一、前言

　　工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物，日益成為新工業(yè)革命的關(guān)鍵支撐、深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”的重要基石。供應(yīng)鏈作為工業(yè)領(lǐng)域不可缺少的組織形態(tài)，以客戶需求為導(dǎo)向，以提高質(zhì)量和效率為目標(biāo)，以整合資源為手段，實(shí)現(xiàn)產(chǎn)品設(shè)計(jì)、采購(gòu)、生產(chǎn)、銷售、服務(wù)等全過(guò)程的高效協(xié)同，成為工業(yè)制造業(yè)的重要組成部分。

　　工業(yè)互聯(lián)網(wǎng)新技術(shù)體系及其能力對(duì)行業(yè)轉(zhuǎn)型的牽引力不斷增強(qiáng)，工業(yè)領(lǐng)域出現(xiàn)了豐富的新模式新業(yè)態(tài)。隨著工業(yè)互聯(lián)網(wǎng)與實(shí)體經(jīng)濟(jì)的不斷融合，工業(yè)領(lǐng)域供應(yīng)鏈逐步開(kāi)展數(shù)字化轉(zhuǎn)型，形成工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈。

　　本文將工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈定義為：在工業(yè)互聯(lián)網(wǎng)架構(gòu)下，由工業(yè)設(shè)計(jì)、研發(fā)、原材料采購(gòu)、加工、組裝、制造、運(yùn)輸、銷售等環(huán)節(jié)中一組過(guò)程和資源構(gòu)成的網(wǎng)絡(luò);既包括生產(chǎn)商、批發(fā)商、物流商、配送商和其他工業(yè)制造過(guò)程中所涉及的企業(yè)，又包括企業(yè)間數(shù)據(jù)匯聚、分析、管理過(guò)程中所涉及的信息通信產(chǎn)品及服務(wù)。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈能夠滿足企業(yè)數(shù)據(jù)及時(shí)匯聚、分析、再利用的需求，促進(jìn)提升生產(chǎn)效率、降低經(jīng)營(yíng)成本，但同時(shí)擴(kuò)大了工業(yè)控制系統(tǒng)、生產(chǎn)設(shè)備的受攻擊面，將引入新的安全風(fēng)險(xiǎn)。

　　當(dāng)前，全球范圍內(nèi)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全事件頻發(fā)，斷供、網(wǎng)絡(luò)攻擊等威脅加劇。一方面，帶來(lái)眾多的重大生產(chǎn)事故和重要經(jīng)濟(jì)損失，甚至危害到社會(huì)穩(wěn)定和國(guó)家安全;另一方面，對(duì)工業(yè)企業(yè)的信息化建設(shè)構(gòu)成重大隱患，嚴(yán)重制約工業(yè)互聯(lián)網(wǎng)的健康安全發(fā)展。

　　在此背景下，工業(yè)領(lǐng)域關(guān)鍵技術(shù)產(chǎn)品供應(yīng)中的安全問(wèn)題成為社會(huì)各界關(guān)注的焦點(diǎn)，已有學(xué)者對(duì)當(dāng)前芯片、基礎(chǔ)軟件、工業(yè)互聯(lián)網(wǎng)平臺(tái)、工業(yè)應(yīng)用等的發(fā)展及安全問(wèn)題進(jìn)行了分析，提出若干解決對(duì)策和建議。然而，當(dāng)前在工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全問(wèn)題及發(fā)展路徑研究方面尚存缺失。

　　針對(duì)于此，2020 年中國(guó)工程院?jiǎn)?dòng)了“新一代工業(yè)互聯(lián)網(wǎng)安全技術(shù)發(fā)展戰(zhàn)略研究”咨詢項(xiàng)目，旨在分析國(guó)際工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域技術(shù)趨勢(shì)和發(fā)展態(tài)勢(shì)，創(chuàng)新探索我國(guó)工業(yè)互聯(lián)網(wǎng)安全技術(shù)發(fā)展路徑。本文作為“工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全”方向研究成果的學(xué)術(shù)性展示，總結(jié)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈發(fā)展情況，梳理工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全問(wèn)題，針對(duì)我國(guó)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈面臨的現(xiàn)實(shí)挑戰(zhàn)，提出工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全創(chuàng)新發(fā)展路徑，以期為新一代工業(yè)互聯(lián)網(wǎng)安全發(fā)展提供參考。

　　二、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈發(fā)展形勢(shì)

　　在工業(yè)互聯(lián)網(wǎng)與制造業(yè)深化融合應(yīng)用背景下，數(shù)字化和全球化是工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈發(fā)展的必然趨勢(shì)。

　　(一)數(shù)字化轉(zhuǎn)型

　　隨著“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃的日益深入，商業(yè)新模式新業(yè)態(tài)不斷涌現(xiàn)，工業(yè)按需定制、彈性供給、高效配置的需求不斷增長(zhǎng)，生產(chǎn)制造技術(shù)體系和供給能力不斷成熟，工業(yè)領(lǐng)域供應(yīng)鏈的數(shù)字化需求和意愿加快釋放，全面數(shù)字化轉(zhuǎn)型已經(jīng)成為共識(shí)。

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈通過(guò)對(duì)上下游工業(yè)企業(yè)的信息化管理和信息的數(shù)字化連接，借助信息通信產(chǎn)品與服務(wù)，實(shí)現(xiàn)從工業(yè)產(chǎn)品需求分析到原材料采購(gòu)、智能制造、倉(cāng)儲(chǔ)、再到風(fēng)險(xiǎn)控制各環(huán)節(jié)的數(shù)字化。現(xiàn)如今，工業(yè)企業(yè)之間的競(jìng)爭(zhēng)已經(jīng)演變?yōu)楣I(yè)互聯(lián)網(wǎng)供應(yīng)鏈之間的競(jìng)爭(zhēng)。

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈以企業(yè)內(nèi)外部各種信息系統(tǒng)的對(duì)接為基礎(chǔ)，通過(guò)采購(gòu)、倉(cāng)儲(chǔ)、生產(chǎn)等各業(yè)務(wù)流程數(shù)據(jù)的實(shí)時(shí)獲取和共享，配合外部供應(yīng)商的協(xié)作，提高產(chǎn)品技術(shù)交互準(zhǔn)確率、采購(gòu)計(jì)劃準(zhǔn)確率、物資供應(yīng)與財(cái)務(wù)結(jié)算效率，降低庫(kù)存堆積，實(shí)現(xiàn)工業(yè)企業(yè)降本增效的目的。

