网易首页 > 网易号 > 正文 申请入驻

工业互联网供应链网络安全防护体系研究

0
分享至

通信世界网消息(CWW)随着新型工业化步伐加快、网络强国和制造强国建设扎实推进,网络化、数字化、智能化成为工业企业转型升级的重要方向。近年来,我国通过出台工业互联网顶层设计并持续推动政策法规落地实施,助力工业企业联网率逐步攀升。工业互联网通过“人、机、物”互联,推动工业经济实现全要素、全产业链、全价值链的网络化连接,构建新型工业生产制造服务体系,助推制造业实现高质量发展。提升工业互联网供应链安全水平和自主可控能力,是供应链上下游健康发展的基础,也是护航新型工业化的重要因素。本文介绍了工业互联网供应链攻击和风险要素,建议从工业互联网供应链生命周期安全防护、供应商和服务商管理、制度建设和人员管理三方面加强工业互联网供应链安全防护体系建设。

工业互联网供应链安全分析

我国工业企业涉及行业众多,工业互联网平台企业不断涌现,规上工业企业借助工业互联网提质增效的意图明显,但信息和安全类企业还未达到国际先进水平,工业互联网供应链仍面临较大的网络安全风险,一旦供应链上的节点被攻击,供应链上的相关企业(如固件、组件、软件、系统的使用企业和平台企业)将面临巨大威胁。

工业互联网供应链

工业互联网供应链是为满足供应方和需求方之间的供需关系,通过资源将双方相互连接的网链结构,可将工业互联网产品或服务提供给需求方。工业互联网供应链产品包括固件、组件、软件和系统,例如工业主机中的固件、SCADA(数据采集与监视控制系统)、工业APP、MES(生产执行系统)等。工业互联网供应链服务包括云服务、运维服务等,例如公有云平台、运维平台等。

工业互联网供应链攻击

工业互联网供应链攻击是指攻击者利用工业互联网相关企业(包括应用工业互联网的企业、平台企业或标识解析企业)供应链体系的薄弱环节,向整个供应链传播恶意代码或攻击企业的基础设施,从而破坏或窃取相关企业的敏感数据。不同于传统的网络“钓鱼”和社会工程学攻击,工业互联网供应链遭到攻击将导致整个供应链被注入恶意代码,影响该企业甚至上下游多个企业的生产和运营。

工业互联网供应链安全风险识别

从企业角度看,工业互联网供应链面临的风险主要来自产品及服务的生命周期、采购、运营三个层面。

产品及服务的生命周期风险,即企业在设计、开发、测试、使用、运维、废止软件或系统,以及接入平台过程中引入的网络安全风险。2021年12月,Apache Log4j被曝存在远程代码执行漏洞。作为一款开源日志组件,Log4j被众多Java框架广泛采用,其漏洞的影响范围涉及所有使用该组件的软件。

采购风险,即企业采购的产品或服务带有漏洞、恶意代码或“后门”,攻击者将产品或服务作为跳板进行网络攻击或窃取数据,为整个工业互联网供应链带来风险。2018年台积电发生一起生产线感染WannaCry(一种“蠕虫式”的勒索病毒软件)病毒变种的事件。这个事件的起因是一批新接入生产线的计算机带有病毒,上游设备供应商未对计算机进行严格的安全检查和病毒扫描,同时台积电也未对新上线的设备进行严格的安全检查和病毒扫描,从而导致了安全事故,这给台积电的生产和声誉造成了重大损失。

运营风险,即企业在实际运作过程中,因管理机制有所缺失或不完善,导致风险识别、处置和防范等工作不到位所引发的风险。2022年3月,网络安全企业Okta透露,一家供应商(Sitel)遭到攻击,导致公司部分数据被窃取。后续的调查显示,这家供应商的一名员工通过其个人笔记本电脑为用户提供服务,人员及设备的管理不当对供应链安全造成了重大影响。

工业互联网供应链安全防护体系

当前,软件供应链和ICT(信息与通信技术)供应链相关的安全防护研究较多。相比软件供应链,工业互联网供应链资产要素多、行业应用场景多样;相比ICT供应链,工业互联网供应链实际运作更为复杂、供应商网络安全管理能力偏弱。因此,在参考软件和ICT供应链安全的基础上,企业要锚定风险点,从工业互联网供应链生命周期安全防护、供应商和服务商管理、制度建设和人员管理三方面加强工业互联网供应链安全防护体系建设。

工业互联网供应链生命周期安全防护

针对产品及服务的生命周期风险,企业应根据自研产品的不同阶段、使用代码的不同来源、服务的接入情况,采取适宜的安全防护手段。

对于自研软件和系统,企业在设计阶段,根据行业典型场景及企业实际运作需要进行安全需求分析,采用安全的架构和设计模型,确定身份鉴别与访问控制机制;在开发阶段,根据安全的编码规范,在安全的编译环境下,使用安全的编码工具,防止生成缺陷代码,导致出现漏洞、恶意代码或“后门”;在测试阶段,使用安全的代码审计工具、漏洞扫描工具、渗透测试工具进行代码分析和漏洞扫描,及时发现代码缺陷、逻辑问题以及漏洞;在使用阶段,根据安全设计进行安全配置,确认基于业务、角色和权限的身份鉴别及访问控制机制,定期或在发生信息安全事件时进行病毒查杀及漏洞扫描,发现安全隐患后及时进行维护;在运维阶段,确保在安全的前提下,按照实际需要进行产品升级、漏洞修复或安全加固,完成后开展相应的安全性测试、完整性校验;在废止阶段,按照废止处理流程进行数据处理、软件移除及系统停用,对代码和数据进行安全处理和保护。

