南方財(cái)經(jīng)全媒體 記者吳立洋 北京報(bào)道
編者按:
網(wǎng)絡(luò)安全��,既是企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)保障�,亦是數(shù)字經(jīng)濟(jì)行穩(wěn)致遠(yuǎn)的必備條件。
(資料圖片僅供參考)
近一年來(lái),《個(gè)人信息保護(hù)法》正式實(shí)施���,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評(píng)估辦法》等政策法規(guī)相繼落地���,我國(guó)網(wǎng)絡(luò)安全監(jiān)管框架正不斷完善。
但另一方面���,Apache Log4j2組件中存在嚴(yán)重安全漏洞���、勒索攻擊與DDoS等網(wǎng)絡(luò)攻擊愈演愈烈,網(wǎng)絡(luò)安全挑戰(zhàn)仍然存在����。隨著大眾日常生活與網(wǎng)絡(luò)空間的結(jié)合愈加緊密,網(wǎng)絡(luò)安全對(duì)于我國(guó)社會(huì)治理��、經(jīng)濟(jì)發(fā)展和人民的生命財(cái)產(chǎn)安全影響越來(lái)越大��。
南方財(cái)經(jīng)全媒體集團(tuán)·合規(guī)科技研究院長(zhǎng)期聚焦數(shù)字經(jīng)濟(jì)發(fā)展背景下新業(yè)態(tài)網(wǎng)絡(luò)安全問(wèn)題�����,結(jié)合產(chǎn)業(yè)實(shí)際發(fā)展需求�����,在2022年網(wǎng)絡(luò)安全宣傳周正式舉辦之際,特推出“新業(yè)態(tài)新安全”系列深度專題報(bào)道�,聚焦數(shù)字經(jīng)濟(jì)新業(yè)態(tài)發(fā)展背景下,網(wǎng)絡(luò)安全攻防的形勢(shì)與變化�����,從制度建設(shè)和技術(shù)應(yīng)用兩大方向出發(fā)����,探討如何為數(shù)字時(shí)代網(wǎng)絡(luò)安全保駕護(hù)航。
在專題報(bào)道的第二篇�,我們從產(chǎn)業(yè)數(shù)字化帶來(lái)的顯著成果之一——工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的角度出發(fā),探討經(jīng)由數(shù)字技術(shù)加以聯(lián)通的工業(yè)實(shí)體和環(huán)節(jié)��,在網(wǎng)絡(luò)安全形勢(shì)愈加復(fù)雜的環(huán)境下面臨哪些安全問(wèn)題�,針對(duì)軟硬件交錯(cuò)、構(gòu)造復(fù)雜的供應(yīng)鏈系統(tǒng)��,又該如何筑起安全防護(hù)之盾��,守護(hù)生產(chǎn)安全�。
近年來(lái)����,新一代信息技術(shù)與制造業(yè)融合程度不斷提升���,以新型互聯(lián)網(wǎng)技術(shù)和應(yīng)用整合工業(yè)生產(chǎn)資源,打通設(shè)計(jì)�、采購(gòu)、生產(chǎn)�����、銷售等各環(huán)節(jié)的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈體系���,成為制造業(yè)數(shù)字化轉(zhuǎn)型升級(jí)的重要抓手�����,也極大提升了工業(yè)企業(yè)的資源配置能力和產(chǎn)品供給能力�。
但另一方面�,隨著互聯(lián)網(wǎng)在工業(yè)生產(chǎn)領(lǐng)域的延伸,經(jīng)由數(shù)字網(wǎng)絡(luò)連通的部件��、數(shù)據(jù)����、軟件供應(yīng)商和服務(wù)商數(shù)量也在急劇提升����,IT行業(yè)的軟硬件供應(yīng)鏈正和能源��、汽車����、等傳統(tǒng)行業(yè)供應(yīng)鏈加速融合,重塑新鏈�。
