工業互聯網供應鏈網絡安全防護體系研究

作者:中國信息通信研究院 章永春 柯皓仁 李藝 中衡特爾維檢測技術(北京)有限公司 蔡麗麗 責任編輯:包建羽 2024.05.06 15:28 來源:通信世界全媒體

通信世界網消息(CWW)隨著新型工業化步伐加快、網絡強國和制造強國建設扎實推進,網絡化、數字化、智能化成為工業企業轉型升級的重要方向。近年來,我國通過出臺工業互聯網頂層設計并持續推動政策法規落地實施,助力工業企業聯網率逐步攀升。工業互聯網通過“人、機、物”互聯,推動工業經濟實現全要素、全產業鏈、全價值鏈的網絡化連接,構建新型工業生產制造服務體系,助推制造業實現高質量發展。提升工業互聯網供應鏈安全水平和自主可控能力,是供應鏈上下游健康發展的基礎,也是護航新型工業化的重要因素。本文介紹了工業互聯網供應鏈攻擊和風險要素,建議從工業互聯網供應鏈生命周期安全防護、供應商和服務商管理、制度建設和人員管理三方面加強工業互聯網供應鏈安全防護體系建設。

工業互聯網供應鏈安全分析

我國工業企業涉及行業眾多,工業互聯網平臺企業不斷涌現,規上工業企業借助工業互聯網提質增效的意圖明顯,但信息和安全類企業還未達到國際先進水平,工業互聯網供應鏈仍面臨較大的網絡安全風險,一旦供應鏈上的節點被攻擊,供應鏈上的相關企業(如固件、組件、軟件、系統的使用企業和平臺企業)將面臨巨大威脅。

工業互聯網供應鏈

工業互聯網供應鏈是為滿足供應方和需求方之間的供需關系,通過資源將雙方相互連接的網鏈結構,可將工業互聯網產品或服務提供給需求方。工業互聯網供應鏈產品包括固件、組件、軟件和系統,例如工業主機中的固件、SCADA(數據采集與監視控制系統)、工業APP、MES(生產執行系統)等。工業互聯網供應鏈服務包括云服務、運維服務等,例如公有云平臺、運維平臺等。

工業互聯網供應鏈攻擊

工業互聯網供應鏈攻擊是指攻擊者利用工業互聯網相關企業(包括應用工業互聯網的企業、平臺企業或標識解析企業)供應鏈體系的薄弱環節,向整個供應鏈傳播惡意代碼或攻擊企業的基礎設施,從而破壞或竊取相關企業的敏感數據。不同于傳統的網絡“釣魚”和社會工程學攻擊,工業互聯網供應鏈遭到攻擊將導致整個供應鏈被注入惡意代碼,影響該企業甚至上下游多個企業的生產和運營。

工業互聯網供應鏈安全風險識別

從企業角度看,工業互聯網供應鏈面臨的風險主要來自產品及服務的生命周期、采購、運營三個層面。

產品及服務的生命周期風險,即企業在設計、開發、測試、使用、運維、廢止軟件或系統,以及接入平臺過程中引入的網絡安全風險。2021年12月,Apache Log4j被曝存在遠程代碼執行漏洞。作為一款開源日志組件,Log4j被眾多Java框架廣泛采用,其漏洞的影響范圍涉及所有使用該組件的軟件。

采購風險,即企業采購的產品或服務帶有漏洞、惡意代碼或“后門”,攻擊者將產品或服務作為跳板進行網絡攻擊或竊取數據,為整個工業互聯網供應鏈帶來風險。2018年臺積電發生一起生產線感染WannaCry(一種“蠕蟲式”的勒索病毒軟件)病毒變種的事件。這個事件的起因是一批新接入生產線的計算機帶有病毒,上游設備供應商未對計算機進行嚴格的安全檢查和病毒掃描,同時臺積電也未對新上線的設備進行嚴格的安全檢查和病毒掃描,從而導致了安全事故,這給臺積電的生產和聲譽造成了重大損失。

