我國工控系統網絡安全現狀及緊迫性問題分析

一、 發展現狀

1工控系統網絡安全的重要性及意義

工業控制系統廣泛應用于石油石化、煙草、電力、核能等工業生產領域，以及航天、鐵路、公路、地鐵、水務等公共服務領域，堪稱中國關鍵生產設施和基礎設施運行的“神經中樞”。統計顯示，我國超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業，因此，一旦發生安全事故，其造成的社會影響和經濟損失非常嚴重。然而，根據2000年以來中國信息安全漏洞共享平臺披露的工控系統行業的漏洞數量來看，工控漏洞在2010年之后卻始終處于增長態勢。2014年ICS-CERT所公布的數據中，工控安全事件達632件，而且多集中于能源行業（59%）和關鍵制造業（20%）�？傮w來看，隨著“兩化融合”的深入，未來工控系統安全漏洞和威脅還會繼續增長。

由于工控系統被廣泛應用到電力、石化、交通、市政以及關鍵制造業等涉及國計民生的重要行業中，如遭受攻擊，受到影響的將不僅是相關企業的經濟損失，甚至會引起相應的社會問題，其重要性不言而喻。因此，工控安全問題已成為當前世界各國最為重視的安全問題，在國內已被上升到國家安全戰略的高度，國家的政策、標準也正在逐步的制定、完善的過程中。雖然國內工控安全市場目前也僅僅是處在剛起步、培育市場的前期階段，但其未來市場潛力巨大，而且在國家層面，包括發改委、工信部等主管部委也通過設立專項基金，以資助國內科研院所、企業的工控安全技術研究及工控安全產品研發及產業化。

2相關政策、標準及政府支持力度

政策驅動：信息安全已上升至國家戰略

2014年2月27日，中央網絡安全和信息化領導小組宣告成立。

2016 年年初，網絡安全被正式劃入“十三五”規劃重點建設方向，在政府未來 5 年的 100 項重大建設項目中排在第六位；

2016年11月7日，中國《網絡安全法》獲得通過，并將于2017年6月1日起施行；

2016年12月，國家互聯網信息辦公室發布《國家網絡空間安全戰略》。

2017年7月，《關鍵信息基礎設施安全保護條例》（征求意見稿）發布；

2017年12月，《工業控制系統信息安全行動計劃》發布。

標準制定：

目前已發布的標準規范有

《信息安全技術 工業控制系統安全控制應用指南》

《工業控制系統信息安全 第1部分 評估規范》

《工業控制系統信息安全 第2部分 驗收規范》

需求驅動：關鍵領域加大信息安全采購力度

政府、電信、金融、能源、軍隊等重點行業，教育、電商、交通等新興行業對信息安全產品、服務的需求強勁，拉動了信息安全市場的整體需求。

地方政府投入顯著提升，2017年達1.79億元。占市場總量的32%

3市場規模

數據顯示，我國信息安全產業規模自2012年的157.26億元上升至2016年的341.72 億元，五年內年均復合增速達到21.41%。2017年我國工業信息安全市場規模為5.57億元，市場增長率達到53.6%，工業信息安全產業發展進入“快車道”。

隨著政策的加快推動，市場增速正呈現不斷上升趨勢，到2018年，預測我國信息安全行業市場規模有望達到8.66億元，2018年行業增速預計將達到 55.4%。

然而，中國工控信息安全市場在近年才開始進入發展階段，目前整個市場還處于市場預熱的階段。據估算，中國信息安全的市場總容量巨大，2013年數據統計為194億元，其中工業信息安全市場容量在23.28億元，而這其中工控系統信息安全容量僅為2億元左右。這一市場中占比最大的是電力市場，石油化工占比第二，其他還包括冶金、煙草、煤礦等。工控信息安全市場的容量遠未飽和。

4產品與服務來源

國內的科研院所、工控系統廠商、信息安全廠商以及一些專注做工控安全的新興企業都將一定的研發力量投入工控安全的研究及產品研發領域，并力爭在工控安全領域獲得先發優勢。

國內從事工控系統網絡安全行業的廠家有啟明星辰；海天煒業；威努特；力控華康；珠海鴻瑞；綠盟；三零衛士；立思辰；中科網威；華大智寶；得安信息；安策科技；安盟電子；深信服；天融信；華為；中興；聯想等。其來源可分為以下幾類：

