南方財經(jīng)全媒體 記者吳立洋 北京報道
編者按:
網(wǎng)絡(luò)安全�����,既是企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)保障�,亦是數(shù)字經(jīng)濟行穩(wěn)致遠的必備條件。
(資料圖片僅供參考)
近一年來����,《個人信息保護法》正式實施,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評估辦法》等政策法規(guī)相繼落地����,我國網(wǎng)絡(luò)安全監(jiān)管框架正不斷完善。
但另一方面��,Apache Log4j2組件中存在嚴重安全漏洞�、勒索攻擊與DDoS等網(wǎng)絡(luò)攻擊愈演愈烈�����,網(wǎng)絡(luò)安全挑戰(zhàn)仍然存在����。隨著大眾日常生活與網(wǎng)絡(luò)空間的結(jié)合愈加緊密��,網(wǎng)絡(luò)安全對于我國社會治理��、經(jīng)濟發(fā)展和人民的生命財產(chǎn)安全影響越來越大�����。
南方財經(jīng)全媒體集團·合規(guī)科技研究院長期聚焦數(shù)字經(jīng)濟發(fā)展背景下新業(yè)態(tài)網(wǎng)絡(luò)安全問題����,結(jié)合產(chǎn)業(yè)實際發(fā)展需求,在2022年網(wǎng)絡(luò)安全宣傳周正式舉辦之際�,特推出“新業(yè)態(tài)新安全”系列深度專題報道����,聚焦數(shù)字經(jīng)濟新業(yè)態(tài)發(fā)展背景下,網(wǎng)絡(luò)安全攻防的形勢與變化�,從制度建設(shè)和技術(shù)應(yīng)用兩大方向出發(fā)�����,探討如何為數(shù)字時代網(wǎng)絡(luò)安全保駕護航�。
在專題報道的第二篇����,我們從產(chǎn)業(yè)數(shù)字化帶來的顯著成果之一——工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的角度出發(fā),探討經(jīng)由數(shù)字技術(shù)加以聯(lián)通的工業(yè)實體和環(huán)節(jié)����,在網(wǎng)絡(luò)安全形勢愈加復(fù)雜的環(huán)境下面臨哪些安全問題,針對軟硬件交錯����、構(gòu)造復(fù)雜的供應(yīng)鏈系統(tǒng),又該如何筑起安全防護之盾���,守護生產(chǎn)安全���。
近年來,新一代信息技術(shù)與制造業(yè)融合程度不斷提升����,以新型互聯(lián)網(wǎng)技術(shù)和應(yīng)用整合工業(yè)生產(chǎn)資源�,打通設(shè)計��、采購��、生產(chǎn)���、銷售等各環(huán)節(jié)的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈體系����,成為制造業(yè)數(shù)字化轉(zhuǎn)型升級的重要抓手��,也極大提升了工業(yè)企業(yè)的資源配置能力和產(chǎn)品供給能力�����。
但另一方面�,隨著互聯(lián)網(wǎng)在工業(yè)生產(chǎn)領(lǐng)域的延伸,經(jīng)由數(shù)字網(wǎng)絡(luò)連通的部件�、數(shù)據(jù)、軟件供應(yīng)商和服務(wù)商數(shù)量也在急劇提升��,IT行業(yè)的軟硬件供應(yīng)鏈正和能源���、汽車�、等傳統(tǒng)行業(yè)供應(yīng)鏈加速融合�����,重塑新鏈����。
這既導(dǎo)致了工業(yè)企業(yè)在防范網(wǎng)絡(luò)安全攻擊時,所需兼顧的受攻擊面極大延展�����,也使得企業(yè)生產(chǎn)某一環(huán)節(jié)存在未被及時發(fā)現(xiàn)的安全隱患或受到安全威脅時�����,影響可能波及整個供應(yīng)鏈���,造成巨大經(jīng)濟損失���。我國亟需根據(jù)工業(yè)生產(chǎn)不同門類實際需求和網(wǎng)絡(luò)安全形勢,構(gòu)建供應(yīng)鏈安全防護體系��,保障工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展����。
