在供应链管理中,软件供应链是十分重要的一项内容,包含了产品开发、验收、维护以及使用等环节。在受到相关因素带来的影响后,工业软件供应链的安全性形式也变得十分严峻,存在许多的安全风险问题,一旦未采取有效的应对措施,容易引起相关的安全事件,不仅威胁到工业企业的安全生产,对我国发展的稳定性也会产生不利影响。因此需要高度重视软件供应链的安全风险问题,并有效加以应对。
一、工业软件供应链安全现状
(一)安全事件频发
对于工控系统产品而言,其有着复杂的构成,对于一件产品而言,其可能由不同国家以及厂商来提供配件,并由不同地方人员对软件系统共同进行设计。在工业软件网络安全管控方面,供应链是十分关键的一个风险点。近些年来,在工业软件供应链的运行过程中,由于安全风险的存在,进而导致安全事件频发,无法保证供应链的正常运行,对我国工业发展也产生了严重影响。
(二)上游漏洞威胁
对于网络威胁的参与者,其主要对安全漏洞加以利用,这也对工业软件的供应链安全产生了严重威胁。在对攻击策略以及技术进行运用后,可以对供应商漏洞进行挖掘,并在防御者开展修复工作前进行攻击,向众多用户传播恶意活动。结合软件开发协议展开分析,黑客在发现其存在的安全漏洞后,可能会对此漏洞加以利用,以此来对相关的视频与音频数据进行拦截,在设备制造商以及经销商中集成此协议。因此,在实际管控供应链安全风险时,需要高度重视上游漏洞威胁,并采取有效的防控对策[1]。
(三)政策标准出台
为了保证国家安全,并促进行业的快速发展,需要高度重视工业软件供应链安全。近些年来,大国网络空间之间的博弈不断加剧,因此也对其不断加大重视,我国政府、学术界以及企业也高度关注了此问题,并对相关倡议和措施进行出台。对于网络运营者而言,其需要对网络产品与服务进行合理采购,确保其安全可信。在对网络产品与服务进行采购时,可能会对国家安全产生影响,因此需要结合国家网络的安全规定,并有效开展安全审查工作,从而进一步保证供应链安全。我国在供应链安全风险管控方面已出台了相关政策,并提出具体的管理标准,可以在宏观层面有效保障软件供应链的安全运行。
(四)安全技术发展
软件供应链攻击的出现,产生了较高的风险,在出现全新的攻击方式后,公众对安全威胁也具有更高认识,相关监管机构应全面强化自身工作,并充分研究相关安全技术,以此来保证工业软件供应链的正常运行。在实际测试网络漏洞时,需要对多个能源部门有效支持,明确供应链的安全需求,对优先级方法进行明确,保证测试、存储与报告的标准化,有效促进供应商的深度合作。对于安全技术而言,其在工业软件供应链的安全风险防范方面发挥出了重要作用。近年来,相关安全技术的发展水平已得到了显著提升,这也为安全风险的应对提供了有力支持,可以进一步保证供应链的稳定运行[2]。
二、工业软件供应链安全风险分析
现如今,结合网络安全事件展开分析,需要对软件供应链具有的流程特性进行明确。针对工业软件供应链的安全风险,其具体包括以下几个方面。首先,攻击者对软件供应链具有的漏洞加以利用,攻击供应商与业务合作伙伴间的信任环节。其次,对开源生态系统的设计漏洞进行利用,进而混淆攻击依赖项。最后,需要对供应关系加以利用,并通过供应商对客户信息进行窃取,对系统进行入侵和勒索。由此可以看出,供应链内部风险具体包括以下几种来源,分别为供应商信息系统漏洞、开源生态设计缺陷、产品源代码漏洞。对此,需要高度重视开源代码的安全风险问题,并结合软件项目的源代码,有效开展检测工作,确保可以及时发现安全缺陷,从而准确找到高危的开源软件漏洞。除此之外,对于外部风险而言,随着全球化发展进程的不断加快,系统构成也变得更为复杂,这也导致其攻击面有所拓展。攻击者在攻击供应链时,将高回报和低成本作为重点。而且攻击者的攻击技术也在持续精进,有依赖关系混淆等全新的攻击手段出现[3]。
(一)第三方软件问题
对于工业软件而言,其通常利用第三方软件有效集成,当其有安全漏洞存在时,将会导致工业软件有安全风险问题产生。与此同时,当第三方软件在复用以及组件化时,将会导致工业软件的安全漏洞有所增加。因此,当第三方软件出现问题时,容易导致供应链产生安全风险,需要对第三方软件加强管理,使其具有的重要作用得到发挥,以此来有效利用工业软件。
(二)软件与硬件融合问题
现如今,随着我国工业软件的快速发展,其应用范围也明显扩大,应有效融合硬件,但硬件与软件之间的安全存在相互影响,一旦硬件有安全漏洞问题存在,容易导致软件出现安全风险。在供应链运行过程中,需要有效融合工业软件与硬件,使二者具有的重要作用得到发挥。但由于受到相关因素带来的影响,进而导致软硬件管理不够完善,未能使其得到有效融合,对供应链的安全运行产生了相应影响[4]。
(三)开发和测试过程中的问题
在实际开发与测试工业软件时,由于人员疏忽,进而导致其在测试工作中不够严谨,容易产生安全漏洞。与此同时,在软件开发过程中,如果采用的开发与管理工具不够安全,将会直接影响到软件。除了人员和工具以外,还存在其他对软件开发与测试产生影响的因素,因此需要高度重视软件的开发,并做好具体的软件测试工作,以此来使软件开发质量得到提高。
(四)工业软件运维安全问题