对于开源组件、软件和系统,企业在对其来源进行评审并确定安全可靠的前提下,无需考虑设计安全和开发安全,其他生命周期安全防护与自研软件和系统的安全防护流程一致。

对于采购组件、软件和系统,企业应通过合同或者协议对供应商进行约束,要求供应商及时进行产品升级、安全异常提醒和安全维护。若供应商已中断维护服务,企业应自发定期进行漏洞扫描和渗透测试,并关注所使用组件、软件和系统的网络安全事件和漏洞发布情况,发现漏洞后自发或通过第三方服务商进行产品升级、漏洞修复及安全加固。

对于采购硬件中的固件,企业同样要通过合同或者协议对供应商进行约束,要求供应商及时进行安全异常提醒和安全维护。若供应商已中断维护服务,企业应自发定期进行漏洞扫描,并关注固件相关网络安全事件的发布情况,必要时自发或通过第三方服务商进行固件漏洞修复或提升固件的安全能力。

对于接入的平台,企业要通过配置核查,确保身份鉴别、访问控制、传输安全和接口防护符合自身安全要求。

供应商和服务商管理

针对采购风险,为加强对供应商和服务商的供应链安全管理,应用工业互联网的企业、平台企业或标识解析企业可建立供应商和服务商名录并进行维护,在采购产品和服务前对供应商和服务商进行初评并定期进行复评,评定内容包括但不限于中断供应的可能性、企业网络安全建设能力、网络安全事件响应能力、一级供应商对二级供应商的网络安全约束能力等,确保供应商和服务商所提供的产品和服务具有网络安全防护和事件处置能力。同时,基于华为被断供的前车之鉴,企业可优先选取国内的供应商和服务商,通过多元化方式避免断供造成的网络安全损失。企业可在合同或协议中对所采购的产品和服务进行约束,一旦遭到供应链攻击相关的网络安全事件,供应商或服务商要及时响应并处置,包括及时告知新发现漏洞、修复漏洞、软件或系统升级等。对于工业互联网平台企业,还应考虑接口安全,设置双向的身份鉴别和访问控制,避免攻击者对平台本身及接入平台企业进行非法访问造成的数据篡改和窃取。

制度建设和人员管理

针对运营风险,企业可以从制度建设和人员管理两方面进行规范化管理,形成有效保护供应链安全的机制。

在制度建设方面,企业根据自身行业和业务特点形成符合自身要求的管理制度,包括但不限于配置管理、资产管理、采购管理、运维管理、人员管理等。由于工业互联网供应链涉及固件、组件、软件和系统,企业在梳理资产的基础上可形成基于组件的物料清单和构成图谱,并定期对其进行维护,一旦发生变化,及时验证其完整性和安全性。企业也可形成基于代码、组件、软件、系统清单的源代码库和漏洞库,并进行维护。同时,企业基于审计、数据备份及恢复,制定针对供应链安全的应急预案并定期进行演练,以便在遭到攻击后迅速响应。最后,企业定期对供应链安全进行风险识别和评估,确定相应的风险级别,通过审批进行风险处置。

在人员管理方面,首先要完善人员能力,对工业互联网供应链安全相关的技术操作人员、软件开发测试人员和网络安全管理人员等进行供应链安全和制度相关的技术、管理培训,使其具备供应链要素识别、风险管理、安全配置和漏洞处理等能力,并能意识到工业互联网供应链安全对于企业的重要性,避免进行误操作。其次是强化员工道德约束,依据角色划分权限确定员工职责,制定员工违规行为的惩戒措施,必要时签订协议并设置“AB角色”,保障企业免于社会工程学攻击。对于重要工业企业和工业互联网平台企业,可配置供应链安全保障团队,对人员背景进行调查,确保员工能够应对供应链安全突发事件,具备安全事件分析和应急处置能力。

结语

我国坚持工业互联网发展与安全并重,供应链安全是工业互联网健康发展的重要保障。本文基于工业互联网供应链资产要素及企业类型,提出建设、采购和日常管理三个层面的风险。针对三个层面的风险,构建工业互联网供应链安全防护体系。后续,随着卫星通信、区块链、大数据、人工智能等新技术的不断发展和应用,工业互联网供应链安全防护体系也应在政策指导、指南要求及事件驱动下不断更新。

*本文刊载于《通信世界》

总第942期 2024年4月25日 第8期

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
拒签率飙到80%,遣返人数翻两倍!印度人怎么突然被踢出了"朋友圈"?

拒签率飙到80%,遣返人数翻两倍!印度人怎么突然被踢出了"朋友圈"?

