工业互联网安全保障体系建设的重要性及发展机遇

介绍

工业互联网安全是实现我国工业互联网产业高质量发展的重要前提和保障，也是建设网络强国和制造强国战略的重要支撑。当前，我国工业互联网发展迅猛，已广泛应用于能源、交通、制造业、国防等各个领域，对工业经济社会发展的带动作用日益显著。工业互联网在构建新型生产服务体系、为高质量发展和供给侧结构性改革提供支撑的同时，也打破了传统工业环境相对封闭、信任的格局，增加了遭受网络攻击的可能性，因此，加快构建工业互联网安全保障体系，提升工业互联网安全保障能力刻不容缓。

我国正处于新一轮产业革命的历史机遇期，工业互联网作为新型基础设施建设的重要组成部分，是推动数字经济与实体经济深度融合的关键路径。为此，国家高度重视，提出要深入实施工业互联网。自2017年国务院发布《关于“互联网+先进制造业”深化工业互联网发展的指导意见》以来，一系列配套政策相继出台，工业互联网创新发展战略逐步落地并取得重大进展，我国工业互联网发展迅速，已广泛应用于能源、交通、制造业、国防等行业，对经济社会发展的带动作用日益显著。工业互联网在构建新型生产和服务体系，为高质量发展提供新动力、供给侧结构性改革提供支撑的同时，也打破了传统工业环境相对封闭、互不信任的状态，增加了网络攻击的可能性。各国工业领域安全事件频发，危害日益严重，网络攻击已成为工业互联网发展的掣肘。工业互联网安全作为国家安全的重要组成部分，事关经济发展和社会稳定，消除工控安全威胁与隐患，建立科学系统的安全防护体系势在必行。

从产品竞争格局来看，全球工业互联网行业可分为硬件及网络、软件及平台、信息安全三大板块，2018年硬件及网络产品占比49.8%、软件及平台产品占比48.3%、信息安全产品占比1.9%；2019年全球工业互联网信息安全行业市场规模为156.6亿美元，预计2025年将达到222亿美元。

与发达国家相比，我国工业互联网安全产业软硬件产品自主研发能力不足，在核心技术、产业规模、推广应用等方面仍有差距。高端关键基础装备、控制系统、软件及平台市场仍欠缺，工业控制系统核心部件如微控制器（MCU）、数字信号处理器（DSP）、现场可编程门阵列（FPGA）等长期被国外产品所垄断，工业控制系统（SCADA）、可编程逻辑控制器（PLC）、集散控制系统（DCS）、过程控制系统（PCS）等严重依赖国外供应。为加快工业互联网安全体系建设，提升工业互联网安全能力，我国需要在推动落实工业互联网安全责任、构建互联网安全管理体系、提升企业互联网安全保护水平、加强互联网数据安全保护能力、完善国家工业互联网安全技术手段、加强工业互联网安全公共服务能力、推动工业互联网安全技术创新与产业发展等七个方面不断作出努力。

我国工业互联网安全行业发展现状

1.工业互联网安全行业政策不断完善并不断细化深化

随着云计算、第五代移动通信（5G）、物联网等新一代信息技术与制造业的不断融合，工业领域网络安全风险逐渐增大，工业互联网安全成为国家和企业高度关注的问题。我国从国家安全角度对工业互联网安全体系进行顶层设计和战略布局，坚持以安全保发展、以发展促安全、安全与发展并重的发展道路，确保安全防护与信息化建设同步规划、同步实施。工业互联网安全产业同步建设、同步运行，为工业互联网安全产业健康发展奠定了良好基础。近年来，我国陆续出台了一系列政策、指导意见，从宏观、中观、微观层面不断细化和完善工业互联网安全政策体系。 2017年7月，工信部等十部门联合印发《关于加强工业互联网安全工作的指导意见》，系统布局工业互联网安全工作，为产业健康发展指明了方向。未来还将出台更多产业政策，继续支持工业互联网安全，引导工业互联网全面发展。

