中国工程院院刊:《工业互联网安全产业发展态势及路径研究

来源:乐鱼体育官网下载 作者:乐鱼体育平台

  来源:工业互联网安全产业发展态势及路径研究[J].中国工程科学,2021,23(2):46-55.

  工业互联网安全是实现我国工业互联网产业高质量发展的重要前提和保障,也是建设网络强国和制造强国战略的重要支撑。目前,我国工业互联网发展迅速,已广泛应用于能源、交通、制造、国防等行业领域,对经济社会发展的带动效应日益显著。工业互联网在构建全新生产制造和服务体系,为高质量发展和供给侧改革提供支撑的同时,也打破了传统工业环境相对封闭可信的状态,增加了遭受网络攻击的可能性,为此,亟需加快构建工业互联网安全保障体系,提升工业互联网安全保障能力。

  中国工程院院刊《中国工程科学》2020年第2期刊发《工业互联网安全产业发展态势及路径研究》,针对我国工业互联网安全产业发展面临的问题,文章分析了工业互联网安全在产业政策、标准体系、产业结构、产业规模等方面的发展现状,研判了工业互联网安全产业面临的历史机遇和发展趋势,提出了构建新一代工业互联网安全产业的发展路径。文章建议,加强顶层设计和政策引导,强化科技创新与转化,构建良好的产业发展生态,注重供应链的安全与稳定,加强人才培养与队伍建设;立足全局、统筹联动,坚持“政产学研用”融合发展,探索出适合我国工业互联网安全产业的可持续发展路径。

  我国正处于新一轮工业革命的历史机遇期,工业互联网作为新型基础设施建设的重要组成部分,是推动数字经济与实体经济深度融合的关键路径。为此,国家高度重视,提出深入实施工业互联网创新发展战略的要求。自 2017 年国务院发布《关于深化“互联网 + 先进制造业”发展工业互联网的指导意见》以来,一系列配套政策相继出台,工业互联网创新发展战略逐步实施并取得显著进展。目前,我国工业互联网发展迅速,已广泛应用于能源、交通、制造、国防等行业领域,对经济社会发展的带动效应日益显著。工业互联网在构建全新生产制造和服务体系,为高质量发展和供给侧改革提供支撑的同时,也打破了传统工业环境相对封闭可信的状态,增加了遭受网络攻击的可能性。各国工业领域的安全事件频发,危害日益严重,网络攻击成为制约工业互联网发展的关键因素。工业互联网安全作为国家安全的重要组成部分,事关经济发展和社会稳定;消除工控安全威胁与隐患,建立科学、系统的安全防护体系成为必然。

  从产品竞争格局来看,全球工业互联网产业可以分为硬件与网络、软件与平台、信息安全三大板块;2018 年硬件与网络产品占比为 49.8%,软件与平台产品占比为 48.3%,信息安全产品占比为 1.9%;2019 年全球工业互联网信息安全产业的市场规模为 156.6 亿美元,预计 2025 年为 222 亿美元。

  与发达国家相比,我国工业互联网安全产业中的软硬件产品自主研发能力有所不足,在核心技术、产业规模、推广应用等方面尚存差距;高端关键基础装备、控制系统、软件及平台市场长期被国外产品占据,如工业控制系统中的微控制单元(MCU)、数字信号处理器(DSP)、现场可编程门阵列(FPGA)等核心元器件技术与国外差距较大,数据采集与监视控制系统(SCADA)、可编程逻辑控制器(PLC)、分散控制系统(DCS)、过程控制系统(PCS)等较多依赖国外供应。为了加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,我国需在推动工业互联网安全责任落实、构建互联网安全管理体系、提升企业互联网安全防护水平、强化互联网数据安全保护能力、完善国家工业互联网安全技术手段、加强工业互联网安全公共服务能力、推动工业互联网安全科技创新与产业发展 7 个方面持续发力。

