程峥

中国石化集团共享服务有限公司南京分公司 江苏 南京 210000

引言

工业互联网是新一代信息技术、工业生产和经济深度融合的全新经济形态产物，是融合了新经济发展生态、关键基础设施与创新生产应用而形成的新模式，发展至今，已逐渐成为引领新一代工业革命的关键平台支柱。在工业领域中，供应链作为生产中最重要的环节之一，围绕企业核心业务，通过对信息流、物流、资金流的联合控制，从设计、采购、生产、产品销售到最终客户服务，全过程进行高效协同，组织形成了一个整体的功能型网链模式，实现提质增效的生产经营目标。工业互联网新技术体系及其能力对行业转型的牵引力不断增强，工业领域出现了丰富的新模式新业态。工业领域的供应链也在不断探索数字化转型，逐步发展出工业互联网供应链新形态。

1 工业互联网供应链典型安全问题分析

1.1 交付环节安全风险

产品交付在供应链中，如果产品或系统来源被篡改或非正式获得，则产品的安全性将受到损害，产品将被感染或无法使用。供应链出现问题的原因是，产品的购买来源是伪造的（即官方域名被盗用，或者由于官方网站上的安全风险而更换产品），或者敏感信息在产品接入使用由于感染了整个系统而丢失。例如，backalis安全实验室于2015年2月发布的等式允许组织使用一组超级信息库将恶意代码插入到硬盘固件中，方法是在为目标或行业购买、修复主机或硬盘时修改硬盘固件该超级信息存储库包含两个恶意模块，即已知的第一个恶意代码，用于感染硬盘固件，能够对几十个通用品牌硬盘固件进行重新编程。在工业互联网平台上修改服务器硬盘固件后，整个工业互联网平台都会受到影响，攻击者甚至可以获得整个互联网平台的任何权利。

1.2 网络攻击手段多变导致风险加剧

与传统IT网络安全不同，工业领域更多关注的是生产流程中网络信息传输的可用性和实时性。随着科技发展，IT网络与OT网络的融合性在增强，但是依然存在诸多差异，势必也会带来更多的安全挑战，其中供应链安全风险主要在于对外暴露的攻击面日趋增大，甚至更大一部分风险是来源于与企业建立合作关系的外部公司，其在合作过程中出现的安全技术服务、自身管理疏忽或者提供产品在技术上的安全缺陷，都会被恶意攻击者利用对生产数据进行破坏或窃取。工业互联网安全中，供应链安全部分涉及面广，包括了从工业产品设计研发、制造、销售、交付和使用的多个环节，各个环节都不同程度地会涉及一些工具软件，从这个路径就可以有很多方法进行攻击，主要包括对工具植入恶意代码，对接入设备预装恶意软件，利用正常业务应用传播恶意脚本，伪造或者盗用合法证书对恶意程序进行签名四类常见手段[1]。此外，一些DDOS攻击也会随时中断生产，还有高级持续性威胁时刻环伺。这些风险很难被察觉，一旦发生，都会在短时间内给工业生产造成极大破坏，同时可采取的紧急措施也相对有限，备件更换、升级修复或者组织召回产品等都存在成本高周期长的难点，应对难度大。

1.3 供应链成员关系稳定性较差

当前，中小企业仍然很难适应传统的工业网络供应链融资模式，供应链融资与传统融资有着本质的不同，供应链成员之间的关系也存在一定的差异，在现有供应链融资模式下，银行不再把单个企业的信用状况和经营状况作为信用标准，而以核心企业及其上下游企业组成的供应链作为信用评价主体，因此在供应链金融服务模式运行的过程中将需要差异化管理，现代供应链金融模式与传统融资方式相比，银行与中小企业的分散关系已经演变为银行与核心企业、上下游企业的整体关系[2]。而在传统的生产模式下，核心企业的垂直整合程度不断加深，但随着垂直整合的深化，企业管理成本将呈现不断上升的趋势，并会对供应链金融服务的积极作用产生侵蚀的负面影响，从而使核心企业的经营模式发生分化。

2 工业互联网供应链安全发展路径研究

2.1 要推进供应链数字化的进程

数字化是先进的科学技术和现代的生产组织方式相融合的结果，是产业链供应链现代化的一个重要标志。现在有很多人叫智慧化、信息化、智能化，但这种描述都不是非常准确。我们进入到一个数字化的时代了，应该叫数字化更为贴切。供应链数字化首先要有数字。与产业链构建有关的数据，才是有价值的数据。其次，要将数字形成数字资源，即能够利用这些数字进行全产业链的数字化运营，通过数字化运营进行精准分析、科学决策，提供最优化方案。最终，要形成数据资产。在数字化运营的过程中，数据产生了价值。企业卖的不仅是产品，更是数据。按照习近平总书记的话，叫作产业数字化和数字化产业。未来我们要通过构建数字化供应链体现企业的创新能力，通过数字资产创造新的价值。除此之外，还需要提升供应链内大多数企业的信用度，通过合理应用区块链技术，把供应链企业之间的买卖往来所发生的一系列还款、支付的有关信息作为考察金融机构信用度的重要内容，促使智能调用程序的有序开展，提升绝大多数企业的信用度受益。除此之外，还需要把应收账款变成用来衡量企业还款能力以及信用能力的重要评判标准。双方企业互相进行合同买卖的签订，然后开展货物的往来，从而让一家企业可以在账面上有对另一个企业的应收账款，然后进一步在信息平台上对其自动转换为另一方的智能资产[3]。同时作为发货企业的一方能够根据智能资产对金融机构提出贷款申请，相关金融机构可以依据原本预定的程序，具备能够查看曾经往来的相关资料权限，尽可能缩减纸质资料的呈交以及人工的审核环节。在企业的智能资产达到相应金融机构的贷款要求，那么企业预留的账户就可以得到金融机构自动转入的资金。 由此，既能够大大提升银行对资料的审查工作效率，还能有效确保整个过程的资料审查真实性以及完整性和准确性，尽可能减低金融机构的放贷风险。

