工業互聯網供應鏈安全發展路徑研究

程崢

中國石化集團共享服務有限公司南京分公司 江蘇 南京 210000

引言

工業互聯網是新一代信息技術、工業生產和經濟深度融合的全新經濟形態產物，是融合了新經濟發展生態、關鍵基礎設施與創新生產應用而形成的新模式，發展至今，已逐漸成為引領新一代工業革命的關鍵平臺支柱。在工業領域中，供應鏈作為生產中最重要的環節之一，圍繞企業核心業務，通過對信息流、物流、資金流的聯合控制，從設計、采購、生產、產品銷售到最終客戶服務，全過程進行高效協同，組織形成了一個整體的功能型網鏈模式，實現提質增效的生產經營目標。工業互聯網新技術體系及其能力對行業轉型的牽引力不斷增強，工業領域出現了豐富的新模式新業態。工業領域的供應鏈也在不斷探索數字化轉型，逐步發展出工業互聯網供應鏈新形態。

1 工業互聯網供應鏈典型安全問題分析

1.1 交付環節安全風險

產品交付在供應鏈中，如果產品或系統來源被篡改或非正式獲得，則產品的安全性將受到損害，產品將被感染或無法使用。供應鏈出現問題的原因是，產品的購買來源是偽造的（即官方域名被盜用，或者由于官方網站上的安全風險而更換產品），或者敏感信息在產品接入使用由于感染了整個系統而丟失。例如，backalis安全實驗室于2015年2月發布的等式允許組織使用一組超級信息庫將惡意代碼插入到硬盤固件中，方法是在為目標或行業購買、修復主機或硬盤時修改硬盤固件該超級信息存儲庫包含兩個惡意模塊，即已知的第一個惡意代碼，用于感染硬盤固件，能夠對幾十個通用品牌硬盤固件進行重新編程。在工業互聯網平臺上修改服務器硬盤固件后，整個工業互聯網平臺都會受到影響，攻擊者甚至可以獲得整個互聯網平臺的任何權利。

1.2 網絡攻擊手段多變導致風險加劇

與傳統IT網絡安全不同，工業領域更多關注的是生產流程中網絡信息傳輸的可用性和實時性。隨著科技發展，IT網絡與OT網絡的融合性在增強，但是依然存在諸多差異，勢必也會帶來更多的安全挑戰，其中供應鏈安全風險主要在于對外暴露的攻擊面日趨增大，甚至更大一部分風險是來源于與企業建立合作關系的外部公司，其在合作過程中出現的安全技術服務、自身管理疏忽或者提供產品在技術上的安全缺陷，都會被惡意攻擊者利用對生產數據進行破壞或竊取。工業互聯網安全中，供應鏈安全部分涉及面廣，包括了從工業產品設計研發、制造、銷售、交付和使用的多個環節，各個環節都不同程度地會涉及一些工具軟件，從這個路徑就可以有很多方法進行攻擊，主要包括對工具植入惡意代碼，對接入設備預裝惡意軟件，利用正常業務應用傳播惡意腳本，偽造或者盜用合法證書對惡意程序進行簽名四類常見手段[1]。此外，一些DDOS攻擊也會隨時中斷生產，還有高級持續性威脅時刻環伺。這些風險很難被察覺，一旦發生，都會在短時間內給工業生產造成極大破壞，同時可采取的緊急措施也相對有限，備件更換、升級修復或者組織召回產品等都存在成本高周期長的難點，應對難度大。

1.3 供應鏈成員關系穩定性較差

當前，中小企業仍然很難適應傳統的工業網絡供應鏈融資模式，供應鏈融資與傳統融資有著本質的不同，供應鏈成員之間的關系也存在一定的差異，在現有供應鏈融資模式下，銀行不再把單個企業的信用狀況和經營狀況作為信用標準，而以核心企業及其上下游企業組成的供應鏈作為信用評價主體，因此在供應鏈金融服務模式運行的過程中將需要差異化管理，現代供應鏈金融模式與傳統融資方式相比，銀行與中小企業的分散關系已經演變為銀行與核心企業、上下游企業的整體關系[2]。而在傳統的生產模式下，核心企業的垂直整合程度不斷加深，但隨著垂直整合的深化，企業管理成本將呈現不斷上升的趨勢，并會對供應鏈金融服務的積極作用產生侵蝕的負面影響，從而使核心企業的經營模式發生分化。