這既導(dǎo)致了工業(yè)企業(yè)在防范網(wǎng)絡(luò)安全攻擊時(shí),所需兼顧的受攻擊面極大延展���,也使得企業(yè)生產(chǎn)某一環(huán)節(jié)存在未被及時(shí)發(fā)現(xiàn)的安全隱患或受到安全威脅時(shí)���,影響可能波及整個(gè)供應(yīng)鏈,造成巨大經(jīng)濟(jì)損失����。我國(guó)亟需根據(jù)工業(yè)生產(chǎn)不同門(mén)類實(shí)際需求和網(wǎng)絡(luò)安全形勢(shì),構(gòu)建供應(yīng)鏈安全防護(hù)體系�����,保障工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展�。
新鏈與新安全
作為制造業(yè)大國(guó),我國(guó)擁有產(chǎn)業(yè)種類布局齊全與信息化基礎(chǔ)良好的領(lǐng)先優(yōu)勢(shì)����。隨著數(shù)字技術(shù)的不斷發(fā)展和在工業(yè)領(lǐng)域的加速落地,部分率先開(kāi)展數(shù)字化的龍頭企業(yè)和創(chuàng)新型企業(yè)發(fā)揮的帶動(dòng)作用����,快速傳導(dǎo)至產(chǎn)業(yè)鏈的各個(gè)環(huán)節(jié),在進(jìn)一步提升供給側(cè)制造能力對(duì)需求側(cè)適配性的發(fā)展趨勢(shì)下�,開(kāi)始了全供應(yīng)鏈的轉(zhuǎn)型升級(jí)。
上海大學(xué)教授�、紫金山實(shí)驗(yàn)室車聯(lián)網(wǎng)內(nèi)生安全負(fù)責(zé)人李玉峰在接受南方財(cái)經(jīng)全媒體記者采訪時(shí)指出,新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展���,推動(dòng)傳統(tǒng)產(chǎn)業(yè)全方位����、全鏈條數(shù)字化轉(zhuǎn)型已成為大勢(shì)所趨�����,許多傳統(tǒng)行業(yè)的供應(yīng)鏈正與lT行業(yè)的軟硬件供應(yīng)鏈加速融合����,構(gòu)建數(shù)字化生產(chǎn)“新鏈”�。
具體而言���,以工業(yè)互聯(lián)網(wǎng)���、數(shù)字化平臺(tái)等基礎(chǔ)設(shè)施為抓手,轉(zhuǎn)型升級(jí)極大提升了企業(yè)生產(chǎn)效率和采銷效率����。樹(shù)根互聯(lián)聯(lián)合創(chuàng)始人、CEO賀東東表示���,可以將產(chǎn)業(yè)鏈上下游企業(yè)的資產(chǎn)����、生產(chǎn)����、銷售等數(shù)據(jù)進(jìn)行采集和分析計(jì)算,以旗下基于根云平臺(tái)打造產(chǎn)業(yè)鏈IIoT解決方案為例���,形成數(shù)據(jù)驅(qū)動(dòng)的供應(yīng)鏈管理應(yīng)用��,極大提升產(chǎn)業(yè)鏈匹配效率和中小企業(yè)對(duì)接商業(yè)需求的能力�����。
“‘通用平臺(tái)+產(chǎn)業(yè)生態(tài)’的模式以行業(yè)龍頭企業(yè)�����、產(chǎn)業(yè)鏈創(chuàng)新企業(yè)為切入口��,打造覆蓋供應(yīng)鏈整體的工業(yè)互聯(lián)網(wǎng)應(yīng)用����,可以帶動(dòng)一大批上下游企業(yè)尤其是中小企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型�。”賀東東說(shuō)���。
但也有相關(guān)行業(yè)人士也指出��,相較于傳統(tǒng)信息行業(yè)�,工業(yè)企業(yè)的數(shù)字化進(jìn)程有著明顯的行業(yè)特異性�����,企業(yè)信息化水平參差不齊,不能一概而論�,不同行業(yè)依托其自身特點(diǎn)和技術(shù)發(fā)展階段,在不同程度上完成了數(shù)字化轉(zhuǎn)型階段性任務(wù)��。
