http://bfqmb.cn 2024-05-07 10:49 來源:通信世界網(wǎng)
隨著新型工業(yè)化步伐加快、網(wǎng)絡強國和制造強國建設扎實推進,網(wǎng)絡化、數(shù)字化、智能化成為工業(yè)企業(yè)轉(zhuǎn)型升級的重要方向。近年來,我國通過出臺工業(yè)互聯(lián)網(wǎng)頂層設計并持續(xù)推動政策法規(guī)落地實施,助力工業(yè)企業(yè)聯(lián)網(wǎng)率逐步攀升。工業(yè)互聯(lián)網(wǎng)通過“人、機、物”互聯(lián),推動工業(yè)經(jīng)濟實現(xiàn)全要素、全產(chǎn)業(yè)鏈、全價值鏈的網(wǎng)絡化連接,構(gòu)建新型工業(yè)生產(chǎn)制造服務體系,助推制造業(yè)實現(xiàn)高質(zhì)量發(fā)展。提升工業(yè)互聯(lián)網(wǎng)供應鏈安全水平和自主可控能力,是供應鏈上下游健康發(fā)展的基礎,也是護航新型工業(yè)化的重要因素。本文介紹了工業(yè)互聯(lián)網(wǎng)供應鏈攻擊和風險要素,建議從工業(yè)互聯(lián)網(wǎng)供應鏈生命周期安全防護、供應商和服務商管理、制度建設和人員管理三方面加強工業(yè)互聯(lián)網(wǎng)供應鏈安全防護體系建設。
工業(yè)互聯(lián)網(wǎng)供應鏈安全分析
我國工業(yè)企業(yè)涉及行業(yè)眾多,工業(yè)互聯(lián)網(wǎng)平臺企業(yè)不斷涌現(xiàn),規(guī)上工業(yè)企業(yè)借助工業(yè)互聯(lián)網(wǎng)提質(zhì)增效的意圖明顯,但信息和安全類企業(yè)還未達到國際先進水平,工業(yè)互聯(lián)網(wǎng)供應鏈仍面臨較大的網(wǎng)絡安全風險,一旦供應鏈上的節(jié)點被攻擊,供應鏈上的相關企業(yè)(如固件、組件、軟件、系統(tǒng)的使用企業(yè)和平臺企業(yè))將面臨巨大威脅。
工業(yè)互聯(lián)網(wǎng)供應鏈
工業(yè)互聯(lián)網(wǎng)供應鏈是為滿足供應方和需求方之間的供需關系,通過資源將雙方相互連接的網(wǎng)鏈結(jié)構(gòu),可將工業(yè)互聯(lián)網(wǎng)產(chǎn)品或服務提供給需求方。工業(yè)互聯(lián)網(wǎng)供應鏈產(chǎn)品包括固件、組件、軟件和系統(tǒng),例如工業(yè)主機中的固件、SCADA(數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))、工業(yè)APP、MES(生產(chǎn)執(zhí)行系統(tǒng))等。工業(yè)互聯(lián)網(wǎng)供應鏈服務包括云服務、運維服務等,例如公有云平臺、運維平臺等。
工業(yè)互聯(lián)網(wǎng)供應鏈攻擊
工業(yè)互聯(lián)網(wǎng)供應鏈攻擊是指攻擊者利用工業(yè)互聯(lián)網(wǎng)相關企業(yè)(包括應用工業(yè)互聯(lián)網(wǎng)的企業(yè)、平臺企業(yè)或標識解析企業(yè))供應鏈體系的薄弱環(huán)節(jié),向整個供應鏈傳播惡意代碼或攻擊企業(yè)的基礎設施,從而破壞或竊取相關企業(yè)的敏感數(shù)據(jù)。不同于傳統(tǒng)的網(wǎng)絡“釣魚”和社會工程學攻擊,工業(yè)互聯(lián)網(wǎng)供應鏈遭到攻擊將導致整個供應鏈被注入惡意代碼,影響該企業(yè)甚至上下游多個企業(yè)的生產(chǎn)和運營。
工業(yè)互聯(lián)網(wǎng)供應鏈安全風險識別
從企業(yè)角度看,工業(yè)互聯(lián)網(wǎng)供應鏈面臨的風險主要來自產(chǎn)品及服務的生命周期、采購、運營三個層面。
產(chǎn)品及服務的生命周期風險,即企業(yè)在設計、開發(fā)、測試、使用、運維、廢止軟件或系統(tǒng),以及接入平臺過程中引入的網(wǎng)絡安全風險。2021年12月,Apache Log4j被曝存在遠程代碼執(zhí)行漏洞。作為一款開源日志組件,Log4j被眾多Java框架廣泛采用,其漏洞的影響范圍涉及所有使用該組件的軟件。