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈打破了傳統(tǒng)信息的阻隔，打通了從工業(yè)生產(chǎn)需求、物資供應(yīng)、物流運(yùn)輸?shù)戒N售售后的各個(gè)環(huán)節(jié)，達(dá)成了全方位信息覆蓋式的資源統(tǒng)籌調(diào)配共享和高效率協(xié)同作業(yè)。

　　(二)全球化發(fā)展

　　改革開(kāi)放以來(lái)，越來(lái)越多的工業(yè)企業(yè)將產(chǎn)品研發(fā)、物料采購(gòu)、生產(chǎn)制造、物流配送、銷售及服務(wù)進(jìn)行全球化布局，形成具有全球化特征的供應(yīng)鏈體系。隨著全球互聯(lián)網(wǎng)化和產(chǎn)業(yè)鏈的變化，一個(gè)核心部件可能包含多種關(guān)鍵技術(shù)與產(chǎn)品，由多個(gè)核心企業(yè)生產(chǎn)供應(yīng);同時(shí)這些核心企業(yè)可能分布在多個(gè)國(guó)家，并在全球范圍內(nèi)采購(gòu)原材料。

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈將不同產(chǎn)業(yè)的多個(gè)參與主體串聯(lián)起來(lái)，通過(guò)人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)實(shí)現(xiàn)不同角色的高效協(xié)作和信息傳遞的無(wú)縫銜接，使傳統(tǒng)制造業(yè)供應(yīng)鏈由單一鏈條上企業(yè)的單線鏈接轉(zhuǎn)向網(wǎng)絡(luò)化、多層次的全方位鏈接，助力企業(yè)縮短供應(yīng)鏈環(huán)節(jié)，降低供應(yīng)鏈成本。

　　南京大學(xué)長(zhǎng)江產(chǎn)業(yè)經(jīng)濟(jì)研究院發(fā)布的《2019 中國(guó)進(jìn)口發(fā)展報(bào)告》顯示，自 2009 年起，我國(guó)穩(wěn)居世界第二大進(jìn)口國(guó)，進(jìn)口來(lái)源涵蓋全球 230 多個(gè)國(guó)家和地區(qū)。中國(guó)海關(guān)總署進(jìn)出口商品統(tǒng)計(jì)數(shù)據(jù)顯示，2019 年工業(yè)制品進(jìn)口總額為 9.26 萬(wàn)億元，占商品進(jìn)口總量的 64.69%，相比 2018 年部分類別商品的進(jìn)口數(shù)額仍在增長(zhǎng);如動(dòng)力機(jī)械及設(shè)備類增加 3.8%，通用工業(yè)機(jī)械設(shè)備及零件類增加 1.5%，電力機(jī)械、器具及電氣零件類增加 0.8%。

　　2019 年美國(guó)聯(lián)合包裹運(yùn)送服務(wù)公司(UPS)發(fā)布《工業(yè)采購(gòu)趨勢(shì)洞察》亞太地區(qū)研究報(bào)告，調(diào)研中國(guó)、日本、泰國(guó)等國(guó)企業(yè)的工業(yè)采購(gòu)者后發(fā)現(xiàn)，當(dāng)今工業(yè)呈現(xiàn)采購(gòu)來(lái)源日益國(guó)際化的趨勢(shì)，亞洲地區(qū)約有 33% 的企業(yè)采購(gòu)來(lái)自區(qū)域外的供應(yīng)商。

　　三、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈典型安全問(wèn)題分析

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈涉及的系統(tǒng)、實(shí)體、活動(dòng)多樣及結(jié)構(gòu)復(fù)雜等特性擴(kuò)大了其受攻擊面。國(guó)內(nèi)外已經(jīng)發(fā)生了多起工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全事件，本文將主要風(fēng)險(xiǎn)分為供應(yīng)鏈的斷供和網(wǎng)絡(luò)攻擊兩類。

　　(一)供應(yīng)鏈斷供

　　中國(guó)和美國(guó)在科技、制造領(lǐng)域存在結(jié)構(gòu)性、長(zhǎng)期性的競(jìng)爭(zhēng)關(guān)系，而我國(guó)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈在部分核心關(guān)鍵技術(shù)產(chǎn)品方面對(duì)美國(guó)等發(fā)達(dá)國(guó)家的依賴程度較高。國(guó)際形勢(shì)瞬息萬(wàn)變，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈一旦斷裂，我國(guó)的工業(yè)生態(tài)穩(wěn)定性將受到嚴(yán)重威脅。

　　隨著中美經(jīng)貿(mào)摩擦的不斷演進(jìn)，美國(guó)不斷出臺(tái)限制措施以阻斷我國(guó)重點(diǎn)領(lǐng)域供應(yīng)鏈。1990 年，美國(guó)將中國(guó)升級(jí)為“重點(diǎn)觀察國(guó)家”;1991 年對(duì)我國(guó)發(fā)起“特別 301”調(diào)查，此后公布的《特別 301 報(bào)告》都將中國(guó)列入“黑名單”重點(diǎn)調(diào)查，2017 年根據(jù)調(diào)查結(jié)果對(duì)我國(guó)實(shí)施單邊制裁。

　　筆者根據(jù)美國(guó)聯(lián)邦公報(bào)(Federal Register)的公開(kāi)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，截至 2021 年 1 月，美國(guó)將 484 個(gè)中國(guó)實(shí)體列入“實(shí)體清單”，針對(duì)關(guān)鍵新興技術(shù)、基礎(chǔ)技術(shù)和相關(guān)產(chǎn)品進(jìn)行出口管制;僅在 2020 年，新增列入“實(shí)體清單”的中國(guó)實(shí)體數(shù)量多達(dá) 145 家。芯片斷供、內(nèi)存禁售、呼吸機(jī)關(guān)鍵元器件缺貨等事件表明，我國(guó)科技制造業(yè)發(fā)展仍受制于工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的短板弱項(xiàng)。

　　新型冠狀病毒肺炎疫情來(lái)臨之后，全球經(jīng)濟(jì)動(dòng)蕩，各國(guó)間的不信任度增加，單邊主義和貿(mào)易保護(hù)主義盛行，嚴(yán)重沖擊了全球既有的供應(yīng)鏈;各國(guó)著手構(gòu)建更獨(dú)立、完整、安全的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈將是新的趨勢(shì)。

　　2020 年 4 月，美國(guó)和日本公開(kāi)鼓勵(lì)本國(guó)企業(yè)撤出中國(guó)，歐洲通過(guò)《自貿(mào)協(xié)議》引導(dǎo)“4 換 1”計(jì)劃(用日本、韓國(guó)、越南、印度來(lái)整體替換中國(guó)的世界工廠)。隨著勞動(dòng)力成本升高、貿(mào)易摩擦加劇等因素影響，我國(guó)制造業(yè)可能失去原有的國(guó)際競(jìng)爭(zhēng)力，我們要警惕全球供應(yīng)鏈和產(chǎn)業(yè)鏈的去中國(guó)化并針對(duì)性做好長(zhǎng)期準(zhǔn)備。

