隨著新型工業化步伐加快、網絡強國和製造強國建設紮實推進，網絡化、數字化、智(zhi)能(neng)化(hua)成(cheng)為(wei)工(gong)業(ye)企(qi)業(ye)轉(zhuan)型(xing)升(sheng)級(ji)的(de)重(zhong)要(yao)方(fang)向(xiang)。近(jin)年(nian)來(lai)，我(wo)國(guo)通(tong)過(guo)出(chu)台(tai)工(gong)業(ye)互(hu)聯(lian)網(wang)頂(ding)層(ceng)設(she)計(ji)並(bing)持(chi)續(xu)推(tui)動(dong)政(zheng)策(ce)法(fa)規(gui)落(luo)地(di)實(shi)施(shi)
，助(zhu)力(li)工(gong)業(ye)企(qi)業(ye)聯(lian)網(wang)率(lv)逐(zhu)步(bu)攀(pan)升(sheng)。工業互聯網通過“人、機、物”互聯，推動工業經濟實現全要素

、全產業鏈、全quan價jia值zhi鏈lian的de網wang絡luo化hua連lian接jie
，構gou建jian新xin型xing工gong業ye生sheng產chan製zhi造zao服fu務wu體ti係xi，助zhu推tui製zhi造zao業ye實shi現xian高gao質zhi量liang發fa展zhan。提ti升sheng工gong業ye互hu聯lian網wang供gong應ying鏈lian安an全quan水shui平ping和he自zi主zhu可ke控kong能neng力li，是shi供gong應ying鏈lian上shang下xia遊you健jian康kang發fa展zhan的de基ji礎chu
，也ye是shi護hu航hang新xin型xing工gong業ye化hua的de重zhong要yao因yin素su。本ben文wen介jie紹shao了le工gong業ye互hu聯lian網wang供gong應ying鏈lian攻gong擊ji和he風feng險xian要yao素su，建jian議yi從cong工gong業ye互hu聯lian網wang供gong應ying鏈lian生sheng命ming周zhou期qi安an全quan防fang護hu、供應商和服務商管理、製度建設和人員管理三方麵加強工業互聯網供應鏈安全防護體係建設。

工業互聯網供應鏈安全分析

我(wo)國(guo)工(gong)業(ye)企(qi)業(ye)涉(she)及(ji)行(xing)業(ye)眾(zhong)多(duo)，工(gong)業(ye)互(hu)聯(lian)網(wang)平(ping)台(tai)企(qi)業(ye)不(bu)斷(duan)湧(yong)現(xian)
，規(gui)上(shang)工(gong)業(ye)企(qi)業(ye)借(jie)助(zhu)工(gong)業(ye)互(hu)聯(lian)網(wang)提(ti)質(zhi)增(zeng)效(xiao)的(de)意(yi)圖(tu)明(ming)顯(xian)，但(dan)信(xin)息(xi)和(he)安(an)全(quan)類(lei)企(qi)業(ye)還(hai)未(wei)達(da)到(dao)國(guo)際(ji)先(xian)進(jin)水(shui)平(ping)，工(gong)業(ye)互(hu)聯(lian)網(wang)供(gong)應(ying)鏈(lian)仍(reng)麵(mian)臨(lin)較(jiao)大(da)的(de)網(wang)絡(luo)安(an)全(quan)風(feng)險(xian)，一(yi)旦(dan)供(gong)應(ying)鏈(lian)上(shang)的(de)節(jie)點(dian)被(bei)攻(gong)擊(ji)，供(gong)應(ying)鏈(lian)上(shang)的(de)相(xiang)關(guan)企(qi)業(ye)（如固件
、組件、軟件
、係統的使用企業和平台企業）將麵臨巨大威脅。

工業互聯網供應鏈

gongyehulianwanggongyinglianshiweimanzugongyingfanghexuqiufangzhijiandegongxuguanxi，tongguoziyuanjiangshuangfangxianghulianjiedewanglianjiegou


，kejianggongyehulianwangchanpinhuofuwutigonggeixuqiufang。gongyehulianwanggongyinglianchanpinbaokuogujian

、組件、軟件和係統，例如工業主機中的固件
、SCADA（數據采集與監視控製係統）
、工業APP、MES（生產執行係統）等。工業互聯網供應鏈服務包括雲服務、運維服務等
，例如公有雲平台
、運維平台等。