對(duì)于部分企業(yè)����,尤其是信息化基礎(chǔ)相對(duì)薄弱的中小企業(yè),其網(wǎng)絡(luò)安全建設(shè)水平各異�,這就使得產(chǎn)業(yè)鏈整體在進(jìn)行數(shù)字化轉(zhuǎn)型,打造“新鏈”的過(guò)程中�����,需要將網(wǎng)絡(luò)�����、平臺(tái)��、安全三者進(jìn)行協(xié)同考慮�����。
北京漢華飛天信安科技有限公司總經(jīng)理彭根告訴記者�,當(dāng)前供應(yīng)鏈安全主要面臨兩方面的問(wèn)題�,一是部分產(chǎn)業(yè)依賴國(guó)外供應(yīng)商提供的軟硬件��,在難以實(shí)現(xiàn)國(guó)產(chǎn)化替代的情況下����,存在著被“卡脖子”的風(fēng)險(xiǎn)。
此外���,供應(yīng)鏈上下游尚未形成完整的安全共識(shí)和防護(hù)標(biāo)準(zhǔn),對(duì)外部合作伙伴或供應(yīng)商�,企業(yè)很難驗(yàn)證其系統(tǒng)安全情況和受保護(hù)程度,由于缺乏安全統(tǒng)一規(guī)劃�����,在遭到網(wǎng)絡(luò)攻擊時(shí)很容易被“以點(diǎn)破面”�����,使得整個(gè)供應(yīng)鏈?zhǔn)艿接绊憽?/p>
“現(xiàn)在很多供應(yīng)鏈安全工作��,包括工控系統(tǒng)安全�����、等保安全等等,都是在彌補(bǔ)過(guò)去的不足�。”彭根說(shuō)���。
網(wǎng)絡(luò)安全與生產(chǎn)安全亟待統(tǒng)籌
供應(yīng)鏈數(shù)字化升級(jí)帶來(lái)的一大重要變化是軟硬件在生產(chǎn)中的結(jié)合愈加緊密�����,但這也使得網(wǎng)絡(luò)空間中的安全問(wèn)題對(duì)現(xiàn)實(shí)生產(chǎn)生活構(gòu)成更為直接的風(fēng)險(xiǎn)隱患���。
去年5月,全美最大的成品油運(yùn)輸管道運(yùn)營(yíng)商科洛尼爾公司遭到網(wǎng)絡(luò)攻擊���, 導(dǎo)致美國(guó)東南部地區(qū)的汽油供給大量中斷�,數(shù)日后才恢復(fù)運(yùn)營(yíng)�����,全球油化產(chǎn)業(yè)受到影響�����;今年3月��,因生產(chǎn)塑料零部件的供應(yīng)商受到勒索軟件攻擊,豐田汽車公司在日本的14家工廠被迫全部停工一天�。
基礎(chǔ)設(shè)施和生產(chǎn)設(shè)別的大規(guī)模聯(lián)網(wǎng),復(fù)雜工業(yè)產(chǎn)品供應(yīng)鏈不斷延長(zhǎng)的背景下�,能接觸到企業(yè)核心技術(shù)產(chǎn)品、核心部件���、敏感數(shù)據(jù)的設(shè)備供應(yīng)商和服務(wù)商數(shù)量大大增加���,這也使得安全防護(hù)端壓力陡升。
上述工業(yè)互聯(lián)網(wǎng)業(yè)內(nèi)人士指出����,目前支持外聯(lián)訪問(wèn)的工業(yè)設(shè)備九成以上使用的是弱網(wǎng)絡(luò)鏈接協(xié)議�,且大部分不具備身份認(rèn)證能力,還有一些來(lái)自國(guó)外的軟硬件標(biāo)準(zhǔn)��、規(guī)格和國(guó)內(nèi)不能完全匹配�,這都加大了安全體系搭建的難度。