（二）工业互联网安全标准体系稳步推进，引领产业健康发展

工业互联网安全标准体系主要由基础共性标准、安全防护标准、安全服务标准、垂直行业标准等构成（见表1）。标准化对于工业互联网安全保障体系建设至关重要。针对互联网标准跨行业、跨专业、跨领域的特点，我国加快推进相关标准研制，相继出台《工业互联网安全防护通用要求》、《工业互联网平台安全防护要求》等标准规范。《工业互联网安全标准化体系建设指南》初步形成了涵盖设备安全、控制安全、网络安全、数据安全、应用安全、平台安全、安全管理等内容的工业互联网安全标准体系（见图1），标准体系将进一步完善，产业发展将更加规范。

表1 工业互联网安全标准体系

图1：我国工业互联网安全标准制定情况

（三）工业互联网安全产业结构逐步调整、持续优化

工业互联网安全产业结构按市场应用分为安全产品和安全服务两大类（见表2），当前，我国工业互联网安全产品市场和服务市场都在不断壮大发展，产品和服务体系正在加快构建，产业结构不断优化，呈现出以下特点。

表2 工业互联网安全产业结构

工业互联网安全产品方面，防护产品中边界和终端安全防护是目前主要分布形态，发展相对成熟，市场份额较大，随着网络安全等级防护2.0的正式实施，防护产品将成为工业互联网整体安全解决方案中必不可少的基础安全手段市场规模将持续稳步增长。此外，防护类中的网络检测、工业安全审计产品虽然市场规模较小，但发展迅速。态势感知、安全合规管理、安全运维产品是安全厂商重要的布局方向，在国家及行业政策驱动下，我国工业企业用户合规安全、内生安全需求加速增长，未来该类型产品市场规模也将稳步增长。

在工业互联网安全服务方面，随着近年来工业网络威胁向多样化、复杂性发展，传统单一的安全产品模式已无法满足用户的安全防护需求；风险评估、安全管理咨询、安全应急响应、安全托管服务等安全服务受到更多关注，工业互联网安全测评、安全培训需求日益增长，加之科研院所、高校对工业信息安全人才培养的重视程度明显提升，推动了安全培训服务市场的快速增长，进一步优化了产业结构。

（四）工业互联网安全产业规模持续增长

有效的安全防护离不开坚实的产业支撑。随着我国工业互联网战略的全面实施，政府和企业不断加大安全投入，工业互联网安全产业进入快速增长期（见图2）。工业互联网安全行业市场规模94.6亿元，预计2022年将达到307.6亿元，年均复合增长率约32.66%。在政策环境和市场需求的共同影响下，加强安全防护将成为未来工作的重点，我国工业互联网安全产业已步入快速发展的新阶段。

图2 2017-2022年我国工业互联网安全行业市场规模及预测

我国工业互联网安全行业发展趋势

1.产业政策利好进一步释放，产业基础更加坚实

工业互联网安全是我国实施制造强国和网络强国战略的重要保障，也是贯彻落实总体国家安全观的重要抓手，在5G、工业互联网等新型基础设施加速发展的背景下，协调发展与安全将成为新时代我国制造业数字化转型的主旋律。随着工业互联网战略的深入推进，我国不断加大政策、资金支持力度，促进工业互联网安全产业内需增长，引导企业加大安全技术投入，加快相关安全技术的研发。随着国家相关法律、政策的不断推进，工业互联网产业环境将不断优化，产业基础更加坚实，产业集聚效应将逐步形成。

2、合规需求是工业互联网安全行业发展的主要驱动力

网络安全等级保护2.0扩大了网络安全防护范围，对工业控制系统提出了更高的安全延伸要求，以适应工业控制的专有技术和应用场景。面对安全合规要求，工业企业必须继续强化自身安全防护体系，进一步落实主体责任，加大安全投入，加强系统性安全规划布局。可以判断，工业互联网安全产业内生需求将进一步扩大。

3.工业互联网安全需求推动信息技术（IT）安全与运营技术（OT）安全的融合

工业互联网安全是集工业生产安全与网络空间安全于一体的领域，涵盖工业领域数字化、网络化、智能化各要素、各环节的安全，需要专业化的安全产品、技术和服务。互联网企业多采用传统的网络信息安全防护技术，以“外挂”的工业控制系统安全防护产品和解决方案为主，尚无专门针对工业互联网OT的安全防护设备，整体安全解决方案尚不成熟。