工業互聯網供應鏈攻擊

工業互聯網供應鏈攻擊是指攻擊者利用工業互聯網相關企業（包括應用工業互聯網的企業
、平台企業或標識解析企業）供應鏈體係的薄弱環節
，向整個供應鏈傳播惡意代碼或攻擊企業的基礎設施，從而破壞或竊取相關企業的敏感數據。不同於傳統的網絡“釣魚”和社會工程學攻擊，工業互聯網供應鏈遭到攻擊將導致整個供應鏈被注入惡意代碼
，影響該企業甚至上下遊多個企業的生產和運營。

工業互聯網供應鏈安全風險識別

從企業角度看，工業互聯網供應鏈麵臨的風險主要來自產品及服務的生命周期

、采購、運營三個層麵。

產品及服務的生命周期風險，即企業在設計
、開發、測試、使用
、運維、廢止軟件或係統，以及接入平台過程中引入的網絡安全風險。2021年12月，Apache Log4j被曝存在遠程代碼執行漏洞。作為一款開源日誌組件
，Log4j被眾多Java框架廣泛采用

，其漏洞的影響範圍涉及所有使用該組件的軟件。

采購風險，即企業采購的產品或服務帶有漏洞
、惡意代碼或“後門”，攻擊者將產品或服務作為跳板進行網絡攻擊或竊取數據
，為整個工業互聯網供應鏈帶來風險。2018年台積電發生一起生產線感染WannaCry（一種“蠕蟲式”的勒索病毒軟件）病bing毒du變bian種zhong的de事shi件jian。這zhe個ge事shi件jian的de起qi因yin是shi一yi批pi新xin接jie入ru生sheng產chan線xian的de計ji算suan機ji帶dai有you病bing毒du，上shang遊you設she備bei供gong應ying商shang未wei對dui計ji算suan機ji進jin行xing嚴yan格ge的de安an全quan檢jian查zha和he病bing毒du掃sao描miao

，同tong時shi台tai積ji電dian也ye未wei對dui新xin上shang線xian的de設she備bei進jin行xing嚴yan格ge的de安an全quan檢jian查zha和he病bing毒du掃sao描miao，從cong而er導dao致zhi了le安an全quan事shi故gu，這zhe給gei台tai積ji電dian的de生sheng產chan和he聲sheng譽yu造zao成cheng了le重zhong大da損sun失shi。

運營風險，即企業在實際運作過程中，因管理機製有所缺失或不完善，導致風險識別、處置和防範等工作不到位所引發的風險。2022年3月，網絡安全企業Okta透露，一家供應商（Sitel）遭zao到dao攻gong擊ji
，導dao致zhi公gong司si部bu分fen數shu據ju被bei竊qie取qu。後hou續xu的de調tiao查zha顯xian示shi，這zhe家jia供gong應ying商shang的de一yi名ming員yuan工gong通tong過guo其qi個ge人ren筆bi記ji本ben電dian腦nao為wei用yong戶hu提ti供gong服fu務wu，人ren員yuan及ji設she備bei的de管guan理li不bu當dang對dui供gong應ying鏈lian安an全quan造zao成cheng了le重zhong大da影ying響xiang。

工業互聯網供應鏈安全防護體係

當前，軟件供應鏈和ICT（信息與通信技術）供應鏈相關的安全防護研究較多。相比軟件供應鏈
，工業互聯網供應鏈資產要素多、行業應用場景多樣；相比ICT供應鏈，工業互聯網供應鏈實際運作更為複雜、供應商網絡安全管理能力偏弱。因此
，在參考軟件和ICT供應鏈安全的基礎上，企業要錨定風險點

，從工業互聯網供應鏈生命周期安全防護、供應商和服務商管理

、製度建設和人員管理三方麵加強工業互聯網供應鏈安全防護體係建設。

工業互聯網供應鏈生命周期安全防護

針對產品及服務的生命周期風險，企業應根據自研產品的不同階段、使用代碼的不同來源、服務的接入情況
，采取適宜的安全防護手段。

對(dui)於(yu)自(zi)研(yan)軟(ruan)件(jian)和(he)係(xi)統(tong)
，企(qi)業(ye)在(zai)設(she)計(ji)階(jie)段(duan)，根(gen)據(ju)行(xing)業(ye)典(dian)型(xing)場(chang)景(jing)及(ji)企(qi)業(ye)實(shi)際(ji)運(yun)作(zuo)需(xu)要(yao)進(jin)行(xing)安(an)全(quan)需(xu)求(qiu)分(fen)析(xi)，采(cai)用(yong)安(an)全(quan)的(de)架(jia)構(gou)和(he)設(she)計(ji)模(mo)型(xing)