  随着云计算、第五代移动通信(5G)、物联网等新一代信息技术与制造业的不断融合,工业领域的网络安全风险逐渐增大,工业互联网安全成为国家和企业高度关注的议题。我国从国家安全角度出发,对工业互联网安全体系进行了顶层设计和战略布局,坚持以安全保发展、以发展促安全、安全和发展并重的发展路径,确保安全保障与信息化建设同步规划、同步建设、同步运行,为工业互联网安全产业的健康发展奠定了良好基础。近年来,我国陆续出台了一系列政策、指南,从宏观、中观、微观层面不断细化完善工业互联网安全政策体系。2019 年 7 月,工业和信息化部等十部门联合印发了《关于加强工业互联网安全工作的指导意见》,体系化布局了工业互联网安全工作,为产业的健康发展指明了方向。可以预见,未来还将会有更多的产业政策出台,继续保持对工业互联网安全的扶持力度,引导其全面发展。

  工业互联网安全标准体系主要由基础共性类标准、安全防护类标准、安全服务类标准、垂直行业类标准组成(见表 1)。标准化对工业互联网安全保障体系建设至关重要。近年来,针对工业互联网标准的跨行业、跨专业、跨领域特点,我国加速开展相关标准的研制,陆续发布了《工业互联网安全防护总体要求》《工业互联网平台安全防护要求》等标准规范,印发了《工业互联网综合标准化体系建设指南》等,初步形成了涵盖设备安全、控制安全、网络安全、数据安全、应用安全、平台安全、安全管理的工业互联网安全标准体系(见图 1)。后续,工业互联网安全相关标准将会进一步完善,产业发展将更趋规范。

  工业互联网安全产业结构依据市场应用分为安全产品和安全服务两大类(见表 2)。目前,我国工业互联网安全产品类市场和服务类市场均在持续发展壮大,产品和服务体系正在加速构建,产业结构不断优化,呈现出以下特点。

  在工业互联网安全产品方面,防护类产品中的边界、终端安全防护是当前的主要分布形态,发展相对成熟,市场占有率较大。随着网络安全等级保护 2.0 的正式实施,防护类产品将成为工业互联网安全整体解决方案中必备的基础安全措施,市场规模将继续稳定增长。此外,防护类产品中的网络检测、工业安全审计类产品的市场规模虽然较小,但发展速度较快。管理类产品中的态势感知、安全合规管理、安全运维等产品是安全厂商的重要布局方向。在国家和行业政策的双重推动下,我国工业企业用户对合规安全和内生安全的需求加快,未来该类产品的市场规模也将稳定增长。在工业互联网安全服务方面,由于近年来工业网络威胁朝着多样化、复杂化方向演化,传统的单一安全产品模式已难以满足用户的安全防护需求;以风险评估、安全管理咨询、安全应急响应、安全托管服务等为主的安全服务获得更多关注,针对工业互联网安全评估和安全培训的需求日趋旺盛。此外,科研院所、高校对工业信息安全人才培养的重视程度显著提高,促进了安全培训服务市场快速增长,进一步优化了产业结构。有效的安全保障离不开坚实的产业支撑。随着我国工业互联网战略的全面实施,政府及企业不断加大安全投入,工业互联网安全产业迎来快速增长期(见图 2)。2018 年我国工业互联网安全产业的市场规模为 94.6 亿元,预计 2022 年为 307.6 亿元,年均复合增长率约为 32.66%。在政策环境与市场需求的共同作用下,加强安全保障将成为今后工作的重点,我国工业互联网安全产业进入快速发展的新阶段。

