“新基建”下如何保证工业互联网安全？

互联网和工业的深度融合，导致针对互联网的威胁也渗透到了工业领域，网络攻击可以达到生产一线。中国“新基建”已按下了快进键，该如何保证其中的工业互联网安全？

一、工业互联网安全总体态势

当前，全球范围内新一轮科技革命和产业变革正处于历史交汇期，以互联网、大数据、人工智能为代表的新一代网络信息技术与实体经济深度融合，工业互联网加速创新发展，数字经济发展加快建立新范式，全球经济社会新格局正在全方位重塑。据有关机构预测，2017年，中国工业互联网行业市场规模为4676.99亿元，同比增长13.5%。2018年中国工业互联网市场规模增长13.7%，突破5000亿元左右，达到5317.74亿元。据有关机构预计，2019年我国工业互联网市场规模将超6000亿元，并预测2020年中国工业互联网市场规模将同比增长14%，接近7000亿元。

与此同时，全球网络安全形势也发生了深刻变化，大数据、人工智能、5G等技术创新发展，工业互联网所倡导的“人－机－物”全面互联，打破了工业企业传统的封闭格局，极易遭到恶意利用从而带来新的安全问题，融合领域快速发展导致安全边界不断延伸，安全问题交织复杂，安全形势更为复杂，安全风险日益加大。

（一）国内外工业互联网安全事件频发

近年来，全球工业领域安全事件频繁发生，涉及多个工业领域，事件波及范围不断扩大，造成的后果也愈加严重。根据美国ICS-CERT发布的《ICS-CERT年度回顾》，自2010年以来，工业领域网络安全事件呈现逐年上升趋势，特别是2015年以来，每年发生的安全事件数量接近300起。

针对国家重要能源、电力等领域的攻击行为频繁发生，直接对工业生产、人民生活、国家经济社会稳定运行及国家安全造成巨大冲击。涉及关联严重，从2010年＂震网”事件到2019年委内瑞拉大规模停电事件，工业领域安全事件潜在破坏性、毁灭性、威胁性对国家经济和社会的深度影响愈发严重。

（二）工业互联网内、外部网络安全双重威胁严重

从外部威胁来看，工业互联网打破了传统网络安全界限。工业企业IT和OT不断融合，企业内部工业网络、管理网络与互联网逐步打通，大量工业互联网资产在公网暴露，导致大量网络安全威胁从外网向工业内网延伸渗透。从内部风险分析，工业控制软件和设备等网络安全防护能力不足。与传统网络安全相比，工业控制软件和设备更关注系统的实时性与业务连续性，系统提供商提供的系统软件更加关注功能的实现，大多忽略安全的因素。同时，大多数传统工业控制系统和设备受其内存和处理能力的限制，其保护能力较弱，受制于工业生产连续性、稳定性等要求，系统升级改造难度较大。

（三）工业控制软件及设备的安全漏洞持续增加

随着工业互联网连接的设备总数越多，设备的联网和数据交换越频繁，就越有可能存在暴露在互联网上的情况。美、欧等发达国家的工业设备联网水平最高，工业控制组件暴露问题也最明显。中国暴露的工控设备数量在全球排名第六。除设备暴露外，工业控制软件漏洞问题也日益严重。工业互联网的发展带来越来越多的通用协议、硬件和软件在工业控制系统产品中采用，并以各种方式与互联网等公共网络连接，使得针对工业控制系统的攻击行为大幅度增长。

（四）工业互联网安全复合型人才紧缺

工业互联网融合了计算机、通信网络、电子技术、机械设计、自动化、数据科学、软件开发等众多领域的关键技术，在人、机、物全面互联的基础上能够对全产业链、全价值链实现互联互通。工业互联网建设与安全保障需要大量的工业互联网安全专业人才，然而我国目前这方面的安全人才缺口较大，尤其是工业互联网融合特性所需要的多学科跨领域知识交叉，对工业互联网安全入才的培养增加了难度。例如，相关机构调研结果显示，复合型安全人才缺乏已经成为阻碍工业互联网安全发展的重要因素。

