国产精品久久久久久久久软件,国产成人久久久精品二区三区,国产成人无码一区二区三区在线 ,大又大粗又爽又黄少妇毛片,国产精品成人aaaaa网站

隨著新型工業(yè)化步伐加快、網(wǎng)絡(luò)強國和制造強國建設(shè)扎實推進，網(wǎng)絡(luò)化、數(shù)字化、智能化成為工業(yè)企業(yè)轉(zhuǎn)型升級的重要方向。近年來，我國通過出臺工業(yè)互聯(lián)網(wǎng)頂層設(shè)計并持續(xù)推動政策法規(guī)落地實施，助力工業(yè)企業(yè)聯(lián)網(wǎng)率逐步攀升。工業(yè)互聯(lián)網(wǎng)通過“人、機、物”互聯(lián)，推動工業(yè)經(jīng)濟實現(xiàn)全要素、全產(chǎn)業(yè)鏈、全價值鏈的網(wǎng)絡(luò)化連接，構(gòu)建新型工業(yè)生產(chǎn)制造服務(wù)體系，助推制造業(yè)實現(xiàn)高質(zhì)量發(fā)展。提升工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全水平和自主可控能力，是供應(yīng)鏈上下游健康發(fā)展的基礎(chǔ)，也是護航新型工業(yè)化的重要因素。本文介紹了工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈攻擊和風險要素，建議從工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈生命周期安全防護、供應(yīng)商和服務(wù)商管理、制度建設(shè)和人員管理三方面加強工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護體系建設(shè)。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全分析

我國工業(yè)企業(yè)涉及行業(yè)眾多，工業(yè)互聯(lián)網(wǎng)平臺企業(yè)不斷涌現(xiàn)，規(guī)上工業(yè)企業(yè)借助工業(yè)互聯(lián)網(wǎng)提質(zhì)增效的意圖明顯，但信息和安全類企業(yè)還未達到國際先進水平，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈仍面臨較大的網(wǎng)絡(luò)安全風險，一旦供應(yīng)鏈上的節(jié)點被攻擊，供應(yīng)鏈上的相關(guān)企業(yè)（如固件、組件、軟件、系統(tǒng)的使用企業(yè)和平臺企業(yè)）將面臨巨大威脅。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈是為滿足供應(yīng)方和需求方之間的供需關(guān)系，通過資源將雙方相互連接的網(wǎng)鏈結(jié)構(gòu)，可將工業(yè)互聯(lián)網(wǎng)產(chǎn)品或服務(wù)提供給需求方。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈產(chǎn)品包括固件、組件、軟件和系統(tǒng)，例如工業(yè)主機中的固件、SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）、工業(yè)APP、MES（生產(chǎn)執(zhí)行系統(tǒng)）等。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈服務(wù)包括云服務(wù)、運維服務(wù)等，例如公有云平臺、運維平臺等。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈攻擊

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈攻擊是指攻擊者利用工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)（包括應(yīng)用工業(yè)互聯(lián)網(wǎng)的企業(yè)、平臺企業(yè)或標識解析企業(yè)）供應(yīng)鏈體系的薄弱環(huán)節(jié)，向整個供應(yīng)鏈傳播惡意代碼或攻擊企業(yè)的基礎(chǔ)設(shè)施，從而破壞或竊取相關(guān)企業(yè)的敏感數(shù)據(jù)。不同于傳統(tǒng)的網(wǎng)絡(luò)“釣魚”和社會工程學攻擊，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈遭到攻擊將導(dǎo)致整個供應(yīng)鏈被注入惡意代碼，影響該企業(yè)甚至上下游多個企業(yè)的生產(chǎn)和運營。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全風險識別

從企業(yè)角度看，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈面臨的風險主要來自產(chǎn)品及服務(wù)的生命周期、采購、運營三個層面。

產(chǎn)品及服務(wù)的生命周期風險，即企業(yè)在設(shè)計、開發(fā)、測試、使用、運維、廢止軟件或系統(tǒng)，以及接入平臺過程中引入的網(wǎng)絡(luò)安全風險。2021年12月，Apache Log4j被曝存在遠程代碼執(zhí)行漏洞。作為一款開源日志組件，Log4j被眾多Java框架廣泛采用，其漏洞的影響范圍涉及所有使用該組件的軟件。

采購風險，即企業(yè)采購的產(chǎn)品或服務(wù)帶有漏洞、惡意代碼或“后門”，攻擊者將產(chǎn)品或服務(wù)作為跳板進行網(wǎng)絡(luò)攻擊或竊取數(shù)據(jù)，為整個工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈帶來風險。2018年臺積電發(fā)生一起生產(chǎn)線感染W(wǎng)annaCry（一種“蠕蟲式”的勒索病毒軟件）病毒變種的事件。這個事件的起因是一批新接入生產(chǎn)線的計算機帶有病毒，上游設(shè)備供應(yīng)商未對計算機進行嚴格的安全檢查和病毒掃描，同時臺積電也未對新上線的設(shè)備進行嚴格的安全檢查和病毒掃描，從而導(dǎo)致了安全事故，這給臺積電的生產(chǎn)和聲譽造成了重大損失。

