工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全發(fā)展路徑研究

程崢

中國石化集團(tuán)共享服務(wù)有限公司南京分公司 江蘇 南京 210000

引言

工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)、工業(yè)生產(chǎn)和經(jīng)濟(jì)深度融合的全新經(jīng)濟(jì)形態(tài)產(chǎn)物，是融合了新經(jīng)濟(jì)發(fā)展生態(tài)、關(guān)鍵基礎(chǔ)設(shè)施與創(chuàng)新生產(chǎn)應(yīng)用而形成的新模式，發(fā)展至今，已逐漸成為引領(lǐng)新一代工業(yè)革命的關(guān)鍵平臺支柱。在工業(yè)領(lǐng)域中，供應(yīng)鏈作為生產(chǎn)中最重要的環(huán)節(jié)之一，圍繞企業(yè)核心業(yè)務(wù)，通過對信息流、物流、資金流的聯(lián)合控制，從設(shè)計、采購、生產(chǎn)、產(chǎn)品銷售到最終客戶服務(wù)，全過程進(jìn)行高效協(xié)同，組織形成了一個整體的功能型網(wǎng)鏈模式，實現(xiàn)提質(zhì)增效的生產(chǎn)經(jīng)營目標(biāo)。工業(yè)互聯(lián)網(wǎng)新技術(shù)體系及其能力對行業(yè)轉(zhuǎn)型的牽引力不斷增強(qiáng)，工業(yè)領(lǐng)域出現(xiàn)了豐富的新模式新業(yè)態(tài)。工業(yè)領(lǐng)域的供應(yīng)鏈也在不斷探索數(shù)字化轉(zhuǎn)型，逐步發(fā)展出工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈新形態(tài)。

1 工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈典型安全問題分析

1.1 交付環(huán)節(jié)安全風(fēng)險

產(chǎn)品交付在供應(yīng)鏈中，如果產(chǎn)品或系統(tǒng)來源被篡改或非正式獲得，則產(chǎn)品的安全性將受到損害，產(chǎn)品將被感染或無法使用。供應(yīng)鏈出現(xiàn)問題的原因是，產(chǎn)品的購買來源是偽造的（即官方域名被盜用，或者由于官方網(wǎng)站上的安全風(fēng)險而更換產(chǎn)品），或者敏感信息在產(chǎn)品接入使用由于感染了整個系統(tǒng)而丟失。例如，backalis安全實驗室于2015年2月發(fā)布的等式允許組織使用一組超級信息庫將惡意代碼插入到硬盤固件中，方法是在為目標(biāo)或行業(yè)購買、修復(fù)主機(jī)或硬盤時修改硬盤固件該超級信息存儲庫包含兩個惡意模塊，即已知的第一個惡意代碼，用于感染硬盤固件，能夠?qū)资畟€通用品牌硬盤固件進(jìn)行重新編程。在工業(yè)互聯(lián)網(wǎng)平臺上修改服務(wù)器硬盤固件后，整個工業(yè)互聯(lián)網(wǎng)平臺都會受到影響，攻擊者甚至可以獲得整個互聯(lián)網(wǎng)平臺的任何權(quán)利。