  工业互联网安全是我国实施制造强国和网络强国战略的重要保障,也是落实总体国家安全观的重要抓手。在 5G、工业互联网等新型基础设施建设加速发展的大背景下,统筹发展与安全将成为我国新时期制造业数字化转型的主旋律。随着工业互联网战略的深入推进,我国不断加强政策和财政支持力度,促进工业互联网安全产业的内需增长,引导企业加大安全技术投入,加快相关安全技术研发和产业化推进。随着国家相关法规政策的持续推进,工业互联网产业环境将不断优化,产业基础更为坚实,产业聚集效应将逐渐形成。网络安全等级保护 2.0 扩展了网络安全保护的范围,对工业控制系统提出了更高的安全扩展要求,以适用于工业控制的专有技术和应用场景特点。面对安全合规要求,工业企业须持续加强自身安全防护体系,进一步落实主体责任,加大安全投入,加强体系化的安全规划和布局。可以判断,工业互联网安全产业的内生需求将进一步扩大。工业互联网安全是工业生产安全和网络空间安全相融合的领域,涵盖工业领域数字化、网络化、智能化过程中各个要素和各个环节的安全,需要专门的安全产品、技术和服务。当前,我国工业互联网企业多采用传统的网络信息安全防护技术,以工控系统的“外建”安全防护产品和解决方案为主,尚没有工业互联网 OT 方面的安全专用防护设备,整体安全解决方案还不成熟。我国工业互联网安全技术体系可以分为外建安全(IT 安全)和内嵌安全(OT 安全)两大类。随着工业互联网的加速推进,来自工控系统、工业智能设备、工业平台、数据的安全问题不容忽视,对内嵌信息安全功能的产品和服务的市场需求激增。以 IT 安全为主的传统产品和服务已不能完全满足实际市场需求,应充分结合 OT 安全进行纵深发展。因此,未来工业互联网安全产业发展应统筹考虑 IT 安全和 OT 安全的市场需求,提升工业企业综合防护水平。在特殊性能需求方面,保障生产的连续性和可靠性是工业互联网的首要任务,网络时延或成本较高的 IT 安全方案将无法应用于 OT 网络,需要针对 OT 网络特点研究平衡安全风险和业务影响的技术方案。随着大数据、云计算、人工智能(AI)、5G、边缘计算等新一代信息技术在工业互联网领域的快速应用,IT 和 OT 融合加速。与此同时,融合了新技术的工业互联网安全环境将变得更加复杂多样,安全风险呈现多元化特征;安全隐患发现难度更高,安全形势进一步加剧。这一系列技术和形势的变化,对安全理念和技术提出了新的要求,将促使安全态势感知、安全可视化、威胁情报、大数据处理等新技术在工业互联网安全领域不断取得应用突破;促使定制化安全产品加速出现,满足客户不同产品形态、性能的需求;安全服务将由现场服务为主、远程服务为辅转向远程化、云化、自动化、平台化发展。整体而言,围绕设备、控制、网络、应用、数据五大安全领域,结合多领域、新技术的工业互联网安全解决方案将不断出现,为工业企业部署安全防护措施提供可参考的模式。我国的重要工控系统较多采用国外技术和设备,存在核心技术受制于人的问题。大量工业企业的工控系统依赖国外厂商提供的运维服务,企业对系统运行的可控性较低;缺乏对国外产品和服务的必要监管机制和技术检测措施,存在一定的安全隐患。工业互联网安全事关经济发展和社会稳定,重要工业数据一旦被窃取、篡改或破坏,将对国家安全构成严重威胁。频繁爆发的窃密和攻击事件,使得各国在网络空间安全领域的对抗态势进一步加剧。需要高度关注信息安全产品的自主可控,将信息安全产品的国产化上升到国家安全的高度,依靠自主创新,积极发展具有自主知识产权的信息安全产品。近年来,在信息产品国产化政策的推动下,信息安全产品的国产化替代趋势趋于显现。随着我国制造业向数字化、网络化、智能化转型升级,网络安全威胁日益向工业领域蔓延。我国工业互联网安全领域仍存在体制机制尚不健全、综合保障水平偏低、关键核心技术产品不成熟、高端技术人才匮乏等突出问题,工业领域面临的安全风险态势十分严峻。