在过去的一年里,工控安全突然成为了一个热门词,举目望去,几乎所有跟网络安全相关的展会、论坛,以及自动化领域的重大会议,与会者言必谈工控安全,仿佛一夜之间网络安全界拓展了新领域,自动化界来了新成员。工业控制系统广泛应用于能源、水利、石化化工、装备制造等工业生产领域,堪称是国家关键生产设施和基础设施运行的“神经中枢”,一旦遭到破坏,可能造成人员伤亡、环境污染、停产停工等严重后果,将严重威胁国家经济安全、政治安全、社会稳定和国家安全。
当下,互联网与工业融合创新带来的安全问题日益严峻,新兴需求也使工控安全领域备受关注。今年针对工控安全领域国家还将出台多项政策,在政策的密集鼓励和推进下,工控安全行业是否会真正迎来爆发?
工控安全存在两大威胁
2015年5月,《中国制造2025》正式发布,其内涵核心是把信息互联技术与传统工业制造相结合,形成生产智能化,提高资源利用率,以此来推动整个国家竞争力。未来,随着《中国制造2025》的推进,工业领域设备联网实现智能化将成为必然的趋势。
“在信息技术全面渗透至人民生产生活各方面的今天,重视工控安全会让中国制造的实施和关键信息基础设施的运行更加可靠。”国家工业信息安全发展研究中心网安部副主任张格在接受《中国电子报》记者采访时表示,加强我国工控安全的管理和保障,提升我国工控系统安全防护水平,是保障《中国制造2025》安全实施推进的迫切需求,对保障国家安全和社会稳定具有重要意义。
与此同时,“互联网+”时代,工业控制系统互联互通的发展趋势愈发明显,在实现数据高效交互、信息资源共享的同时,也给针对工业控制系统的网络攻击提供了可能。“早期的工控系统和企业管理系统是封闭、隔离的,随着时代发展,为了实时数据采集与生产控制,需要将工控系统和企业管理系统直接通信交互。”在中国科学院院士何积丰看来,工控安全存在两大威胁,一是系统相关的威胁,二是工控过程相关的问题,就是在生产过程中遭受攻击。
从工控领域被攻击所可能导致的后果来看,潜在威胁极大。“工业控制系统广泛应用于能源、水利、石化化工、装备制造等工业生产领域,堪称是国家关键生产设施和基础设施运行的‘神经中枢’,一旦遭到破坏,可能造成人员伤亡、环境污染、停产停工等严重后果,将严重威胁国家经济安全、政治安全、社会稳定和国家安全。”赛迪智库网络空间研究所所长刘权对《中国电子报》记者表示,“震网”、“乌克兰电网遭遇网络攻击”以及“以色列电力局遭网络攻击事件”等一系列针对工业控制系统的攻击实例业已充分证明了通过网络攻击工业控制系统,进而瘫痪一国关键信息基础设施的可行性。
可以看到,工控安全正深刻地影响着工业控制网络产业的发展,是智能制造顺利推进的前提保障。工信部信息化和软件服务业司司长谢少锋在日前召开的全国信息化和软件服务业工作座谈会上也强调,工控安全关乎企业安全、社会安全、经济安全乃至国家安全,在大力推动《中国制造2025》、两化融合的今天,工控安全应放在越来越重要的位置并加以重视。
政策推动工控安全防护升级
2016年可以说是中国工控安全市场的重要节点。这一年,我国先后出台了多项政策法规来推动工业控制系统信息安全保障体系建设,工业控制系统的信息安全政策环境进一步优化,工控安全正在成为国家安全新战场。
去年5月颁布的《国务院关于深化制造业与互联网融合发展的指导意见》明确提出,要实施工业控制系统安全保障能力提升工程,制定完善工业信息安全管理等政策法规,健全工业信息安全标准体系,提高工业信息系统安全水平。
去年10月,工业和信息化部印发了《工业控制系统信息安全防护指南》(以下简称《防护指南》),明确了工业企业开展工控安全防护工作的指导方针。
