美歐工業互聯網安全發展現狀及對我國的啟示

高云龍

（國家工業信息安全發展研究中心，北京 100040）

0 引言

隨著大數據、人工智能等新一代信息技術與工業控制系統深度融合，工業互聯網應運而生[1]。工業互聯網通過人、機、物、數的互聯互通互用，有效提升了工業制造業的信息化、數字化、智能化水平，提高生產效率、降低經營成本。美歐各國均積極布局工業互聯網，將工業互聯網視作搶占全球產業競爭新制高點的重要選擇，我國也將工業互聯網納入新基建七大重點領域之一，利用工業互聯網構建國內國際雙循環的新發展格局。然而，近年來針對工業制造業的安全事件層出不窮，2019年挪威鋁業巨頭海德魯遭受攻擊、2020年德國硅晶圓廠遭遇破壞、2021年美國能源系統遭到致命打擊等事實證明，安全是工業互聯網發展的重要基礎和根本前提。因此，本文從政策法規制定、標準體系建設、產業生態發展等角度認真梳理美歐與我國工業互聯網安全發展的現狀，進而提出推動我國工業互聯網安全發展的建議，這對我國工業互聯網安全發展至關重要。

1 美歐工業互聯網安全發展現狀

1.1 政策引領工業互聯網安全發展

美國始終將安全作為工業互聯網發展的重要環節，先后出臺多項政策法規引領工業互聯網安全發展。政策方面，2018年發布《美國先進制造業領導力戰略》，指出要在制造業系統中實施網絡安全指南；2020年發布《保護工控系統：一體化倡議》，提出建立工控系統的安全功能，提高國家級工控系統抵御風險能力。法規方面，2019年通過《網絡安全漏洞修補法案》，提出授權基礎設施安全局等部門協助關鍵基礎設施所有者和運營商制定漏洞防護策略；2021年通過《2021年工控系統能力增強法案》，明確要加強識別和解決工控系統威脅，尤其是關鍵基礎設施系統[2]。

歐盟作為網絡安全、數據安全、個人信息安全的主要倡導者，近年來高度關注工業互聯網安全。歐盟方面，2019年發布《增強歐盟未來工業的戰略價值鏈》，提出建立歐洲可信數據空間，提高歐盟工業物聯網、網絡安全等六大戰略性產業全球領導地位；2021年通過《歐盟數字十年的網絡安全戰略》，指出要加強防范和打擊針對關鍵信息基礎設施等的網絡攻擊。成員國方面，德國2019年發布《工控系統安全面臨的十大威脅和反制措施》，深入介紹了工控系統安全產生原因和后果，同時提出反制措施，指導企業做好工業信息安全防護工作[3]。

1.2 標準助推工業互聯網安全發展

美國以國家標準技術研究院為主導，各類社會組織紛紛發聲，共同推動工業互聯網安全標準制定[4]。國家層面，國家標準技術研究院2015年發布《工控系統安全指南》，概述了工控系統基本架構、工控系統典型威脅和脆弱點、工控系統安全建設參考模型等，同時提出應對安全威脅的策略；2016年發布《制造業與工控系統安全保障能力評估》草案，涵蓋行為異常檢測、工控應用程序白名單、惡意軟件檢測與緩解、工控數據完整性四大議題，指導幫助制造業企業建設安全網絡系統；2017年發布《制造業網絡安全框架簡介》，從風險管控角度指導制造商實施網絡安全防護；2020年發布《聯邦信息系統和組織的安全控制建議》，管控從超級計算機到工控系統到物聯網設備的所有類型的系統風險[5]。社會組織層面，天然氣協會發布《監控與數據采集系統通信的加密保護》；石油協會發布《石油工業安全指南》；工業互聯網聯盟發布《工業互聯網安全框架》[6]。

歐盟積極開展“關鍵性基礎設施保護項目”，促進成員國間精誠合作，共同實施工控系統安全保護。歐盟方面，先后成立工控安全應急響應組、聯合網絡部門等機構，負責應對工信安全事件、編制工信安全標準[7]。成員國方面，各國均立足于本國國情，構建以通用標準為核心的工業互聯網安全標準：法國發布了《電氣設施信息安全管理》；荷蘭發布了《過程控制域——供應商安全需求》；瑞典發布了《工控系統安全加強指南》[8]。

1.3 產業帶動工業互聯網安全發展

美國企業、聯盟雙輪驅動，共同推動工業互聯網產業和安全互促互進、協調發展。企業方面，通用電氣率先提出工業互聯網概念，在工業互聯網安全領域拔得頭籌；波音、福特等傳統制造業龍頭企業也紛紛布局工業互聯網，并在安全方面積極探索；霍尼韋爾、哈曼國際工業集團等通過收購工業互聯網安全公司，快速進軍工業互聯網安全產業；甲骨文、IBM等IT企業憑借軟件服務、平臺建設等方面的優勢，在工業互聯網安全領域迅速擴張。聯盟方面，通用電氣聯合IBM、思科、英特爾、AT&T等企業共同發起成立工業互聯網聯盟，下設安全任務組，制定發布《安全成熟度模型》《在實踐中管理和評估IIoT》等一系列有影響力的白皮書，有效促進工業互聯網安全發展。

歐盟各成員國政府、企業持續發力，加快推進工業互聯網安全產業發展。政府層面，德國政府支持工程院、弗勞恩霍夫協會、西門子等產學研用機構共同推動工業互聯網平臺建設，明確了規范與標準、安全、研究與創新三大主題。企業層面，德國西門子、法國施耐德等工業安全集成組件供應商不斷提升工業互聯網安全服務，工控安全運維份額逐年提升；德國大陸集團、法國泰雷茲集團等公司依托原有市場基礎，收購網絡安全企業，開辟工信安全市場。