新鏈與新安全
作為制造業(yè)大國�����,我國擁有產(chǎn)業(yè)種類布局齊全與信息化基礎(chǔ)良好的領(lǐng)先優(yōu)勢���。隨著數(shù)字技術(shù)的不斷發(fā)展和在工業(yè)領(lǐng)域的加速落地,部分率先開展數(shù)字化的龍頭企業(yè)和創(chuàng)新型企業(yè)發(fā)揮的帶動作用�����,快速傳導(dǎo)至產(chǎn)業(yè)鏈的各個環(huán)節(jié)����,在進一步提升供給側(cè)制造能力對需求側(cè)適配性的發(fā)展趨勢下,開始了全供應(yīng)鏈的轉(zhuǎn)型升級�����。
上海大學(xué)教授���、紫金山實驗室車聯(lián)網(wǎng)內(nèi)生安全負責(zé)人李玉峰在接受南方財經(jīng)全媒體記者采訪時指出����,新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展,推動傳統(tǒng)產(chǎn)業(yè)全方位����、全鏈條數(shù)字化轉(zhuǎn)型已成為大勢所趨����,許多傳統(tǒng)行業(yè)的供應(yīng)鏈正與lT行業(yè)的軟硬件供應(yīng)鏈加速融合,構(gòu)建數(shù)字化生產(chǎn)“新鏈”�����。
具體而言���,以工業(yè)互聯(lián)網(wǎng)�、數(shù)字化平臺等基礎(chǔ)設(shè)施為抓手���,轉(zhuǎn)型升級極大提升了企業(yè)生產(chǎn)效率和采銷效率��。樹根互聯(lián)聯(lián)合創(chuàng)始人�����、CEO賀東東表示����,可以將產(chǎn)業(yè)鏈上下游企業(yè)的資產(chǎn)、生產(chǎn)����、銷售等數(shù)據(jù)進行采集和分析計算,以旗下基于根云平臺打造產(chǎn)業(yè)鏈IIoT解決方案為例���,形成數(shù)據(jù)驅(qū)動的供應(yīng)鏈管理應(yīng)用����,極大提升產(chǎn)業(yè)鏈匹配效率和中小企業(yè)對接商業(yè)需求的能力���。
“‘通用平臺+產(chǎn)業(yè)生態(tài)’的模式以行業(yè)龍頭企業(yè)����、產(chǎn)業(yè)鏈創(chuàng)新企業(yè)為切入口����,打造覆蓋供應(yīng)鏈整體的工業(yè)互聯(lián)網(wǎng)應(yīng)用,可以帶動一大批上下游企業(yè)尤其是中小企業(yè)實現(xiàn)數(shù)字化轉(zhuǎn)型���?!辟R東東說。
但也有相關(guān)行業(yè)人士也指出�����,相較于傳統(tǒng)信息行業(yè)�����,工業(yè)企業(yè)的數(shù)字化進程有著明顯的行業(yè)特異性�����,企業(yè)信息化水平參差不齊���,不能一概而論,不同行業(yè)依托其自身特點和技術(shù)發(fā)展階段�,在不同程度上完成了數(shù)字化轉(zhuǎn)型階段性任務(wù)。
對于部分企業(yè)����,尤其是信息化基礎(chǔ)相對薄弱的中小企業(yè),其網(wǎng)絡(luò)安全建設(shè)水平各異����,這就使得產(chǎn)業(yè)鏈整體在進行數(shù)字化轉(zhuǎn)型�����,打造“新鏈”的過程中�����,需要將網(wǎng)絡(luò)�����、平臺��、安全三者進行協(xié)同考慮����。
北京漢華飛天信安科技有限公司總經(jīng)理彭根告訴記者��,當前供應(yīng)鏈安全主要面臨兩方面的問題���,一是部分產(chǎn)業(yè)依賴國外供應(yīng)商提供的軟硬件�����,在難以實現(xiàn)國產(chǎn)化替代的情況下��,存在著被“卡脖子”的風(fēng)險����。
此外,供應(yīng)鏈上下游尚未形成完整的安全共識和防護標準����,對外部合作伙伴或供應(yīng)商,企業(yè)很難驗證其系統(tǒng)安全情況和受保護程度��,由于缺乏安全統(tǒng)一規(guī)劃�,在遭到網(wǎng)絡(luò)攻擊時很容易被“以點破面”����,使得整個供應(yīng)鏈受到影響。
“現(xiàn)在很多供應(yīng)鏈安全工作����,包括工控系統(tǒng)安全、等保安全等等��,都是在彌補過去的不足����?�!迸砀f���。
