国产精品久久久久久久久软件,国产成人久久久精品二区三区,国产成人无码一区二区三区在线 ,大又大粗又爽又黄少妇毛片,国产精品成人aaaaa网站

隨著新型工業(yè)化步伐加快、網(wǎng)絡(luò)強(qiáng)國和制造強(qiáng)國建設(shè)扎實(shí)推進(jìn)，網(wǎng)絡(luò)化、數(shù)字化、智能化成為工業(yè)企業(yè)轉(zhuǎn)型升級(jí)的重要方向。近年來，我國通過出臺(tái)工業(yè)互聯(lián)網(wǎng)頂層設(shè)計(jì)并持續(xù)推動(dòng)政策法規(guī)落地實(shí)施，助力工業(yè)企業(yè)聯(lián)網(wǎng)率逐步攀升。工業(yè)互聯(lián)網(wǎng)通過“人、機(jī)、物”互聯(lián)，推動(dòng)工業(yè)經(jīng)濟(jì)實(shí)現(xiàn)全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈的網(wǎng)絡(luò)化連接，構(gòu)建新型工業(yè)生產(chǎn)制造服務(wù)體系，助推制造業(yè)實(shí)現(xiàn)高質(zhì)量發(fā)展。提升工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全水平和自主可控能力，是供應(yīng)鏈上下游健康發(fā)展的基礎(chǔ)，也是護(hù)航新型工業(yè)化的重要因素。本文介紹了工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈攻擊和風(fēng)險(xiǎn)要素，建議從工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈生命周期安全防護(hù)、供應(yīng)商和服務(wù)商管理、制度建設(shè)和人員管理三方面加強(qiáng)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護(hù)體系建設(shè)。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全分析

我國工業(yè)企業(yè)涉及行業(yè)眾多，工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)不斷涌現(xiàn)，規(guī)上工業(yè)企業(yè)借助工業(yè)互聯(lián)網(wǎng)提質(zhì)增效的意圖明顯，但信息和安全類企業(yè)還未達(dá)到國際先進(jìn)水平，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈仍面臨較大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，一旦供應(yīng)鏈上的節(jié)點(diǎn)被攻擊，供應(yīng)鏈上的相關(guān)企業(yè)（如固件、組件、軟件、系統(tǒng)的使用企業(yè)和平臺(tái)企業(yè)）將面臨巨大威脅。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈?zhǔn)菫闈M足供應(yīng)方和需求方之間的供需關(guān)系，通過資源將雙方相互連接的網(wǎng)鏈結(jié)構(gòu)，可將工業(yè)互聯(lián)網(wǎng)產(chǎn)品或服務(wù)提供給需求方。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈產(chǎn)品包括固件、組件、軟件和系統(tǒng)，例如工業(yè)主機(jī)中的固件、SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）、工業(yè)APP、MES（生產(chǎn)執(zhí)行系統(tǒng)）等。工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈服務(wù)包括云服務(wù)、運(yùn)維服務(wù)等，例如公有云平臺(tái)、運(yùn)維平臺(tái)等。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈攻擊

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈攻擊是指攻擊者利用工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)（包括應(yīng)用工業(yè)互聯(lián)網(wǎng)的企業(yè)、平臺(tái)企業(yè)或標(biāo)識(shí)解析企業(yè)）供應(yīng)鏈體系的薄弱環(huán)節(jié)，向整個(gè)供應(yīng)鏈傳播惡意代碼或攻擊企業(yè)的基礎(chǔ)設(shè)施，從而破壞或竊取相關(guān)企業(yè)的敏感數(shù)據(jù)。不同于傳統(tǒng)的網(wǎng)絡(luò)“釣魚”和社會(huì)工程學(xué)攻擊，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈遭到攻擊將導(dǎo)致整個(gè)供應(yīng)鏈被注入惡意代碼，影響該企業(yè)甚至上下游多個(gè)企業(yè)的生產(chǎn)和運(yùn)營。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別

從企業(yè)角度看，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈面臨的風(fēng)險(xiǎn)主要來自產(chǎn)品及服務(wù)的生命周期、采購、運(yùn)營三個(gè)層面。

