隨著新型工業化步伐加快、網絡強國和製造強國建設紮實推進，網絡化
、數字化、智(zhi)能(neng)化(hua)成(cheng)為(wei)工(gong)業(ye)企(qi)業(ye)轉(zhuan)型(xing)升(sheng)級(ji)的(de)重(zhong)要(yao)方(fang)向(xiang)。近(jin)年(nian)來(lai)，我(wo)國(guo)通(tong)過(guo)出(chu)台(tai)工(gong)業(ye)互(hu)聯(lian)網(wang)頂(ding)層(ceng)設(she)計(ji)並(bing)持(chi)續(xu)推(tui)動(dong)政(zheng)策(ce)法(fa)規(gui)落(luo)地(di)實(shi)施(shi)
，助(zhu)力(li)工(gong)業(ye)企(qi)業(ye)聯(lian)網(wang)率(lv)逐(zhu)步(bu)攀(pan)升(sheng)。工業互聯網通過“人
、機、物”互聯
，推動工業經濟實現全要素
、全產業鏈
、quanjiazhiliandewangluohualianjie，goujianxinxinggongyeshengchanzhizaofuwutixi，zhutuizhizaoyeshixiangaozhiliangfazhan。tishenggongyehulianwanggongyingliananquanshuipinghezizhukekongnengli

，shigongyinglianshangxiayoujiankangfazhandejichu，yeshihuhangxinxinggongyehuadezhongyaoyinsu。benwenjieshaolegongyehulianwanggongyingliangongjihefengxianyaosu
，jianyiconggongyehulianwanggongyinglianshengmingzhouqianquanfanghu、供應商和服務商管理
、製度建設和人員管理三方麵加強工業互聯網供應鏈安全防護體係建設。

工業互聯網供應鏈安全分析

我(wo)國(guo)工(gong)業(ye)企(qi)業(ye)涉(she)及(ji)行(xing)業(ye)眾(zhong)多(duo)，工(gong)業(ye)互(hu)聯(lian)網(wang)平(ping)台(tai)企(qi)業(ye)不(bu)斷(duan)湧(yong)現(xian)，規(gui)上(shang)工(gong)業(ye)企(qi)業(ye)借(jie)助(zhu)工(gong)業(ye)互(hu)聯(lian)網(wang)提(ti)質(zhi)增(zeng)效(xiao)的(de)意(yi)圖(tu)明(ming)顯(xian)，但(dan)信(xin)息(xi)和(he)安(an)全(quan)類(lei)企(qi)業(ye)還(hai)未(wei)達(da)到(dao)國(guo)際(ji)先(xian)進(jin)水(shui)平(ping)，工(gong)業(ye)互(hu)聯(lian)網(wang)供(gong)應(ying)鏈(lian)仍(reng)麵(mian)臨(lin)較(jiao)大(da)的(de)網(wang)絡(luo)安(an)全(quan)風(feng)險(xian)
，一(yi)旦(dan)供(gong)應(ying)鏈(lian)上(shang)的(de)節(jie)點(dian)被(bei)攻(gong)擊(ji)，供(gong)應(ying)鏈(lian)上(shang)的(de)相(xiang)關(guan)企(qi)業(ye)（如固件、組件、軟件、係統的使用企業和平台企業）將麵臨巨大威脅。

工業互聯網供應鏈

gongyehulianwanggongyinglianshiweimanzugongyingfanghexuqiufangzhijiandegongxuguanxi，tongguoziyuanjiangshuangfangxianghulianjiedewanglianjiegou，kejianggongyehulianwangchanpinhuofuwutigonggeixuqiufang。gongyehulianwanggongyinglianchanpinbaokuogujian、組件、軟件和係統
，例如工業主機中的固件、SCADA（數據采集與監視控製係統）、工業APP

、MES（生產執行係統）等。工業互聯網供應鏈服務包括雲服務、運維服務等
，例如公有雲平台、運維平台等。

工業互聯網供應鏈攻擊

工業互聯網供應鏈攻擊是指攻擊者利用工業互聯網相關企業（包括應用工業互聯網的企業、平台企業或標識解析企業）供應鏈體係的薄弱環節，向整個供應鏈傳播惡意代碼或攻擊企業的基礎設施，從而破壞或竊取相關企業的敏感數據。不同於傳統的網絡“釣魚”和社會工程學攻擊