我国工业互联网安全技术体系可分为外部安全（IT安全）和内嵌安全（OT安全）两大类。随着工业互联网的加速推进，来自工业控制系统、工业智能装备、工业平台、数据的安全问题日益不容忽视，市场对内嵌信息安全功能的产品和服务需求激增。传统以IT安全为基础的产品和服务已不能完全满足实际市场需求，应充分与OT安全相结合进行纵深发展。互联网安全产业的发展应兼顾IT安全和OT安全的市场需求，提高工业企业的综合防护水平。在特殊性能要求方面，保障生产的连续性和可靠性是工业互联网的首要任务。过高的IT安全性方案将不适用于OT网络，需要根据OT网络特点研究平衡安全风险和业务影响的技术方案。

（四）多领域、新技术融合的工业互联网安全解决方案不断涌现

随着大数据、云计算、人工智能、5G、边缘计算等新一代信息技术在工业互联网领域的快速应用，IT与OT融合加速，与此同时，融合新技术的工业互联网安全环境将更加复杂多样，安全风险呈现多样化特征；安全隐患发现难度加大，安全形势进一步加剧。这一系列技术和态势变化对安全理念和技术提出了新的要求，推动安全感知、安全可视化、威胁情报、大数据处理等新技术在工业互联网安全领域不断突破；定制化安全产品加速涌现，满足客户对不同产品形态和性能的需求；安全服务将以现场服务为主，总体来看，多领域、新技术相结合的工业互联网安全解决方案将不断涌现，围绕设备、控制、网络、应用、数据五大安全领域，为工业企业部署安全防护措施提供参考模式。

（五）安防产品国产替代需求推动工业互联网安防产业快速发展

我国许多重要工业控制系统采用国外技术和设备，造成核心技术受制于人的问题。大量工业企业的工业控制系统依赖国外厂商提供的运维服务，企业对系统运行控制力较低；缺乏使用国外产品的能力。工业互联网服务必备的监管机制和技术检测手段，存在一定的安全风险。工业互联网安全事关经济发展和社会稳定，重要的工业数据一旦被窃取、篡改、破坏，将对国家安全构成严重威胁。窃密、攻击等事件进一步加剧了各国在网络空间安全领域的对抗。需要高度重视信息安全产品的自主可控，把信息安全产品国产化上升到国家安全的层面，依靠自主创新，积极发展具有自主知识产权的信息安全产品。近年来，在信息产品国产化政策的推动下，信息安全产品国产化替代趋势明显。

我国工业互联网安全产业发展面临的挑战

随着我国制造业向数字化、网络化、智能化转型升级，网络安全威胁日益向工业领域蔓延，我国工业互联网安全领域仍然存在体制机制不完善、综合安全水平不高、关键核心技术产品不成熟、高端技术人才缺乏等突出问题，工业领域面临的安全风险形势十分严峻。此外，随着新型基础设施建设的推进，工业系统需要防护的对象大幅增加，工业系统攻击面不断扩大，防护要求和难度也不断提高；新技术与工业互联网的融合应用伴随而来的安全问题层出不穷，数据要素的共享和流动加剧了潜在的安全风险，这些新挑战加速了工业互联网安全技术产品的转型，防护工作逐步走向动态协调转型，推动安全生态系统创新。

1.产业发展体制机制不健全，协同发展职责不明确。

我国已出台多项顶层政策文件，引导工业互联网安全发展。但在实际的安全防护工程设计、建设、实施、运行维护过程中，工业企业仍然缺乏具体的政策文件进行统筹指导，安全主体责任不明确。工业互联网安全标准体系尚未完全建立，相关标准之间缺乏严格的逻辑衔接，关键技术的管理标准缺失，不能为企业开展安全防护工作提供标准依据，难以满足产业发展的安全需求。安全在目标对象、安全需求等方面有其特殊性，与产业属性相关的防护场景多样性给自身发展带来挑战，因此亟待建立针对性强、特色鲜明的工业互联网安全保障体系。

2.防护建设运行机制不顺畅，综合保障能力难以提升

目前，我国工业互联网安全建设多围绕工业企业基础安全需求开展，处于设备采购初级阶段。一方面，工业企业用户在完成工业互联网安全项目建设后，缺乏对工业互联网安全的持续学习；另一方面，企业用户普遍缺乏对安全措施有效性的量化和评估能力，存在安全体系形同虚设、大量安全设备闲置等问题。