1.2 網(wǎng)絡(luò)攻擊手段多變導(dǎo)致風(fēng)險加劇

與傳統(tǒng)IT網(wǎng)絡(luò)安全不同，工業(yè)領(lǐng)域更多關(guān)注的是生產(chǎn)流程中網(wǎng)絡(luò)信息傳輸?shù)目捎眯院蛯崟r性。隨著科技發(fā)展，IT網(wǎng)絡(luò)與OT網(wǎng)絡(luò)的融合性在增強(qiáng)，但是依然存在諸多差異，勢必也會帶來更多的安全挑戰(zhàn)，其中供應(yīng)鏈安全風(fēng)險主要在于對外暴露的攻擊面日趨增大，甚至更大一部分風(fēng)險是來源于與企業(yè)建立合作關(guān)系的外部公司，其在合作過程中出現(xiàn)的安全技術(shù)服務(wù)、自身管理疏忽或者提供產(chǎn)品在技術(shù)上的安全缺陷，都會被惡意攻擊者利用對生產(chǎn)數(shù)據(jù)進(jìn)行破壞或竊取。工業(yè)互聯(lián)網(wǎng)安全中，供應(yīng)鏈安全部分涉及面廣，包括了從工業(yè)產(chǎn)品設(shè)計研發(fā)、制造、銷售、交付和使用的多個環(huán)節(jié)，各個環(huán)節(jié)都不同程度地會涉及一些工具軟件，從這個路徑就可以有很多方法進(jìn)行攻擊，主要包括對工具植入惡意代碼，對接入設(shè)備預(yù)裝惡意軟件，利用正常業(yè)務(wù)應(yīng)用傳播惡意腳本，偽造或者盜用合法證書對惡意程序進(jìn)行簽名四類常見手段[1]。此外，一些DDOS攻擊也會隨時中斷生產(chǎn)，還有高級持續(xù)性威脅時刻環(huán)伺。這些風(fēng)險很難被察覺，一旦發(fā)生，都會在短時間內(nèi)給工業(yè)生產(chǎn)造成極大破壞，同時可采取的緊急措施也相對有限，備件更換、升級修復(fù)或者組織召回產(chǎn)品等都存在成本高周期長的難點，應(yīng)對難度大。

1.3 供應(yīng)鏈成員關(guān)系穩(wěn)定性較差

當(dāng)前，中小企業(yè)仍然很難適應(yīng)傳統(tǒng)的工業(yè)網(wǎng)絡(luò)供應(yīng)鏈融資模式，供應(yīng)鏈融資與傳統(tǒng)融資有著本質(zhì)的不同，供應(yīng)鏈成員之間的關(guān)系也存在一定的差異，在現(xiàn)有供應(yīng)鏈融資模式下，銀行不再把單個企業(yè)的信用狀況和經(jīng)營狀況作為信用標(biāo)準(zhǔn)，而以核心企業(yè)及其上下游企業(yè)組成的供應(yīng)鏈作為信用評價主體，因此在供應(yīng)鏈金融服務(wù)模式運行的過程中將需要差異化管理，現(xiàn)代供應(yīng)鏈金融模式與傳統(tǒng)融資方式相比，銀行與中小企業(yè)的分散關(guān)系已經(jīng)演變?yōu)殂y行與核心企業(yè)、上下游企業(yè)的整體關(guān)系[2]。而在傳統(tǒng)的生產(chǎn)模式下，核心企業(yè)的垂直整合程度不斷加深，但隨著垂直整合的深化，企業(yè)管理成本將呈現(xiàn)不斷上升的趨勢，并會對供應(yīng)鏈金融服務(wù)的積極作用產(chǎn)生侵蝕的負(fù)面影響，從而使核心企業(yè)的經(jīng)營模式發(fā)生分化。