產(chǎn)品及服務(wù)的生命周期風(fēng)險(xiǎn)，即企業(yè)在設(shè)計(jì)、開發(fā)、測試、使用、運(yùn)維、廢止軟件或系統(tǒng)，以及接入平臺(tái)過程中引入的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。2021年12月，Apache Log4j被曝存在遠(yuǎn)程代碼執(zhí)行漏洞。作為一款開源日志組件，Log4j被眾多Java框架廣泛采用，其漏洞的影響范圍涉及所有使用該組件的軟件。

采購風(fēng)險(xiǎn)，即企業(yè)采購的產(chǎn)品或服務(wù)帶有漏洞、惡意代碼或“后門”，攻擊者將產(chǎn)品或服務(wù)作為跳板進(jìn)行網(wǎng)絡(luò)攻擊或竊取數(shù)據(jù)，為整個(gè)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈帶來風(fēng)險(xiǎn)。2018年臺(tái)積電發(fā)生一起生產(chǎn)線感染W(wǎng)annaCry（一種“蠕蟲式”的勒索病毒軟件）病毒變種的事件。這個(gè)事件的起因是一批新接入生產(chǎn)線的計(jì)算機(jī)帶有病毒，上游設(shè)備供應(yīng)商未對計(jì)算機(jī)進(jìn)行嚴(yán)格的安全檢查和病毒掃描，同時(shí)臺(tái)積電也未對新上線的設(shè)備進(jìn)行嚴(yán)格的安全檢查和病毒掃描，從而導(dǎo)致了安全事故，這給臺(tái)積電的生產(chǎn)和聲譽(yù)造成了重大損失。

運(yùn)營風(fēng)險(xiǎn)，即企業(yè)在實(shí)際運(yùn)作過程中，因管理機(jī)制有所缺失或不完善，導(dǎo)致風(fēng)險(xiǎn)識(shí)別、處置和防范等工作不到位所引發(fā)的風(fēng)險(xiǎn)。2022年3月，網(wǎng)絡(luò)安全企業(yè)Okta透露，一家供應(yīng)商（Sitel）遭到攻擊，導(dǎo)致公司部分?jǐn)?shù)據(jù)被竊取。后續(xù)的調(diào)查顯示，這家供應(yīng)商的一名員工通過其個(gè)人筆記本電腦為用戶提供服務(wù)，人員及設(shè)備的管理不當(dāng)對供應(yīng)鏈安全造成了重大影響。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護(hù)體系

當(dāng)前，軟件供應(yīng)鏈和ICT（信息與通信技術(shù)）供應(yīng)鏈相關(guān)的安全防護(hù)研究較多。相比軟件供應(yīng)鏈，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈資產(chǎn)要素多、行業(yè)應(yīng)用場景多樣；相比ICT供應(yīng)鏈，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈實(shí)際運(yùn)作更為復(fù)雜、供應(yīng)商網(wǎng)絡(luò)安全管理能力偏弱。因此，在參考軟件和ICT供應(yīng)鏈安全的基礎(chǔ)上，企業(yè)要錨定風(fēng)險(xiǎn)點(diǎn)，從工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈生命周期安全防護(hù)、供應(yīng)商和服務(wù)商管理、制度建設(shè)和人員管理三方面加強(qiáng)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護(hù)體系建設(shè)。

工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈生命周期安全防護(hù)

針對產(chǎn)品及服務(wù)的生命周期風(fēng)險(xiǎn)，企業(yè)應(yīng)根據(jù)自研產(chǎn)品的不同階段、使用代碼的不同來源、服務(wù)的接入情況，采取適宜的安全防護(hù)手段。