3.产品和服务认证机制不完善，应用规模参差不齐

虽然目前已经存在多种工业互联网安全产品和服务，但相应的市场准入和认证机制还不完善，缺乏测试认证标准、规范和技术。这是因为工业互联网安全是近几年才受到重视，相关标准还在制定中。工业互联网安全产业尚处于起步阶段，制定的标准不仅要满足当下的用户需求，更要具有前瞻性，引导和引领工业互联网安全产品的发展。不同行业、不同环境对工业互联网安全产品的需求差异很大，工控协议种类繁多也增加了标准制定的难度。目前工业互联网安全产品和服务的测试多沿用传统IT安全测试认证标准和评测，工业互联网安全产品和服务缺乏统一的标准和认证机制，难以快速将相关认证推向市场，更难以进行规模化生产和产业应用。

（四）产业创新集聚效应不明显，重点产品发展不成熟

产业集聚方面，我国工业互联网安全产业起步晚、规模小，如外置安全产品和服务市场规模占网络安全产业整体规模不足5%；我国从事工业互联网安全的企业约266家，专注于该领域的企业约47家，企业规模普遍较小；传统信息安全企业、自动化后台企业、IT系统集成企业进入工业互联网安全领域时间普遍较短，技术创新能力不足，缺乏市场竞争力；目前，我国安全服务企业在外防护产品技术成熟度较高，但内置信息安全工控产品技术成熟度较低；企业的安全服务能力难以满足实际需求。没有形成引领产业发展的骨干龙头企业，产业创新集聚效应不明显，产业整体规模仍处于较低水平。在重点产品方面，我国工业互联网安全产业技术和产业应用尚不成熟，工业软硬件产品对国外依存度较低，风险性越高，存在的安全隐患越难以预料，安全风险也就越大。

我国工业互联网安全技术体系技术成熟度和应用现状如图3所示。

①在外部安全防护方面，防护技术成熟度较高，市场应用水平也较高，例如基于策略的访问控制、网络隔离、应用白名单等。但外部安全防护产品在工业场景的兼容性有限，协议支持丰富度、智能化程度、可视化程度与国外先进技术还有一定差距；基于指纹匹配的资产识别、基于漏洞库的风险关联、威胁溯源等检测与响应技术还有一定差距；在安全防护方面还有短板，与国际工业互联网安全公司还有较大差距。

②嵌入式安全防护方面，我国在通信访问控制、通信与数据加密、身份识别等技术方面取得了一定突破，但与国际水平相比仍有较大差距；由于工业系统整体兼容性差、价格竞争力不足等因素，市场应用总体水平较低。

图3 工业互联网安全技术成熟度及应用情况

（五）保安人才结构布局不合理，人才核心竞争力不足

网络安全本质上是攻防能力的较量，归根结底是人才综合能力的比拼。随着工业互联网安全风险日益凸显，工业企业亟待不断提升自身安全能力，除了采购网络安全产品获得安全能力外，还应通过培养网络安全人才、购买网络安全咨询服务等方式提升自身运维能力，弥补自身安全能力的不足。我国网络安全人才缺口较大，急需具备网络安全技能、能适应复杂工业场景的安全保护复合型人才；人才供需失衡加剧了企业间的人才竞争，人才储备不能适应未来发展的挑战。

新一代工业互联网安全产业发展路径建议

（一）加强政策引导支持，构建国内国际双循环相互促进的产业发展新格局

建议加强工业互联网管理体系建设，强化顶层设计，建立完善法律法规，落实政策引导和配套措施，不断完善产业发展战略举措，形成可持续发展的长效机制。适时制定工业大数据、工业云平台等新兴领域的安全管理政策体系和标准，规范和引导工业互联网领域安全新技术的集成应用，抓好政策落实，强化工业企业安全主体责任，增强防护意识，构建以国内大循环为主体、国内国际双循环相互促进的新型工业发展格局。

（二）加强科技创新和转化，使科技创新成为产业发展的内生动力

技术创新是“十四五”时期的首要任务，是新型基础设施建设的重要支撑，是网络安全的基础。建议工业互联网安全产业坚持创新发展理念，逐步建立基于自主知识产权的技术架构和标准，完成开放生态建设，为工业互联网安全产业健康发展奠定坚实基础。