在工业生产过程中,需要有效运用工业软件,一旦漏洞补丁的升级不够及时,或在配置方面存在错误问题,将会直接影响到工业生产,容易引发安全生产事故。对于工业软件而言,其需要做好具体的运维管理工作,如果在运维方面存在安全风险,将会对软件的运维安全产生严重影响,以此来进一步保证工业软件的正常运维,从而促进软件供应链的安全稳定运行[5]。
三、工业软件供应链安全风险的应对策略
在世界网络安全领域,工业软件供应链也逐渐成为其关注的焦点,不仅对国家的基础设施建设具有影响,而且还关系到工业企业的安全生产。对此,国家、企业、研究机构以及用户需要采取科学有效的应对措施,使我国在工业软件供应链方面的管控能力得到增强,确保其可以及时发现风险,并展开安全分析,做好应急处置工作,这样可以使我国工业领域的发展水平得到提升,促进网络安全技术的发展,加快我国网络和制造业的发展进程。
(一)国家层面的应对
相关政府部门需要加强和技术机构之间的合作,在供应链安全审查方面合理制定相关政策。在具体开展安全审查工作时,需要科学设置审查流程,并要制定出具体的评判指标,确保在供应商产品在销售前,需要经过相关的安全审查,保证其与相关标准相符合。除此之外,还需要对国家级的风险预警机制进行建立,有效打造漏洞通报平台,发挥出平台具有的重要力量,向相关企业及时通报安全风险,从而使恶意攻击得到有效预防。因此,需要从国家层面入手,保证在宏观层面加以调控,使供应链的安全风险问题得到有效解决。
(二)研究机构方面的应对
从软件研究方面展开分析,相关专家和学者在供应链安全研究方面,需要合理增加资金投入,并要有效联合工业软件的开发企业与用户,结合具体情况,加强对安全技术的发展,确保技术的可行性与可靠性,从而为工业软件供应链的安全运行提供保障。因此,相关研究机构需要有效提升自身的研究水平,加大人力、物力等方面的投入,对优秀的研究人才充分培养,从而在供应链运行过程中合理运用安全技术,确保有效应对安全风险,发挥出安全技术的重要作用,从而保证供应链的运行安全性[6]。
(三)工业软件开发企业方面的应对
为了使工业软件供应链的安全风险得到有效控制,需要确保供应链管理的规范化。这需要企业对供应商进行合理选择,并建立起完善的供应商管理机制,确保有效检测与验收相关软件。对于相关的软件开发企业,其需要提升自身的开源代码安全意识,并要对其安全性展开评估,在自主创新方面增大投入,从而使代码自主水平得到提升。与此同时,还需要对开源代码知识产权加大重视,对其法律风险加以评估,防止出现许可证纠纷以及断供等问题。除此之外,供应商会对客户信息进行收集和掌握,因此软件开发企业需要做好信息保管工作,加强对信息系统的安全防护,避免出现数据泄露问题,防止威胁到用户安全。而且,相关开发企业还需要做好软件的安全测试工作,以此来确保工业软件的安全性。这要求相关企业采取有效的手段,全面测试软件的安全性,并在软件开发期间全面审查与评估第三方软件的安全性。对于供应链当中的硬件和软件设备,需要做好设备升级,并对最新的安全程序与漏洞补丁进行安装,从而保证设备的使用安全性。对于软件的使用企业,其需要做好员工的安全教育工作,有效培养员工的安全意识,确保其在工业软件使用期间可以对相关安全问题加大注意,以此来进一步保证工具开发与使用过程的安全性。
(四)工业软件用户方面的应对
对于企业用户而言,其需要对供应商产品做好具体的安全审查工作,保证产品具有可靠的来源。与此同时,用户应对厂商所发布的最新信息加大关注,并做好信息的更新工作,防止由于更新不够及时而产生安全风险。在此过程中,相关企业需要合理安装风险预警系统,对应用场景进行全面监控,确保可以了解其安全态势,在发现攻击行为后,需要确保及时作出正确的响应。除此之外,还需要对工业软件用户全面加强宣传工作,使其对软件供应链安全运行产生正确认识,从而保证用户对工业软件的合理使用,合理优化供应链运行,促进我国工业的快速发展[7]。
结束语:
综上所述,在工业软件供应链的运行过程中,需要深入分析供应链的安全风险问题,明确主要的风险来源,并有针对性地采取应对措施,从而保证软件供应链的安全运行。
参考文献:
[1] 樊佳讯,杨佳宁. 工业软件供应链安全风险分析及对策建议[J]. 新型工业化,2021,11(10):138-140.
[2] 苏仟,赵娆. 开源软件供应链安全风险分析与发展建议[J]. 信息安全研究,2022,8(8):831-835.
[3] 零家勇. 勒索软件攻击冲击下的软件供应链安全风险分析[J]. 网络安全和信息化,2022,12(12):117-119.
[4] 肖广娣,叶润国,焦程鹏. 我国软件供应链安全问题分析及对策研究[J]. 信息技术与标准化,2020,32(6):49-52.
[5] 李璐,倪平,何昊坤,等. ICT供应链安全风险及典型事件分析[J]. 国防科技工业,2019,11(9):24-26.
[6] 向剑文,郑征,申文博,等. 软件可信性与供应链安全前沿进展专题前言[J]. 软件学报,2023,34(6):2507-2508.
[7] 严雪伦,王颉. 从软件产品采购环节做好软件供应链安全保障[J]. 中国信息安全,2021,14(10):55-56.