李玉峰認(rèn)為����,21世紀(jì)以來(lái),工業(yè)控制系統(tǒng)����、機(jī)器人�、智能網(wǎng)聯(lián)汽車等集計(jì)算�����、通信與控制于一體系統(tǒng)的大范圍應(yīng)用�����,為物理世界和信息世界的互動(dòng)提供了渠道����。而信息物理系統(tǒng)一旦聯(lián)網(wǎng),將不僅受物理失效���、隨機(jī)硬件失效�、系統(tǒng)失效的影響���,也受基于系統(tǒng)軟硬件漏洞的網(wǎng)絡(luò)空間攻擊的影響����,這也是供應(yīng)鏈網(wǎng)絡(luò)安全問(wèn)題不再局限于網(wǎng)絡(luò)和信息層面����,而且能夠?qū)ξ锢硎澜缰苯釉斐赏{的根本原因之一�����。
他進(jìn)一步指出�,復(fù)雜系統(tǒng)的供應(yīng)鏈既面臨自然因素觸發(fā)的故障失效帶來(lái)的傳統(tǒng)功能安全問(wèn)題����,也面臨網(wǎng)絡(luò)攻擊下的功能安全新問(wèn)題,“而且故障失效可能會(huì)削弱系統(tǒng)的網(wǎng)絡(luò)安全防御水平�����,給網(wǎng)絡(luò)攻擊者更多的可乘之機(jī)�����,而網(wǎng)絡(luò)攻擊可能又會(huì)給系統(tǒng)造成更多失效問(wèn)題����,如此循環(huán)疊加��,可能使危害被級(jí)聯(lián)放大��,最終在物理空間造成巨大危害?���!?因此,功能安全與網(wǎng)絡(luò)安全的雙重安全風(fēng)險(xiǎn)構(gòu)成了當(dāng)前更廣義的安全防護(hù)要求�����。
彭根也指出���,隨著供應(yīng)鏈數(shù)字化進(jìn)入深水區(qū)��,安全問(wèn)題的來(lái)源愈加復(fù)雜����,對(duì)于國(guó)外供應(yīng)商如果做不到完全替代�,至少要做到安全可控;對(duì)于國(guó)內(nèi)的上下游供應(yīng)鏈����,則要在網(wǎng)絡(luò)安全、系統(tǒng)安全�����、數(shù)據(jù)安全等方面面向全行業(yè)進(jìn)行安全統(tǒng)籌。
保障供應(yīng)鏈安全需多方共建
在實(shí)際的工業(yè)生產(chǎn)實(shí)踐中�����,互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用將不同環(huán)節(jié)的生產(chǎn)主體聯(lián)系在一起�����,因而從安全風(fēng)險(xiǎn)來(lái)看��,個(gè)別環(huán)節(jié)的漏洞隱患很可能構(gòu)成對(duì)整個(gè)供應(yīng)鏈和終端用戶的安全威脅��。
2017年5月�,瑞士安全公司的研究人員在檢查Windows活動(dòng)域時(shí),發(fā)現(xiàn)惠普音頻驅(qū)動(dòng)中內(nèi)置了一個(gè)鍵盤(pán)記錄器�����,被用于監(jiān)控用戶的案件記錄���,且由于缺陷代碼漏洞,記錄內(nèi)容被保存在可讀取的文件目錄下���,其他用戶和第三方應(yīng)用都可對(duì)其進(jìn)行訪問(wèn)�。
但與此同時(shí),實(shí)際的安全責(zé)任在供應(yīng)鏈各環(huán)節(jié)的分布卻并不均勻�����,鏈上主體堅(jiān)守本環(huán)節(jié)安全的意識(shí)與動(dòng)力各不相同���,行業(yè)共識(shí)與整體安全機(jī)制還有待行業(yè)共同推動(dòng)�����。
李玉峰指出���,在許多產(chǎn)業(yè)中,OEM(原始設(shè)備制造商)作為集成方����,很多時(shí)候并不掌握供應(yīng)鏈各個(gè)組件的源代碼和設(shè)計(jì)方案,其拿到的零部件往往是一個(gè)“黑箱”��,但漏洞卻往往會(huì)分布在這些零部件中����,并通過(guò)系統(tǒng)集成一步步安裝到最終的設(shè)備和產(chǎn)品上。