1）專業的工控網絡安全公司：國內的海天煒業、威努特、天地和興等。

2）工業控制系統廠家：和利時、浙江中控等。

3）傳統信息安全公司的新增業務：綠盟、啟明星辰、藍盾等。

4）科研院所及中石油、中石化等大型國企內部集成商：如賽迪、中電六所、石化盈科、中油瑞飛等。

二、面臨的緊迫問題

1工控系統責任單位安全意識有待加強

由于安全防護功能可能會影響系統性能，增加成本；另一方面安全防護設備對于操作人員要求較高，企業普遍缺乏相關人才；此外，工控系統安全設備實施時需要協調多個部門，如信息、儀表等，因此，系統應用企業的工業控制系統信息安全工作積極性不高，讓產品推廣受到一定的阻力。

2缺乏標準測試和標準驗證能力

與發達國家相比，我國信息安全領域的產品標準以及跨領域的安全標準研究仍有待加強，國家網絡與信息安全標準體系有待完善。

信息產業包含成千上萬的從業者、各種供應商，以及各類軟件、硬件設備等，因此，從上游的電信運營商到下游的信息企業公司等，應建立統一的規范標準。

工信部某研究院從工業控制系統的技術線、管理線出發，制定形成了多項工業控制系統信息安全標準草案；初步建立了工業控制系統信息安全標準的標準驗證仿真平臺，形成了火力發電、軌道交通等網絡安全仿真驗證環境；提出了貫穿工業控制系統信息安全標準研制各階段的標準驗證流程；但目前已有工業控制系統信息安全仿真驗證環境缺乏相關配套的標準測試工具，標準驗證測試床尚不完備，形成的標準驗證能力有限。

3 人才缺口大，培養周期長

我國網絡安全人才結構

據統計：

68.9%的網絡安全從業人員年齡在25歲~35歲之間，40歲以下占比高達94.6%，網絡安全從業人員相對年輕化。

63.2%的網絡安全從業人員為本科學歷，其次為碩士和大專，且研究生是重要科研力量。

網絡安全人才短缺

七成網絡安全從業人員都是5年以上資深安全人士，而從業經驗1年以下的僅為2.5%，網絡安全人才短缺一直都是網絡安全發展面臨的最大的挑戰。

好在近兩年來，用人單位提供給安全人員的薪酬有明顯漲幅，約五分之一的網絡安全人員年薪在30萬以上，同比增長9.2%。但年薪在10萬~30萬的網絡安全人員為主流。

一線城市安全人才需求大，人才分配不均

一線城市安全人才需求大，人才分配不均，僅北、上、廣三地對網絡安全人才的需求就占全國總需求的三分之一。網絡安全人才則主要集中在北京、深圳、上海、西安和成都。

國內對網絡安全人才的需求量高達70余萬，社會對網絡安全人才的需求量每年約1.5萬人，高校每年培養的網絡安全相關專業人數不到1萬人。

英特爾公司安全研究團隊發布的報告顯示，美、英、法、德等8個國家的71%的企業表示，由于安全人才匱乏，每年都會因網絡攻擊而產生重大經濟損失。

權威數據顯示，最近3年，我國高校學歷教育培養的信息安全專業人才僅有3萬余人，不足70萬需求的5%。預計到2020年，需求量將達到140萬人，而現在每年培養的人數，尚不足1.5萬人。

由于薪酬和福利等吸引人才的條件不足，傳統安全企業的大量人才流入國外企業或者BAT等互聯網公司，頂尖安全專家日益匱乏。

4新興技術在工控信息安全領域應用較少

近年來，云安全、基于大數據理論的網絡安全防護等新興技術已經應用到傳統信息安全領域，這些新技術可以對終端惡意文件進行有效識別，挖掘用戶使用習慣，建立操作模型，實現自動生成防御策略，在安全方面實現了智能化，但這些技術在工業控制系統領域應用的較少。

5工控信息安全廠商市場集中度較低

工信部于2016年10月發布的《工業控制系統信息安全防護指南》，從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任11個方面對工控信息安全建設內容進行了規定。目前，國內涉足這11項領域的廠商主要有幾十家。