　　(二)供應(yīng)鏈網(wǎng)絡(luò)攻擊

　　在工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈全球化態(tài)勢(shì)下，能接觸到工業(yè)企業(yè)核心技術(shù)產(chǎn)品、核心部件、敏感數(shù)據(jù)的供應(yīng)商和服務(wù)商數(shù)量大大增加，工業(yè)企業(yè)的受攻擊面大幅延展。針對(duì)企業(yè)外部合作伙伴、供應(yīng)商或第三方服務(wù)商的供應(yīng)鏈攻擊已經(jīng)成為一種新型威脅。

　　近年來(lái)，工業(yè)互聯(lián)網(wǎng)關(guān)鍵技術(shù)產(chǎn)品在開(kāi)發(fā)、交付、使用等不同環(huán)節(jié)遭受了多起實(shí)際攻擊，利用企業(yè)外部合作伙伴的安全疏忽與缺陷造成的關(guān)鍵基礎(chǔ)設(shè)施破壞、敏感數(shù)據(jù)泄露、信息系統(tǒng)入侵等網(wǎng)絡(luò)安全事件層出不窮。

　　一是工業(yè)生產(chǎn)廠商預(yù)留后門。廠商在開(kāi)發(fā)過(guò)程中忘記刪除測(cè)試版本中的調(diào)試后門、方便售后管理或出于其他目的預(yù)留的超級(jí)后門，都可能被攻擊者發(fā)現(xiàn)并直接登錄，獲得工業(yè)產(chǎn)品的控制權(quán)。

　　2013 年 6 月，“棱鏡門”事件披露了美國(guó)在全球范圍內(nèi)開(kāi)展的絕密電子監(jiān)聽(tīng)計(jì)劃，以思科公司、國(guó)際商業(yè)機(jī)器公司(IBM)、谷歌公司、蘋果公司等為代表的科技巨頭利用其在全球軟硬件供應(yīng)鏈中廣泛滲透的優(yōu)勢(shì)在科技產(chǎn)品中隱藏“后門”，協(xié)助美國(guó)政府對(duì)世界各國(guó)實(shí)施大規(guī)模信息監(jiān)控。2017 年 8 月，知名電信設(shè)備制造商 Arris 生產(chǎn)的調(diào)制解調(diào)器存在 3 個(gè)硬編碼后門賬號(hào)漏洞，可被攻擊者利用獲取設(shè)備控制器、安裝惡意固件、架設(shè)僵尸網(wǎng)絡(luò)等。

　　二是基礎(chǔ)軟件被污染。開(kāi)發(fā)工具、協(xié)議棧等基礎(chǔ)軟件被植入惡意代碼、后門并編譯到其他應(yīng)用程序中進(jìn)行分發(fā)時(shí)，將造成威脅擴(kuò)散，且難以在事中、事后由一般用戶發(fā)現(xiàn)和根除。

　　2015 年 9 月，“XcodeGhost”事件引發(fā)關(guān)注，攻擊者在 Mac 操作系統(tǒng)上的集成開(kāi)發(fā)工具 Xcode 中加入惡意模塊并進(jìn)行傳播，開(kāi)發(fā)者使用被污染的軟件版本編譯應(yīng)用程序時(shí)會(huì)植入惡意邏輯，可能導(dǎo)致彈窗攻擊和被遠(yuǎn)程控制，僅我國(guó)感染該惡意程序的用戶當(dāng)月就達(dá)到 2.14×107 個(gè)。2018 年，安全公司 ESET 發(fā)布的 OpenSSH 跟蹤報(bào)告指出，被植入后門代碼并經(jīng)過(guò)編譯的 OpenSSH 能被攻擊者用于竊取合法登錄賬戶和密碼。

　　三是工業(yè)產(chǎn)品存在漏洞。攻擊者通過(guò)利用工業(yè)產(chǎn)品漏洞來(lái)實(shí)現(xiàn)遠(yuǎn)程設(shè)備控制、拒絕服務(wù)攻擊等。

　　2018 年 3 月，思科公司發(fā)布了智能安裝客戶端遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2018-0171)預(yù)警，隨后該漏洞被用于攻擊我國(guó)多個(gè)互聯(lián)網(wǎng)數(shù)據(jù)中心及組織機(jī)構(gòu)，導(dǎo)致交換機(jī)因配置信息被清空而癱瘓，造成業(yè)務(wù)網(wǎng)絡(luò)不可用等問(wèn)題。2019 年 2 月，蘇格蘭遠(yuǎn)程監(jiān)控系統(tǒng)制造商開(kāi)發(fā)的制冷控制系統(tǒng)被發(fā)現(xiàn)存在重大安全缺陷，攻擊者利用默認(rèn)賬戶和密碼登錄系統(tǒng)后臺(tái)，可修改制冷系統(tǒng)的溫度、報(bào)警閾值等參數(shù)，進(jìn)而影響設(shè)備正常運(yùn)行。

　　四是工業(yè)產(chǎn)品供應(yīng)渠道劫持。工業(yè)產(chǎn)品在采購(gòu)、銷售、物流等供應(yīng)渠道中被劫持和篡改，攻擊者在產(chǎn)品中構(gòu)建后門或漏洞以實(shí)現(xiàn)入侵。

　　2009 年，伊朗核設(shè)施的數(shù)據(jù)工控系統(tǒng)供應(yīng)商、離心機(jī)制造商、零部件供應(yīng)商已陸續(xù)被國(guó)家力量攻破并植入“震網(wǎng)”病毒，病毒被成功引入伊朗核設(shè)施并造成破壞，導(dǎo)致伊朗核計(jì)劃推遲數(shù)年之久。2015 年，卡巴斯基安全實(shí)驗(yàn)室披露“方程式”組織擁有的超級(jí)信息武器庫(kù)，包括能對(duì)數(shù)十種常見(jiàn)品牌硬件固件重編程的惡意模塊;該攻擊可以通過(guò)在特定目標(biāo)采購(gòu)、返修主機(jī)或硬盤過(guò)程中修改硬盤固件程序?qū)崿F(xiàn)，受攻擊目標(biāo)包括中國(guó)、俄羅斯、印度等國(guó)家。2017 年，維基解密曝光了美國(guó)中央情報(bào)局的 Vault7 武器庫(kù)，可以推測(cè)其通過(guò)物流渠道劫持，在全新的 iPhone 手機(jī)中刷入固件達(dá)到入侵目的。

