高云龍

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

隨著大數(shù)據(jù)、人工智能等新一代信息技術(shù)與工業(yè)控制系統(tǒng)深度融合，工業(yè)互聯(lián)網(wǎng)應(yīng)運而生[1]。工業(yè)互聯(lián)網(wǎng)通過人、機(jī)、物、數(shù)的互聯(lián)互通互用，有效提升了工業(yè)制造業(yè)的信息化、數(shù)字化、智能化水平，提高生產(chǎn)效率、降低經(jīng)營成本。美歐各國均積極布局工業(yè)互聯(lián)網(wǎng)，將工業(yè)互聯(lián)網(wǎng)視作搶占全球產(chǎn)業(yè)競爭新制高點的重要選擇，我國也將工業(yè)互聯(lián)網(wǎng)納入新基建七大重點領(lǐng)域之一，利用工業(yè)互聯(lián)網(wǎng)構(gòu)建國內(nèi)國際雙循環(huán)的新發(fā)展格局。然而，近年來針對工業(yè)制造業(yè)的安全事件層出不窮，2019年挪威鋁業(yè)巨頭海德魯遭受攻擊、2020年德國硅晶圓廠遭遇破壞、2021年美國能源系統(tǒng)遭到致命打擊等事實證明，安全是工業(yè)互聯(lián)網(wǎng)發(fā)展的重要基礎(chǔ)和根本前提。因此，本文從政策法規(guī)制定、標(biāo)準(zhǔn)體系建設(shè)、產(chǎn)業(yè)生態(tài)發(fā)展等角度認(rèn)真梳理美歐與我國工業(yè)互聯(lián)網(wǎng)安全發(fā)展的現(xiàn)狀，進(jìn)而提出推動我國工業(yè)互聯(lián)網(wǎng)安全發(fā)展的建議，這對我國工業(yè)互聯(lián)網(wǎng)安全發(fā)展至關(guān)重要。

1 美歐工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀

1.1 政策引領(lǐng)工業(yè)互聯(lián)網(wǎng)安全發(fā)展

美國始終將安全作為工業(yè)互聯(lián)網(wǎng)發(fā)展的重要環(huán)節(jié)，先后出臺多項政策法規(guī)引領(lǐng)工業(yè)互聯(lián)網(wǎng)安全發(fā)展。政策方面，2018年發(fā)布《美國先進(jìn)制造業(yè)領(lǐng)導(dǎo)力戰(zhàn)略》，指出要在制造業(yè)系統(tǒng)中實施網(wǎng)絡(luò)安全指南；2020年發(fā)布《保護(hù)工控系統(tǒng)：一體化倡議》，提出建立工控系統(tǒng)的安全功能，提高國家級工控系統(tǒng)抵御風(fēng)險能力。法規(guī)方面，2019年通過《網(wǎng)絡(luò)安全漏洞修補(bǔ)法案》，提出授權(quán)基礎(chǔ)設(shè)施安全局等部門協(xié)助關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商制定漏洞防護(hù)策略；2021年通過《2021年工控系統(tǒng)能力增強(qiáng)法案》，明確要加強(qiáng)識別和解決工控系統(tǒng)威脅，尤其是關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)[2]。

歐盟作為網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息安全的主要倡導(dǎo)者，近年來高度關(guān)注工業(yè)互聯(lián)網(wǎng)安全。歐盟方面，2019年發(fā)布《增強(qiáng)歐盟未來工業(yè)的戰(zhàn)略價值鏈》，提出建立歐洲可信數(shù)據(jù)空間，提高歐盟工業(yè)物聯(lián)網(wǎng)、網(wǎng)絡(luò)安全等六大戰(zhàn)略性產(chǎn)業(yè)全球領(lǐng)導(dǎo)地位；2021年通過《歐盟數(shù)字十年的網(wǎng)絡(luò)安全戰(zhàn)略》，指出要加強(qiáng)防范和打擊針對關(guān)鍵信息基礎(chǔ)設(shè)施等的網(wǎng)絡(luò)攻擊。成員國方面，德國2019年發(fā)布《工控系統(tǒng)安全面臨的十大威脅和反制措施》，深入介紹了工控系統(tǒng)安全產(chǎn)生原因和后果，同時提出反制措施，指導(dǎo)企業(yè)做好工業(yè)信息安全防護(hù)工作[3]。