去年11月,第十二届全国人大常委会第二十四次会议审议通过了《中华人民共和国网络安全法》(以下简称《网络安全法》),并将于2017年6月1日起施行。《网络安全法》明确提出,要保障关键信息基础设施运行安全,对关键信息基础设施的安全风险进行抽查检测,提出改进措施等。
去年12月,国家互联网信息办公室发布《国家网络空间安全战略》,明确将保护关键信息基础设施作为战略任务。
此外,政府相关部门和安全主管部门组织实施了专门针对工控安全的大检查,引起了整个社会的重视。去年,工信部组织开展了工业控制系统信息安全检查和风险通报,在全国31个省、区、市进行工控安全检查,涵盖重要工业信息系统68022个,工业控制系统79457个,基本掌握我国工业企业工控安全现状和面临的风险。而公安部也在去年5月份首次将工控系统纳入国家安全执法工作。
2017年将会是工控安全领域暖风频吹的一年。据谢少锋透露,工信部今年将加快出台《工业控制系统信息安全保障行动计划》,进一步完善相关政策及标准体系。制定《工业控制系统信息安全防护能力评估方法》等系列规范标准,开展工控系统信息安全检查评估,推动形成常态化检查评估机制。
据了解,今年工信部还将实施工业控制系统信息安全保障能力提升工程,建设运营好国家工业信息安全发展研究中心,并继续抓好《防护指南》的宣贯落实,在全国范围内进行《防护指南》宣贯,强化工业企业责任主体意识,先期在电力、钢铁、石化、汽车、烟草等行业开展防护试点示范。
“作为关键信息基础设施的‘核心中枢’,我国对工业控制系统信息安全的重视程度日渐加深,政策带动效应将显现。”在刘权看来,政策层层推进有望推动工控安全防护升级。从政策的数量和内容来看,2017年工控安全行业有望迎来多重实质性利好。
企业工控安全意识待提高
虽然国家在政策层面给予了高度重视,但是和利时集团总工程师朱毅明对工控安全行业市场却没有那么乐观。作为一家自动化方案提供商,和利时也一直关注工控安全,“从买方市场看,市场还未很好地成形,需求也不是很明显。”朱毅明在接受《中国电子报》记者采访时表示,工控安全尚处于市场发展早期,成本相对偏高,出于安全意识淡薄以及节省成本的原因,除了一些央企和大型国企,很多中小企业似乎没有购买工控安全设备的打算。
“通过我们近两年的统计发现,只有不到5%的企业会自发地定期巡检,发现企业信息安全问题,95%以上的企业是被动告知,甚至有的是在遭受到相关网络安全的问题以后才重视的。”360副总裁、工业互联网协会安全组成员陶耀东也表达了类似的观点,在他看来,企业自身首先一定要重视安全的问题。
“从性质上判断,工控安全是生产经营安全,应当以人为本,坚持安全发展,坚持安全第一、预防为主、综合治理的方针,强化和落实工业企业主体责任,建立工业企业负责、职工参与、政府监管、行业自律的管理机制。”谢少锋强调,工控安全顶层设计滞后、工控安全工作机制不健全,企业工控安全责任意识淡薄,安全技术和产业基础薄弱等问题都需要引起高度重视。
“从技术上讲,我国工控安全防护技术相对落后,技术攻关有待进一步加强。”刘权表示,我国的仿真验证测试、在线监测预警等共性技术保障能力建设尚处于起步阶段,漏洞分析、芯片级硬件安全分析、态势感知、协议分析等技术能力严重不足,难以及时发现和应对针对工控系统的网络攻击,这些领域需要我国尽快实现突破。
“从用户端统计,2016年我国工控安全市场规模不到3亿元,占全国信息安全市场规模的比重仅为1%左右,仍处于市场导入期。“依照张格的判断,随着这两年的市场培育以及国家政策、《防护指南》的逐步推进实施,我国工控安全市场正在逐步成长,并有望在未来3~5年进入快速成长期。张格预计,5年后,我国工控安全市场规模将达到约20亿~30亿元,占信息安全市场规模的比重将达到5%~6%左右。