2 工業互聯網供應鏈安全發展路徑研究

2.1 要推進供應鏈數字化的進程

數字化是先進的科學技術和現代的生產組織方式相融合的結果，是產業鏈供應鏈現代化的一個重要標志。現在有很多人叫智慧化、信息化、智能化，但這種描述都不是非常準確。我們進入到一個數字化的時代了，應該叫數字化更為貼切。供應鏈數字化首先要有數字。與產業鏈構建有關的數據，才是有價值的數據。其次，要將數字形成數字資源，即能夠利用這些數字進行全產業鏈的數字化運營，通過數字化運營進行精準分析、科學決策，提供最優化方案。最終，要形成數據資產。在數字化運營的過程中，數據產生了價值。企業賣的不僅是產品，更是數據。按照習近平總書記的話，叫作產業數字化和數字化產業。未來我們要通過構建數字化供應鏈體現企業的創新能力，通過數字資產創造新的價值。除此之外，還需要提升供應鏈內大多數企業的信用度，通過合理應用區塊鏈技術，把供應鏈企業之間的買賣往來所發生的一系列還款、支付的有關信息作為考察金融機構信用度的重要內容，促使智能調用程序的有序開展，提升絕大多數企業的信用度受益。除此之外，還需要把應收賬款變成用來衡量企業還款能力以及信用能力的重要評判標準。雙方企業互相進行合同買賣的簽訂，然后開展貨物的往來，從而讓一家企業可以在賬面上有對另一個企業的應收賬款，然后進一步在信息平臺上對其自動轉換為另一方的智能資產[3]。同時作為發貨企業的一方能夠根據智能資產對金融機構提出貸款申請，相關金融機構可以依據原本預定的程序，具備能夠查看曾經往來的相關資料權限，盡可能縮減紙質資料的呈交以及人工的審核環節。在企業的智能資產達到相應金融機構的貸款要求，那么企業預留的賬戶就可以得到金融機構自動轉入的資金。 由此，既能夠大大提升銀行對資料的審查工作效率，還能有效確保整個過程的資料審查真實性以及完整性和準確性，盡可能減低金融機構的放貸風險。

2.2 依據網絡安全審查規定，積極落實企業主體責任

結合《網絡安全審查辦法》相關規定，產業互聯網平臺企業應積極構建協調、多部門的管理體系，建立網絡安全產品和服務安全風險預先評估機制。根據工業互聯網平臺的實際情況，完善工業互聯網產品的采購和使用等供應鏈流程，限制網絡安全風險行為，定期進行網絡安全評估；控制工業互聯網平臺的安全保護狀態，修復現有網絡安全風險。工業互聯網設備供應商和供應商需要加強自身的安全開發、安全集成和安全運行能力，將網絡安全作為能力出口，提高產品研發、集成過程中的安全和安保能力。除此之外，還需要建立完善的網絡病毒防范體制，不斷向用戶普及相關的網絡安全知識，同時做好相關具有危害性網絡網站的管理工作，讓用戶能夠降低點擊不健康網站的概率，進而從根本上降低網絡病毒傳播的風險性。其次，網管人員還需要強化對云計算技術的安全監管力度，通過技術能力的提高迅速解決其中的病毒入侵和黑客等不法行為，進而達到有效凈化網絡環境、提高網絡安全水平的監管目的。再者，網絡監管機構還需要針對云計算過程中存在的漏洞問題建立安全保護制度，進而使得網絡病毒入侵的概率得到降低。