采購風險,即企業(yè)采購的產(chǎn)品或服務帶有漏洞、惡意代碼或“后門”,攻擊者將產(chǎn)品或服務作為跳板進行網(wǎng)絡攻擊或竊取數(shù)據(jù),為整個工業(yè)互聯(lián)網(wǎng)供應鏈帶來風險。2018年臺積電發(fā)生一起生產(chǎn)線感染W(wǎng)annaCry(一種“蠕蟲式”的勒索病毒軟件)病毒變種的事件。這個事件的起因是一批新接入生產(chǎn)線的計算機帶有病毒,上游設備供應商未對計算機進行嚴格的安全檢查和病毒掃描,同時臺積電也未對新上線的設備進行嚴格的安全檢查和病毒掃描,從而導致了安全事故,這給臺積電的生產(chǎn)和聲譽造成了重大損失。
運營風險,即企業(yè)在實際運作過程中,因管理機制有所缺失或不完善,導致風險識別、處置和防范等工作不到位所引發(fā)的風險。2022年3月,網(wǎng)絡安全企業(yè)Okta透露,一家供應商(Sitel)遭到攻擊,導致公司部分數(shù)據(jù)被竊取。后續(xù)的調(diào)查顯示,這家供應商的一名員工通過其個人筆記本電腦為用戶提供服務,人員及設備的管理不當對供應鏈安全造成了重大影響。
工業(yè)互聯(lián)網(wǎng)供應鏈安全防護體系
當前,軟件供應鏈和ICT(信息與通信技術(shù))供應鏈相關的安全防護研究較多。相比軟件供應鏈,工業(yè)互聯(lián)網(wǎng)供應鏈資產(chǎn)要素多、行業(yè)應用場景多樣;相比ICT供應鏈,工業(yè)互聯(lián)網(wǎng)供應鏈實際運作更為復雜、供應商網(wǎng)絡安全管理能力偏弱。因此,在參考軟件和ICT供應鏈安全的基礎上,企業(yè)要錨定風險點,從工業(yè)互聯(lián)網(wǎng)供應鏈生命周期安全防護、供應商和服務商管理、制度建設和人員管理三方面加強工業(yè)互聯(lián)網(wǎng)供應鏈安全防護體系建設。
工業(yè)互聯(lián)網(wǎng)供應鏈生命周期安全防護
針對產(chǎn)品及服務的生命周期風險,企業(yè)應根據(jù)自研產(chǎn)品的不同階段、使用代碼的不同來源、服務的接入情況,采取適宜的安全防護手段。
對于自研軟件和系統(tǒng),企業(yè)在設計階段,根據(jù)行業(yè)典型場景及企業(yè)實際運作需要進行安全需求分析,采用安全的架構(gòu)和設計模型,確定身份鑒別與訪問控制機制;在開發(fā)階段,根據(jù)安全的編碼規(guī)范,在安全的編譯環(huán)境下,使用安全的編碼工具,防止生成缺陷代碼,導致出現(xiàn)漏洞、惡意代碼或“后門”;在測試階段,使用安全的代碼審計工具、漏洞掃描工具、滲透測試工具進行代碼分析和漏洞掃描,及時發(fā)現(xiàn)代碼缺陷、邏輯問題以及漏洞;在使用階段,根據(jù)安全設計進行安全配置,確認基于業(yè)務、角色和權(quán)限的身份鑒別及訪問控制機制,定期或在發(fā)生信息安全事件時進行病毒查殺及漏洞掃描,發(fā)現(xiàn)安全隱患后及時進行維護;在運維階段,確保在安全的前提下,按照實際需要進行產(chǎn)品升級、漏洞修復或安全加固,完成后開展相應的安全性測試、完整性校驗;在廢止階段,按照廢止處理流程進行數(shù)據(jù)處理、軟件移除及系統(tǒng)停用,對代碼和數(shù)據(jù)進行安全處理和保護。
對于開源組件、軟件和系統(tǒng),企業(yè)在對其來源進行評審并確定安全可靠的前提下,無需考慮設計安全和開發(fā)安全,其他生命周期安全防護與自研軟件和系統(tǒng)的安全防護流程一致。
對于采購組件、軟件和系統(tǒng),企業(yè)應通過合同或者協(xié)議對供應商進行約束,要求供應商及時進行產(chǎn)品升級、安全異常提醒和安全維護。若供應商已中斷維護服務,企業(yè)應自發(fā)定期進行漏洞掃描和滲透測試,并關注所使用組件、軟件和系統(tǒng)的網(wǎng)絡安全事件和漏洞發(fā)布情況,發(fā)現(xiàn)漏洞后自發(fā)或通過第三方服務商進行產(chǎn)品升級、漏洞修復及安全加固。
對于采購硬件中的固件,企業(yè)同樣要通過合同或者協(xié)議對供應商進行約束,要求供應商及時進行安全異常提醒和安全維護。若供應商已中斷維護服務,企業(yè)應自發(fā)定期進行漏洞掃描,并關注固件相關網(wǎng)絡安全事件的發(fā)布情況,必要時自發(fā)或通過第三方服務商進行固件漏洞修復或提升固件的安全能力。