2.2 依据网络安全审查规定，积极落实企业主体责任

结合《网络安全审查办法》相关规定，产业互联网平台企业应积极构建协调、多部门的管理体系，建立网络安全产品和服务安全风险预先评估机制。根据工业互联网平台的实际情况，完善工业互联网产品的采购和使用等供应链流程，限制网络安全风险行为，定期进行网络安全评估；控制工业互联网平台的安全保护状态，修复现有网络安全风险。工业互联网设备供应商和供应商需要加强自身的安全开发、安全集成和安全运行能力，将网络安全作为能力出口，提高产品研发、集成过程中的安全和安保能力。除此之外，还需要建立完善的网络病毒防范体制，不断向用户普及相关的网络安全知识，同时做好相关具有危害性网络网站的管理工作，让用户能够降低点击不健康网站的概率，进而从根本上降低网络病毒传播的风险性。其次，网管人员还需要强化对云计算技术的安全监管力度，通过技术能力的提高迅速解决其中的病毒入侵和黑客等不法行为，进而达到有效净化网络环境、提高网络安全水平的监管目的。再者，网络监管机构还需要针对云计算过程中存在的漏洞问题建立安全保护制度，进而使得网络病毒入侵的概率得到降低。

2.3 发挥工业产业种类齐全的良好优势

当前，全球第四次工业革命正在孕育兴起，我国制造业持续高速发展，互联网、大数据、人工智能等新一代信息技术与工业生产技术的融合逐渐加深，这两者构成了新的历史交汇点，使得工业经济新的发展道路不断拓宽，从生产制造模式、产业联合方式、商业化机制等方面都发生了颠覆式创新，逐步构建起全要素、全产业链、全价值链融通的新型工业生产制造和服务体系，与全球供应链进行了全方位、深层次、革命性的融合，也为我国工业互联网供应链的安全发展也提供了新机遇[4]。一是基于我国内需市场目前仍是超大规模、多层次、多元化的特点，发挥我国工业种类齐全、生产动能强大、配套设施完善、业务适应灵活的多种优势，促进消费升级，推动传统工业制造业各项水平提升。二是多措并举促进国内各产业各环节在各个区域之间的畅通，从中下游产业入手构建合力，强化措施开展补短板、强弱项工程，逐步扫清工业互联网供应链中的桎梏点，并逐层构建起供应链安全管控流程的标准规范。三是拉动供需构建良性循环机制，强化国内与国外的经济生态互联互通，打造新发展格局，提升生产制造体系与社会产品需求的适配性，带动国内国外工业生产高价值、高水平创新发展，从而构建起完整、安全、可靠的工业互联网供应链体系。

2.4 明确工业互联网供应链安全要求和标准

参照《网络安全审查办法》相关规定，对于服务器、操作系统、数据库、应用程序系统、PLC工业控制设备、DCS以及工业互联网平台上的其他硬件和软件设备等产品的开发人员、供应商、服务提供商和使用单位，明确安全责任和义务，促进提高供需两方面的安全水平，并在产品维护阶段有效确保工业互联网产品的安全，例如，对于使用工业互联网平台的企业，建议建立一个管理系统，明确要求采购的产品必须经过授权的第三方安全测试，产品服务提供商在发现产品存在重大安全缺陷时及时通知用户，从而使用户能够采用此外，供应链安全管理责任应明确纳入工业互联网平台的网络安全保护要求；主要平台——可能影响国家安全的工业互联网平台，应接受网络安全审查，特别是与国民经济和人民生活有关的企业基本设备，并应在购买前进行安全审查。

2.5 强化供应关系识别

工业互联网供应链财务风险控制需要做好关键管理工作，特别是供应商选择的过程中，首先要考虑主要因素，如信誉、价格灵活性、成本构成等；此外，还要结合相关政策和服务体系进行优化选择，以降低整体财务风险。企业还需要从顾客需求的角度出发，把顾客的需求最大化，使顾客的价值最大化。所有的资源和流程都需要优化，以更快的服务于客户，从而最大限度地满足客户的需求，提高企业的运营效率。在企业做好各部门内部协调和上下游企业管理后，选择合作银行是下一个重要课题。对此，李宁公司财务总监杜道丽提出了选择标准，即合伙人拥有专业的运营团队，规范的审核流程，以顾客为本的服务意识，以及较高的执行效率。在选择合作银行时，要考虑的问题是完善的供应商评估理念、国际化的视野与布局、专业的财务团队提供的标准化服务及配套的技术平台。

3 结束语

未来从事工业互联网供应链安全工作，一定程度上要逐步开始转变思维，从管理者思维向服务思维转型。要更多地以消费者为中心，基于消费者切实需求为目标，多方位去规划设计并构建产业链供应链。这样的产业链供应链，一定是柔性化、敏捷化、可定制、高可靠且具备一定安全合规标准的。这个过程也与数字化发展的进程密切相关，只有基于数字化平台不断融合提升，才能真正实现产业链供应链的柔性化、敏捷化、可定制、高可靠及合规性，增强产业链供应链的安全自主可控能力。