1.2 標(biāo)準(zhǔn)助推工業(yè)互聯(lián)網(wǎng)安全發(fā)展

美國以國家標(biāo)準(zhǔn)技術(shù)研究院為主導(dǎo)，各類社會組織紛紛發(fā)聲，共同推動工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定[4]。國家層面，國家標(biāo)準(zhǔn)技術(shù)研究院2015年發(fā)布《工控系統(tǒng)安全指南》，概述了工控系統(tǒng)基本架構(gòu)、工控系統(tǒng)典型威脅和脆弱點、工控系統(tǒng)安全建設(shè)參考模型等，同時提出應(yīng)對安全威脅的策略；2016年發(fā)布《制造業(yè)與工控系統(tǒng)安全保障能力評估》草案，涵蓋行為異常檢測、工控應(yīng)用程序白名單、惡意軟件檢測與緩解、工控數(shù)據(jù)完整性四大議題，指導(dǎo)幫助制造業(yè)企業(yè)建設(shè)安全網(wǎng)絡(luò)系統(tǒng)；2017年發(fā)布《制造業(yè)網(wǎng)絡(luò)安全框架簡介》，從風(fēng)險管控角度指導(dǎo)制造商實施網(wǎng)絡(luò)安全防護(hù)；2020年發(fā)布《聯(lián)邦信息系統(tǒng)和組織的安全控制建議》，管控從超級計算機(jī)到工控系統(tǒng)到物聯(lián)網(wǎng)設(shè)備的所有類型的系統(tǒng)風(fēng)險[5]。社會組織層面，天然氣協(xié)會發(fā)布《監(jiān)控與數(shù)據(jù)采集系統(tǒng)通信的加密保護(hù)》；石油協(xié)會發(fā)布《石油工業(yè)安全指南》；工業(yè)互聯(lián)網(wǎng)聯(lián)盟發(fā)布《工業(yè)互聯(lián)網(wǎng)安全框架》[6]。

歐盟積極開展“關(guān)鍵性基礎(chǔ)設(shè)施保護(hù)項目”，促進(jìn)成員國間精誠合作，共同實施工控系統(tǒng)安全保護(hù)。歐盟方面，先后成立工控安全應(yīng)急響應(yīng)組、聯(lián)合網(wǎng)絡(luò)部門等機(jī)構(gòu)，負(fù)責(zé)應(yīng)對工信安全事件、編制工信安全標(biāo)準(zhǔn)[7]。成員國方面，各國均立足于本國國情，構(gòu)建以通用標(biāo)準(zhǔn)為核心的工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)：法國發(fā)布了《電氣設(shè)施信息安全管理》；荷蘭發(fā)布了《過程控制域——供應(yīng)商安全需求》；瑞典發(fā)布了《工控系統(tǒng)安全加強(qiáng)指南》[8]。

1.3 產(chǎn)業(yè)帶動工業(yè)互聯(lián)網(wǎng)安全發(fā)展

美國企業(yè)、聯(lián)盟雙輪驅(qū)動，共同推動工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)和安全互促互進(jìn)、協(xié)調(diào)發(fā)展。企業(yè)方面，通用電氣率先提出工業(yè)互聯(lián)網(wǎng)概念，在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域拔得頭籌；波音、福特等傳統(tǒng)制造業(yè)龍頭企業(yè)也紛紛布局工業(yè)互聯(lián)網(wǎng)，并在安全方面積極探索；霍尼韋爾、哈曼國際工業(yè)集團(tuán)等通過收購工業(yè)互聯(lián)網(wǎng)安全公司，快速進(jìn)軍工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)；甲骨文、IBM等IT企業(yè)憑借軟件服務(wù)、平臺建設(shè)等方面的優(yōu)勢，在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域迅速擴(kuò)張。聯(lián)盟方面，通用電氣聯(lián)合IBM、思科、英特爾、AT&T等企業(yè)共同發(fā)起成立工業(yè)互聯(lián)網(wǎng)聯(lián)盟，下設(shè)安全任務(wù)組，制定發(fā)布《安全成熟度模型》《在實踐中管理和評估IIoT》等一系列有影響力的白皮書，有效促進(jìn)工業(yè)互聯(lián)網(wǎng)安全發(fā)展。