2 我國工業互聯網安全發展現狀

2.1 工業互聯網安全政策法規持續完善

近年來，我國政府高度重視工業互聯網發展與安全，相關政策法規日益完善。2017年國務院印發《關于深化“互聯網 + 先進制造業”發展工業互聯網的指導意見》，指出要提升先進制造業安全防護能力，建立健全防護體系。2019年工信部等十部委聯合印發《加強工業互聯網安全工作的指導意見》，指出到2025年基本建立起較為完備可靠的工業互聯網安全保障體系。2020年3月工信部出臺《關于推動工業互聯網加快發展的通知》，提出要統籌推進工業互聯網發展與安全；同年12月工信部印發《工業互聯網創新發展行動計劃（2021-2023年）》，提出構建多部門協同的安全管理體系。

2.2 工業互聯網安全標準體系加快建立

隨著工業互聯網的快速發展，安全標準不斷建立[9]。國家標準方面，2016年發布《工業自動化和控制系統網絡安全》系列標準，規范了工業自動化和控制系統網絡安全的檢測、評估、防護和管理準則，提供了安全評估標準；2018年發布《信息安全技術工業控制系統信息安全分級規范》，規定了基于風險評估的工控系統安全等級劃分模型和定級要素，提出了工控系統安全的四個重要等級特征。行業標準方面，2020年發布《工業互聯網安全防護總體要求》，明確防護的范圍、內容、級別和要求，為工業互聯網安全防護實施提供指導；2021年發布《工業互聯網數據安全保護要求》，規定了工業互聯網數據安全范疇和數據類型，規范了數據分級和數據分級保護。

2.3 工業互聯網安全產業市場不斷擴大

隨著我國工業互聯網安全政策和標準日趨完善，工業互聯網安全產業市場不斷擴大[10]。產業規模方面，2019年，我國工信安全產業規模達99.7億元，同比增長41.8%，其中工業互聯網安全規模達38.3億元，占比36.4%，同比增長51.6%；預計2021年工業互聯網安全市場規模將達228億元。投融資方面，奇安信、啟明星辰等企業不斷加大投入力度，全力推進工業互聯網安全技術研發和市場拓展。初創企業方面，長揚科技、安點科技以工業互聯網安全為主要業務方向，積極布局能源、制造、化工等領域的工業互聯網安全，服務國際客戶，引領行業發展。

3 啟示建議

3.1 深化工業互聯網安全政策法規制定

國家層面，將工業互聯網安全提升至國家安全的戰略高度，明確工業互聯網安全的目標定位和發展方向，強化頂層設計，制定完善的政策法規、制度體系、戰略規劃、行動計劃；建立健全監督管理、風險評估、監測應急、數據保障等制度機制，界定安全監管主體責任，制定負面清單、責任清單；強化工業企業安全意識，逐步形成控風險、防未然的安全發展體系。地方層面，結合國家對工業互聯網安全發展的整體布局和各地工業互聯網發展的優勢特色，制定可操作、可執行、可落實的實施方案和工作指南，注重政策落地效果；組織地域內工業企業開展工業互聯網安全應急演練、攻防對抗，促進形成共建共練、聯防聯控的發展新局面。

3.2 優化工業互聯網安全標準體系建設

總體層面，組織協調國家主管部門、行業監管部門、科研院所、龍頭企業等共同合作，圍繞工業互聯網設備安全、網絡安全、平臺安全、控制安全、數據安全、應用安全等加快研制國家標準，規范工業互聯網管理、防護、測試、評估等工作；及時推進工業互聯網安全標準的貫標工作，加強場景應用推廣，發揮標準的規范作用和引領作用；積極參加國際或區域工業互聯網安全標準制定，不斷促進我國標準走出去。細分層面，建立健全電力能源、石油化工等垂直領域工業互聯網安全標準體系，超前布局重點行業安全標準；鼓勵支持團體標準研究制定，積極發揮團體標準的創新優勢，促進標準化工作探索式發展。

3.3 強化工業互聯網安全產業生態發展

技術創新方面，鼓勵校企、院企合作，推動產學研用技術對接與攻關，突破關鍵核心技術，加強自主可控研發，提供系統化、體系化的工業互聯網安全產品和解決方案。企業培育方面，以試點示范為抓手，遴選最佳實踐，加快培育工業互聯網安全國有骨干企業和龍頭企業，鼓勵中小微型工業互聯網安全企業持續創新，不斷提高我國工業互聯網安全產業力量，形成健全完善的產業鏈和生態鏈。聯盟建設方面，加大力度支持工業互聯網聯盟，推進工業互聯網安全企業、高校、院所、社會組織等廣泛合作，促進產業鏈各環節信息共享和資源整合。

4 結論

工業互聯網作為新基建和新工業生態，正逐漸成為新一輪科技革命和產業變革的重要驅動力量，同時也日益成為網絡安全的主戰場。因此，本文借鑒美歐工業互聯網安全發展經驗，從政策法規、標準體系、產業生態三個方面對我國工業互聯網安全發展提出建議。政策法規方面，積極發揮國家政策的指導引領作用，有針對性地制定地方政策。標準體系方面，完善總體標準制定，探索研究行業標準和團體標準。產業生態方面，加強技術創新，加快企業培育，推動聯盟建設，積極打造健全完善的產業鏈和生態鏈。