網(wǎng)絡(luò)安全與生產(chǎn)安全亟待統(tǒng)籌
供應(yīng)鏈數(shù)字化升級帶來的一大重要變化是軟硬件在生產(chǎn)中的結(jié)合愈加緊密,但這也使得網(wǎng)絡(luò)空間中的安全問題對現(xiàn)實生產(chǎn)生活構(gòu)成更為直接的風(fēng)險隱患���。
去年5月�����,全美最大的成品油運輸管道運營商科洛尼爾公司遭到網(wǎng)絡(luò)攻擊�, 導(dǎo)致美國東南部地區(qū)的汽油供給大量中斷���,數(shù)日后才恢復(fù)運營����,全球油化產(chǎn)業(yè)受到影響�;今年3月,因生產(chǎn)塑料零部件的供應(yīng)商受到勒索軟件攻擊�,豐田汽車公司在日本的14家工廠被迫全部停工一天。
基礎(chǔ)設(shè)施和生產(chǎn)設(shè)別的大規(guī)模聯(lián)網(wǎng)����,復(fù)雜工業(yè)產(chǎn)品供應(yīng)鏈不斷延長的背景下�,能接觸到企業(yè)核心技術(shù)產(chǎn)品��、核心部件���、敏感數(shù)據(jù)的設(shè)備供應(yīng)商和服務(wù)商數(shù)量大大增加��,這也使得安全防護端壓力陡升����。
上述工業(yè)互聯(lián)網(wǎng)業(yè)內(nèi)人士指出���,目前支持外聯(lián)訪問的工業(yè)設(shè)備九成以上使用的是弱網(wǎng)絡(luò)鏈接協(xié)議���,且大部分不具備身份認證能力��,還有一些來自國外的軟硬件標準��、規(guī)格和國內(nèi)不能完全匹配�,這都加大了安全體系搭建的難度。
李玉峰認為���,21世紀以來�����,工業(yè)控制系統(tǒng)�����、機器人�����、智能網(wǎng)聯(lián)汽車等集計算��、通信與控制于一體系統(tǒng)的大范圍應(yīng)用���,為物理世界和信息世界的互動提供了渠道��。而信息物理系統(tǒng)一旦聯(lián)網(wǎng)�����,將不僅受物理失效��、隨機硬件失效��、系統(tǒng)失效的影響����,也受基于系統(tǒng)軟硬件漏洞的網(wǎng)絡(luò)空間攻擊的影響,這也是供應(yīng)鏈網(wǎng)絡(luò)安全問題不再局限于網(wǎng)絡(luò)和信息層面����,而且能夠?qū)ξ锢硎澜缰苯釉斐赏{的根本原因之一。
他進一步指出��,復(fù)雜系統(tǒng)的供應(yīng)鏈既面臨自然因素觸發(fā)的故障失效帶來的傳統(tǒng)功能安全問題�,也面臨網(wǎng)絡(luò)攻擊下的功能安全新問題,“而且故障失效可能會削弱系統(tǒng)的網(wǎng)絡(luò)安全防御水平��,給網(wǎng)絡(luò)攻擊者更多的可乘之機����,而網(wǎng)絡(luò)攻擊可能又會給系統(tǒng)造成更多失效問題,如此循環(huán)疊加���,可能使危害被級聯(lián)放大,最終在物理空間造成巨大危害�����。” 因此����,功能安全與網(wǎng)絡(luò)安全的雙重安全風(fēng)險構(gòu)成了當前更廣義的安全防護要求。
彭根也指出��,隨著供應(yīng)鏈數(shù)字化進入深水區(qū)�,安全問題的來源愈加復(fù)雜,對于國外供應(yīng)商如果做不到完全替代���,至少要做到安全可控��;對于國內(nèi)的上下游供應(yīng)鏈��,則要在網(wǎng)絡(luò)安全���、系統(tǒng)安全、數(shù)據(jù)安全等方面面向全行業(yè)進行安全統(tǒng)籌�����。
保障供應(yīng)鏈安全需多方共建
在實際的工業(yè)生產(chǎn)實踐中���,互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用將不同環(huán)節(jié)的生產(chǎn)主體聯(lián)系在一起����,因而從安全風(fēng)險來看,個別環(huán)節(jié)的漏洞隱患很可能構(gòu)成對整個供應(yīng)鏈和終端用戶的安全威脅��。
2017年5月�,瑞士安全公司的研究人員在檢查Windows活動域時,發(fā)現(xiàn)惠普音頻驅(qū)動中內(nèi)置了一個鍵盤記錄器��,被用于監(jiān)控用戶的案件記錄�����,且由于缺陷代碼漏洞����,記錄內(nèi)容被保存在可讀取的文件目錄下,其他用戶和第三方應(yīng)用都可對其進行訪問��。
