工控安全解構新秩序

薛紋

全球范圍內，針對能源、交通、醫(yī)療、裝備制造等領域的關鍵信息基礎設施頻頻遭受網絡攻擊，數據竊取與勒索事件時有發(fā)生，加強工業(yè)安全防護勢在必行。我國是工業(yè)大國，工業(yè)控制系統(tǒng)應用廣泛，但國內工控安全市場規(guī)模尚小，行業(yè)結構分布不均，企業(yè)的防護能力及人員配置均存有短板。

當傳統(tǒng)工業(yè)現(xiàn)場相對封閉可信的制造環(huán)境逐漸被打破，鑒于工控系統(tǒng)一定的脆弱性、工業(yè)應用場景較強的特殊性，傳統(tǒng)網絡安全防護手段難以滿足工業(yè)控制系統(tǒng)的安全需求。唯有國家逐步推行關于工業(yè)控制系統(tǒng)安全的政策，加快實施相關標準，持續(xù)增加安全投入，才可為我國工業(yè)控制系統(tǒng)安全的發(fā)展提供良好的產業(yè)環(huán)境。

風險始終存在

工業(yè)控制系統(tǒng)信息安全并不是新鮮概念，其已有較長的演進歷程，主要保障工業(yè)系統(tǒng)和設備、工業(yè)互聯(lián)網平臺、工業(yè)網絡基礎設施、工業(yè)數據等的安全。近年來大規(guī)模、高強度的工業(yè)信息安全事件頻頻發(fā)生，成為網絡攻擊的“重災區(qū)”，世界各地屢有勒索事件爆出，去年8月，特斯拉內華達州工廠遭遇嚴重網絡攻擊，今年5月美國最大的成品油管道運營商ColonialPipeline遭受攻擊，被迫關閉關鍵燃油網絡。我國也面臨較為嚴峻的工控安全防護形勢，工業(yè)和信息化部網絡安全總局曾委托相關專業(yè)機構對20多家典型工業(yè)企業(yè)進行工業(yè)互聯(lián)網平臺企業(yè)安全檢查評估，結果發(fā)現(xiàn)2000多項安全威脅，而據國家互聯(lián)網應急中心報告指出，僅2019年就累計發(fā)現(xiàn)針對我國工業(yè)設備的惡意嗅探事件達5151萬起。而且相當部分的工業(yè)控制設備為非自主可控的國外設備，近年來在實際運行中被發(fā)現(xiàn)的安全漏洞越來越多。

目前全球工控安全市場規(guī)模已近200億美元，年復合增長率為9%，預計可在5年后超過300億美元，區(qū)域方面北美和亞洲地區(qū)的市場增勢最為強勁，年增長率均為15%左右。數據顯示，2020年我國工控安全市場規(guī)模為27.3億元，同比增長50%，雖然在整個網絡安全領域中體量靠后，但前景被廣為看好，預計復合年均增長率將達55.6%。如按細分行業(yè)再做梳理，電力、石油、天然氣等能源領域的工控安全市場占比較高、發(fā)展較好，交通運輸行業(yè)和水處理行業(yè)也呈快速上升態(tài)勢，業(yè)內企業(yè)在工業(yè)控制信息安全領域的投入明顯增加。

自動化、智能化、網聯(lián)化是工業(yè)控制系統(tǒng)的大勢所趨，據不完全統(tǒng)計，超過80%涉及國計民生的關鍵基礎設施使用工業(yè)控制系統(tǒng)實現(xiàn)自動化作業(yè)，而加速普及的5G網絡賦予工業(yè)物聯(lián)網低延遲、高速率、多終端的交互能力，技術融合和政策指引的助推下，國內工業(yè)互聯(lián)網進入快速發(fā)展期，但相關企業(yè)在獲得巨大發(fā)展動能的同時，新的安全隱患也逐漸出現(xiàn)。一般工業(yè)控制系統(tǒng)在設計時更多考慮系統(tǒng)的可用性，對安全性問題的考慮相對不足，且沒有制訂完善的工業(yè)控制系統(tǒng)安全政策、管理制度以及對人員的安全意識培養(yǎng)，相關人員安全意識淡薄，當大量工控系統(tǒng)及設備暴露于互聯(lián)網，迅速成為工業(yè)信息安全的軟肋。國家工業(yè)信息安全發(fā)展研究中心標準質量處處長陳雪鴻指出，“隨著企業(yè)數字化轉型逐步實現(xiàn)，工業(yè)互聯(lián)網數據是驅動智能化生產的‘引擎、實現(xiàn)智能化運營的動力、工業(yè)互聯(lián)網創(chuàng)新發(fā)展的‘血液，然而在開放海量互聯(lián)的復雜環(huán)境下，工業(yè)互聯(lián)網數據威脅不斷加劇，對工業(yè)互聯(lián)網數據進行分類分級防護刻不容緩。”

安防迭代升級

2016年我國發(fā)布的《網絡安全法》將工控安全納入國家安全戰(zhàn)略的一部分，確立為國家推進智能制造和工業(yè)互聯(lián)網的重要前提條件。隨后工業(yè)和信息化部出臺《工業(yè)控制系統(tǒng)信息安全防護指南》《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》和《工業(yè)控制系統(tǒng)信息安全行動計劃》等多個政策性文件，相關防護標準也相繼出臺，為工業(yè)企業(yè)、安全服務企業(yè)、地方主管部門圍繞工業(yè)控制系統(tǒng)開展安全防護工作指明正確方向，為工業(yè)領域提升數據管理能力、保障數據安全、發(fā)揮數據價值、促進數據共享，健全和完善數據生產要素參與分配機制提供基本依據。

企業(yè)的工控安全防護能力正在迭代升級，越來越多的企業(yè)開始從技術和管理雙重維度部署安全防護工作。有專家從專業(yè)角度呼吁構筑工控系統(tǒng)主動免疫安全防御體系，“工業(yè)網絡安全應基于可信計算等主動防御技術，通過控制系統(tǒng)內嵌可信計算防護體系，實現(xiàn)主動識別、主動度量和主動保護功能，增強自身防護能力。”事實上，工控安全防護并不能以某種單一產品或工具保障整個安全環(huán)境，真正有效的安全防控需在一定規(guī)則標準之內整合多種產品，實現(xiàn)多個廠商的協(xié)同聯(lián)動。正如上海工業(yè)自動化儀表研究院有限公司總經理徐建平所言，“信息安全是一個系統(tǒng)性的問題，也是工業(yè)化與信息化深度融合、可持續(xù)發(fā)展智能制造的核心關鍵技術，涉及工業(yè)控制系統(tǒng)全生命周期各個環(huán)節(jié)，需要社會協(xié)同建立一個完整的體系，才能解決事前、事中、事后不同階段的支撐條件和保障措施。”

工控安全市場的產業(yè)生態(tài)與市場結構處于動態(tài)完善的過程中，隨著市場規(guī)模快速擴容，產品類與服務類的占比逐漸均衡，從以往產品類一枝獨秀到如今服務類正逐漸趕上。最新的《網絡安全等級保護基本要求》即提出，工業(yè)企業(yè)在工控安全方面需要滿足安全軟件選擇與管理、邊界安全防護、遠程訪問安全、安全監(jiān)測和應急預案演練等11項要求。可見，在產業(yè)轉型升級過程中，需要完備的工控安全服務保駕護航，特別是正在駛向快車道的制造業(yè)等產業(yè)不能因為安全問題突然剎車乃至停滯不前，積極應變、完善安全措施是當務之急。