歐盟各成員國政府、企業(yè)持續(xù)發(fā)力，加快推進(jìn)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展。政府層面，德國政府支持工程院、弗勞恩霍夫協(xié)會、西門子等產(chǎn)學(xué)研用機(jī)構(gòu)共同推動工業(yè)互聯(lián)網(wǎng)平臺建設(shè)，明確了規(guī)范與標(biāo)準(zhǔn)、安全、研究與創(chuàng)新三大主題。企業(yè)層面，德國西門子、法國施耐德等工業(yè)安全集成組件供應(yīng)商不斷提升工業(yè)互聯(lián)網(wǎng)安全服務(wù)，工控安全運維份額逐年提升；德國大陸集團(tuán)、法國泰雷茲集團(tuán)等公司依托原有市場基礎(chǔ)，收購網(wǎng)絡(luò)安全企業(yè)，開辟工信安全市場。

2 我國工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀

2.1 工業(yè)互聯(lián)網(wǎng)安全政策法規(guī)持續(xù)完善

近年來，我國政府高度重視工業(yè)互聯(lián)網(wǎng)發(fā)展與安全，相關(guān)政策法規(guī)日益完善。2017年國務(wù)院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng) + 先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》，指出要提升先進(jìn)制造業(yè)安全防護(hù)能力，建立健全防護(hù)體系。2019年工信部等十部委聯(lián)合印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》，指出到2025年基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系。2020年3月工信部出臺《關(guān)于推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》，提出要統(tǒng)籌推進(jìn)工業(yè)互聯(lián)網(wǎng)發(fā)展與安全；同年12月工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021-2023年）》，提出構(gòu)建多部門協(xié)同的安全管理體系。

2.2 工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系加快建立

隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，安全標(biāo)準(zhǔn)不斷建立[9]。國家標(biāo)準(zhǔn)方面，2016年發(fā)布《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全》系列標(biāo)準(zhǔn)，規(guī)范了工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全的檢測、評估、防護(hù)和管理準(zhǔn)則，提供了安全評估標(biāo)準(zhǔn)；2018年發(fā)布《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》，規(guī)定了基于風(fēng)險評估的工控系統(tǒng)安全等級劃分模型和定級要素，提出了工控系統(tǒng)安全的四個重要等級特征。行業(yè)標(biāo)準(zhǔn)方面，2020年發(fā)布《工業(yè)互聯(lián)網(wǎng)安全防護(hù)總體要求》，明確防護(hù)的范圍、內(nèi)容、級別和要求，為工業(yè)互聯(lián)網(wǎng)安全防護(hù)實施提供指導(dǎo)；2021年發(fā)布《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)要求》，規(guī)定了工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全范疇和數(shù)據(jù)類型，規(guī)范了數(shù)據(jù)分級和數(shù)據(jù)分級保護(hù)。

2.3 工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)市場不斷擴(kuò)大

隨著我國工業(yè)互聯(lián)網(wǎng)安全政策和標(biāo)準(zhǔn)日趨完善，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)市場不斷擴(kuò)大[10]。產(chǎn)業(yè)規(guī)模方面，2019年，我國工信安全產(chǎn)業(yè)規(guī)模達(dá)99.7億元，同比增長41.8%，其中工業(yè)互聯(lián)網(wǎng)安全規(guī)模達(dá)38.3億元，占比36.4%，同比增長51.6%；預(yù)計2021年工業(yè)互聯(lián)網(wǎng)安全市場規(guī)模將達(dá)228億元。投融資方面，奇安信、啟明星辰等企業(yè)不斷加大投入力度，全力推進(jìn)工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)和市場拓展。初創(chuàng)企業(yè)方面，長揚(yáng)科技、安點科技以工業(yè)互聯(lián)網(wǎng)安全為主要業(yè)務(wù)方向，積極布局能源、制造、化工等領(lǐng)域的工業(yè)互聯(lián)網(wǎng)安全，服務(wù)國際客戶，引領(lǐng)行業(yè)發(fā)展。

