工控安全解构新秩序

薛纹

全球范围内，针对能源、交通、医疗、装备制造等领域的关键信息基础设施频频遭受网络攻击，数据窃取与勒索事件时有发生，加强工业安全防护势在必行。我国是工业大国，工业控制系统应用广泛，但国内工控安全市场规模尚小，行业结构分布不均，企业的防护能力及人员配置均存有短板。

当传统工业现场相对封闭可信的制造环境逐渐被打破，鉴于工控系统一定的脆弱性、工业应用场景较强的特殊性，传统网络安全防护手段难以满足工业控制系统的安全需求。唯有国家逐步推行关于工业控制系统安全的政策，加快实施相关标准，持续增加安全投入，才可为我国工业控制系统安全的发展提供良好的产业环境。

风险始终存在

工业控制系统信息安全并不是新鲜概念，其已有较长的演进历程，主要保障工业系统和设备、工业互联网平台、工业网络基础设施、工业数据等的安全。近年来大规模、高强度的工业信息安全事件频频发生，成为网络攻击的“重灾区”，世界各地屡有勒索事件爆出，去年8月，特斯拉内华达州工厂遭遇严重网络攻击，今年5月美国最大的成品油管道运营商ColonialPipeline遭受攻击，被迫关闭关键燃油网络。我国也面临较为严峻的工控安全防护形势，工业和信息化部网络安全总局曾委托相关专业机构对20多家典型工业企业进行工业互联网平台企业安全检查评估，结果发现2000多项安全威胁，而据国家互联网应急中心报告指出，仅2019年就累计发现针对我国工业设备的恶意嗅探事件达5151万起。而且相当部分的工业控制设备为非自主可控的国外设备，近年来在实际运行中被发现的安全漏洞越来越多。

目前全球工控安全市场规模已近200亿美元，年复合增长率为9%，预计可在5年后超过300亿美元，区域方面北美和亚洲地区的市场增势最为强劲，年增长率均为15%左右。数据显示，2020年我国工控安全市场规模为27.3亿元，同比增长50%，虽然在整个网络安全领域中体量靠后，但前景被广为看好，预计复合年均增长率将达55.6%。如按细分行业再做梳理，电力、石油、天然气等能源领域的工控安全市场占比较高、发展较好，交通运输行业和水处理行业也呈快速上升态势，业内企业在工业控制信息安全领域的投入明显增加。

自动化、智能化、网联化是工业控制系统的大势所趋，据不完全统计，超过80%涉及国计民生的关键基础设施使用工业控制系统实现自动化作业，而加速普及的5G网络赋予工业物联网低延迟、高速率、多终端的交互能力，技术融合和政策指引的助推下，国内工业互联网进入快速发展期，但相关企业在获得巨大发展动能的同时，新的安全隐患也逐渐出现。一般工业控制系统在设计时更多考虑系统的可用性，对安全性问题的考虑相对不足，且没有制订完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养，相关人员安全意识淡薄，当大量工控系统及设备暴露于互联网，迅速成为工业信息安全的软肋。国家工业信息安全发展研究中心标准质量处处长陈雪鸿指出，“随着企业数字化转型逐步实现，工业互联网数据是驱动智能化生产的‘引擎、实现智能化运营的动力、工业互联网创新发展的‘血液，然而在开放海量互联的复杂环境下，工业互联网数据威胁不断加剧，对工业互联网数据进行分类分级防护刻不容缓。”

安防迭代升级

2016年我国发布的《网络安全法》将工控安全纳入国家安全战略的一部分，确立为国家推进智能制造和工业互联网的重要前提条件。随后工业和信息化部出台《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全防护能力评估工作管理办法》和《工业控制系统信息安全行动计划》等多个政策性文件，相关防护标准也相继出台，为工业企业、安全服务企业、地方主管部门围绕工业控制系统开展安全防护工作指明正确方向，为工业领域提升数据管理能力、保障数据安全、发挥数据价值、促进数据共享，健全和完善数据生产要素参与分配机制提供基本依据。

企业的工控安全防护能力正在迭代升级，越来越多的企业开始从技术和管理双重维度部署安全防护工作。有专家从专业角度呼吁构筑工控系统主动免疫安全防御体系，“工业网络安全应基于可信计算等主动防御技术，通过控制系统内嵌可信计算防护体系，实现主动识别、主动度量和主动保护功能，增强自身防护能力。”事实上，工控安全防护并不能以某种单一产品或工具保障整个安全环境，真正有效的安全防控需在一定规则标准之内整合多种产品，实现多个厂商的协同联动。正如上海工业自动化仪表研究院有限公司总经理徐建平所言，“信息安全是一个系统性的问题，也是工业化与信息化深度融合、可持续发展智能制造的核心关键技术，涉及工业控制系统全生命周期各个环节，需要社會协同建立一个完整的体系，才能解决事前、事中、事后不同阶段的支撑条件和保障措施。”

工控安全市场的产业生态与市场结构处于动态完善的过程中，随着市场规模快速扩容，产品类与服务类的占比逐渐均衡，从以往产品类一枝独秀到如今服务类正逐渐赶上。最新的《网络安全等级保护基本要求》即提出，工业企业在工控安全方面需要满足安全软件选择与管理、边界安全防护、远程访问安全、安全监测和应急预案演练等11项要求。可见，在产业转型升级过程中，需要完备的工控安全服务保驾护航，特别是正在驶向快车道的制造业等产业不能因为安全问题突然刹车乃至停滞不前，积极应变、完善安全措施是当务之急。