二、工业互联网安全产业发展概况

（一） 工业互联网安全顶层设计不断完善

顶层设计方面，国务院发布《关于深化”互联网＋先进制造业”发展工业互联网的指导意见》，将安全与平台和网络并列，作为工业互联网发展的三大核心关键要素，明确提出要构建工业互联网安全保障体系，重点从提升工业互联网安全防护能力、建立数据安全保护体系、推动安全技术手段建设等多方面，体系化布局工业互联网安全保障能力。2019年，工业和信息化部等十部门共同印发了《加强工业互联网安全工作的指导意见》，从制度机制建设、安全责任划分、技术手段建设、公共服务能力提升、产业创新发展和入才培育等多个方面，提出工业互联网安全保障体系建设的具体目标、任务和保障措施。安全标准方面，研究形成了工业互联网安全标准体系框架，通过系列标准的实施，规范各类信息系统的规划和建设，实现网络安全和信息化统一部署、统一推进、统一实施。我国工业互联网安全领域顶层设计不断完善，为我国工业互联网安全产业发展营造了良好的发展环境。

近日，中央政治局会议再次强调，要推动工业互联网加快发展。3月4日，中央政治局常委会作出加快新型基础设施建设进度的重要部署。工信部发布《2019年工业互联网试点示范项目名单》，覆盖网络方向、平台方向、安全方向的81个项目上榜。3月20日，工业和信息化部发布《关于推动工业互联网加快发展的通知》，推动基础电信企业建设覆盖全国所有地市的高质量外网，利用5G改造工业互联网内网。3月24日，工业和信息化部发布《关于推动5G加快发展的通知》强调，工业互联网、车联网等正成为5G创新应用的先导领域。

（二） 国内工业互联网安全产业规模不断增长

工业互联网安全是工业生产运行过程中的信息安全、功能安全与物理安全的统称。工业互联网安全产业涉及工业互联网领域各个环节，通过监测预警、应急响应、检测评估、攻防测试等手段确保工业互联网健康有序发展，对工业互联网发展意义重大。近年来，针对制造领域，通信、能源、市政设施等关键基础领域的攻击事件频频发生，遭受网络攻击的行业领域不断扩大，造成的后果也愈加严重，工业互联网安全市场的关注度随之提升。政府及企业开始加大对安全防护产品的投入和部署，工业互联网安全市场具有较快增长率。

随着新型基础设施建设和应用的开展，相关业务安全风险、应用场景安全风险和关键技术安全风险将逐渐浮出水面，国家、产业及社会各界对工业互联网安全的高度重视，这也是未来安全行业的机遇。根据中商产业研究院整理数据显示，2019年工业互联网安全市场规模将近125亿元，与2018年相比增长近30%。到2021年，中国工业互联网规模或将达到230亿元，涨幅超35%。

从整体来看，工业互联网安全产业规模增长较快，但是在整个工业互联网行业中所占的比例较低，这说明未来工业互联网安全产业还有较大的提升空间。

（三） 重庆市工业互联网政策、产品和服务体系不断优化

重庆作为我国重要的工业基地，有雄厚的工业基础，拥有我国全部31个制造业大类行业门类，制造业总规模接近2万亿元，工业互联网应用场景足够丰富，应用工业互联网需求极大，对工业互联网平台有着极强的吸引力。不论是互联网巨头，还是来自制造业的平台，都希望抢占应用场景，进而完成数据积累。此外，中国工业互联网顶级公共标识解析节点的五个总部之一，也是设在重庆。

2018年9月，重庆市政府出台《重庆市推进工业互联网发展若干政策》，发布了工业互联网网络基础建设提升、平台建设、企业“上云上平台”实施数字化网络化智能化升级、工业互联网生态发展、工业互联网发展环境建设等5个方面18条政策和资金支持措施，以推动制造业加速向数字化、网络化、智能化发展。支持以下一代互联网协议（IPV6）、工业无源光网络（PON）、工业无线、新型蜂窝移动通信等技术，以及新型工业智能网关、智能边缘计算模型和设备等改造升级企业内网；支持行业或产业链平台建设，实现企业内外部供应链、产业链、价值链协同管理，形成产品、生产和服务的协同平台；支持企业应用工业互联网平台和云服务商提供云基础设施及基础云服务；支持装备制造企业应用智能技术和产品，提升装备的智能化水平；鼓励智能制造装备企业落户重庆；支持优势产业集群建设工业互联网产业示范基地，打造智慧园区；对获得国家级、市级工业互联网产业示范基地的企业和单位一次性分别奖励500万元、200万元。此外，支持企业开展智能化改造，加大智能制造装备、先进信息技术、大数据、人工智能等在产品研发、生产控制、经营管理、物流营销等各个环节的应用，建设数字化车间和智能化工厂，并对数字化车间最高奖励300万元、对智能工厂最高奖励500万元。