2 工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全發(fā)展路徑研究

2.1 要推進(jìn)供應(yīng)鏈數(shù)字化的進(jìn)程

數(shù)字化是先進(jìn)的科學(xué)技術(shù)和現(xiàn)代的生產(chǎn)組織方式相融合的結(jié)果，是產(chǎn)業(yè)鏈供應(yīng)鏈現(xiàn)代化的一個重要標(biāo)志?，F(xiàn)在有很多人叫智慧化、信息化、智能化，但這種描述都不是非常準(zhǔn)確。我們進(jìn)入到一個數(shù)字化的時代了，應(yīng)該叫數(shù)字化更為貼切。供應(yīng)鏈數(shù)字化首先要有數(shù)字。與產(chǎn)業(yè)鏈構(gòu)建有關(guān)的數(shù)據(jù)，才是有價值的數(shù)據(jù)。其次，要將數(shù)字形成數(shù)字資源，即能夠利用這些數(shù)字進(jìn)行全產(chǎn)業(yè)鏈的數(shù)字化運營，通過數(shù)字化運營進(jìn)行精準(zhǔn)分析、科學(xué)決策，提供最優(yōu)化方案。最終，要形成數(shù)據(jù)資產(chǎn)。在數(shù)字化運營的過程中，數(shù)據(jù)產(chǎn)生了價值。企業(yè)賣的不僅是產(chǎn)品，更是數(shù)據(jù)。按照習(xí)近平總書記的話，叫作產(chǎn)業(yè)數(shù)字化和數(shù)字化產(chǎn)業(yè)。未來我們要通過構(gòu)建數(shù)字化供應(yīng)鏈體現(xiàn)企業(yè)的創(chuàng)新能力，通過數(shù)字資產(chǎn)創(chuàng)造新的價值。除此之外，還需要提升供應(yīng)鏈內(nèi)大多數(shù)企業(yè)的信用度，通過合理應(yīng)用區(qū)塊鏈技術(shù)，把供應(yīng)鏈企業(yè)之間的買賣往來所發(fā)生的一系列還款、支付的有關(guān)信息作為考察金融機(jī)構(gòu)信用度的重要內(nèi)容，促使智能調(diào)用程序的有序開展，提升絕大多數(shù)企業(yè)的信用度受益。除此之外，還需要把應(yīng)收賬款變成用來衡量企業(yè)還款能力以及信用能力的重要評判標(biāo)準(zhǔn)。雙方企業(yè)互相進(jìn)行合同買賣的簽訂，然后開展貨物的往來，從而讓一家企業(yè)可以在賬面上有對另一個企業(yè)的應(yīng)收賬款，然后進(jìn)一步在信息平臺上對其自動轉(zhuǎn)換為另一方的智能資產(chǎn)[3]。同時作為發(fā)貨企業(yè)的一方能夠根據(jù)智能資產(chǎn)對金融機(jī)構(gòu)提出貸款申請，相關(guān)金融機(jī)構(gòu)可以依據(jù)原本預(yù)定的程序，具備能夠查看曾經(jīng)往來的相關(guān)資料權(quán)限，盡可能縮減紙質(zhì)資料的呈交以及人工的審核環(huán)節(jié)。在企業(yè)的智能資產(chǎn)達(dá)到相應(yīng)金融機(jī)構(gòu)的貸款要求，那么企業(yè)預(yù)留的賬戶就可以得到金融機(jī)構(gòu)自動轉(zhuǎn)入的資金。 由此，既能夠大大提升銀行對資料的審查工作效率，還能有效確保整個過程的資料審查真實性以及完整性和準(zhǔn)確性，盡可能減低金融機(jī)構(gòu)的放貸風(fēng)險。

