美欧工业互联网安全发展现状及对我国的启示

高云龙

（国家工业信息安全发展研究中心，北京 100040）

0 引言

随着大数据、人工智能等新一代信息技术与工业控制系统深度融合，工业互联网应运而生[1]。工业互联网通过人、机、物、数的互联互通互用，有效提升了工业制造业的信息化、数字化、智能化水平，提高生产效率、降低经营成本。美欧各国均积极布局工业互联网，将工业互联网视作抢占全球产业竞争新制高点的重要选择，我国也将工业互联网纳入新基建七大重点领域之一，利用工业互联网构建国内国际双循环的新发展格局。然而，近年来针对工业制造业的安全事件层出不穷，2019年挪威铝业巨头海德鲁遭受攻击、2020年德国硅晶圆厂遭遇破坏、2021年美国能源系统遭到致命打击等事实证明，安全是工业互联网发展的重要基础和根本前提。因此，本文从政策法规制定、标准体系建设、产业生态发展等角度认真梳理美欧与我国工业互联网安全发展的现状，进而提出推动我国工业互联网安全发展的建议，这对我国工业互联网安全发展至关重要。

1 美欧工业互联网安全发展现状

1.1 政策引领工业互联网安全发展

美国始终将安全作为工业互联网发展的重要环节，先后出台多项政策法规引领工业互联网安全发展。政策方面，2018年发布《美国先进制造业领导力战略》，指出要在制造业系统中实施网络安全指南；2020年发布《保护工控系统：一体化倡议》，提出建立工控系统的安全功能，提高国家级工控系统抵御风险能力。法规方面，2019年通过《网络安全漏洞修补法案》，提出授权基础设施安全局等部门协助关键基础设施所有者和运营商制定漏洞防护策略；2021年通过《2021年工控系统能力增强法案》，明确要加强识别和解决工控系统威胁，尤其是关键基础设施系统[2]。

欧盟作为网络安全、数据安全、个人信息安全的主要倡导者，近年来高度关注工业互联网安全。欧盟方面，2019年发布《增强欧盟未来工业的战略价值链》，提出建立欧洲可信数据空间，提高欧盟工业物联网、网络安全等六大战略性产业全球领导地位；2021年通过《欧盟数字十年的网络安全战略》，指出要加强防范和打击针对关键信息基础设施等的网络攻击。成员国方面，德国2019年发布《工控系统安全面临的十大威胁和反制措施》，深入介绍了工控系统安全产生原因和后果，同时提出反制措施，指导企业做好工业信息安全防护工作[3]。

1.2 标准助推工业互联网安全发展

美国以国家标准技术研究院为主导，各类社会组织纷纷发声，共同推动工业互联网安全标准制定[4]。国家层面，国家标准技术研究院2015年发布《工控系统安全指南》，概述了工控系统基本架构、工控系统典型威胁和脆弱点、工控系统安全建设参考模型等，同时提出应对安全威胁的策略；2016年发布《制造业与工控系统安全保障能力评估》草案，涵盖行为异常检测、工控应用程序白名单、恶意软件检测与缓解、工控数据完整性四大议题，指导帮助制造业企业建设安全网络系统；2017年发布《制造业网络安全框架简介》，从风险管控角度指导制造商实施网络安全防护；2020年发布《联邦信息系统和组织的安全控制建议》，管控从超级计算机到工控系统到物联网设备的所有类型的系统风险[5]。社会组织层面，天然气协会发布《监控与数据采集系统通信的加密保护》；石油协会发布《石油工业安全指南》；工业互联网联盟发布《工业互联网安全框架》[6]。

欧盟积极开展“关键性基础设施保护项目”，促进成员国间精诚合作，共同实施工控系统安全保护。欧盟方面，先后成立工控安全应急响应组、联合网络部门等机构，负责应对工信安全事件、编制工信安全标准[7]。成员国方面，各国均立足于本国国情，构建以通用标准为核心的工业互联网安全标准：法国发布了《电气设施信息安全管理》；荷兰发布了《过程控制域——供应商安全需求》；瑞典发布了《工控系统安全加强指南》[8]。

1.3 产业带动工业互联网安全发展

美国企业、联盟双轮驱动，共同推动工业互联网产业和安全互促互进、协调发展。企业方面，通用电气率先提出工业互联网概念，在工业互联网安全领域拔得头筹；波音、福特等传统制造业龙头企业也纷纷布局工业互联网，并在安全方面积极探索；霍尼韦尔、哈曼国际工业集团等通过收购工业互联网安全公司，快速进军工业互联网安全产业；甲骨文、IBM等IT企业凭借软件服务、平台建设等方面的优势，在工业互联网安全领域迅速扩张。联盟方面，通用电气联合IBM、思科、英特尔、AT&T等企业共同发起成立工业互联网联盟，下设安全任务组，制定发布《安全成熟度模型》《在实践中管理和评估IIoT》等一系列有影响力的白皮书，有效促进工业互联网安全发展。

欧盟各成员国政府、企业持续发力，加快推进工业互联网安全产业发展。政府层面，德国政府支持工程院、弗劳恩霍夫协会、西门子等产学研用机构共同推动工业互联网平台建设，明确了规范与标准、安全、研究与创新三大主题。企业层面，德国西门子、法国施耐德等工业安全集成组件供应商不断提升工业互联网安全服务，工控安全运维份额逐年提升；德国大陆集团、法国泰雷兹集团等公司依托原有市场基础，收购网络安全企业，开辟工信安全市场。