2019年7月，重庆市出台《加快发展工业互联网平台企业赋能制造业转型升级的指导意见》，明确了2022年目标任务，将初步构建工业互联网平台赋能制造业的发展格局，培育3—5家具有国内竞争力的平台，建设20个以上个性化定制、网络化协同、服务化转型的平台。

产业和政策方面的优势，加上当地积极拥抱智能化的氛围，让重庆成为国内工业互联网战略要地。近年来，看准了重庆工业企业智能化改造潜力和工业互联网发展“蓝海”，BAT等互联网巨头纷纷布局重庆，推出针对工业领域的解决方案、产品和工业互联网平台。

（四） 重庆市工业企业安全防护能力有所提升

考虑到最近几年全球工业互联网安全事件频发，安全形势急剧恶化，例如勒索病毒、挖矿木马等相关威胁大肆传播，企业一旦感染相关病毒，轻则拖慢生产效率，重则导致大面积停工，往往给企业带来巨大的经济损失。因此，重庆市工业企业逐渐加大对工业互联网安全的重视程度，纷纷部署相应的安全防护产品。有关数据显示，64％的重庆工业企业提高对网络安全的重视程度，采购部署边界防护设备，采取物理或逻辑隔离等措施。

三、我国工业互联网安全面临的挑战

（一） 网络安全将成新基建一大挑战

工业互联网实现了全要素、全产业链、全生命周期的互联互通，打破传统工业相对封闭可信的生产环境，新基建下的网络攻击将从数字空间延伸到物理空间，会造成非常严重的后果。越来越多的生产组件和服务直接或间接与互联网连接，攻击者从研发、生产、管理、服务等各环节都可能实现对工业互联网的网络攻击和病毒传播。特别是，底层工业控制网络的安全考虑不充分，安全认证机制、访问控制手段的安全防护能力不足，攻击者一旦通过互联网通道进入底层工业控制网络，容易遭受网络攻击。与此同时，国际格局日趋复杂，中国与国际的技术交流、技术合作及技术供应链有被阻断风险，大数据与人工智能技术的发展与广泛应用，保障隐私和数据安全面临调整。新基建时代的工业互联网安全已然成为产业健康发展的关键，安全技术与服务也势必迎来迭代。

（二） 5G成工业互联网新引擎，安全或将面临新挑战

随着5G商用的加快推进，5G与工业互联网呈现叠加融合、互为动力的蓬勃发展态势。与此同时，可能伴随新的安全风险。例如，终端接入的安全风险:切片选择信息暴露在传输过程中会造成访问特定切片服务（如公共安全）的特定设备被追踪，特殊服务的使用者被暴露;设备接入时，需防止非授权设备及用户访问特定切片或错误切片从而暴露信息。切片管理安全风险：切片网络管理系统用于管理网络切片实例以及网络切片实例之间的关系。切片生命周期每个阶段都存在安全风险。比如，攻击者可以通过恶意软件攻陷切片模板，从而威胁到其生成的所有网络切片实例；攻击者也可以通过配置接口在配置或运行阶段攻击切片；切片在撤销阶段，如果不恰当处理，攻击者可以获得机密数据。因此，切片安全还包括网络切片实例的生命周期管理安全。

（三） 数据泄露风险面临严峻挑战，安全防护亟需加强

工业互联网作为传统工业与新一代信息技术的深度融合，新技术的融入使得数据跨境流动更为频繁，工业互联网数据规模化增长速度越来越快，内外网数据交互流通，海量数据集中汇聚分析等导致对自身信息或数据控制能力下降，盗取、篡改数据的路径不断增多，攻击面不断扩大，极易引发数据资源丢失的风险，如企业数据挂靠国外云服务器导致数据跨境泄露的情况时有发生。

例如重庆市缺乏具备综合解决方案和全领域覆盖能力的龙头企业，企业长远布局能力较弱，现有产品和解决方案与发达地区工业互联网安全防护水平还有一定的差距。专业的网络安全厂商大多分布在北上广深等城市，重庆市安全产品及针对性的解决方案相对单一匮乏。