目前，我國信息安全廠商的集中度較低，國內前五名廠商份額占比約26%，而全球前五大廠商份額占比約40%。信息安全領域細分領域眾多，部分細分領域之間的技術關聯性不強，而信息安全技術密集型的特點，造成企業很難在不同的細分領域同時發力。預計未來市場將更多通過并購的方式提高集中度。

信息安全行業分散格局的重要原因是信息安全貫穿整個信息流鏈條，涉及幾乎所有信息設備與軟件，單個信息安全企業無法掌握全部信息安全技術，只能根據自身技術優勢和渠道特點進行差異化定位，選擇部分細分領域參與競爭。

6核心元器件、設備及系統依賴國外

核心部件、核心設備依靠國外廠商提供配套資源，自己未掌握核心生產能力、核心技術的研發能力，導致信息安全核心元器件、核心設備乃至產業發展受制于人。

國產基礎軟件尤其是核心產品如操作系統、瀏覽器等基本都依附西方技術標準，沒有自己的編程語言和開發工具。

我國工控產業綜合競爭力不強，嵌入式軟件、總線協議、工控軟件等核心技術受制于國外，缺乏自主的通信安全、信息安全、安全可靠性測試等標準。

三、建議及前景展望

1政府引導及政策支持

隨著網絡信息安全事件持續頻發，國家加大了在網絡信息安全產業方面的投入，并將此提升到了國家戰略的層面。有效應對網絡信息安全問題所帶來的威脅，需要政府、企業和用戶三方共同努力，構建正確的網絡信息安全全局觀，加強政企合作，持續加大安全投入，推動安全技術創新，多維度、多層級、全方位推進，形成拱衛之勢。國家層面高度重視網絡安全和信息化工作，中央網絡安全和信息化領導小組、網信辦、公安部、國家能源局等部門，在戰略上、組織上、政策和法律上均加大力度加強網絡安全工作。

2支持國產工控系統關鍵技術產品研發

國外產品對我們來說是“黑箱”，在不能了解防護對象的情況下進行安全防護工作十分困難，發展國產工控系統關鍵技術產品，加快國產化進程是國內工控信息安全相關機構與企業必須努力的方向。

3推動企業工控信息安全防護能力提升

工業控制系統的信息安全不僅可能造成信息丟失，還可能造成工業生產故障，引起環境問題和社會問題。防止工業控制系統安全事件的發生，已經成為政府和企業關注的熱點，工業和信息化部下發的《關于加強工業控制系統信息安全管理的通知》，明確了加強工業控制系統信息安全管理的重要性和緊迫性、具體管理要求以及制度建設的迫切需要。應根據相關政策文件，研發工業控制系統安全防護智能化技術，開發符合標準的安全防護工具。

在國內關鍵領域信息系統產品投入使用之前，應采用第三方測評業務進行安全評測，同時，還要完善安全測評服務體系，不斷提升信息安全服務質量。

4進一步開展工控信息安全標準化工作

工控系統中安全問題的發生除了傳統的技術原因，更重要的是網絡安全管理的規范化缺乏造成的。應該有針對性的提升我國信息安全標準化工作水平，帶動信息技術產業及相關產業行業發展實現更大突破，支撐國家網絡安全審查制度的順利實施。

5培養行業人才

匯聚和培養工控安全領域高級工程技術人才�？蓮谋究平逃�入手，增設網絡安全專業，并且在自動化、通信、電子等專業增加工控網絡安全課程。在研究生教育階段，工控網絡安全可以作為相關專業的一個研究方向。因工控網絡安全涉及自動化、網絡、信息安全等多學科，在專業建設及課程設置上需要做好頂層設計，自上而下的改進教育模式。

6加快新技術應用及自主安全產品研發

移動互聯網、云計算、物聯網等新興技術促使互聯網環境更加復雜，通過互聯網所交互的數據包數量更加龐大，因此涌現出的新網絡問題、安全問題、業務問題等都需要有相應的網絡產品、安全產品支撐，顯然我國在這方面的技術能力仍有待加強。

構建一個植根于工控系統的全生命周期解決方案。通過設備檢測、監測審計、智能保護、安全數據庫、威脅管理及安全服務等，形成一個豐富的產業鏈條。構建良好的行業生態，加速產業鏈上下游企業資本整合速度。