上海观安信息王文君：软件供应链安全是工业互联网的重要一环

本报记者 李静 北京报道

近日发布的《中国工业信息安全产业发展态势研究（2022年-2023年）》显示，2022年我国工业信息安全产业规模达204.86亿元，市场增长率达21.62%。

工业信息安全市场规模不断扩大，工业互联网的软件供应链安全也成为备受关注的重点。上海观安信息技术股份有限公司安全专家王文君在接受《中国经营报》记者采访时指出，与传统IT系统相比，工业互联网系统的软件供应链更复杂一些，因为它包括IT系统和OT系统（传感器、DCS控制系统、SCADA等），所以其供应链安全风险会更复杂一些。

从IT层面来说，如今的软件开发大都不是从头开始编写，而是借助于包管理库中的软件或者组件，然后进行软件构建，最后将最终的制品交给用户使用。“这个流程涉及到了3个主要实体：源代码管理库、构建系统、包管理系统，在这三个实体所组成的流程中的任何一环都会有风险，这就是所谓的软件供应链安全。”王文君对记者表示。

工业互联网系统中，OT系统的存在使它的安全问题变得更加复杂。王文君对记者指出，OT系统一般指嵌入式的系统以及一些传感器固件，但固件的特点是碎片化，包括供应商的碎片化、产品安装和维护记录的碎片化。

“如今，政府机构和大量的企业都很关注供应链安全问题。但比较常见的问题是，使用的系统究竟使用了哪些供应商的软件、组件，没有一个很明确的清单。家底摸不清楚，就会导致很多风险。”王文君说道。

摸清家底，建立起工业互联网供应链的物料清单，对于解决软件供应链的安全问题将有很大裨益。IT系统的供应链管理的一个重要概念是SBOM（软件物料清单），OT系统的供应链管理也要考虑HBOM（硬件物料清单）。但对于一些工业互联网产品的供应商来说，软件中使用了哪些组件，可能还属于一个敏感的数据资产。

“在一些国家，已经有非常清晰的软件硬件物料清单的标准和规范，因为有了明确的软件和硬件物料清单，有了漏洞之后可以很快知道是哪里出现了问题。”王文君表示，“但在国内，我们和供应商要物料清单时，他们往往支支吾吾。相信以后软件和硬件物料清单应该也会在国内逐渐成为标准、规范。”

对于企业来说，供应链安全建设还是一个循序渐进的过程，因为安全建设是成本投入，不产生效益，企业可能会在预算范围内逐步推进。工业互联网供应链安全建设背后的驱动力一般有两种：一种是合规驱动，即法律法规的推动；一种是事件驱动，例如攻防演习中采购的一些安全设备。

值得关注的是，大语言模型出现之后，工业互联网的安全领域也在进行相关探索。王文君表示，人工智能在安全领域的应用也越来越多，大语言模型应用在安全方面可以降低安全技术壁垒，使得没有安全知识背景的人员可以达到初级甚至中级人员的水平；还可以提升工作效率，很多的分析工作都可以交给小助手来完成。

基于此，上海观安信息结合大模型做出了一些探索，另外还尝试用类似于AutoGPT这样的技术，将一个复杂的问题，自动地拆成几个子问题并提供相应的答复。例如，对供应链的安全问题分析，过去需要公司的安全专家，点击软件中的很多按钮，一步步检索分析。而大语言模型可以直接把用户需求转化为系统能识别的语言，在产品中嵌入运维助手插件后，系统可以自动检索使用了哪些组件以及有风险，并形成相关报表。

但插件的打造，第一点是需要算力的投入，第二点是知识样本库的积累，这需要企业在某一领域有较深的积累，第三点是模型专家的调优。王文君认为：“一个大模型插件能否成功主要看两个方面，一方面是高质量的训练样本，另一方面是模型专家对大语言模型的微调能力。”

（编辑：张靖超 校对：颜京宁）