　　五是工業(yè)軟件升級(jí)劫持。軟件產(chǎn)品在整個(gè)生命周期中要進(jìn)行功能升級(jí)、補(bǔ)丁修復(fù)等更新，攻擊者通過(guò)劫持軟件升級(jí)過(guò)程中的更新模塊或下載鏈接，在工業(yè)軟件中植入惡意代碼。

　　2017 年，烏克蘭專用會(huì)計(jì)軟件 me-doc 的升級(jí)程序被劫持，用戶更新軟件時(shí)會(huì)感染 Petya 勒索病毒變種 NotPetya，導(dǎo)致烏克蘭、俄羅斯、印度、法國(guó)、英國(guó)等多個(gè)國(guó)家的政府、銀行、電力系統(tǒng)、通信系統(tǒng)等受到不同程度的影響。

　　近年來(lái)，一些國(guó)家對(duì)我國(guó)通信行業(yè)領(lǐng)頭企業(yè)實(shí)施了各種維度的供應(yīng)鏈封鎖，硬件斷供會(huì)導(dǎo)致企業(yè)停產(chǎn)，軟件斷供將扼殺企業(yè)硬件設(shè)計(jì)和實(shí)驗(yàn)試制能力。全球典型網(wǎng)絡(luò)安全事件表明，針對(duì)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的攻擊在數(shù)量上尚不及傳統(tǒng)網(wǎng)絡(luò)安全事件，但攻擊一旦成功可能影響上億個(gè)用戶，造成巨大的經(jīng)濟(jì)損失，嚴(yán)重時(shí)甚至威脅國(guó)家安全。

　　部分工業(yè)領(lǐng)域依靠進(jìn)口外國(guó)信息技術(shù)產(chǎn)品緩解關(guān)鍵零部件的供應(yīng)需求，短時(shí)間內(nèi)可以取得高速發(fā)展，但實(shí)則將為我國(guó)工業(yè)互聯(lián)網(wǎng)安全埋下隱患。我們需重視工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全風(fēng)險(xiǎn)，針對(duì)當(dāng)前的安全問(wèn)題，探尋針對(duì)性發(fā)展路徑。

　　四、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全挑戰(zhàn)

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈存在的斷供、網(wǎng)絡(luò)攻擊等安全風(fēng)險(xiǎn)，歸因于現(xiàn)階段我國(guó)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全面臨的兩大現(xiàn)實(shí)挑戰(zhàn)：部分關(guān)鍵技術(shù)產(chǎn)品受制于人，網(wǎng)絡(luò)安全防護(hù)水平不足。

　　(一)部分關(guān)鍵技術(shù)產(chǎn)品受制于人

　　一是基礎(chǔ)工業(yè)技術(shù)歷史欠賬較多。我國(guó)雖然建立了大而全的工業(yè)體系，在高速鐵路、運(yùn)載火箭等重大裝備領(lǐng)域達(dá)到世界領(lǐng)先水平，但基礎(chǔ)零部件、基礎(chǔ)材料、基礎(chǔ)工藝等基礎(chǔ)工業(yè)仍欠賬較多。低端產(chǎn)品大量出口，高端產(chǎn)品依賴進(jìn)口，部分高端領(lǐng)域與發(fā)達(dá)國(guó)家差距較大，關(guān)鍵核心技術(shù)被壟斷。基礎(chǔ)工業(yè)技術(shù)復(fù)雜度高，需要長(zhǎng)周期的研發(fā)投入，國(guó)外企業(yè)在領(lǐng)域內(nèi)已深耕多年，形成了較高的技術(shù)壁壘。

　　相比之下，我國(guó)基礎(chǔ)工業(yè)產(chǎn)業(yè)起步較晚，核心技術(shù)落后較多，如在工業(yè)軟件開(kāi)發(fā)過(guò)程中，存在頂層系統(tǒng)架構(gòu)搭建難度大、設(shè)計(jì)開(kāi)發(fā)程序使用門檻高、硬件環(huán)境構(gòu)建開(kāi)銷大、知識(shí)產(chǎn)權(quán)受限、后期維護(hù)繁瑣等問(wèn)題。多數(shù)企業(yè)或者基于國(guó)外技術(shù)開(kāi)展本地化的二次開(kāi)發(fā)，或者在國(guó)外軟件的基礎(chǔ)上集成其他功能應(yīng)用;但“二次開(kāi)發(fā)”“代理集成”的核心技術(shù)產(chǎn)權(quán)依然屬于國(guó)外企業(yè)，國(guó)產(chǎn)基礎(chǔ)工業(yè)技術(shù)“空心化”嚴(yán)重，無(wú)法控制知識(shí)產(chǎn)權(quán)，難以突破國(guó)外限制。

　　二是部分關(guān)鍵產(chǎn)品高度依賴國(guó)外企業(yè)。在工業(yè)軟件方面，我國(guó)飛機(jī)、船舶、冶金、化工、生物醫(yī)藥、電子信息制造等重點(diǎn)制造領(lǐng)域長(zhǎng)期以來(lái)習(xí)慣使用國(guó)外工業(yè)軟件，對(duì)于背后的設(shè)計(jì)原理了解不夠，缺乏基礎(chǔ)工藝研發(fā)數(shù)據(jù)的長(zhǎng)期積累，導(dǎo)致基礎(chǔ)技術(shù)積累存在明顯差距。

　　工業(yè)控制系統(tǒng)及軟件高度依賴國(guó)外技術(shù)產(chǎn)品，工業(yè)基礎(chǔ)軟件、研發(fā)設(shè)計(jì)軟件、生產(chǎn)控制軟件、信息管理軟件、工業(yè)嵌入軟件等基本依靠進(jìn)口;工業(yè)操作系統(tǒng)、工業(yè)軟件開(kāi)發(fā)平臺(tái)、工業(yè)數(shù)據(jù)實(shí)時(shí)數(shù)據(jù)庫(kù)等重要基礎(chǔ)軟件全產(chǎn)業(yè)鏈缺失，導(dǎo)致工業(yè)控制應(yīng)用軟件幾乎空白;工業(yè)軟件必須由工業(yè)實(shí)時(shí)數(shù)據(jù)庫(kù)提供后臺(tái)支撐，但我國(guó)尚缺乏國(guó)產(chǎn)工業(yè)實(shí)時(shí)數(shù)據(jù)庫(kù)產(chǎn)品。