運營風險,即企業在實際運作過程中,因管理機制有所缺失或不完善,導致風險識別、處置和防范等工作不到位所引發的風險。2022年3月,網絡安全企業Okta透露,一家供應商(Sitel)遭到攻擊,導致公司部分數據被竊取。后續的調查顯示,這家供應商的一名員工通過其個人筆記本電腦為用戶提供服務,人員及設備的管理不當對供應鏈安全造成了重大影響。

工業互聯網供應鏈安全防護體系

當前,軟件供應鏈和ICT(信息與通信技術)供應鏈相關的安全防護研究較多。相比軟件供應鏈,工業互聯網供應鏈資產要素多、行業應用場景多樣;相比ICT供應鏈,工業互聯網供應鏈實際運作更為復雜、供應商網絡安全管理能力偏弱。因此,在參考軟件和ICT供應鏈安全的基礎上,企業要錨定風險點,從工業互聯網供應鏈生命周期安全防護、供應商和服務商管理、制度建設和人員管理三方面加強工業互聯網供應鏈安全防護體系建設。

工業互聯網供應鏈生命周期安全防護

針對產品及服務的生命周期風險,企業應根據自研產品的不同階段、使用代碼的不同來源、服務的接入情況,采取適宜的安全防護手段。

對于自研軟件和系統,企業在設計階段,根據行業典型場景及企業實際運作需要進行安全需求分析,采用安全的架構和設計模型,確定身份鑒別與訪問控制機制;在開發階段,根據安全的編碼規范,在安全的編譯環境下,使用安全的編碼工具,防止生成缺陷代碼,導致出現漏洞、惡意代碼或“后門”;在測試階段,使用安全的代碼審計工具、漏洞掃描工具、滲透測試工具進行代碼分析和漏洞掃描,及時發現代碼缺陷、邏輯問題以及漏洞;在使用階段,根據安全設計進行安全配置,確認基于業務、角色和權限的身份鑒別及訪問控制機制,定期或在發生信息安全事件時進行病毒查殺及漏洞掃描,發現安全隱患后及時進行維護;在運維階段,確保在安全的前提下,按照實際需要進行產品升級、漏洞修復或安全加固,完成后開展相應的安全性測試、完整性校驗;在廢止階段,按照廢止處理流程進行數據處理、軟件移除及系統停用,對代碼和數據進行安全處理和保護。

對于開源組件、軟件和系統,企業在對其來源進行評審并確定安全可靠的前提下,無需考慮設計安全和開發安全,其他生命周期安全防護與自研軟件和系統的安全防護流程一致。

對于采購組件、軟件和系統,企業應通過合同或者協議對供應商進行約束,要求供應商及時進行產品升級、安全異常提醒和安全維護。若供應商已中斷維護服務,企業應自發定期進行漏洞掃描和滲透測試,并關注所使用組件、軟件和系統的網絡安全事件和漏洞發布情況,發現漏洞后自發或通過第三方服務商進行產品升級、漏洞修復及安全加固。

對于采購硬件中的固件,企業同樣要通過合同或者協議對供應商進行約束,要求供應商及時進行安全異常提醒和安全維護。若供應商已中斷維護服務,企業應自發定期進行漏洞掃描,并關注固件相關網絡安全事件的發布情況,必要時自發或通過第三方服務商進行固件漏洞修復或提升固件的安全能力。