同时，还有部分企业出于投资收益的目的，尚不愿意加大对安全防护产品的采购和部署。一方面，由于网络安全事件的发生存在明显的不确定性，如果不发生网络安全事件，则企业并不能看到安全产品部署带来的收益使得企业降低安全投入的积极性。重庆市约13%的工业控制系统部署了安全监测设备，约9%的工业控制系统部署了如深度报文分析和过滤功能的防护设备。另一方面，由于网络安全人才的匮乏，使得企业并未设置专门的安全运维岗位，即便能够招聘到合适的人，也会付出长期的大量的经营管理成本，这对于很多规模较小的工业企业而言，是十分不划算的。重庆市约14%的工业企业系统未采取任何隔离措施与互联网相连，约18%的工业控制系统面向互联网开通网络服务，约23%的工业控制系统允许使用远程访问，约21%的工业控制系统允许使用远程访问进行维护。

四、工业互联网安全发展建议

（一） 健全完善标准制度，强化安全事件应急管理

加快健全安全保障体系，强化工业互联网安全保障能力。一是健全完善标准制度。发布工业互联网安全管理办法，明确工业互联网平台、标识解析、工业企业等安全管理要求，开展工业互联网相关标准、规范等的编制。二是完善技术监测体系。延申省级工业互联网安全态势感知平台监测能力，建设区级平台，扩大监测范围，覆盖区县一级公网侧关键节点流量数据以及重点规模工业企业，打造市、区、企业三级联动监测体系。提升分析能力，优化数据质量，确保安全监测准确有效，提高平台保障企业安全和支撑政府决策能力。三是健全安全工作机制。完善威胁通报处置工作机制，及时向工信部、行业主管部门、重点工业企业、平台企业通报威胁信息，督促指导企业处置安全威胁，定期发布安全态势报告，实现安全事件协同联动。四是健全安全检查检测机制。定期对重点平台、工业企业、工业APP开展检查检测，指导和服务企业排查安全隐患，及时做好安全整改，提高企业安全防护水平。

针对工业互联网安全事件频发的情况，要加快完善设备、系统、平台、应用安全等防护标准，完善监督检查、安全评估、检测认证等机制，提升整体安全防护能力。建立工业互联网安全应急机制，构建健全的工业互联网安全事件应急预案体系；推动应急技术建设，依托省级工业互联网安全态势感知平台，建设工业互联网威胁信息共享与突发事件应急管理平台，有效支持工业互联网安全应急协调指挥工作，加强漏洞数据库建设，提高漏洞收集、分析和处置能力，提高我国工业领域重要信息系统和软硬件产品的安全性。

（二） 加快部署自主安全可控关键设备，提升安全防护水平

通过新基建建设，加快建成覆盖国家、地方、企业三级，防御一体化、使用个性化、安全服务化、响应智能化的工业互联网安全技术防控体系，同时鼓励支持安全企业面向工业互联网加强安全技术研发、成果转化和产品服务创新，提升安全技术产业支撑保障能力。

一要加紧推动设备内嵌安全机制。生产装备由机械化向高度智能化转变，内嵌安全机制将成为未来设备安全保障的突破点，通过安全芯片、安全固件、可信计算等技术，提供内嵌的安全能力，防止设备被非授权控制或功能安全失效。二要积极建立主动的、动态的网络安全防御机制，实现安全策略和安全域的动态调整，同时通过增加轻量级的认证、加密等安全机制。三是保障工业控制系统自动化、工业核心产品设备产业化、工控核心技术创新等各层面自主可控。四是通过工控软件及设备集成商、网络信息安全企业、政府部门之间的大数据协同，多行业、多领域的安全数据进行综合安全分析，保障企业数据不被泄露的同时，获得实时威胁情报和风险通报及解决方案。

（三） 强化安全人才培养，厚植人才资源优势

适应“新基建”时代发展需要，面向工业互联网安全领域的急需，制定工业互联网安全人才发展规划，不断发掘既懂业务又懂安全，既懂生产又懂大数据、人工智能等技术的复合型人才，着力培育、高层次急需紧缺专业技术人才和高技能人才；通过引进和培养相结合，创新人才使用机制，完善网络安全人才培养配套措施，吸引国内外工业互联网安全领域高端人才；加强工业互联网安全相关学科建设，创新网络安全人才培养机制，加强全民网络安全意识与技能培养，培育技术人才和应用创新型人才；开展工业互联网安全工程师的培训和考试，树立专业人才认定，提升工业互联网安全人才环境。