　　在計(jì)算機(jī)輔助設(shè)計(jì)、輔助分析、輔助制造、輔助工藝規(guī)劃等工具軟件方面，以達(dá)索公司、西門子股份公司為代表的國(guó)外廠商仍占有絕對(duì)優(yōu)勢(shì);在制造執(zhí)行系統(tǒng)、工業(yè)自動(dòng)化系統(tǒng)等生產(chǎn)控制關(guān)鍵領(lǐng)域，通用電氣公司(GE)、ABB 集團(tuán)等公司保持了行業(yè)龍頭地位;在供應(yīng)鏈管理、定制化應(yīng)用集成平臺(tái)系統(tǒng)、協(xié)同辦公系統(tǒng)等信息管理軟件領(lǐng)域，SAP、甲骨文股份有限公司等仍占據(jù)相當(dāng)?shù)姆蓊~。

　　在工業(yè)硬件方面，對(duì)于工控微控制單元(MCU)、數(shù)字信號(hào)處理(DSP)、現(xiàn)場(chǎng)可編程邏輯門陣列(FPGA)等核心元器件和數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、可編輯邏輯控制器(PLC)、分散控制系統(tǒng)(DCS)等系統(tǒng)，國(guó)外產(chǎn)品占領(lǐng)大部分國(guó)內(nèi)市場(chǎng);超高精度機(jī)床、高端工業(yè)機(jī)器人技術(shù)和產(chǎn)品基本掌握在國(guó)外廠商手中。

　　三是工業(yè)協(xié)議標(biāo)準(zhǔn)由國(guó)外標(biāo)準(zhǔn)化組織和廠商主導(dǎo)。工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施所應(yīng)用的關(guān)鍵核心協(xié)議大都由國(guó)際標(biāo)準(zhǔn)化組織(ISO)、國(guó)際電工委員會(huì)(IEC)、OPC 基金會(huì)等國(guó)際組織聯(lián)合主要工業(yè)廠商制定，各種現(xiàn)場(chǎng)總線通信協(xié)議標(biāo)準(zhǔn)、OPC 協(xié)議標(biāo)準(zhǔn)等一直由國(guó)外機(jī)構(gòu)控制。

　　全球各類自動(dòng)化廠商、研究機(jī)構(gòu)、標(biāo)準(zhǔn)化組織圍繞設(shè)備聯(lián)網(wǎng)推出了數(shù)百種現(xiàn)場(chǎng)總線協(xié)議、工業(yè)以太網(wǎng)協(xié)議和無(wú)線協(xié)議，協(xié)議標(biāo)準(zhǔn)眾多且相對(duì)封閉;西門子股份公司、施耐德電氣有限公司、羅克韋爾自動(dòng)化有限公司等企業(yè)通過(guò)將私有協(xié)議、工業(yè)控制設(shè)備與制造設(shè)備捆綁銷售，已經(jīng)形成了事實(shí)上的標(biāo)準(zhǔn)壟斷。

　　在現(xiàn)場(chǎng)總線方面，羅斯蒙特公司、霍尼韋爾國(guó)際公司、ABB 集團(tuán)、GE、西門子股份公司等長(zhǎng)期控制著國(guó)際標(biāo)準(zhǔn)的制定。在工業(yè)以太網(wǎng)方面，國(guó)內(nèi)廠商主要選擇適用于專有工控產(chǎn)品的工業(yè)以太網(wǎng)協(xié)議，如西門子 Profinet、施耐德 Modbus TCP/IP、羅克韋爾 Ethernet/IP 等。

　　(二)網(wǎng)絡(luò)安全防護(hù)水平不足

　　一是網(wǎng)絡(luò)攻擊手段多變導(dǎo)致風(fēng)險(xiǎn)加劇。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)主要源于企業(yè)外部合作伙伴存在的安全疏忽與缺陷，被攻擊者用于破壞企業(yè)數(shù)據(jù)及入侵企業(yè)系統(tǒng)。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈網(wǎng)絡(luò)攻擊涉及工業(yè)產(chǎn)品開(kāi)發(fā)、交付、使用等不同環(huán)節(jié)，包括污染軟件開(kāi)發(fā)、測(cè)試、部署、維護(hù)環(huán)境或工具，在設(shè)備上預(yù)裝惡意軟件，感染合法應(yīng)用以分發(fā)惡意軟件，盜用合法證書(shū)簽名惡意軟件 4 種典型手段。

　　面對(duì)日益普遍且影響復(fù)雜的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈攻擊活動(dòng)，原材料采購(gòu)、加工、包裝、運(yùn)輸、配額、售后等諸多環(huán)節(jié)都可能遭到攻擊，網(wǎng)絡(luò)安全隱患較為突出。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈一旦遭受攻擊，幾乎很難發(fā)現(xiàn)，但破壞力巨大、覆蓋面積廣，通過(guò)召回或升級(jí)產(chǎn)品阻止攻擊的成本高、周期長(zhǎng)，應(yīng)對(duì)較為困難。

　　二是工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品尚處于攻關(guān)階段。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈包含工業(yè)產(chǎn)品或服務(wù)從開(kāi)發(fā)到交付過(guò)程中涉及的通信網(wǎng)絡(luò)、軟硬件設(shè)備等信息系統(tǒng)，安全防護(hù)對(duì)象擴(kuò)大、連接范圍更廣。傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的防護(hù)對(duì)象和方法與工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈并不完全一致，不考慮區(qū)別直接套用必然導(dǎo)致防護(hù)效果不佳、存在安全風(fēng)險(xiǎn)。

　　我國(guó)安全廠商目前大多以網(wǎng)絡(luò)安全業(yè)務(wù)為主，在工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等領(lǐng)域的產(chǎn)品積累和服務(wù)經(jīng)驗(yàn)不足，仍處于攻關(guān)階段;已有安全能力重點(diǎn)關(guān)注提升工業(yè)設(shè)備、工控系統(tǒng)、工業(yè)企業(yè)單點(diǎn)的安全防御能力，難以保障工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈各環(huán)節(jié)的安全。為了抵御日益增多的有組織、針對(duì)性、不計(jì)成本的網(wǎng)絡(luò)攻擊，需要重新評(píng)估和審視工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護(hù)架構(gòu)與邊界，構(gòu)建覆蓋監(jiān)測(cè)感知、協(xié)同防御、響應(yīng)恢復(fù)的安全技術(shù)體系。