2 我国工业互联网安全发展现状

2.1 工业互联网安全政策法规持续完善

近年来，我国政府高度重视工业互联网发展与安全，相关政策法规日益完善。2017年国务院印发《关于深化“互联网 + 先进制造业”发展工业互联网的指导意见》，指出要提升先进制造业安全防护能力，建立健全防护体系。2019年工信部等十部委联合印发《加强工业互联网安全工作的指导意见》，指出到2025年基本建立起较为完备可靠的工业互联网安全保障体系。2020年3月工信部出台《关于推动工业互联网加快发展的通知》，提出要统筹推进工业互联网发展与安全；同年12月工信部印发《工业互联网创新发展行动计划（2021-2023年）》，提出构建多部门协同的安全管理体系。

2.2 工业互联网安全标准体系加快建立

随着工业互联网的快速发展，安全标准不断建立[9]。国家标准方面，2016年发布《工业自动化和控制系统网络安全》系列标准，规范了工业自动化和控制系统网络安全的检测、评估、防护和管理准则，提供了安全评估标准；2018年发布《信息安全技术工业控制系统信息安全分级规范》，规定了基于风险评估的工控系统安全等级划分模型和定级要素，提出了工控系统安全的四个重要等级特征。行业标准方面，2020年发布《工业互联网安全防护总体要求》，明确防护的范围、内容、级别和要求，为工业互联网安全防护实施提供指导；2021年发布《工业互联网数据安全保护要求》，规定了工业互联网数据安全范畴和数据类型，规范了数据分级和数据分级保护。

2.3 工业互联网安全产业市场不断扩大

随着我国工业互联网安全政策和标准日趋完善，工业互联网安全产业市场不断扩大[10]。产业规模方面，2019年，我国工信安全产业规模达99.7亿元，同比增长41.8%，其中工业互联网安全规模达38.3亿元，占比36.4%，同比增长51.6%；预计2021年工业互联网安全市场规模将达228亿元。投融资方面，奇安信、启明星辰等企业不断加大投入力度，全力推进工业互联网安全技术研发和市场拓展。初创企业方面，长扬科技、安点科技以工业互联网安全为主要业务方向，积极布局能源、制造、化工等领域的工业互联网安全，服务国际客户，引领行业发展。

3 启示建议

3.1 深化工业互联网安全政策法规制定

国家层面，将工业互联网安全提升至国家安全的战略高度，明确工业互联网安全的目标定位和发展方向，强化顶层设计，制定完善的政策法规、制度体系、战略规划、行动计划；建立健全监督管理、风险评估、监测应急、数据保障等制度机制，界定安全监管主体责任，制定负面清单、责任清单；强化工业企业安全意识，逐步形成控风险、防未然的安全发展体系。地方层面，结合国家对工业互联网安全发展的整体布局和各地工业互联网发展的优势特色，制定可操作、可执行、可落实的实施方案和工作指南，注重政策落地效果；组织地域内工业企业开展工业互联网安全应急演练、攻防对抗，促进形成共建共练、联防联控的发展新局面。

3.2 优化工业互联网安全标准体系建设

总体层面，组织协调国家主管部门、行业监管部门、科研院所、龙头企业等共同合作，围绕工业互联网设备安全、网络安全、平台安全、控制安全、数据安全、应用安全等加快研制国家标准，规范工业互联网管理、防护、测试、评估等工作；及时推进工业互联网安全标准的贯标工作，加强场景应用推广，发挥标准的规范作用和引领作用；积极参加国际或区域工业互联网安全标准制定，不断促进我国标准走出去。细分层面，建立健全电力能源、石油化工等垂直领域工业互联网安全标准体系，超前布局重点行业安全标准；鼓励支持团体标准研究制定，积极发挥团体标准的创新优势，促进标准化工作探索式发展。

3.3 强化工业互联网安全产业生态发展

技术创新方面，鼓励校企、院企合作，推动产学研用技术对接与攻关，突破关键核心技术，加强自主可控研发，提供系统化、体系化的工业互联网安全产品和解决方案。企业培育方面，以试点示范为抓手，遴选最佳实践，加快培育工业互联网安全国有骨干企业和龙头企业，鼓励中小微型工业互联网安全企业持续创新，不断提高我国工业互联网安全产业力量，形成健全完善的产业链和生态链。联盟建设方面，加大力度支持工业互联网联盟，推进工业互联网安全企业、高校、院所、社会组织等广泛合作，促进产业链各环节信息共享和资源整合。

4 结论

工业互联网作为新基建和新工业生态，正逐渐成为新一轮科技革命和产业变革的重要驱动力量，同时也日益成为网络安全的主战场。因此，本文借鉴美欧工业互联网安全发展经验，从政策法规、标准体系、产业生态三个方面对我国工业互联网安全发展提出建议。政策法规方面，积极发挥国家政策的指导引领作用，有针对性地制定地方政策。标准体系方面，完善总体标准制定，探索研究行业标准和团体标准。产业生态方面，加强技术创新，加快企业培育，推动联盟建设，积极打造健全完善的产业链和生态链。