，確(que)定(ding)身(shen)份(fen)鑒(jian)別(bie)與(yu)訪(fang)問(wen)控(kong)製(zhi)機(ji)製(zhi)
；在開發階段，根據安全的編碼規範，在安全的編譯環境下，使用安全的編碼工具，防止生成缺陷代碼，導致出現漏洞
、惡意代碼或“後門”
；在測試階段，使用安全的代碼審計工具、漏洞掃描工具
、滲透測試工具進行代碼分析和漏洞掃描，及時發現代碼缺陷
、邏輯問題以及漏洞；在使用階段，根據安全設計進行安全配置，確認基於業務
、角色和權限的身份鑒別及訪問控製機製，定期或在發生信息安全事件時進行病毒查殺及漏洞掃描
，發現安全隱患後及時進行維護；在運維階段，確保在安全的前提下

，按照實際需要進行產品升級
、漏洞修複或安全加固，完成後開展相應的安全性測試、完整性校驗；在廢止階段
，按照廢止處理流程進行數據處理、軟件移除及係統停用，對代碼和數據進行安全處理和保護。

對於開源組件、ruanjianhexitong，qiyezaiduiqilaiyuanjinxingpingshenbingquedinganquankekaodeqiantixia，wuxukaolvshejianquanhekaifaanquan，qitashengmingzhouqianquanfanghuyuziyanruanjianhexitongdeanquanfanghuliuchengyizhi。

對於采購組件

、軟件和係統
，企業應通過合同或者協議對供應商進行約束，要求供應商及時進行產品升級、安全異常提醒和安全維護。若供應商已中斷維護服務，企業應自發定期進行漏洞掃描和滲透測試，並關注所使用組件
、軟件和係統的網絡安全事件和漏洞發布情況
，發現漏洞後自發或通過第三方服務商進行產品升級
、漏洞修複及安全加固。

duiyucaigouyingjianzhongdegujian，qiyetongyangyaotongguohetonghuozhexieyiduigongyingshangjinxingyueshu，yaoqiugongyingshangjishijinxinganquanyichangtixingheanquanweihu。ruogongyingshangyizhongduanweihufuwu，qiyeyingzifadingqijinxingloudongsaomiao
，bingguanzhugujianxiangguanwangluoanquanshijiandefabuqingkuang，biyaoshizifahuotongguodisanfangfuwushangjinxinggujianloudongxiufuhuotishenggujiandeanquannengli。

對於接入的平台
，企業要通過配置核查，確保身份鑒別
、訪問控製、傳輸安全和接口防護符合自身安全要求。

供應商和服務商管理

針對采購風險，為加強對供應商和服務商的供應鏈安全管理
，應用工業互聯網的企業
、pingtaiqiyehuobiaoshijiexiqiyekejianligongyingshanghefuwushangminglubingjinxingweihu，zaicaigouchanpinhefuwuqianduigongyingshanghefuwushangjinxingchupingbingdingqijinxingfuping
，pingdingneirongbaokuodanbuxianyuzhongduangongyingdekenengxing、企業網絡安全建設能力、網絡安全事件響應能力、一yi級ji供gong應ying商shang對dui二er級ji供gong應ying商shang的de網wang絡luo安an全quan約yue束shu能neng力li等deng
，確que保bao供gong應ying商shang和he服fu務wu商shang所suo提ti供gong的de產chan品pin和he服fu務wu具ju有you網wang絡luo安an全quan防fang護hu和he事shi件jian處chu置zhi能neng力li。同tong時shi，基ji於yu華hua為wei被bei斷duan供gong的de前qian車che之zhi鑒jian


，企qi業ye可ke優you先xian選xuan取qu國guo內nei的de供gong應ying商shang和he服fu務wu商shang，通tong過guo多duo元yuan化hua方fang式shi避bi免mian斷duan供gong造zao成cheng的de網wang絡luo安an全quan損sun失shi。企qi業ye可ke在zai合he同tong或huo協xie議yi中zhong對dui所suo采cai購gou的de產chan品pin和he服fu務wu進jin行xing約yue束shu，一yi旦dan遭zao到dao供gong應ying鏈lian攻gong擊ji相xiang關guan的de網wang絡luo安an全quan事shi件jian