　　三是工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全管理能力不足。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈涉及制造商、供應(yīng)商、系統(tǒng)集成商、服務(wù)提供商等多個(gè)實(shí)體以及技術(shù)、法律、政策等軟環(huán)境。當(dāng)前我國(guó)多數(shù)企業(yè)存在應(yīng)對(duì)網(wǎng)絡(luò)攻擊的意識(shí)不強(qiáng)、安全管理制度不完善、安全檢測(cè)評(píng)估機(jī)制不健全、對(duì)工業(yè)企業(yè)網(wǎng)絡(luò)安全的引導(dǎo)不夠等問(wèn)題。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的安全取決于鏈上所有合作伙伴之間的配合，安全協(xié)同發(fā)展仍面臨巨大挑戰(zhàn)。

　　五、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全創(chuàng)新發(fā)展路徑

　　我國(guó)高度重視工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全問(wèn)題，自 2016 年起相繼發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)空間國(guó)際合作戰(zhàn)略》《關(guān)于積極推進(jìn)供應(yīng)鏈創(chuàng)新與應(yīng)用的指導(dǎo)意見(jiàn)》《關(guān)于進(jìn)一步做好供應(yīng)鏈創(chuàng)新與應(yīng)用試點(diǎn)工作的通知》《網(wǎng)絡(luò)安全審查辦法》《中共中央關(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》等多項(xiàng)政策文件。

　　針對(duì)我國(guó)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全面臨的現(xiàn)實(shí)挑戰(zhàn)，依據(jù)國(guó)家相關(guān)政策要求，本文提出工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全創(chuàng)新發(fā)展路徑(見(jiàn)圖 1)。立足我國(guó)制造產(chǎn)業(yè)種類齊全的良好優(yōu)勢(shì)，首先從知識(shí)產(chǎn)權(quán)布局、信創(chuàng)產(chǎn)業(yè)建設(shè)、技術(shù)安全保障 3 個(gè)方面給出建議，通過(guò)技術(shù)手段應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈斷供和網(wǎng)絡(luò)攻擊問(wèn)題;其次從重視渠道安全、上下游企業(yè)協(xié)同、優(yōu)化發(fā)展環(huán)境 3 個(gè)方面給出解決思路，通過(guò)供應(yīng)途徑、企業(yè)協(xié)同、總體環(huán)境 3 個(gè)角度的安全管理，保障工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全技術(shù)的有效落實(shí)。

　　圖 1 工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全創(chuàng)新發(fā)展路徑

　　(一)發(fā)揮制造產(chǎn)業(yè)種類齊全的良好優(yōu)勢(shì)

　　改革開(kāi)放以來(lái)，我國(guó)制造業(yè)持續(xù)快速發(fā)展，建成了門類齊全、規(guī)模最大的工業(yè)體系，有機(jī)地嵌入全球供應(yīng)鏈之中，形成顯著的產(chǎn)業(yè)優(yōu)勢(shì)，為我國(guó)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全發(fā)展提供了新機(jī)遇。

　　一是基于我國(guó)超大規(guī)模、多層次、多元化的內(nèi)需市場(chǎng)，發(fā)揮我國(guó)工業(yè)門類齊全、生產(chǎn)能力強(qiáng)大、配套能力齊全、適應(yīng)能力靈活的優(yōu)勢(shì)，擴(kuò)大消費(fèi)水平，提升傳統(tǒng)制造業(yè)水平。

　　二是在各行業(yè)中下游產(chǎn)業(yè)形成合力，著力補(bǔ)短板、強(qiáng)弱項(xiàng)，掃除工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈中的瘀點(diǎn)和堵點(diǎn)，促進(jìn)國(guó)內(nèi)各個(gè)環(huán)節(jié)、各個(gè)產(chǎn)業(yè)、各個(gè)區(qū)域之間的暢通。

　　三是促進(jìn)國(guó)內(nèi)與國(guó)外的經(jīng)濟(jì)聯(lián)通，構(gòu)建國(guó)內(nèi)國(guó)際相互促進(jìn)的新發(fā)展格局，提高供給側(cè)制造體系與需求側(cè)的適配性，帶動(dòng)高價(jià)值、高水平、系統(tǒng)性的供需循環(huán)，構(gòu)建完整、安全、可靠的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈體系。

　　(二)加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全知識(shí)產(chǎn)權(quán)布局

　　立足我國(guó)產(chǎn)業(yè)規(guī)模優(yōu)勢(shì)、配套優(yōu)勢(shì)、部分領(lǐng)域先發(fā)優(yōu)勢(shì)，針對(duì)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全領(lǐng)域的短板弱項(xiàng)，運(yùn)用新思想、新理論、新方法、新模型、新發(fā)現(xiàn)，完善工業(yè)互聯(lián)網(wǎng)安全知識(shí)產(chǎn)權(quán)布局，從“基礎(chǔ)”“源頭”鍛造長(zhǎng)板優(yōu)勢(shì)，緩解“斷供”威脅。

　　一是加強(qiáng)基礎(chǔ)理論和前沿技術(shù)研究，注重原創(chuàng)導(dǎo)向，充分發(fā)揮基礎(chǔ)研究對(duì)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全的源頭供給和引領(lǐng)作用。

　　二是加強(qiáng)標(biāo)準(zhǔn)研制，圍繞工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈數(shù)字化、全球化帶來(lái)的安全發(fā)展要求，促進(jìn)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全標(biāo)準(zhǔn)的同步規(guī)劃、同步制定，從適用性、先進(jìn)性、規(guī)范性方面提高標(biāo)準(zhǔn)質(zhì)量，加強(qiáng)標(biāo)準(zhǔn)信息服務(wù)能力和符合性測(cè)試能力，提升參與和塑造國(guó)際標(biāo)準(zhǔn)的能力和水平。

　　三是健全知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)評(píng)估體系，加強(qiáng)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈全環(huán)節(jié)、全領(lǐng)域安全的專利布局，探索建立知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)評(píng)估制度，充分發(fā)揮知識(shí)產(chǎn)權(quán)的應(yīng)有作用，在工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全專利許可、技術(shù)轉(zhuǎn)讓、開(kāi)源軟件風(fēng)險(xiǎn)測(cè)評(píng)、工業(yè)數(shù)據(jù)信息、商業(yè)秘密保護(hù)等方面加強(qiáng)預(yù)警，切實(shí)提升風(fēng)險(xiǎn)應(yīng)對(duì)能力。

　　(三)加速實(shí)現(xiàn)信息創(chuàng)新產(chǎn)業(yè)體系建設(shè)

