新业态新安全②丨数字化重塑供应“新链”，如何统筹网络与生产安全

编者按：

网络安全，既是企业数字化转型的基础保障，亦是数字经济行稳致远的必备条件。

近一年来，《个人信息保护法》正式实施，《网络产品安全漏洞管理规定》《网络安全审查办法》《数据出境安全评估办法》等政策法规相继落地，我国网络安全监管框架正不断完善。

但另一方面，Apache Log4j2组件中存在严重安全漏洞、勒索攻击与DDoS等网络攻击愈演愈烈，网络安全挑战仍然存在。随着大众日常生活与网络空间的结合愈加紧密，网络安全对于我国社会治理、经济发展和人民的生命财产安全影响越来越大。

南方财经全媒体集团·21世纪经济报道合规科技研究院长期聚焦数字经济发展背景下新业态网络安全问题，结合产业实际发展需求，在2022年网络安全宣传周正式举办之际，特推出“新业态新安全”系列深度专题报道，聚焦数字经济新业态发展背景下，网络安全攻防的形势与变化，从制度建设和技术应用两大方向出发，探讨如何为数字时代网络安全保驾护航。

在专题报道的第二篇，我们从产业数字化带来的显著成果之一——工业互联网供应链的角度出发，探讨经由数字技术加以联通的工业实体和环节，在网络安全形势愈加复杂的环境下面临哪些安全问题，针对软硬件交错、构造复杂的供应链系统，又该如何筑起安全防护之盾，守护生产安全。

近年来，新一代信息技术与制造业融合程度不断提升，以新型互联网技术和应用整合工业生产资源，打通设计、采购、生产、销售等各环节的工业互联网供应链体系，成为制造业数字化转型升级的重要抓手，也极大提升了工业企业的资源配置能力和产品供给能力。

但另一方面，随着互联网在工业生产领域的延伸，经由数字网络连通的部件、数据、软件供应商和服务商数量也在急剧提升，IT行业的软硬件供应链正和能源、汽车、等传统行业供应链加速融合，重塑新链。

这既导致了工业企业在防范网络安全攻击时，所需兼顾的受攻击面极大延展，也使得企业生产某一环节存在未被及时发现的安全隐患或受到安全威胁时，影响可能波及整个供应链，造成巨大经济损失。我国亟需根据工业生产不同门类实际需求和网络安全形势，构建供应链安全防护体系，保障工业互联网产业健康发展。

新链与新安全

作为制造业大国，我国拥有产业种类布局齐全与信息化基础良好的领先优势。随着数字技术的不断发展和在工业领域的加速落地，部分率先开展数字化的龙头企业和创新型企业发挥的带动作用，快速传导至产业链的各个环节，在进一步提升供给侧制造能力对需求侧适配性的发展趋势下，开始了全供应链的转型升级。

上海大学教授、紫金山实验室车联网内生安全负责人李玉峰在接受南方财经全媒体记者采访时指出，新一轮科技革命和产业变革深入发展，推动传统产业全方位、全链条数字化转型已成为大势所趋，许多传统行业的供应链正与lT行业的软硬件供应链加速融合，构建数字化生产“新链”。

具体而言，以工业互联网、数字化平台等基础设施为抓手，转型升级极大提升了企业生产效率和采销效率。树根互联联合创始人、CEO贺东东表示，可以将产业链上下游企业的资产、生产、销售等数据进行采集和分析计算，以旗下基于根云平台打造产业链IIoT解决方案为例，形成数据驱动的供应链管理应用，极大提升产业链匹配效率和中小企业对接商业需求的能力。

“‘通用平台+产业生态’的模式以行业龙头企业、产业链创新企业为切入口，打造覆盖供应链整体的工业互联网应用，可以带动一大批上下游企业尤其是中小企业实现数字化转型。”贺东东说。

但也有相关行业人士也指出，相较于传统信息行业，工业企业的数字化进程有着明显的行业特异性，企业信息化水平参差不齐，不能一概而论，不同行业依托其自身特点和技术发展阶段，在不同程度上完成了数字化转型阶段性任务。

对于部分企业，尤其是信息化基础相对薄弱的中小企业，其网络安全建设水平各异，这就使得产业链整体在进行数字化转型，打造“新链”的过程中，需要将网络、平台、安全三者进行协同考虑。

北京汉华飞天信安科技有限公司总经理彭根告诉记者，当前供应链安全主要面临两方面的问题，一是部分产业依赖国外供应商提供的软硬件，在难以实现国产化替代的情况下，存在着被“卡脖子”的风险。

此外，供应链上下游尚未形成完整的安全共识和防护标准，对外部合作伙伴或供应商，企业很难验证其系统安全情况和受保护程度，由于缺乏安全统一规划，在遭到网络攻击时很容易被“以点破面”，使得整个供应链受到影响。

“现在很多供应链安全工作，包括工控系统安全、等保安全等等，都是在弥补过去的不足。”彭根说。

网络安全与生产安全亟待统筹

供应链数字化升级带来的一大重要变化是软硬件在生产中的结合愈加紧密，但这也使得网络空间中的安全问题对现实生产生活构成更为直接的风险隐患。

去年5月，全美最大的成品油运输管道运营商科洛尼尔公司遭到网络攻击， 导致美国东南部地区的汽油供给大量中断，数日后才恢复运营，全球油化产业受到影响；今年3月，因生产塑料零部件的供应商受到勒索软件攻击，丰田汽车公司在日本的14家工厂被迫全部停工一天。