但與此同時���,實際的安全責(zé)任在供應(yīng)鏈各環(huán)節(jié)的分布卻并不均勻���,鏈上主體堅守本環(huán)節(jié)安全的意識與動力各不相同����,行業(yè)共識與整體安全機制還有待行業(yè)共同推動�����。
李玉峰指出����,在許多產(chǎn)業(yè)中����,OEM(原始設(shè)備制造商)作為集成方,很多時候并不掌握供應(yīng)鏈各個組件的源代碼和設(shè)計方案����,其拿到的零部件往往是一個“黑箱”,但漏洞卻往往會分布在這些零部件中����,并通過系統(tǒng)集成一步步安裝到最終的設(shè)備和產(chǎn)品上。
“作為設(shè)備整體安全的主體責(zé)任人��,OEM缺乏很好的機制或抓手把安全壓力同步傳導(dǎo)給各個零部件供應(yīng)商���,而供應(yīng)商各自為戰(zhàn)�、不成體系的安全加固方法也很難有效提升整體設(shè)備和產(chǎn)品的安全水平。畢竟���,網(wǎng)絡(luò)安全木桶原理告訴我們整體安全水平由安全級別最低的部分所決定�?��!崩钣穹逭f�����。
近年來對供應(yīng)鏈各環(huán)節(jié)的安全責(zé)任要求也在不斷落實���,2020年12月工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023年)》,第39條提出“ 實施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理制度����,明確企業(yè)安全責(zé)任要求和標準規(guī)范”“ 督促企業(yè)完善網(wǎng)絡(luò)安全管理體系,加強供應(yīng)鏈安全管理�����,落實企業(yè)主體責(zé)任”��。
彭根表示,在工業(yè)供應(yīng)鏈尤其是工控領(lǐng)域���,完全的安全保障目前還存在一定難度:“無論是在硬件還是軟件層面�,我們都面臨著被卡脖子的問題�����,需要通過構(gòu)建一套完整的標準體系�����,提升整個行業(yè)的安全保障能力�����?��!?/p>
他進一步指出,目前可以通過制定一些規(guī)范標準��,在下游廠商引進軟硬件時�����,就要求其提供滲透測試等安全性測試證明,或者交由專業(yè)的第三方安全公司對其進行檢測����,在供應(yīng)商與下游客戶的采購流程中就將安全因素考慮在內(nèi)。
上述工業(yè)互聯(lián)網(wǎng)業(yè)內(nèi)人士表示�,近年來以監(jiān)管和行業(yè)不斷重視的數(shù)據(jù)安全為切入口,已有部分工業(yè)互聯(lián)網(wǎng)開始搭建覆蓋全供應(yīng)鏈的安全保障體系�。
“需要以工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)的理念,將目前比較割裂的網(wǎng)絡(luò)信息安全監(jiān)管與生產(chǎn)功能安全監(jiān)管形成有機的融合����,促使將工業(yè)生產(chǎn)的安全思考轉(zhuǎn)向于綜合安全問題的思考?!逼淅m(xù)稱。
此外����,行業(yè)也在進行著供應(yīng)鏈安全責(zé)任共擔(dān)的探索,以智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)鏈為例�,上海市智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全產(chǎn)業(yè)協(xié)同創(chuàng)新中心聯(lián)合多家行業(yè)單位,嘗試通過“眾測平臺”�����,統(tǒng)一檢查管理各級供應(yīng)商共擔(dān)網(wǎng)絡(luò)安全責(zé)任����,補強產(chǎn)業(yè)鏈各環(huán)節(jié)安全性�。
“供應(yīng)鏈安全涉及多方主體���,本質(zhì)上還是一個網(wǎng)絡(luò)安全責(zé)任共擔(dān)����、共管的問題�。這不僅需要各個行業(yè)的共識共建��,也需要國家的引導(dǎo)�、標準的引領(lǐng)、法律法規(guī)的健全和供應(yīng)鏈OEM企業(yè)的主動作為等�。”李玉峰說���。