　　著力產(chǎn)業(yè)體系建設(shè)要求實(shí)現(xiàn)從 IT 底層基礎(chǔ)軟硬件到上層應(yīng)用軟件全產(chǎn)業(yè)鏈的信息技術(shù)應(yīng)用創(chuàng)新發(fā)展?；谖覈?guó)工業(yè)制造業(yè)種類齊全、信息化基礎(chǔ)良好的優(yōu)勢(shì)，加速實(shí)現(xiàn)信息創(chuàng)新產(chǎn)業(yè)體系建設(shè)，規(guī)避直接使用國(guó)外技術(shù)產(chǎn)品可能存在的工業(yè)生產(chǎn)廠商預(yù)留后門或開(kāi)發(fā)工具被“污染”問(wèn)題。

　　一是制定信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)發(fā)展規(guī)劃，從技術(shù)體系引進(jìn)、產(chǎn)業(yè)基礎(chǔ)強(qiáng)化兩個(gè)方面推動(dòng)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全關(guān)鍵技術(shù)產(chǎn)品的創(chuàng)新發(fā)展，重點(diǎn)突破高端制造與高科技技術(shù)產(chǎn)品，將智能制造作為產(chǎn)業(yè)端升級(jí)的新方向。

　　二是推動(dòng)信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)關(guān)鍵技術(shù)和產(chǎn)品的規(guī)模化部署，開(kāi)展試點(diǎn)應(yīng)用，分行業(yè)、分場(chǎng)景形成可推廣、可復(fù)制、可移植的解決方案和試點(diǎn)示范。

　　三是構(gòu)建信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)鏈，構(gòu)建區(qū)域級(jí)產(chǎn)業(yè)聚集集群，打造覆蓋芯片、服務(wù)器、存儲(chǔ)、交換機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、工業(yè)操作系統(tǒng)、政務(wù)軟件、辦公軟件等完整的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈體系，保障工業(yè)設(shè)計(jì)、生產(chǎn)、加工、銷售過(guò)程中工業(yè)智能芯片、工業(yè)控制系統(tǒng)等工業(yè)設(shè)備產(chǎn)品的安全。

　　(四)提升工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈技術(shù)安全保障能力

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈涉及的實(shí)體和環(huán)節(jié)多樣，直接套用傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)會(huì)導(dǎo)致防護(hù)效果不佳，需針對(duì)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護(hù)對(duì)象開(kāi)展核心技術(shù)攻關(guān)，抵御日益復(fù)雜的網(wǎng)絡(luò)攻擊。

　　一是分析工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護(hù)對(duì)象的新特征和新需求，從傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)中借鑒思路和方法，發(fā)展可統(tǒng)籌兼顧工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈全環(huán)節(jié)安全的技術(shù)體系。

　　二是研究工業(yè)產(chǎn)品安全檢測(cè)技術(shù)，加大在開(kāi)源代碼安全檢測(cè)、漏洞挖掘與分析、惡意軟件識(shí)別及清除、網(wǎng)絡(luò)劫持檢測(cè)、智能情報(bào)、動(dòng)態(tài)預(yù)警等方面的資源投入，充分發(fā)揮技術(shù)創(chuàng)新在工業(yè)產(chǎn)品安全保障中的作用。

　　三是研究工業(yè)產(chǎn)品安全防御技術(shù)，利用工業(yè)產(chǎn)品的安全標(biāo)識(shí)、安全審查、產(chǎn)品溯源、假冒產(chǎn)品排查、威脅監(jiān)測(cè)、態(tài)勢(shì)感知、攻防演練等手段，提升對(duì)工業(yè)產(chǎn)品的安全控制能力。

　　四是融合應(yīng)用新技術(shù)保障工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全，研究人工智能、區(qū)塊鏈、可信計(jì)算、威脅情報(bào)、知識(shí)圖譜、基礎(chǔ)安全資源庫(kù)等在安全技術(shù)中的應(yīng)用，促進(jìn)構(gòu)建工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全技術(shù)體系。

　　五是推進(jìn)企業(yè)側(cè)工業(yè)軟硬件安全防護(hù)措施部署，對(duì)企業(yè)信息資產(chǎn)進(jìn)行跟蹤，加強(qiáng)工業(yè)生產(chǎn)、主機(jī)、智能終端等設(shè)備安全接入和防護(hù)，強(qiáng)化網(wǎng)絡(luò)協(xié)議、裝置設(shè)備、工業(yè)軟件等安全保障，強(qiáng)化工業(yè)互聯(lián)網(wǎng)平臺(tái)、工業(yè)應(yīng)用程序安全，強(qiáng)化應(yīng)用過(guò)程中關(guān)鍵信息和數(shù)據(jù)的安全保護(hù)，落實(shí)相關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)要求，提升企業(yè)內(nèi)外網(wǎng)安全防護(hù)能力。

　　(五)重視工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈渠道安全

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的產(chǎn)品、零部件、軟件由上游向下游的轉(zhuǎn)移過(guò)程依賴互聯(lián)網(wǎng)，任一環(huán)節(jié)遭到攻擊，都可能在最終工業(yè)產(chǎn)品中引入軟件缺陷或漏洞，埋下安全隱患。需重視工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的渠道安全，應(yīng)對(duì)工業(yè)產(chǎn)品供應(yīng)渠道和軟件升級(jí)劫持攻擊。

　　一是針對(duì)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈上的各類渠道，設(shè)計(jì)針對(duì)性的安全防護(hù)措施，重點(diǎn)保障負(fù)責(zé)軟件、產(chǎn)品交付的集中式分發(fā)渠道安全，支持軟件供應(yīng)商和用戶及時(shí)識(shí)別惡意渠道。

　　二是在正規(guī)渠道發(fā)布技術(shù)或產(chǎn)品，向用戶提供可驗(yàn)證正確性的校驗(yàn)數(shù)據(jù);在安裝或升級(jí)軟件時(shí)，校驗(yàn)相應(yīng)安裝包或升級(jí)模塊的簽名，防止軟件升級(jí)劫持等風(fēng)險(xiǎn)。

　　三是從正規(guī)渠道購(gòu)買、下載軟硬件，采用可信的第三方開(kāi)源、商業(yè)庫(kù)、算法，采購(gòu)安全可信的軟件外包服務(wù)等;關(guān)注所用組件的安全信息，針對(duì)已被披露的嚴(yán)重安全問(wèn)題，通過(guò)配置或加入其他安全措施進(jìn)行控制，及時(shí)升級(jí)相關(guān)組件，緩解安全影響。

　　四是加強(qiáng)對(duì)合作第三方的安全管理，在合同或協(xié)議中明確雙方的安全責(zé)任，要求合作第三方定期進(jìn)行自評(píng)估并及時(shí)反饋評(píng)估結(jié)果。