對于自研軟件和系統(tǒng)，企業(yè)在設(shè)計(jì)階段，根據(jù)行業(yè)典型場景及企業(yè)實(shí)際運(yùn)作需要進(jìn)行安全需求分析，采用安全的架構(gòu)和設(shè)計(jì)模型，確定身份鑒別與訪問控制機(jī)制；在開發(fā)階段，根據(jù)安全的編碼規(guī)范，在安全的編譯環(huán)境下，使用安全的編碼工具，防止生成缺陷代碼，導(dǎo)致出現(xiàn)漏洞、惡意代碼或“后門”；在測試階段，使用安全的代碼審計(jì)工具、漏洞掃描工具、滲透測試工具進(jìn)行代碼分析和漏洞掃描，及時(shí)發(fā)現(xiàn)代碼缺陷、邏輯問題以及漏洞；在使用階段，根據(jù)安全設(shè)計(jì)進(jìn)行安全配置，確認(rèn)基于業(yè)務(wù)、角色和權(quán)限的身份鑒別及訪問控制機(jī)制，定期或在發(fā)生信息安全事件時(shí)進(jìn)行病毒查殺及漏洞掃描，發(fā)現(xiàn)安全隱患后及時(shí)進(jìn)行維護(hù)；在運(yùn)維階段，確保在安全的前提下，按照實(shí)際需要進(jìn)行產(chǎn)品升級(jí)、漏洞修復(fù)或安全加固，完成后開展相應(yīng)的安全性測試、完整性校驗(yàn)；在廢止階段，按照廢止處理流程進(jìn)行數(shù)據(jù)處理、軟件移除及系統(tǒng)停用，對代碼和數(shù)據(jù)進(jìn)行安全處理和保護(hù)。

對于開源組件、軟件和系統(tǒng)，企業(yè)在對其來源進(jìn)行評審并確定安全可靠的前提下，無需考慮設(shè)計(jì)安全和開發(fā)安全，其他生命周期安全防護(hù)與自研軟件和系統(tǒng)的安全防護(hù)流程一致。

對于采購組件、軟件和系統(tǒng)，企業(yè)應(yīng)通過合同或者協(xié)議對供應(yīng)商進(jìn)行約束，要求供應(yīng)商及時(shí)進(jìn)行產(chǎn)品升級(jí)、安全異常提醒和安全維護(hù)。若供應(yīng)商已中斷維護(hù)服務(wù)，企業(yè)應(yīng)自發(fā)定期進(jìn)行漏洞掃描和滲透測試，并關(guān)注所使用組件、軟件和系統(tǒng)的網(wǎng)絡(luò)安全事件和漏洞發(fā)布情況，發(fā)現(xiàn)漏洞后自發(fā)或通過第三方服務(wù)商進(jìn)行產(chǎn)品升級(jí)、漏洞修復(fù)及安全加固。

對于采購硬件中的固件，企業(yè)同樣要通過合同或者協(xié)議對供應(yīng)商進(jìn)行約束，要求供應(yīng)商及時(shí)進(jìn)行安全異常提醒和安全維護(hù)。若供應(yīng)商已中斷維護(hù)服務(wù)，企業(yè)應(yīng)自發(fā)定期進(jìn)行漏洞掃描，并關(guān)注固件相關(guān)網(wǎng)絡(luò)安全事件的發(fā)布情況，必要時(shí)自發(fā)或通過第三方服務(wù)商進(jìn)行固件漏洞修復(fù)或提升固件的安全能力。

對于接入的平臺(tái)，企業(yè)要通過配置核查，確保身份鑒別、訪問控制、傳輸安全和接口防護(hù)符合自身安全要求。

供應(yīng)商和服務(wù)商管理

針對采購風(fēng)險(xiǎn)，為加強(qiáng)對供應(yīng)商和服務(wù)商的供應(yīng)鏈安全管理，應(yīng)用工業(yè)互聯(lián)網(wǎng)的企業(yè)、平臺(tái)企業(yè)或標(biāo)識(shí)解析企業(yè)可建立供應(yīng)商和服務(wù)商名錄并進(jìn)行維護(hù)，在采購產(chǎn)品和服務(wù)前對供應(yīng)商和服務(wù)商進(jìn)行初評并定期進(jìn)行復(fù)評，評定內(nèi)容包括但不限于中斷供應(yīng)的可能性、企業(yè)網(wǎng)絡(luò)安全建設(shè)能力、網(wǎng)絡(luò)安全事件響應(yīng)能力、一級(jí)供應(yīng)商對二級(jí)供應(yīng)商的網(wǎng)絡(luò)安全約束能力等，確保供應(yīng)商和服務(wù)商所提供的產(chǎn)品和服務(wù)具有網(wǎng)絡(luò)安全防護(hù)和事件處置能力。同時(shí)，基于華為被斷供的前車之鑒，企業(yè)可優(yōu)先選取國內(nèi)的供應(yīng)商和服務(wù)商，通過多元化方式避免斷供造成的網(wǎng)絡(luò)安全損失。企業(yè)可在合同或協(xié)議中對所采購的產(chǎn)品和服務(wù)進(jìn)行約束，一旦遭到供應(yīng)鏈攻擊相關(guān)的網(wǎng)絡(luò)安全事件，供應(yīng)商或服務(wù)商要及時(shí)響應(yīng)并處置，包括及時(shí)告知新發(fā)現(xiàn)漏洞、修復(fù)漏洞、軟件或系統(tǒng)升級(jí)等。對于工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)，還應(yīng)考慮接口安全，設(shè)置雙向的身份鑒別和訪問控制，避免攻擊者對平臺(tái)本身及接入平臺(tái)企業(yè)進(jìn)行非法訪問造成的數(shù)據(jù)篡改和竊取。