2.2 依據(jù)網(wǎng)絡(luò)安全審查規(guī)定，積極落實企業(yè)主體責(zé)任

結(jié)合《網(wǎng)絡(luò)安全審查辦法》相關(guān)規(guī)定，產(chǎn)業(yè)互聯(lián)網(wǎng)平臺企業(yè)應(yīng)積極構(gòu)建協(xié)調(diào)、多部門的管理體系，建立網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)安全風(fēng)險預(yù)先評估機(jī)制。根據(jù)工業(yè)互聯(lián)網(wǎng)平臺的實際情況，完善工業(yè)互聯(lián)網(wǎng)產(chǎn)品的采購和使用等供應(yīng)鏈流程，限制網(wǎng)絡(luò)安全風(fēng)險行為，定期進(jìn)行網(wǎng)絡(luò)安全評估；控制工業(yè)互聯(lián)網(wǎng)平臺的安全保護(hù)狀態(tài)，修復(fù)現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險。工業(yè)互聯(lián)網(wǎng)設(shè)備供應(yīng)商和供應(yīng)商需要加強(qiáng)自身的安全開發(fā)、安全集成和安全運行能力，將網(wǎng)絡(luò)安全作為能力出口，提高產(chǎn)品研發(fā)、集成過程中的安全和安保能力。除此之外，還需要建立完善的網(wǎng)絡(luò)病毒防范體制，不斷向用戶普及相關(guān)的網(wǎng)絡(luò)安全知識，同時做好相關(guān)具有危害性網(wǎng)絡(luò)網(wǎng)站的管理工作，讓用戶能夠降低點擊不健康網(wǎng)站的概率，進(jìn)而從根本上降低網(wǎng)絡(luò)病毒傳播的風(fēng)險性。其次，網(wǎng)管人員還需要強(qiáng)化對云計算技術(shù)的安全監(jiān)管力度，通過技術(shù)能力的提高迅速解決其中的病毒入侵和黑客等不法行為，進(jìn)而達(dá)到有效凈化網(wǎng)絡(luò)環(huán)境、提高網(wǎng)絡(luò)安全水平的監(jiān)管目的。再者，網(wǎng)絡(luò)監(jiān)管機(jī)構(gòu)還需要針對云計算過程中存在的漏洞問題建立安全保護(hù)制度，進(jìn)而使得網(wǎng)絡(luò)病毒入侵的概率得到降低。

2.3 發(fā)揮工業(yè)產(chǎn)業(yè)種類齊全的良好優(yōu)勢

當(dāng)前，全球第四次工業(yè)革命正在孕育興起，我國制造業(yè)持續(xù)高速發(fā)展，互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與工業(yè)生產(chǎn)技術(shù)的融合逐漸加深，這兩者構(gòu)成了新的歷史交匯點，使得工業(yè)經(jīng)濟(jì)新的發(fā)展道路不斷拓寬，從生產(chǎn)制造模式、產(chǎn)業(yè)聯(lián)合方式、商業(yè)化機(jī)制等方面都發(fā)生了顛覆式創(chuàng)新，逐步構(gòu)建起全要素、全產(chǎn)業(yè)鏈、全價值鏈融通的新型工業(yè)生產(chǎn)制造和服務(wù)體系，與全球供應(yīng)鏈進(jìn)行了全方位、深層次、革命性的融合，也為我國工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的安全發(fā)展也提供了新機(jī)遇[4]。一是基于我國內(nèi)需市場目前仍是超大規(guī)模、多層次、多元化的特點，發(fā)揮我國工業(yè)種類齊全、生產(chǎn)動能強(qiáng)大、配套設(shè)施完善、業(yè)務(wù)適應(yīng)靈活的多種優(yōu)勢，促進(jìn)消費升級，推動傳統(tǒng)工業(yè)制造業(yè)各項水平提升。二是多措并舉促進(jìn)國內(nèi)各產(chǎn)業(yè)各環(huán)節(jié)在各個區(qū)域之間的暢通，從中下游產(chǎn)業(yè)入手構(gòu)建合力，強(qiáng)化措施開展補(bǔ)短板、強(qiáng)弱項工程，逐步掃清工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈中的桎梏點，并逐層構(gòu)建起供應(yīng)鏈安全管控流程的標(biāo)準(zhǔn)規(guī)范。三是拉動供需構(gòu)建良性循環(huán)機(jī)制，強(qiáng)化國內(nèi)與國外的經(jīng)濟(jì)生態(tài)互聯(lián)互通，打造新發(fā)展格局，提升生產(chǎn)制造體系與社會產(chǎn)品需求的適配性，帶動國內(nèi)國外工業(yè)生產(chǎn)高價值、高水平創(chuàng)新發(fā)展，從而構(gòu)建起完整、安全、可靠的工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈體系。

2.4 明確工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全要求和標(biāo)準(zhǔn)