對于接入的平臺,企業要通過配置核查,確保身份鑒別、訪問控制、傳輸安全和接口防護符合自身安全要求。

供應商和服務商管理

針對采購風險,為加強對供應商和服務商的供應鏈安全管理,應用工業互聯網的企業、平臺企業或標識解析企業可建立供應商和服務商名錄并進行維護,在采購產品和服務前對供應商和服務商進行初評并定期進行復評,評定內容包括但不限于中斷供應的可能性、企業網絡安全建設能力、網絡安全事件響應能力、一級供應商對二級供應商的網絡安全約束能力等,確保供應商和服務商所提供的產品和服務具有網絡安全防護和事件處置能力。同時,基于華為被斷供的前車之鑒,企業可優先選取國內的供應商和服務商,通過多元化方式避免斷供造成的網絡安全損失。企業可在合同或協議中對所采購的產品和服務進行約束,一旦遭到供應鏈攻擊相關的網絡安全事件,供應商或服務商要及時響應并處置,包括及時告知新發現漏洞、修復漏洞、軟件或系統升級等。對于工業互聯網平臺企業,還應考慮接口安全,設置雙向的身份鑒別和訪問控制,避免攻擊者對平臺本身及接入平臺企業進行非法訪問造成的數據篡改和竊取。

制度建設和人員管理

針對運營風險,企業可以從制度建設和人員管理兩方面進行規范化管理,形成有效保護供應鏈安全的機制。

在制度建設方面,企業根據自身行業和業務特點形成符合自身要求的管理制度,包括但不限于配置管理、資產管理、采購管理、運維管理、人員管理等。由于工業互聯網供應鏈涉及固件、組件、軟件和系統,企業在梳理資產的基礎上可形成基于組件的物料清單和構成圖譜,并定期對其進行維護,一旦發生變化,及時驗證其完整性和安全性。企業也可形成基于代碼、組件、軟件、系統清單的源代碼庫和漏洞庫,并進行維護。同時,企業基于審計、數據備份及恢復,制定針對供應鏈安全的應急預案并定期進行演練,以便在遭到攻擊后迅速響應。最后,企業定期對供應鏈安全進行風險識別和評估,確定相應的風險級別,通過審批進行風險處置。

在人員管理方面,首先要完善人員能力,對工業互聯網供應鏈安全相關的技術操作人員、軟件開發測試人員和網絡安全管理人員等進行供應鏈安全和制度相關的技術、管理培訓,使其具備供應鏈要素識別、風險管理、安全配置和漏洞處理等能力,并能意識到工業互聯網供應鏈安全對于企業的重要性,避免進行誤操作。其次是強化員工道德約束,依據角色劃分權限確定員工職責,制定員工違規行為的懲戒措施,必要時簽訂協議并設置“AB角色”,保障企業免于社會工程學攻擊。對于重要工業企業和工業互聯網平臺企業,可配置供應鏈安全保障團隊,對人員背景進行調查,確保員工能夠應對供應鏈安全突發事件,具備安全事件分析和應急處置能力。

結語

我國堅持工業互聯網發展與安全并重,供應鏈安全是工業互聯網健康發展的重要保障。本文基于工業互聯網供應鏈資產要素及企業類型,提出建設、采購和日常管理三個層面的風險。針對三個層面的風險,構建工業互聯網供應鏈安全防護體系。后續,隨著衛星通信、區塊鏈、大數據、人工智能等新技術的不斷發展和應用,工業互聯網供應鏈安全防護體系也應在政策指導、指南要求及事件驅動下不斷更新。

*本文刊載于《通信世界》

總第942期 2024年4月25日 第8期

通信世界網版權及免責聲明:
1、凡本網注明“來源:通信世界全媒體”及標有原創的所有作品,版權均屬于通信世界網。未經允許禁止轉載、摘編及鏡像,違者必究。對于經過授權可以轉載我方內容的單位,也必須保持轉載文章、圖像、音視頻的完整性,并完整標注作者信息和本站來源。
2、凡本網注明“來源:XXX(非通信世界網)”的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。
3、如因作品內容、版權和其它問題需要同本網聯系的,請在相關作品刊發之日起30日內進行。
發表評論請先登錄
...
熱點文章
    暫無內容
r男女牲交45分钟a片,夜夜添无码试看一区二区三区,人妻老妇乱子伦精品无码专区