制度建設(shè)和人員管理

針對運(yùn)營風(fēng)險(xiǎn)，企業(yè)可以從制度建設(shè)和人員管理兩方面進(jìn)行規(guī)范化管理，形成有效保護(hù)供應(yīng)鏈安全的機(jī)制。

在制度建設(shè)方面，企業(yè)根據(jù)自身行業(yè)和業(yè)務(wù)特點(diǎn)形成符合自身要求的管理制度，包括但不限于配置管理、資產(chǎn)管理、采購管理、運(yùn)維管理、人員管理等。由于工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈涉及固件、組件、軟件和系統(tǒng)，企業(yè)在梳理資產(chǎn)的基礎(chǔ)上可形成基于組件的物料清單和構(gòu)成圖譜，并定期對其進(jìn)行維護(hù)，一旦發(fā)生變化，及時(shí)驗(yàn)證其完整性和安全性。企業(yè)也可形成基于代碼、組件、軟件、系統(tǒng)清單的源代碼庫和漏洞庫，并進(jìn)行維護(hù)。同時(shí)，企業(yè)基于審計(jì)、數(shù)據(jù)備份及恢復(fù)，制定針對供應(yīng)鏈安全的應(yīng)急預(yù)案并定期進(jìn)行演練，以便在遭到攻擊后迅速響應(yīng)。最后，企業(yè)定期對供應(yīng)鏈安全進(jìn)行風(fēng)險(xiǎn)識(shí)別和評估，確定相應(yīng)的風(fēng)險(xiǎn)級(jí)別，通過審批進(jìn)行風(fēng)險(xiǎn)處置。

在人員管理方面，首先要完善人員能力，對工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全相關(guān)的技術(shù)操作人員、軟件開發(fā)測試人員和網(wǎng)絡(luò)安全管理人員等進(jìn)行供應(yīng)鏈安全和制度相關(guān)的技術(shù)、管理培訓(xùn)，使其具備供應(yīng)鏈要素識(shí)別、風(fēng)險(xiǎn)管理、安全配置和漏洞處理等能力，并能意識(shí)到工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全對于企業(yè)的重要性，避免進(jìn)行誤操作。其次是強(qiáng)化員工道德約束，依據(jù)角色劃分權(quán)限確定員工職責(zé)，制定員工違規(guī)行為的懲戒措施，必要時(shí)簽訂協(xié)議并設(shè)置“AB角色”，保障企業(yè)免于社會(huì)工程學(xué)攻擊。對于重要工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)，可配置供應(yīng)鏈安全保障團(tuán)隊(duì)，對人員背景進(jìn)行調(diào)查，確保員工能夠應(yīng)對供應(yīng)鏈安全突發(fā)事件，具備安全事件分析和應(yīng)急處置能力。

結(jié)語

我國堅(jiān)持工業(yè)互聯(lián)網(wǎng)發(fā)展與安全并重，供應(yīng)鏈安全是工業(yè)互聯(lián)網(wǎng)健康發(fā)展的重要保障。本文基于工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈資產(chǎn)要素及企業(yè)類型，提出建設(shè)、采購和日常管理三個(gè)層面的風(fēng)險(xiǎn)。針對三個(gè)層面的風(fēng)險(xiǎn)，構(gòu)建工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護(hù)體系。后續(xù)，隨著衛(wèi)星通信、區(qū)塊鏈、大數(shù)據(jù)、人工智能等新技術(shù)的不斷發(fā)展和應(yīng)用，工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全防護(hù)體系也應(yīng)在政策指導(dǎo)、指南要求及事件驅(qū)動(dòng)下不斷更新。