2.3 發揮工業產業種類齊全的良好優勢

當前，全球第四次工業革命正在孕育興起，我國制造業持續高速發展，互聯網、大數據、人工智能等新一代信息技術與工業生產技術的融合逐漸加深，這兩者構成了新的歷史交匯點，使得工業經濟新的發展道路不斷拓寬，從生產制造模式、產業聯合方式、商業化機制等方面都發生了顛覆式創新，逐步構建起全要素、全產業鏈、全價值鏈融通的新型工業生產制造和服務體系，與全球供應鏈進行了全方位、深層次、革命性的融合，也為我國工業互聯網供應鏈的安全發展也提供了新機遇[4]。一是基于我國內需市場目前仍是超大規模、多層次、多元化的特點，發揮我國工業種類齊全、生產動能強大、配套設施完善、業務適應靈活的多種優勢，促進消費升級，推動傳統工業制造業各項水平提升。二是多措并舉促進國內各產業各環節在各個區域之間的暢通，從中下游產業入手構建合力，強化措施開展補短板、強弱項工程，逐步掃清工業互聯網供應鏈中的桎梏點，并逐層構建起供應鏈安全管控流程的標準規范。三是拉動供需構建良性循環機制，強化國內與國外的經濟生態互聯互通，打造新發展格局，提升生產制造體系與社會產品需求的適配性，帶動國內國外工業生產高價值、高水平創新發展，從而構建起完整、安全、可靠的工業互聯網供應鏈體系。

2.4 明確工業互聯網供應鏈安全要求和標準

參照《網絡安全審查辦法》相關規定，對于服務器、操作系統、數據庫、應用程序系統、PLC工業控制設備、DCS以及工業互聯網平臺上的其他硬件和軟件設備等產品的開發人員、供應商、服務提供商和使用單位，明確安全責任和義務，促進提高供需兩方面的安全水平，并在產品維護階段有效確保工業互聯網產品的安全，例如，對于使用工業互聯網平臺的企業，建議建立一個管理系統，明確要求采購的產品必須經過授權的第三方安全測試，產品服務提供商在發現產品存在重大安全缺陷時及時通知用戶，從而使用戶能夠采用此外，供應鏈安全管理責任應明確納入工業互聯網平臺的網絡安全保護要求；主要平臺——可能影響國家安全的工業互聯網平臺，應接受網絡安全審查，特別是與國民經濟和人民生活有關的企業基本設備，并應在購買前進行安全審查。

2.5 強化供應關系識別

工業互聯網供應鏈財務風險控制需要做好關鍵管理工作，特別是供應商選擇的過程中，首先要考慮主要因素，如信譽、價格靈活性、成本構成等；此外，還要結合相關政策和服務體系進行優化選擇，以降低整體財務風險。企業還需要從顧客需求的角度出發，把顧客的需求最大化，使顧客的價值最大化。所有的資源和流程都需要優化，以更快的服務于客戶，從而最大限度地滿足客戶的需求，提高企業的運營效率。在企業做好各部門內部協調和上下游企業管理后，選擇合作銀行是下一個重要課題。對此，李寧公司財務總監杜道麗提出了選擇標準，即合伙人擁有專業的運營團隊，規范的審核流程，以顧客為本的服務意識，以及較高的執行效率。在選擇合作銀行時，要考慮的問題是完善的供應商評估理念、國際化的視野與布局、專業的財務團隊提供的標準化服務及配套的技術平臺。

3 結束語

未來從事工業互聯網供應鏈安全工作，一定程度上要逐步開始轉變思維，從管理者思維向服務思維轉型。要更多地以消費者為中心，基于消費者切實需求為目標，多方位去規劃設計并構建產業鏈供應鏈。這樣的產業鏈供應鏈，一定是柔性化、敏捷化、可定制、高可靠且具備一定安全合規標準的。這個過程也與數字化發展的進程密切相關，只有基于數字化平臺不斷融合提升，才能真正實現產業鏈供應鏈的柔性化、敏捷化、可定制、高可靠及合規性，增強產業鏈供應鏈的安全自主可控能力。