基础设施和生产设别的大规模联网，复杂工业产品供应链不断延长的背景下，能接触到企业核心技术产品、核心部件、敏感数据的设备供应商和服务商数量大大增加，这也使得安全防护端压力陡升。

上述工业互联网业内人士指出，目前支持外联访问的工业设备九成以上使用的是弱网络链接协议，且大部分不具备身份认证能力，还有一些来自国外的软硬件标准、规格和国内不能完全匹配，这都加大了安全体系搭建的难度。

李玉峰认为，21世纪以来，工业控制系统、机器人、智能网联汽车等集计算、通信与控制于一体系统的大范围应用，为物理世界和信息世界的互动提供了渠道。而信息物理系统一旦联网，将不仅受物理失效、随机硬件失效、系统失效的影响，也受基于系统软硬件漏洞的网络空间攻击的影响，这也是供应链网络安全问题不再局限于网络和信息层面，而且能够对物理世界直接造成威胁的根本原因之一。

他进一步指出，复杂系统的供应链既面临自然因素触发的故障失效带来的传统功能安全问题，也面临网络攻击下的功能安全新问题，“而且故障失效可能会削弱系统的网络安全防御水平，给网络攻击者更多的可乘之机，而网络攻击可能又会给系统造成更多失效问题，如此循环叠加，可能使危害被级联放大，最终在物理空间造成巨大危害。” 因此，功能安全与网络安全的双重安全风险构成了当前更广义的安全防护要求。

彭根也指出，随着供应链数字化进入深水区，安全问题的来源愈加复杂，对于国外供应商如果做不到完全替代，至少要做到安全可控；对于国内的上下游供应链，则要在网络安全、系统安全、数据安全等方面面向全行业进行安全统筹。

保障供应链安全需多方共建

在实际的工业生产实践中，互联网技术的广泛应用将不同环节的生产主体联系在一起，因而从安全风险来看，个别环节的漏洞隐患很可能构成对整个供应链和终端用户的安全威胁。

2017年5月，瑞士安全公司的研究人员在检查Windows活动域时，发现惠普音频驱动中内置了一个键盘记录器，被用于监控用户的案件记录，且由于缺陷代码漏洞，记录内容被保存在可读取的文件目录下，其他用户和第三方应用都可对其进行访问。

但与此同时，实际的安全责任在供应链各环节的分布却并不均匀，链上主体坚守本环节安全的意识与动力各不相同，行业共识与整体安全机制还有待行业共同推动。

李玉峰指出，在许多产业中，OEM（原始设备制造商）作为集成方，很多时候并不掌握供应链各个组件的源代码和设计方案，其拿到的零部件往往是一个“黑箱”，但漏洞却往往会分布在这些零部件中，并通过系统集成一步步安装到最终的设备和产品上。

“作为设备整体安全的主体责任人，OEM缺乏很好的机制或抓手把安全压力同步传导给各个零部件供应商，而供应商各自为战、不成体系的安全加固方法也很难有效提升整体设备和产品的安全水平。毕竟，网络安全木桶原理告诉我们整体安全水平由安全级别最低的部分所决定。”李玉峰说。

近年来对供应链各环节的安全责任要求也在不断落实，2020年12月工信部印发《工业互联网创新发展行动计划（2021-2023年）》，第39条提出“ 实施工业互联网企业网络安全分类分级管理制度，明确企业安全责任要求和标准规范”“ 督促企业完善网络安全管理体系，加强供应链安全管理，落实企业主体责任”。

彭根表示，在工业供应链尤其是工控领域，完全的安全保障目前还存在一定难度：“无论是在硬件还是软件层面，我们都面临着被卡脖子的问题，需要通过构建一套完整的标准体系，提升整个行业的安全保障能力。”

他进一步指出，目前可以通过制定一些规范标准，在下游厂商引进软硬件时，就要求其提供渗透测试等安全性测试证明，或者交由专业的第三方安全公司对其进行检测，在供应商与下游客户的采购流程中就将安全因素考虑在内。

上述工业互联网业内人士表示，近年来以监管和行业不断重视的数据安全为切入口，已有部分工业互联网开始搭建覆盖全供应链的安全保障体系。

“需要以工业互联网+安全生产的理念，将目前比较割裂的网络信息安全监管与生产功能安全监管形成有机的融合，促使将工业生产的安全思考转向于综合安全问题的思考。”其续称。

此外，行业也在进行着供应链安全责任共担的探索，以智能网联汽车产业链为例，上海市智能网联汽车网络安全产业协同创新中心联合多家行业单位，尝试通过“众测平台”，统一检查管理各级供应商共担网络安全责任，补强产业链各环节安全性。

“供应链安全涉及多方主体，本质上还是一个网络安全责任共担、共管的问题。这不仅需要各个行业的共识共建，也需要国家的引导、标准的引领、法律法规的健全和供应链OEM企业的主动作为等。”李玉峰说。