@瞌睡虫
2年前 提问
1个回答

工业互联网供应链安全问题有哪些

齐士忠
2年前

供应链作为工业制造领域不可缺少的组织形态,随着工业互联网的不断发展,安全问题更加凸显。工业互联网存在的供应链安全问题有:

供应链断供

我国工业基础薄弱,虽然建立了大而全的工业体系,但是在关键基础材料、精密零部件、芯片、高端生产设备以及核心控制设备、工业操作系统、工业软件等产品还是依靠国外进口,技术受制于人。

工业盗版软件

由于受国外技术垄断、价格高,不法人员破解国外工业软件,从设计、研发、仿真、生产、运行、管理等环节无不例外,如设计 CAD、辅助制造 CAM/CAE、仿真 ANSYS、以及生产 MES、DNC、SCADA 软件等。在一段时间内,工业盗版软件确实解决了我国制造业 “有没有” 和 “卡脖子” 的问题,但工业盗版软件也给我国制造业供应链埋下安全隐患。

工业设备、软件、系统等产品在研发设计时存在缺陷

工业控制系统以及工业协议在早期设计研发时,并没有考虑安全问题,先天就缺失加密、授权、认证机制以及不断暴露出的安全漏洞。据 CNVD 统计,目前工业控制系统被爆出 3100 多个安全漏洞,主要涉及 DCS、PLC、工业交换机、HMI、组态软件等,以及刚爆出的 Apache Log4j 漏洞。Log4j 是一个开源 Java 日志库,也广泛应用于工业领域,西门子、罗克韦尔、施耐德等厂商相继发表声明,其部分产品存在 Log4j 漏洞。这些设计上的缺陷和漏洞,不排除被国外势力利用,窥视我国工业生产。

供应商、渠道商在交付时被黑客劫持

工业关键生产设备、控制系统等产品在生产、采购、销售、物流、交付等供应渠道环节中被黑客劫持。如伊朗震网事件,是美国和以色列军方针对设备供应商和系统集成商精心策划的一起网络攻击,并植入 “震网” 病毒,由工程师带到调试环境中,并潜伏实施攻击。

工业控制系统在上线、运行、使用阶段,网络安全防护不足

由于工业控制系统长时间处于独立封闭环境,以及企业运营人员安全认知不足等原因,工业控制系统几乎没有任何保护措施,处于 “裸奔” 状态。整体上缺乏从系统调试、上线、运行、使用等环节的管控机制,无供应链风险评估机制以及上线检测、安全评估、安全加固等措施。随着工业设备、应用逐渐上云,产业上下游企业不断互联互通,不法分子正瞄准这一时机,利用供应链攻击。

工业设备、机器、系统在运维阶段常被盗取数据和恶意攻击

一方面,关键生产设备、控制设备、工业应用软件等产品常常被国外厂商以远程运维或诊断为由,对生产设备、工业应用远程访问,窥视我国的工业生产过程。国内曾发生过多起安全事件,如某风电场的风机运行数据被远程传到国外。另一方面,工业软件常被 “污染”,工具包、协议栈、升级包、固件库等组件常被植入恶意程序,用户下载后不经测试直接使用,导致系统被攻击。