運營風險，即企業(yè)在實際運作過程中，因管理機制有所缺失或不完善，導(dǎo)致風險識別、處置和防范等工作不到位所引發(fā)的風險。2022年3月，網(wǎng)絡(luò)安全企業(yè)Okta透露，一家供應(yīng)商（Sitel）遭到攻擊，導(dǎo)致公司部分數(shù)據(jù)被竊取。后續(xù)的調(diào)查顯示，這家供應(yīng)商的一名員工通過其個人筆記本電腦為用戶提供服務(wù)，人員及設(shè)備的管理不當對供應(yīng)鏈安全造成了重大影響。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護體系

當前，軟件供應(yīng)鏈和ICT（信息與通信技術(shù)）供應(yīng)鏈相關(guān)的安全防護研究較多。相比軟件供應(yīng)鏈，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈資產(chǎn)要素多、行業(yè)應(yīng)用場景多樣；相比ICT供應(yīng)鏈，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈實際運作更為復(fù)雜、供應(yīng)商網(wǎng)絡(luò)安全管理能力偏弱。因此，在參考軟件和ICT供應(yīng)鏈安全的基礎(chǔ)上，企業(yè)要錨定風險點，從工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈生命周期安全防護、供應(yīng)商和服務(wù)商管理、制度建設(shè)和人員管理三方面加強工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護體系建設(shè)。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈生命周期安全防護

針對產(chǎn)品及服務(wù)的生命周期風險，企業(yè)應(yīng)根據(jù)自研產(chǎn)品的不同階段、使用代碼的不同來源、服務(wù)的接入情況，采取適宜的安全防護手段。

對于自研軟件和系統(tǒng)，企業(yè)在設(shè)計階段，根據(jù)行業(yè)典型場景及企業(yè)實際運作需要進行安全需求分析，采用安全的架構(gòu)和設(shè)計模型，確定身份鑒別與訪問控制機制；在開發(fā)階段，根據(jù)安全的編碼規(guī)范，在安全的編譯環(huán)境下，使用安全的編碼工具，防止生成缺陷代碼，導(dǎo)致出現(xiàn)漏洞、惡意代碼或“后門”；在測試階段，使用安全的代碼審計工具、漏洞掃描工具、滲透測試工具進行代碼分析和漏洞掃描，及時發(fā)現(xiàn)代碼缺陷、邏輯問題以及漏洞；在使用階段，根據(jù)安全設(shè)計進行安全配置，確認基于業(yè)務(wù)、角色和權(quán)限的身份鑒別及訪問控制機制，定期或在發(fā)生信息安全事件時進行病毒查殺及漏洞掃描，發(fā)現(xiàn)安全隱患后及時進行維護；在運維階段，確保在安全的前提下，按照實際需要進行產(chǎn)品升級、漏洞修復(fù)或安全加固，完成后開展相應(yīng)的安全性測試、完整性校驗；在廢止階段，按照廢止處理流程進行數(shù)據(jù)處理、軟件移除及系統(tǒng)停用，對代碼和數(shù)據(jù)進行安全處理和保護。

對于開源組件、軟件和系統(tǒng)，企業(yè)在對其來源進行評審并確定安全可靠的前提下，無需考慮設(shè)計安全和開發(fā)安全，其他生命周期安全防護與自研軟件和系統(tǒng)的安全防護流程一致。

對于采購組件、軟件和系統(tǒng)，企業(yè)應(yīng)通過合同或者協(xié)議對供應(yīng)商進行約束，要求供應(yīng)商及時進行產(chǎn)品升級、安全異常提醒和安全維護。若供應(yīng)商已中斷維護服務(wù)，企業(yè)應(yīng)自發(fā)定期進行漏洞掃描和滲透測試，并關(guān)注所使用組件、軟件和系統(tǒng)的網(wǎng)絡(luò)安全事件和漏洞發(fā)布情況，發(fā)現(xiàn)漏洞后自發(fā)或通過第三方服務(wù)商進行產(chǎn)品升級、漏洞修復(fù)及安全加固。

對于采購硬件中的固件，企業(yè)同樣要通過合同或者協(xié)議對供應(yīng)商進行約束，要求供應(yīng)商及時進行安全異常提醒和安全維護。若供應(yīng)商已中斷維護服務(wù)，企業(yè)應(yīng)自發(fā)定期進行漏洞掃描，并關(guān)注固件相關(guān)網(wǎng)絡(luò)安全事件的發(fā)布情況，必要時自發(fā)或通過第三方服務(wù)商進行固件漏洞修復(fù)或提升固件的安全能力。