继续增强系统的技术创新能力，建立一个国家工业互联网安全系统，旨在指导工业发展的高度，指导关键领域的技术创新指南的发布，对瓶颈和缺点进行技术创新，并在资产识别，风险管理和紧急情况下进行互联网的应用程序，以探索互联网的设施和分布的企业。应用大数据，AI，5G和区块链等新兴技术来解决工业互联网安全问题，形成典型的解决方案以及为工业企业部署安全解决方案。

促进工业互联网安全技术的研究EN协作研究总体上是领导的，消除瓶颈，弥补缺点，促进整体发展，专注于开发许多高端产品，并形成一种市场竞争力，积极地促进核心技术成就的转变和交易，增强知识产权保护和管理，增强智力财产保护，促进创新成就的转变，并促进持续的集成链和始终方面的群体群体群体群体群体群体群体群体群体群体群体群体群体群体群体群体综合构成综合综合综合的群体。

（iii）指导相关企业和机构互相补充，并为工业发展建立一个良好的生态系统

跨境合作是处理跨域安全问题的有效方法，因为越来越多的工业设备与互联网有关，企业很难完全捍卫潜在的工业互联网安全风险。以及来自各个领域的挑战，并创造了一个合作的开发工业生态系统。

加强工业政策的倾向，并鼓励工业控制系统，工业企业和网络安全企业之间的深入合作，建议制定相关的政策，以促进合作，并在工业互联网中的相关企业，以鼓励与工业领域的各个工具的生产和创建工具，并集中在工业领域，并集中在工业领域，并集中在工业领域中，并集中由政府指导的良性工业生态学，由用户主导，由制造商参与并由资本驱动。

我们将重点介绍能源和运输等主要行业的关键问题，整合“政府，行业，学术界，研究和应用”的资源，为集中资源以完成主要任务的机构优势，形成关键的核心技术攻击系统，合作，在高级企业和尖端的安全产品和解决方案方面合作，建立了国立互联网，并建立了互联网的互联网。启动和下一代最先进的技术，尽快突破关键核心技术的瓶颈，并确保独立控制。

专注于培养领先的骨干企业，指导安全供应商不断创新业务模型，加强网络安全资源集成，专注于行业中的多方合作，并加速基于用户需求的工业链的建设。系统，向更多合作伙伴辐射安全能力，并实践双赢合作的概念。

优化工业生态环境，为政府管理部门和行业协会的指导和支持，企业的渠道扩大了技术，投资和融资以及人才的范围。 Ance上游技术研发与下游促进和应用之间的协同互动，并创造了工业生态系统的协调发展。

（iv）维持供应链的安全性和稳定性，并加强建立协调，评估，风险警告和其他机制

近年来，随着反全球化思想和经济民族主义的兴起，以及新的冠状病毒肺炎的爆发，全球供应链的不确定性在重大竞争的背景下进一步加剧，并加剧了高级技术行业的竞争，紧迫地加强了供应链安全的供应链安全系统。

加强顶级设计，将供应链安全纳入整个国家安全框架，制定供应链安全管理的政策和法规，并加速在工业互联网供应链安全领域中引入战略规划，以增加实施的努力，以增加科学，标准化的供应链供应和有效的系统，以促进供应链的发展标准。

加强全球供应链系统中风险的识别和评估，建立一个完整的生命周期供应链风险管理系统，形成一个管理系统，该系统整合信息跟踪，风险识别和危机响应，并增强预防与全球供应链相关的风险的能力。

进行供应链安全评估并审查，整理工业领域的主要弱环节，并对关键领域的工业基础供应链进行风险警告和风险控制。

（v）加强人才培训和团队建设，并建立跨境安全人才培训和教育系统

鼓励政府，大学，研究机构，工业企业和安全公司加强合作，共同进行工业互联网安全学科的建设，培养专业人才，并促进工业链，工作链，就业链和教学链的有机组合，并在该领域中建立互联网培训，并在互联网上培养了跨越的实践培训，并实践了界限的界限，并构成了有机化的培训。在工业互联网安全的领域，我们将与工业企业建立工业控制测试床和网络范围，使学生能够通过互联网尤其是互联网，从而支持工业互联网，以建立工业互联网。是快速弥补人才短缺的有效方法。

资料来源。

结尾