，工業互聯網供應鏈遭到攻擊將導致整個供應鏈被注入惡意代碼
，影響該企業甚至上下遊多個企業的生產和運營。

工業互聯網供應鏈安全風險識別

從企業角度看，工業互聯網供應鏈麵臨的風險主要來自產品及服務的生命周期、采購、運營三個層麵。

產品及服務的生命周期風險，即企業在設計、開發、測試
、使用、運維、廢止軟件或係統，以及接入平台過程中引入的網絡安全風險。2021年12月，Apache Log4j被曝存在遠程代碼執行漏洞。作為一款開源日誌組件，Log4j被眾多Java框架廣泛采用
，其漏洞的影響範圍涉及所有使用該組件的軟件。

采購風險，即企業采購的產品或服務帶有漏洞
、惡意代碼或“後門”，攻擊者將產品或服務作為跳板進行網絡攻擊或竊取數據，為整個工業互聯網供應鏈帶來風險。2018年台積電發生一起生產線感染WannaCry（一種“蠕蟲式”的勒索病毒軟件）病(bing)毒(du)變(bian)種(zhong)的(de)事(shi)件(jian)。這(zhe)個(ge)事(shi)件(jian)的(de)起(qi)因(yin)是(shi)一(yi)批(pi)新(xin)接(jie)入(ru)生(sheng)產(chan)線(xian)的(de)計(ji)算(suan)機(ji)帶(dai)有(you)病(bing)毒(du)，上(shang)遊(you)設(she)備(bei)供(gong)應(ying)商(shang)未(wei)對(dui)計(ji)算(suan)機(ji)進(jin)行(xing)嚴(yan)格(ge)的(de)安(an)全(quan)檢(jian)查(zha)和(he)病(bing)毒(du)掃(sao)描(miao)
，同(tong)時(shi)台(tai)積(ji)電(dian)也(ye)未(wei)對(dui)新(xin)上(shang)線(xian)的(de)設(she)備(bei)進(jin)行(xing)嚴(yan)格(ge)的(de)安(an)全(quan)檢(jian)查(zha)和(he)病(bing)毒(du)掃(sao)描(miao)，從(cong)而(er)導(dao)致(zhi)了(le)安(an)全(quan)事(shi)故(gu)，這(zhe)給(gei)台(tai)積(ji)電(dian)的(de)生(sheng)產(chan)和(he)聲(sheng)譽(yu)造(zao)成(cheng)了(le)重(zhong)大(da)損(sun)失(shi)。

運營風險，即企業在實際運作過程中
，因管理機製有所缺失或不完善
，導致風險識別、處置和防範等工作不到位所引發的風險。2022年3月，網絡安全企業Okta透露，一家供應商（Sitel）遭(zao)到(dao)攻(gong)擊(ji)
，導(dao)致(zhi)公(gong)司(si)部(bu)分(fen)數(shu)據(ju)被(bei)竊(qie)取(qu)。後(hou)續(xu)的(de)調(tiao)查(zha)顯(xian)示(shi)
，這(zhe)家(jia)供(gong)應(ying)商(shang)的(de)一(yi)名(ming)員(yuan)工(gong)通(tong)過(guo)其(qi)個(ge)人(ren)筆(bi)記(ji)本(ben)電(dian)腦(nao)為(wei)用(yong)戶(hu)提(ti)供(gong)服(fu)務(wu)，人(ren)員(yuan)及(ji)設(she)備(bei)的(de)管(guan)理(li)不(bu)當(dang)對(dui)供(gong)應(ying)鏈(lian)安(an)全(quan)造(zao)成(cheng)了(le)重(zhong)大(da)影(ying)響(xiang)。

工業互聯網供應鏈安全防護體係

當前，軟件供應鏈和ICT（信息與通信技術）供應鏈相關的安全防護研究較多。相比軟件供應鏈

，工業互聯網供應鏈資產要素多、行業應用場景多樣；相比ICT供應鏈，工業互聯網供應鏈實際運作更為複雜、供應商網絡安全管理能力偏弱。因此，在參考軟件和ICT供應鏈安全的基礎上，企業要錨定風險點，從工業互聯網供應鏈生命周期安全防護、供應商和服務商管理、製度建設和人員管理三方麵加強工業互聯網供應鏈安全防護體係建設。