“作為設(shè)備整體安全的主體責(zé)任人,OEM缺乏很好的機(jī)制或抓手把安全壓力同步傳導(dǎo)給各個(gè)零部件供應(yīng)商�����,而供應(yīng)商各自為戰(zhàn)�、不成體系的安全加固方法也很難有效提升整體設(shè)備和產(chǎn)品的安全水平。畢竟�����,網(wǎng)絡(luò)安全木桶原理告訴我們整體安全水平由安全級(jí)別最低的部分所決定�����?����!崩钣穹逭f(shuō)�。
近年來(lái)對(duì)供應(yīng)鏈各環(huán)節(jié)的安全責(zé)任要求也在不斷落實(shí),2020年12月工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃(2021-2023年)》��,第39條提出“ 實(shí)施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理制度�����,明確企業(yè)安全責(zé)任要求和標(biāo)準(zhǔn)規(guī)范”“ 督促企業(yè)完善網(wǎng)絡(luò)安全管理體系�����,加強(qiáng)供應(yīng)鏈安全管理���,落實(shí)企業(yè)主體責(zé)任”����。
彭根表示���,在工業(yè)供應(yīng)鏈尤其是工控領(lǐng)域����,完全的安全保障目前還存在一定難度:“無(wú)論是在硬件還是軟件層面���,我們都面臨著被卡脖子的問(wèn)題���,需要通過(guò)構(gòu)建一套完整的標(biāo)準(zhǔn)體系,提升整個(gè)行業(yè)的安全保障能力���?���!?/p>
他進(jìn)一步指出,目前可以通過(guò)制定一些規(guī)范標(biāo)準(zhǔn)���,在下游廠商引進(jìn)軟硬件時(shí)����,就要求其提供滲透測(cè)試等安全性測(cè)試證明��,或者交由專業(yè)的第三方安全公司對(duì)其進(jìn)行檢測(cè)�����,在供應(yīng)商與下游客戶的采購(gòu)流程中就將安全因素考慮在內(nèi)�。
上述工業(yè)互聯(lián)網(wǎng)業(yè)內(nèi)人士表示,近年來(lái)以監(jiān)管和行業(yè)不斷重視的數(shù)據(jù)安全為切入口����,已有部分工業(yè)互聯(lián)網(wǎng)開(kāi)始搭建覆蓋全供應(yīng)鏈的安全保障體系。
“需要以工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)的理念�����,將目前比較割裂的網(wǎng)絡(luò)信息安全監(jiān)管與生產(chǎn)功能安全監(jiān)管形成有機(jī)的融合�����,促使將工業(yè)生產(chǎn)的安全思考轉(zhuǎn)向于綜合安全問(wèn)題的思考?����!逼淅m(xù)稱�。
此外����,行業(yè)也在進(jìn)行著供應(yīng)鏈安全責(zé)任共擔(dān)的探索,以智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)鏈為例��,上海市智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全產(chǎn)業(yè)協(xié)同創(chuàng)新中心聯(lián)合多家行業(yè)單位���,嘗試通過(guò)“眾測(cè)平臺(tái)”��,統(tǒng)一檢查管理各級(jí)供應(yīng)商共擔(dān)網(wǎng)絡(luò)安全責(zé)任���,補(bǔ)強(qiáng)產(chǎn)業(yè)鏈各環(huán)節(jié)安全性。
“供應(yīng)鏈安全涉及多方主體�����,本質(zhì)上還是一個(gè)網(wǎng)絡(luò)安全責(zé)任共擔(dān)、共管的問(wèn)題�����。這不僅需要各個(gè)行業(yè)的共識(shí)共建��,也需要國(guó)家的引導(dǎo)�、標(biāo)準(zhǔn)的引領(lǐng)、法律法規(guī)的健全和供應(yīng)鏈OEM企業(yè)的主動(dòng)作為等�����?����!崩钣穹逭f(shuō)�。