阿柒的讯
2026-07-01 09:46:13
002458,涨停!业绩预增超78倍

002458,涨停!业绩预增超78倍

每日经济新闻
2026-07-01 12:18:07
孩子是否优秀,90%取决于爸爸

孩子是否优秀,90%取决于爸爸

十点读书
2026-06-23 21:40:22
固态电池神话彻底破灭,中科院曾连发"王炸",电池行业迎来变局

固态电池神话彻底破灭,中科院曾连发"王炸",电池行业迎来变局

黑翼天使
2026-06-24 13:56:28
58年岑云端为毛主席伴舞,毛主席:你家和清朝那个大官什么关系?

58年岑云端为毛主席伴舞,毛主席:你家和清朝那个大官什么关系?

舆图看世界
2026-06-17 13:45:03
大学快毕业了才懂:大学期间不拿奖学金、不入党也要重视这件事

大学快毕业了才懂:大学期间不拿奖学金、不入党也要重视这件事

户外阿毽
2026-06-30 05:32:15
确定降薪,还要推迟续约!哈登是否该考虑,离开骑士和小卡重聚?

确定降薪,还要推迟续约!哈登是否该考虑,离开骑士和小卡重聚?

老梁体育漫谈
2026-07-01 13:14:26
做肠镜再也不用灌泻药了!上海医院传来好消息,老人小孩都能用

做肠镜再也不用灌泻药了!上海医院传来好消息,老人小孩都能用

路医生健康科普
2026-06-30 21:40:03
百吨王闯卡后续!警方介入,车辆全被扣,女子真容曝光,恐要坐牢

百吨王闯卡后续!警方介入,车辆全被扣,女子真容曝光,恐要坐牢

社会日日鲜
2026-06-30 15:01:51
孙俪在后台逮住杨紫,开口就问:拿了白玉兰,有新戏能不能推荐推荐我?杨紫接得飞快

孙俪在后台逮住杨紫,开口就问:拿了白玉兰,有新戏能不能推荐推荐我?杨紫接得飞快

陈意小可爱
2026-06-30 01:55:15
多股涨停!存储芯片概念,集体大涨

多股涨停!存储芯片概念,集体大涨

中国能源网
2026-07-01 11:58:06
WTT美国大满贯7月2日赛程:中日强强对决!国乒约战张本美和等人

WTT美国大满贯7月2日赛程:中日强强对决!国乒约战张本美和等人

全言作品
2026-07-01 12:58:30
德国爆发全国铁路故障后,德媒刊文:这更证明不能用中国设备

德国爆发全国铁路故障后,德媒刊文:这更证明不能用中国设备

王嚾晓
2026-06-30 22:16:32
2分钟涨停!002407,3连板

2分钟涨停!002407,3连板

证券时报
2026-07-01 10:13:08
儿媳过生日我转6666,结果被儿子退回,我去儿子家一看,当场愣住

儿媳过生日我转6666,结果被儿子退回,我去儿子家一看,当场愣住

千秋文化
2026-06-26 19:48:58
韩红风波最新后续!本人发声,自愿退出公益行业,网友集体破防

韩红风波最新后续!本人发声,自愿退出公益行业,网友集体破防

简简单单的说
2026-06-30 15:12:38
果然早有准备?詹姆斯确定离队后,湖人迅速谈成两笔补强

果然早有准备?詹姆斯确定离队后,湖人迅速谈成两笔补强

移动挡拆
2026-07-01 15:20:22
泽连斯基对普京的回应

泽连斯基对普京的回应

名人苟或
2026-06-30 17:27:45
7月1日凌晨美国大满贯女单16强诞生!张本美和零封,韩莹打出11-2

7月1日凌晨美国大满贯女单16强诞生!张本美和零封,韩莹打出11-2

舟望停云
2026-07-01 16:57:58
姆巴佩只谈团结,这支法国队只有阿根廷配得上顶峰相见?

姆巴佩只谈团结,这支法国队只有阿根廷配得上顶峰相见?

澎湃新闻
2026-07-01 11:14:27
2026-07-01 17:44:49
通信世界 incentive-icons
通信世界
多维度 全媒体 整合传播
12635文章数 30458关注度
往期回顾 全部

科技要闻

Claude Code被曝“植入木马”识别中国用户

头条要闻

"霉霉"婚礼庆典细节披露:千人出席禁用手机 封街3天

头条要闻

"霉霉"婚礼庆典细节披露:千人出席禁用手机 封街3天

体育要闻

卖球衣救子的门将,把德国扑出了世界杯

娱乐要闻

张凌赫:我连心疼你都隔着时差

财经要闻

新氧贷款:宣传年化15%,实际顶格24%

汽车要闻

半程收官 上汽集团销量突破200万辆

态度原创

艺术
房产
游戏
公开课
军事航空

艺术要闻

这5件2026届毕业油画作品,被中国美术学院美术馆收藏

房产要闻

洋房盛大交付,中海丨南海·叁號院献映世界海岸的人居答案

XSS成主机游戏最大阻碍?知名制作人:也就手机性能

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

美伊代表前往多哈 谈判方式出现"重大倒退"

无障碍浏览 进入关怀版