工業互聯網供應鏈生命周期安全防護

針對產品及服務的生命周期風險
，企業應根據自研產品的不同階段、使用代碼的不同來源


、服務的接入情況，采取適宜的安全防護手段。

對(dui)於(yu)自(zi)研(yan)軟(ruan)件(jian)和(he)係(xi)統(tong)，企(qi)業(ye)在(zai)設(she)計(ji)階(jie)段(duan)，根(gen)據(ju)行(xing)業(ye)典(dian)型(xing)場(chang)景(jing)及(ji)企(qi)業(ye)實(shi)際(ji)運(yun)作(zuo)需(xu)要(yao)進(jin)行(xing)安(an)全(quan)需(xu)求(qiu)分(fen)析(xi)，采(cai)用(yong)安(an)全(quan)的(de)架(jia)構(gou)和(he)設(she)計(ji)模(mo)型(xing)，確(que)定(ding)身(shen)份(fen)鑒(jian)別(bie)與(yu)訪(fang)問(wen)控(kong)製(zhi)機(ji)製(zhi)；在開發階段，根據安全的編碼規範，在安全的編譯環境下，使用安全的編碼工具，防止生成缺陷代碼
，導致出現漏洞、惡意代碼或“後門”；在測試階段
，使用安全的代碼審計工具、漏洞掃描工具、滲透測試工具進行代碼分析和漏洞掃描
，及時發現代碼缺陷、邏輯問題以及漏洞

；在使用階段
，根據安全設計進行安全配置，確認基於業務、角色和權限的身份鑒別及訪問控製機製，定期或在發生信息安全事件時進行病毒查殺及漏洞掃描，發現安全隱患後及時進行維護
；在運維階段
，確保在安全的前提下，按照實際需要進行產品升級

、漏洞修複或安全加固
，完成後開展相應的安全性測試、完整性校驗
；在廢止階段，按照廢止處理流程進行數據處理
、軟件移除及係統停用，對代碼和數據進行安全處理和保護。

對於開源組件、ruanjianhexitong
，qiyezaiduiqilaiyuanjinxingpingshenbingquedinganquankekaodeqiantixia

，wuxukaolvshejianquanhekaifaanquan，qitashengmingzhouqianquanfanghuyuziyanruanjianhexitongdeanquanfanghuliuchengyizhi。

對於采購組件、軟件和係統，企業應通過合同或者協議對供應商進行約束，要求供應商及時進行產品升級、安全異常提醒和安全維護。若供應商已中斷維護服務

，企業應自發定期進行漏洞掃描和滲透測試，並關注所使用組件

、軟件和係統的網絡安全事件和漏洞發布情況

，發現漏洞後自發或通過第三方服務商進行產品升級、漏洞修複及安全加固。

對dui於yu采cai購gou硬ying件jian中zhong的de固gu件jian，企qi業ye同tong樣yang要yao通tong過guo合he同tong或huo者zhe協xie議yi對dui供gong應ying商shang進jin行xing約yue束shu
，要yao求qiu供gong應ying商shang及ji時shi進jin行xing安an全quan異yi常chang提ti醒xing和he安an全quan維wei護hu。若ruo供gong應ying商shang已yi中zhong斷duan維wei護hu服fu務wu，企qi業ye應ying自zi發fa定ding期qi進jin行xing漏lou洞dong掃sao描miao

，並bing關guan注zhu固gu件jian相xiang關guan網wang絡luo安an全quan事shi件jian的de發fa布bu情qing況kuang，必bi要yao時shi自zi發fa或huo通tong過guo第di三san方fang服fu務wu商shang進jin行xing固gu件jian漏lou洞dong修xiu複fu或huo提ti升sheng固gu件jian的de安an全quan能neng力li。

對於接入的平台，企業要通過配置核查，確保身份鑒別

、訪問控製、傳輸安全和接口防護符合自身安全要求。

供應商和服務商管理

針對采購風險，為加強對供應商和服務商的供應鏈安全管理，應用工業互聯網的企業、平(ping)台(tai)企(qi)業(ye)或(huo)標(biao)識(shi)解(jie)析(xi)企(qi)業(ye)可(ke)建(jian)立(li)供(gong)應(ying)商(shang)和(he)服(fu)務(wu)商(shang)名(ming)錄(lu)並(bing)進(jin)行(xing)維(wei)護(hu)，在(zai)采(cai)購(gou)產(chan)品(pin)和(he)服(fu)務(wu)前(qian)對(dui)供(gong)應(ying)商(shang)和(he)服(fu)務(wu)商(shang)進(jin)行(xing)初(chu)評(ping)並(bing)定(ding)期(qi)進(jin)行(xing)複(fu)評(ping)
，評(ping)定(ding)內(nei)容(rong)包(bao)括(kuo)但(dan)不(bu)限(xian)於(yu)中(zhong)斷(duan)供(gong)應(ying)的(de)可(ke)能(neng)性(xing)、企業網絡安全建設能力、網絡安全事件響應能力