對于接入的平臺,企業(yè)要通過配置核查,確保身份鑒別、訪問控制、傳輸安全和接口防護符合自身安全要求。
供應商和服務商管理
針對采購風險,為加強對供應商和服務商的供應鏈安全管理,應用工業(yè)互聯(lián)網(wǎng)的企業(yè)、平臺企業(yè)或標識解析企業(yè)可建立供應商和服務商名錄并進行維護,在采購產(chǎn)品和服務前對供應商和服務商進行初評并定期進行復評,評定內(nèi)容包括但不限于中斷供應的可能性、企業(yè)網(wǎng)絡安全建設能力、網(wǎng)絡安全事件響應能力、一級供應商對二級供應商的網(wǎng)絡安全約束能力等,確保供應商和服務商所提供的產(chǎn)品和服務具有網(wǎng)絡安全防護和事件處置能力。同時,基于華為被斷供的前車之鑒,企業(yè)可優(yōu)先選取國內(nèi)的供應商和服務商,通過多元化方式避免斷供造成的網(wǎng)絡安全損失。企業(yè)可在合同或協(xié)議中對所采購的產(chǎn)品和服務進行約束,一旦遭到供應鏈攻擊相關的網(wǎng)絡安全事件,供應商或服務商要及時響應并處置,包括及時告知新發(fā)現(xiàn)漏洞、修復漏洞、軟件或系統(tǒng)升級等。對于工業(yè)互聯(lián)網(wǎng)平臺企業(yè),還應考慮接口安全,設置雙向的身份鑒別和訪問控制,避免攻擊者對平臺本身及接入平臺企業(yè)進行非法訪問造成的數(shù)據(jù)篡改和竊取。
制度建設和人員管理
針對運營風險,企業(yè)可以從制度建設和人員管理兩方面進行規(guī)范化管理,形成有效保護供應鏈安全的機制。
在制度建設方面,企業(yè)根據(jù)自身行業(yè)和業(yè)務特點形成符合自身要求的管理制度,包括但不限于配置管理、資產(chǎn)管理、采購管理、運維管理、人員管理等。由于工業(yè)互聯(lián)網(wǎng)供應鏈涉及固件、組件、軟件和系統(tǒng),企業(yè)在梳理資產(chǎn)的基礎上可形成基于組件的物料清單和構(gòu)成圖譜,并定期對其進行維護,一旦發(fā)生變化,及時驗證其完整性和安全性。企業(yè)也可形成基于代碼、組件、軟件、系統(tǒng)清單的源代碼庫和漏洞庫,并進行維護。同時,企業(yè)基于審計、數(shù)據(jù)備份及恢復,制定針對供應鏈安全的應急預案并定期進行演練,以便在遭到攻擊后迅速響應。最后,企業(yè)定期對供應鏈安全進行風險識別和評估,確定相應的風險級別,通過審批進行風險處置。
在人員管理方面,首先要完善人員能力,對工業(yè)互聯(lián)網(wǎng)供應鏈安全相關的技術(shù)操作人員、軟件開發(fā)測試人員和網(wǎng)絡安全管理人員等進行供應鏈安全和制度相關的技術(shù)、管理培訓,使其具備供應鏈要素識別、風險管理、安全配置和漏洞處理等能力,并能意識到工業(yè)互聯(lián)網(wǎng)供應鏈安全對于企業(yè)的重要性,避免進行誤操作。其次是強化員工道德約束,依據(jù)角色劃分權(quán)限確定員工職責,制定員工違規(guī)行為的懲戒措施,必要時簽訂協(xié)議并設置“AB角色”,保障企業(yè)免于社會工程學攻擊。對于重要工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺企業(yè),可配置供應鏈安全保障團隊,對人員背景進行調(diào)查,確保員工能夠應對供應鏈安全突發(fā)事件,具備安全事件分析和應急處置能力。
結(jié)語
我國堅持工業(yè)互聯(lián)網(wǎng)發(fā)展與安全并重,供應鏈安全是工業(yè)互聯(lián)網(wǎng)健康發(fā)展的重要保障。本文基于工業(yè)互聯(lián)網(wǎng)供應鏈資產(chǎn)要素及企業(yè)類型,提出建設、采購和日常管理三個層面的風險。針對三個層面的風險,構(gòu)建工業(yè)互聯(lián)網(wǎng)供應鏈安全防護體系。后續(xù),隨著衛(wèi)星通信、區(qū)塊鏈、大數(shù)據(jù)、人工智能等新技術(shù)的不斷發(fā)展和應用,工業(yè)互聯(lián)網(wǎng)供應鏈安全防護體系也應在政策指導、指南要求及事件驅(qū)動下不斷更新。