　　五是積極引入專業(yè)安全人才，設(shè)立專職的網(wǎng)絡(luò)安全技術(shù)崗位、安全運(yùn)營(yíng)服務(wù)崗位;建立安全操作及運(yùn)維管理制度，加強(qiáng)企業(yè)員工網(wǎng)絡(luò)安全培訓(xùn)及審計(jì)，提升企業(yè)內(nèi)部人員安全意識(shí)，避免由人員引入的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈渠道劫持風(fēng)險(xiǎn)。

　　(六)鼓勵(lì)上下游企業(yè)良性協(xié)同發(fā)展

　　工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈涉及的實(shí)體和環(huán)節(jié)多樣，受攻擊面廣;基于某些環(huán)節(jié)必然被突破的假設(shè)，需推動(dòng)上下游企業(yè)聯(lián)動(dòng)協(xié)調(diào)、相融共生、協(xié)同發(fā)展，共同抵御層出不窮的網(wǎng)絡(luò)攻擊活動(dòng)。

　　一是深入調(diào)查研究工業(yè)互聯(lián)網(wǎng)重點(diǎn)技術(shù)及核心企業(yè)上下游供應(yīng)鏈關(guān)系，整合和優(yōu)化供應(yīng)商、制造商、經(jīng)銷商以及自主知識(shí)產(chǎn)權(quán)等各種資源信息。

　　二是針對(duì)供應(yīng)鏈薄弱環(huán)節(jié)和供需短板，圍繞企業(yè)解決用工、原材料供應(yīng)、物流、融資等需求，全面梳理并摸清堵點(diǎn)、難點(diǎn)，針對(duì)性施策，打通上下游關(guān)聯(lián)環(huán)節(jié)，暢通供應(yīng)鏈大循環(huán)。

　　三是加強(qiáng)工業(yè)互聯(lián)網(wǎng)上下游企業(yè)的產(chǎn)銷對(duì)接，鼓勵(lì)鏈上合作伙伴建立良性互動(dòng)關(guān)系，鏈上企業(yè)堅(jiān)持保障本環(huán)節(jié)的安全，形成企業(yè)間利益共享、風(fēng)險(xiǎn)共擔(dān)、共同成長(zhǎng)的生態(tài)群落，促進(jìn)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈協(xié)同安全發(fā)展。

　　四是在工業(yè)生產(chǎn)的各個(gè)環(huán)節(jié)建立檢查點(diǎn)，將安全性評(píng)估列為必要評(píng)審項(xiàng)，嚴(yán)格遵守安全規(guī)范，防止因配置錯(cuò)誤導(dǎo)致后門、漏洞等安全威脅;自主研發(fā)或采購(gòu)的軟硬件在投入使用前應(yīng)經(jīng)由獨(dú)立的內(nèi)部或外部測(cè)評(píng)組織進(jìn)行安全性評(píng)估，及時(shí)解決所發(fā)現(xiàn)的問(wèn)題。

　　(七)優(yōu)化工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全發(fā)展環(huán)境

　　我國(guó)已出臺(tái)相應(yīng)的法規(guī)制度，發(fā)布了相關(guān)安全標(biāo)準(zhǔn)，以保障工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全;但相比于工業(yè)強(qiáng)國(guó)，尚缺乏有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)審查評(píng)估機(jī)制和手段，在專項(xiàng)政策法規(guī)和配套措施、組織實(shí)施等方面亟需提升。

　　一是建立針對(duì)性的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全管理框架，明確各方在供應(yīng)鏈攻擊防護(hù)中需要承擔(dān)的責(zé)任和義務(wù)，在國(guó)家層面保障工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全發(fā)展。

　　二是建立健全工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全監(jiān)管制度，制定相關(guān)審查評(píng)估規(guī)范，對(duì)關(guān)鍵工業(yè)軟硬件產(chǎn)品進(jìn)行檢測(cè)，評(píng)估其安全性和合規(guī)性，形成負(fù)責(zé)任的供應(yīng)商清單，并對(duì)供應(yīng)商進(jìn)行分級(jí)管理。

　　三是制定適合國(guó)情的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)，重點(diǎn)針對(duì)新技術(shù)新應(yīng)用帶來(lái)的安全風(fēng)險(xiǎn)，加強(qiáng)調(diào)查研究，在開(kāi)源軟件風(fēng)險(xiǎn)測(cè)評(píng)、工業(yè)數(shù)據(jù)安全防護(hù)等方面加強(qiáng)預(yù)警，提升風(fēng)險(xiǎn)應(yīng)對(duì)能力。

　　四是推動(dòng)工業(yè)企業(yè)和配套企業(yè)建立完善的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全管理制度，引導(dǎo)企業(yè)建立供應(yīng)商審核制度，從行業(yè)資質(zhì)、管理體系、技術(shù)能力、產(chǎn)品質(zhì)量、網(wǎng)絡(luò)安全防護(hù)能力等多個(gè)角度對(duì)供應(yīng)商進(jìn)行安全評(píng)估，并采取針對(duì)性的管控措施，及時(shí)淘汰不符合要求的供應(yīng)商。

　　五是加強(qiáng)國(guó)際產(chǎn)業(yè)安全合作，開(kāi)展技術(shù)、標(biāo)準(zhǔn)、檢測(cè)檢驗(yàn)、認(rèn)證等方面的國(guó)際交流，建立多渠道、多層次供應(yīng)鏈安全體系，增強(qiáng)產(chǎn)業(yè)鏈供應(yīng)鏈韌性，形成具有更強(qiáng)創(chuàng)新力、更高附加值、更安全的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈。

　　六、結(jié)語(yǔ)

　　當(dāng)前國(guó)際環(huán)境日趨復(fù)雜，世界經(jīng)貿(mào)格局的不確定性明顯增加，我國(guó)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全正在遭遇嚴(yán)峻考驗(yàn)。作為制造業(yè)大國(guó)，我國(guó)擁有全球最全的工業(yè)門類，最多的工業(yè)設(shè)備，豐富的工業(yè)互聯(lián)網(wǎng)生態(tài)以及大量的工業(yè)和信息化人才。

　　我國(guó)應(yīng)充分利用這一優(yōu)勢(shì)條件，加強(qiáng)知識(shí)產(chǎn)權(quán)布局，加速開(kāi)展信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)體系建設(shè)，提升技術(shù)安全保障能力，重視渠道安全，鼓勵(lì)上下游企業(yè)良性協(xié)同發(fā)展，優(yōu)化安全發(fā)展環(huán)境;以技術(shù)和管理相結(jié)合的思路創(chuàng)新我國(guó)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全發(fā)展路徑，保障工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)安全健康發(fā)展。