工業(yè)操作系統(tǒng)、工業(yè)交換機、應(yīng)用軟件等重要產(chǎn)品的進口目錄、分類分級，建立工業(yè)網(wǎng)絡(luò)安全審查和檢驗制度。對于關(guān)系國計民生和國家安全的重要設(shè)備，在進口時應(yīng)充分評估網(wǎng)絡(luò)安全風險，經(jīng)審查合格后方可采購。檢查電力、石油石化、航空航天、交通運輸、水務(wù)等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正在使用的進口工控產(chǎn)品的網(wǎng)絡(luò)安全。在國內(nèi)，堵住和避免安全漏洞和后門，從供應(yīng)鏈源頭保障安全。

　　其次，要重視供應(yīng)鏈的風險評估機制。企業(yè)應(yīng)當利用安全檢測技術(shù)，如代碼審計、漏洞掃描、惡意代碼檢測、威脅監(jiān)控、攻防演練等技術(shù)手段，對關(guān)鍵設(shè)備、軟件、系統(tǒng)等工控產(chǎn)品進行安全檢測和滲透測試，形成常態(tài)化的安全評估機制;建立工業(yè)軟件升級管理機制，從正規(guī)渠道購買下載升級包，在測試環(huán)境下驗證后再上線;加強對供應(yīng)商的安全管理，在合同中明確雙方的安全責任和義務(wù)，對安全漏洞和后門要求免費修復(fù)服務(wù)。同時，做好內(nèi)部員工的網(wǎng)絡(luò)安全培訓，增強員工的安全意識，避免內(nèi)部員工引入的供應(yīng)鏈渠道劫持風險。

　　最后，要積極推進工業(yè)互聯(lián)網(wǎng)安全防護建設(shè)。企業(yè)應(yīng)積極運用人工智能、工業(yè)協(xié)議DPI、白名單、可信計算、威脅情報、知識地圖、態(tài)勢感知等技術(shù)。構(gòu)建工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全技術(shù)防御體系。加強關(guān)鍵生產(chǎn)設(shè)備、控制設(shè)備、工業(yè)主機、工業(yè)平臺應(yīng)用等產(chǎn)品的安全保護，從接入認證、邊界安全、訪問控制、入侵檢測、計算環(huán)境、應(yīng)用和數(shù)據(jù)安全等方面，構(gòu)建“全場景、可信、實用”的工業(yè)互聯(lián)網(wǎng)安全運營體系，最終實現(xiàn)工業(yè)互聯(lián)網(wǎng)“全面防護、智能分析、自動響應(yīng)”的防護效果。