另外,随着新型基础设施建设的推进,工业系统需要防护对象的数量大幅增加,工业系统的受攻击面不断扩大,防护要求和难度也不断提高;新技术与工业互联网的融合应用伴生了新兴安全问题,数据要素的共享流动则加剧了潜在安全风险。这些新挑战推动工业互联网安全技术产品加速变革,防护工作逐步向动态协同转变,促进安全生态体系创新。我国出台了多项顶层政策文件以指导工业互联网安全发展,但工业企业在实际开展安全防护项目的设计、建设、实施、运维等过程中,仍存在缺乏具体政策文件统筹指导、安全主体责任不明等问题。工业互联网安全标准体系尚未完全建立,相关标准之间缺乏严格的逻辑关联,关键技术的管理标准缺失,无法为企业开展安全防护工作提供标准依据,难以满足产业发展的安全需求。工业互联网安全在保障目标对象、安全需求等方面具有特殊性,而工业属性伴生的保护场景多样性给其自身发展带来了挑战。因此,亟需建立针对性强、特色鲜明的工业互联网安全保障体系。当前,我国工业互联网安全建设大多围绕工业企业的基本安全需求而开展,处于以设备采购为主的初级阶段。一方面,工业企业用户在完成工业互联网安全项目建设后,因缺少持续学习工业互联网安全配置、设备运维知识的相关渠道,无法发挥安全产品的最大效果;另一方面,企业用户普遍缺乏对安全措施有效性的量化考核和评估能力,存在安全制度形同虚设、安全设备较多闲置等问题。虽已存在各类工业互联网安全产品和服务,但对应的市场准入和认证机制还不完善,缺乏检测认证标准规范和技术。这是因为工业互联网安全近年来才受到关注,相关标准仍在编制过程中,且标准制定存在一定的难度。工业互联网安全产业仍处于发展起步阶段,而制定的标准既要适应当前用户需求,又要具有一定的前瞻性,才能指导和引领该类产品的发展;不同行业和环境对工业互联网安全产品的需求差别较大,且工控协议种类繁多,也增加了标准的制定难度。现阶段对工业互联网安全产品和服务的检测多沿用传统 IT 安全检测认证标准和测评方法,这显然是不合适的。工业互联网安全产品和服务的统一标准、认证机制明显缺乏,使得相关认证难以面向市场快速推广,更难以进行规模化生产和产业化应用。在产业聚集方面,我国工业互联网安全产业起步晚、体量小,如外建安全产品和服务的市场规模占网络安全产业整体规模的比例不足 5%。我国从事工业互联网安全的企业约有 266 家,专注该领域的企业约有 47 家,企业规模普遍较小;传统信息安全企业、自动化背景企业、IT 系统集成企业进入工业互联网安全领域的时间普遍较短,存在技术创新能力不足、缺乏具有市场竞争力的核心产品等问题。目前,我国安全服务企业在外置防护产品技术方面成熟度相对较高,在内置信息安全工控产品技术方面的成熟度偏低;企业的安全服务能力难以满足现实需求,尚未形成引领产业发展的骨干龙头企业,产业创新集聚效应不明显,产业整体规模仍处于低位。在关键产品方面,我国工业互联网安全产业技术和产业化应用仍不成熟,工业软硬件产品对外依赖度较高,不可预知的安全隐患增多,安全风险加剧。①在外建安全防护方面,防护类技术的成熟度较高,市场应用水平也较高,如基于策略的访问控制、网络隔离和应用程序白名单等;但外建安全防护产品在工业场景兼容性、协议支持丰富度、智能化水平和可视化水平程度等方面与国外先进技术仍存在一定差距;在基于指纹匹配的资产识别、基于漏洞库的风险关联、威胁溯源等检测类和响应类技术方面尚存在不足,与国际工业互联网安全企业仍存在较大差距。②在内嵌安全防护方面,我国在通信访问控制、通信和数据加密、身份识别等技术方面已取得一定突破,但与国际水平相比仍存在较大差距;由于工业系统整体兼容性不强、价格竞争优势不足等因素,市场应用水平整体偏低。

上一篇:安恒信息发布第六代WEB应用弱点扫描器
下一篇:惠来县第一中学智慧班牌系统、校园文化管理系统及无线覆盖建设项目采购采购更正公告(