、一yi級ji供gong應ying商shang對dui二er級ji供gong應ying商shang的de網wang絡luo安an全quan約yue束shu能neng力li等deng，確que保bao供gong應ying商shang和he服fu務wu商shang所suo提ti供gong的de產chan品pin和he服fu務wu具ju有you網wang絡luo安an全quan防fang護hu和he事shi件jian處chu置zhi能neng力li。同tong時shi，基ji於yu華hua為wei被bei斷duan供gong的de前qian車che之zhi鑒jian
，企qi業ye可ke優you先xian選xuan取qu國guo內nei的de供gong應ying商shang和he服fu務wu商shang，通tong過guo多duo元yuan化hua方fang式shi避bi免mian斷duan供gong造zao成cheng的de網wang絡luo安an全quan損sun失shi。企qi業ye可ke在zai合he同tong或huo協xie議yi中zhong對dui所suo采cai購gou的de產chan品pin和he服fu務wu進jin行xing約yue束shu，一yi旦dan遭zao到dao供gong應ying鏈lian攻gong擊ji相xiang關guan的de網wang絡luo安an全quan事shi件jian，供gong應ying商shang或huo服fu務wu商shang要yao及ji時shi響xiang應ying並bing處chu置zhi，包bao括kuo及ji時shi告gao知zhi新xin發fa現xian漏lou洞dong、修複漏洞、軟(ruan)件(jian)或(huo)係(xi)統(tong)升(sheng)級(ji)等(deng)。對(dui)於(yu)工(gong)業(ye)互(hu)聯(lian)網(wang)平(ping)台(tai)企(qi)業(ye)
，還(hai)應(ying)考(kao)慮(lv)接(jie)口(kou)安(an)全(quan)，設(she)置(zhi)雙(shuang)向(xiang)的(de)身(shen)份(fen)鑒(jian)別(bie)和(he)訪(fang)問(wen)控(kong)製(zhi)
，避(bi)免(mian)攻(gong)擊(ji)者(zhe)對(dui)平(ping)台(tai)本(ben)身(shen)及(ji)接(jie)入(ru)平(ping)台(tai)企(qi)業(ye)進(jin)行(xing)非(fei)法(fa)訪(fang)問(wen)造(zao)成(cheng)的(de)數(shu)據(ju)篡(cuan)改(gai)和(he)竊(qie)取(qu)。

製度建設和人員管理

針對運營風險，企業可以從製度建設和人員管理兩方麵進行規範化管理，形成有效保護供應鏈安全的機製。

在製度建設方麵，企業根據自身行業和業務特點形成符合自身要求的管理製度
，包括但不限於配置管理
、資產管理、采購管理、運維管理

、人員管理等。由於工業互聯網供應鏈涉及固件、組件、軟(ruan)件(jian)和(he)係(xi)統(tong)

，企(qi)業(ye)在(zai)梳(shu)理(li)資(zi)產(chan)的(de)基(ji)礎(chu)上(shang)可(ke)形(xing)成(cheng)基(ji)於(yu)組(zu)件(jian)的(de)物(wu)料(liao)清(qing)單(dan)和(he)構(gou)成(cheng)圖(tu)譜(pu)，並(bing)定(ding)期(qi)對(dui)其(qi)進(jin)行(xing)維(wei)護(hu)
，一(yi)旦(dan)發(fa)生(sheng)變(bian)化(hua)，及(ji)時(shi)驗(yan)證(zheng)其(qi)完(wan)整(zheng)性(xing)和(he)安(an)全(quan)性(xing)。企(qi)業(ye)也(ye)可(ke)形(xing)成(cheng)基(ji)於(yu)代(dai)碼(ma)、組件
、軟件、係統清單的源代碼庫和漏洞庫
，並進行維護。同時，企業基於審計、數(shu)據(ju)備(bei)份(fen)及(ji)恢(hui)複(fu)
，製(zhi)定(ding)針(zhen)對(dui)供(gong)應(ying)鏈(lian)安(an)全(quan)的(de)應(ying)急(ji)預(yu)案(an)並(bing)定(ding)期(qi)進(jin)行(xing)演(yan)練(lian)，以(yi)便(bian)在(zai)遭(zao)到(dao)攻(gong)擊(ji)後(hou)迅(xun)速(su)響(xiang)應(ying)。最(zui)後(hou)
，企(qi)業(ye)定(ding)期(qi)對(dui)供(gong)應(ying)鏈(lian)安(an)全(quan)進(jin)行(xing)風(feng)險(xian)識(shi)別(bie)和(he)評(ping)估(gu)，確(que)定(ding)相(xiang)應(ying)的(de)風(feng)險(xian)級(ji)別(bie)，通(tong)過(guo)審(shen)批(pi)進(jin)行(xing)風(feng)險(xian)處(chu)置(zhi)。