對于接入的平臺，企業(yè)要通過配置核查，確保身份鑒別、訪問控制、傳輸安全和接口防護符合自身安全要求。

供應(yīng)商和服務(wù)商管理

針對采購風險，為加強對供應(yīng)商和服務(wù)商的供應(yīng)鏈安全管理，應(yīng)用工業(yè)互聯(lián)網(wǎng)的企業(yè)、平臺企業(yè)或標識解析企業(yè)可建立供應(yīng)商和服務(wù)商名錄并進行維護，在采購產(chǎn)品和服務(wù)前對供應(yīng)商和服務(wù)商進行初評并定期進行復(fù)評，評定內(nèi)容包括但不限于中斷供應(yīng)的可能性、企業(yè)網(wǎng)絡(luò)安全建設(shè)能力、網(wǎng)絡(luò)安全事件響應(yīng)能力、一級供應(yīng)商對二級供應(yīng)商的網(wǎng)絡(luò)安全約束能力等，確保供應(yīng)商和服務(wù)商所提供的產(chǎn)品和服務(wù)具有網(wǎng)絡(luò)安全防護和事件處置能力。同時，基于華為被斷供的前車之鑒，企業(yè)可優(yōu)先選取國內(nèi)的供應(yīng)商和服務(wù)商，通過多元化方式避免斷供造成的網(wǎng)絡(luò)安全損失。企業(yè)可在合同或協(xié)議中對所采購的產(chǎn)品和服務(wù)進行約束，一旦遭到供應(yīng)鏈攻擊相關(guān)的網(wǎng)絡(luò)安全事件，供應(yīng)商或服務(wù)商要及時響應(yīng)并處置，包括及時告知新發(fā)現(xiàn)漏洞、修復(fù)漏洞、軟件或系統(tǒng)升級等。對于工業(yè)互聯(lián)網(wǎng)平臺企業(yè)，還應(yīng)考慮接口安全，設(shè)置雙向的身份鑒別和訪問控制，避免攻擊者對平臺本身及接入平臺企業(yè)進行非法訪問造成的數(shù)據(jù)篡改和竊取。

制度建設(shè)和人員管理

針對運營風險，企業(yè)可以從制度建設(shè)和人員管理兩方面進行規(guī)范化管理，形成有效保護供應(yīng)鏈安全的機制。

在制度建設(shè)方面，企業(yè)根據(jù)自身行業(yè)和業(yè)務(wù)特點形成符合自身要求的管理制度，包括但不限于配置管理、資產(chǎn)管理、采購管理、運維管理、人員管理等。由于工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈涉及固件、組件、軟件和系統(tǒng)，企業(yè)在梳理資產(chǎn)的基礎(chǔ)上可形成基于組件的物料清單和構(gòu)成圖譜，并定期對其進行維護，一旦發(fā)生變化，及時驗證其完整性和安全性。企業(yè)也可形成基于代碼、組件、軟件、系統(tǒng)清單的源代碼庫和漏洞庫，并進行維護。同時，企業(yè)基于審計、數(shù)據(jù)備份及恢復(fù)，制定針對供應(yīng)鏈安全的應(yīng)急預(yù)案并定期進行演練，以便在遭到攻擊后迅速響應(yīng)。最后，企業(yè)定期對供應(yīng)鏈安全進行風險識別和評估，確定相應(yīng)的風險級別，通過審批進行風險處置。

在人員管理方面，首先要完善人員能力，對工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全相關(guān)的技術(shù)操作人員、軟件開發(fā)測試人員和網(wǎng)絡(luò)安全管理人員等進行供應(yīng)鏈安全和制度相關(guān)的技術(shù)、管理培訓，使其具備供應(yīng)鏈要素識別、風險管理、安全配置和漏洞處理等能力，并能意識到工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全對于企業(yè)的重要性，避免進行誤操作。其次是強化員工道德約束，依據(jù)角色劃分權(quán)限確定員工職責，制定員工違規(guī)行為的懲戒措施，必要時簽訂協(xié)議并設(shè)置“AB角色”，保障企業(yè)免于社會工程學攻擊。對于重要工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺企業(yè)，可配置供應(yīng)鏈安全保障團隊，對人員背景進行調(diào)查，確保員工能夠應(yīng)對供應(yīng)鏈安全突發(fā)事件，具備安全事件分析和應(yīng)急處置能力。

結(jié)語

我國堅持工業(yè)互聯(lián)網(wǎng)發(fā)展與安全并重，供應(yīng)鏈安全是工業(yè)互聯(lián)網(wǎng)健康發(fā)展的重要保障。本文基于工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈資產(chǎn)要素及企業(yè)類型，提出建設(shè)、采購和日常管理三個層面的風險。針對三個層面的風險，構(gòu)建工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護體系。后續(xù)，隨著衛(wèi)星通信、區(qū)塊鏈、大數(shù)據(jù)、人工智能等新技術(shù)的不斷發(fā)展和應(yīng)用，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護體系也應(yīng)在政策指導(dǎo)、指南要求及事件驅(qū)動下不斷更新。