，供gong應ying商shang或huo服fu務wu商shang要yao及ji時shi響xiang應ying並bing處chu置zhi，包bao括kuo及ji時shi告gao知zhi新xin發fa現xian漏lou洞dong、修複漏洞
、ruanjianhuoxitongshengjideng。duiyugongyehulianwangpingtaiqiye，haiyingkaolvjiekouanquan，shezhishuangxiangdeshenfenjianbiehefangwenkongzhi，bimiangongjizheduipingtaibenshenjijierupingtaiqiyejinxingfeifafangwenzaochengdeshujucuangaiheqiequ。

製度建設和人員管理

針對運營風險
，企業可以從製度建設和人員管理兩方麵進行規範化管理，形成有效保護供應鏈安全的機製。

在製度建設方麵，企業根據自身行業和業務特點形成符合自身要求的管理製度
，包括但不限於配置管理、資產管理

、采購管理
、運維管理、人員管理等。由於工業互聯網供應鏈涉及固件
、組件、ruanjianhexitong，qiyezaishulizichandejichushangkexingchengjiyuzujiandewuliaoqingdanhegouchengtupu，bingdingqiduiqijinxingweihu
，yidanfashengbianhua，jishiyanzhengqiwanzhengxingheanquanxing。qiyeyekexingchengjiyudaima
、組件、軟件

、係統清單的源代碼庫和漏洞庫，並進行維護。同時
，企業基於審計
、數shu據ju備bei份fen及ji恢hui複fu，製zhi定ding針zhen對dui供gong應ying鏈lian安an全quan的de應ying急ji預yu案an並bing定ding期qi進jin行xing演yan練lian
，以yi便bian在zai遭zao到dao攻gong擊ji後hou迅xun速su響xiang應ying。最zui後hou，企qi業ye定ding期qi對dui供gong應ying鏈lian安an全quan進jin行xing風feng險xian識shi別bie和he評ping估gu，確que定ding相xiang應ying的de風feng險xian級ji別bie，通tong過guo審shen批pi進jin行xing風feng險xian處chu置zhi。

在人員管理方麵
，首先要完善人員能力，對工業互聯網供應鏈安全相關的技術操作人員、軟件開發測試人員和網絡安全管理人員等進行供應鏈安全和製度相關的技術、管理培訓，使其具備供應鏈要素識別、風險管理
、安(an)全(quan)配(pei)置(zhi)和(he)漏(lou)洞(dong)處(chu)理(li)等(deng)能(neng)力(li)，並(bing)能(neng)意(yi)識(shi)到(dao)工(gong)業(ye)互(hu)聯(lian)網(wang)供(gong)應(ying)鏈(lian)安(an)全(quan)對(dui)於(yu)企(qi)業(ye)的(de)重(zhong)要(yao)性(xing)，避(bi)免(mian)進(jin)行(xing)誤(wu)操(cao)作(zuo)。其(qi)次(ci)是(shi)強(qiang)化(hua)員(yuan)工(gong)道(dao)德(de)約(yue)束(shu)，依(yi)據(ju)角(jiao)色(se)劃(hua)分(fen)權(quan)限(xian)確(que)定(ding)員(yuan)工(gong)職(zhi)責(ze)，製(zhi)定(ding)員(yuan)工(gong)違(wei)規(gui)行(xing)為(wei)的(de)懲(cheng)戒(jie)措(cuo)施(shi)，必(bi)要(yao)時(shi)簽(qian)訂(ding)協(xie)議(yi)並(bing)設(she)置(zhi)“AB角色”，baozhangqiyemianyushehuigongchengxuegongji。duiyuzhongyaogongyeqiyehegongyehulianwangpingtaiqiye，kepeizhigongyingliananquanbaozhangtuandui，duirenyuanbeijingjinxingtiaozha，quebaoyuangongnenggouyingduigongyingliananquantufashijian，jubeianquanshijianfenxiheyingjichuzhinengli。

結語

我wo國guo堅jian持chi工gong業ye互hu聯lian網wang發fa展zhan與yu安an全quan並bing重zhong，供gong應ying鏈lian安an全quan是shi工gong業ye互hu聯lian網wang健jian康kang發fa展zhan的de重zhong要yao保bao障zhang。本ben文wen基ji於yu工gong業ye互hu聯lian網wang供gong應ying鏈lian資zi產chan要yao素su及ji企qi業ye類lei型xing，提ti出chu建jian設she、采購和日常管理三個層麵的風險。針對三個層麵的風險，構建工業互聯網供應鏈安全防護體係。後續
，隨著衛星通信、區塊鏈、大數據、人工智能等新技術的不斷發展和應用，工業互聯網供應鏈安全防護體係也應在政策指導
、指南要求及事件驅動下不斷更新。