在人員管理方麵，首先要完善人員能力
，對工業互聯網供應鏈安全相關的技術操作人員
、軟件開發測試人員和網絡安全管理人員等進行供應鏈安全和製度相關的技術、管理培訓
，使其具備供應鏈要素識別
、風險管理
、安(an)全(quan)配(pei)置(zhi)和(he)漏(lou)洞(dong)處(chu)理(li)等(deng)能(neng)力(li)
，並(bing)能(neng)意(yi)識(shi)到(dao)工(gong)業(ye)互(hu)聯(lian)網(wang)供(gong)應(ying)鏈(lian)安(an)全(quan)對(dui)於(yu)企(qi)業(ye)的(de)重(zhong)要(yao)性(xing)，避(bi)免(mian)進(jin)行(xing)誤(wu)操(cao)作(zuo)。其(qi)次(ci)是(shi)強(qiang)化(hua)員(yuan)工(gong)道(dao)德(de)約(yue)束(shu)
，依(yi)據(ju)角(jiao)色(se)劃(hua)分(fen)權(quan)限(xian)確(que)定(ding)員(yuan)工(gong)職(zhi)責(ze)
，製(zhi)定(ding)員(yuan)工(gong)違(wei)規(gui)行(xing)為(wei)的(de)懲(cheng)戒(jie)措(cuo)施(shi)，必(bi)要(yao)時(shi)簽(qian)訂(ding)協(xie)議(yi)並(bing)設(she)置(zhi)“AB角色”

，保(bao)障(zhang)企(qi)業(ye)免(mian)於(yu)社(she)會(hui)工(gong)程(cheng)學(xue)攻(gong)擊(ji)。對(dui)於(yu)重(zhong)要(yao)工(gong)業(ye)企(qi)業(ye)和(he)工(gong)業(ye)互(hu)聯(lian)網(wang)平(ping)台(tai)企(qi)業(ye)，可(ke)配(pei)置(zhi)供(gong)應(ying)鏈(lian)安(an)全(quan)保(bao)障(zhang)團(tuan)隊(dui)
，對(dui)人(ren)員(yuan)背(bei)景(jing)進(jin)行(xing)調(tiao)查(zha)，確(que)保(bao)員(yuan)工(gong)能(neng)夠(gou)應(ying)對(dui)供(gong)應(ying)鏈(lian)安(an)全(quan)突(tu)發(fa)事(shi)件(jian)，具(ju)備(bei)安(an)全(quan)事(shi)件(jian)分(fen)析(xi)和(he)應(ying)急(ji)處(chu)置(zhi)能(neng)力(li)。

結語

我wo國guo堅jian持chi工gong業ye互hu聯lian網wang發fa展zhan與yu安an全quan並bing重zhong，供gong應ying鏈lian安an全quan是shi工gong業ye互hu聯lian網wang健jian康kang發fa展zhan的de重zhong要yao保bao障zhang。本ben文wen基ji於yu工gong業ye互hu聯lian網wang供gong應ying鏈lian資zi產chan要yao素su及ji企qi業ye類lei型xing，提ti出chu建jian設she
、采購和日常管理三個層麵的風險。針對三個層麵的風險，構建工業互聯網供應鏈安全防護體係。後續
，隨著衛星通信、區塊鏈、大數據
、人工智能等新技術的不斷發展和應用
，工業互聯網供應鏈安全防護體係也應在政策指導、指南要求及事件驅動下不斷更新。