參照《網(wǎng)絡(luò)安全審查辦法》相關(guān)規(guī)定，對于服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序系統(tǒng)、PLC工業(yè)控制設(shè)備、DCS以及工業(yè)互聯(lián)網(wǎng)平臺上的其他硬件和軟件設(shè)備等產(chǎn)品的開發(fā)人員、供應(yīng)商、服務(wù)提供商和使用單位，明確安全責(zé)任和義務(wù)，促進(jìn)提高供需兩方面的安全水平，并在產(chǎn)品維護(hù)階段有效確保工業(yè)互聯(lián)網(wǎng)產(chǎn)品的安全，例如，對于使用工業(yè)互聯(lián)網(wǎng)平臺的企業(yè)，建議建立一個管理系統(tǒng)，明確要求采購的產(chǎn)品必須經(jīng)過授權(quán)的第三方安全測試，產(chǎn)品服務(wù)提供商在發(fā)現(xiàn)產(chǎn)品存在重大安全缺陷時及時通知用戶，從而使用戶能夠采用此外，供應(yīng)鏈安全管理責(zé)任應(yīng)明確納入工業(yè)互聯(lián)網(wǎng)平臺的網(wǎng)絡(luò)安全保護(hù)要求；主要平臺——可能影響國家安全的工業(yè)互聯(lián)網(wǎng)平臺，應(yīng)接受網(wǎng)絡(luò)安全審查，特別是與國民經(jīng)濟(jì)和人民生活有關(guān)的企業(yè)基本設(shè)備，并應(yīng)在購買前進(jìn)行安全審查。

2.5 強(qiáng)化供應(yīng)關(guān)系識別

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈財務(wù)風(fēng)險控制需要做好關(guān)鍵管理工作，特別是供應(yīng)商選擇的過程中，首先要考慮主要因素，如信譽(yù)、價格靈活性、成本構(gòu)成等；此外，還要結(jié)合相關(guān)政策和服務(wù)體系進(jìn)行優(yōu)化選擇，以降低整體財務(wù)風(fēng)險。企業(yè)還需要從顧客需求的角度出發(fā)，把顧客的需求最大化，使顧客的價值最大化。所有的資源和流程都需要優(yōu)化，以更快的服務(wù)于客戶，從而最大限度地滿足客戶的需求，提高企業(yè)的運營效率。在企業(yè)做好各部門內(nèi)部協(xié)調(diào)和上下游企業(yè)管理后，選擇合作銀行是下一個重要課題。對此，李寧公司財務(wù)總監(jiān)杜道麗提出了選擇標(biāo)準(zhǔn)，即合伙人擁有專業(yè)的運營團(tuán)隊，規(guī)范的審核流程，以顧客為本的服務(wù)意識，以及較高的執(zhí)行效率。在選擇合作銀行時，要考慮的問題是完善的供應(yīng)商評估理念、國際化的視野與布局、專業(yè)的財務(wù)團(tuán)隊提供的標(biāo)準(zhǔn)化服務(wù)及配套的技術(shù)平臺。

3 結(jié)束語

未來從事工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全工作，一定程度上要逐步開始轉(zhuǎn)變思維，從管理者思維向服務(wù)思維轉(zhuǎn)型。要更多地以消費者為中心，基于消費者切實需求為目標(biāo)，多方位去規(guī)劃設(shè)計并構(gòu)建產(chǎn)業(yè)鏈供應(yīng)鏈。這樣的產(chǎn)業(yè)鏈供應(yīng)鏈，一定是柔性化、敏捷化、可定制、高可靠且具備一定安全合規(guī)標(biāo)準(zhǔn)的。這個過程也與數(shù)字化發(fā)展的進(jìn)程密切相關(guān)，只有基于數(shù)字化平臺不斷融合提升，才能真正實現(xiàn)產(chǎn)業(yè)鏈供應(yīng)鏈的柔性化、敏捷化、可定制、高可靠及合規(guī)性，增強(qiáng)產(chǎn)業(yè)鏈供應(yīng)鏈的安全自主可控能力。