3 啟示建議

3.1 深化工業(yè)互聯(lián)網(wǎng)安全政策法規(guī)制定

國家層面，將工業(yè)互聯(lián)網(wǎng)安全提升至國家安全的戰(zhàn)略高度，明確工業(yè)互聯(lián)網(wǎng)安全的目標(biāo)定位和發(fā)展方向，強(qiáng)化頂層設(shè)計，制定完善的政策法規(guī)、制度體系、戰(zhàn)略規(guī)劃、行動計劃；建立健全監(jiān)督管理、風(fēng)險評估、監(jiān)測應(yīng)急、數(shù)據(jù)保障等制度機(jī)制，界定安全監(jiān)管主體責(zé)任，制定負(fù)面清單、責(zé)任清單；強(qiáng)化工業(yè)企業(yè)安全意識，逐步形成控風(fēng)險、防未然的安全發(fā)展體系。地方層面，結(jié)合國家對工業(yè)互聯(lián)網(wǎng)安全發(fā)展的整體布局和各地工業(yè)互聯(lián)網(wǎng)發(fā)展的優(yōu)勢特色，制定可操作、可執(zhí)行、可落實的實施方案和工作指南，注重政策落地效果；組織地域內(nèi)工業(yè)企業(yè)開展工業(yè)互聯(lián)網(wǎng)安全應(yīng)急演練、攻防對抗，促進(jìn)形成共建共練、聯(lián)防聯(lián)控的發(fā)展新局面。

3.2 優(yōu)化工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系建設(shè)

總體層面，組織協(xié)調(diào)國家主管部門、行業(yè)監(jiān)管部門、科研院所、龍頭企業(yè)等共同合作，圍繞工業(yè)互聯(lián)網(wǎng)設(shè)備安全、網(wǎng)絡(luò)安全、平臺安全、控制安全、數(shù)據(jù)安全、應(yīng)用安全等加快研制國家標(biāo)準(zhǔn)，規(guī)范工業(yè)互聯(lián)網(wǎng)管理、防護(hù)、測試、評估等工作；及時推進(jìn)工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的貫標(biāo)工作，加強(qiáng)場景應(yīng)用推廣，發(fā)揮標(biāo)準(zhǔn)的規(guī)范作用和引領(lǐng)作用；積極參加國際或區(qū)域工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定，不斷促進(jìn)我國標(biāo)準(zhǔn)走出去。細(xì)分層面，建立健全電力能源、石油化工等垂直領(lǐng)域工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系，超前布局重點行業(yè)安全標(biāo)準(zhǔn)；鼓勵支持團(tuán)體標(biāo)準(zhǔn)研究制定，積極發(fā)揮團(tuán)體標(biāo)準(zhǔn)的創(chuàng)新優(yōu)勢，促進(jìn)標(biāo)準(zhǔn)化工作探索式發(fā)展。

3.3 強(qiáng)化工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)生態(tài)發(fā)展

技術(shù)創(chuàng)新方面，鼓勵校企、院企合作，推動產(chǎn)學(xué)研用技術(shù)對接與攻關(guān)，突破關(guān)鍵核心技術(shù)，加強(qiáng)自主可控研發(fā)，提供系統(tǒng)化、體系化的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和解決方案。企業(yè)培育方面，以試點示范為抓手，遴選最佳實踐，加快培育工業(yè)互聯(lián)網(wǎng)安全國有骨干企業(yè)和龍頭企業(yè)，鼓勵中小微型工業(yè)互聯(lián)網(wǎng)安全企業(yè)持續(xù)創(chuàng)新，不斷提高我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)力量，形成健全完善的產(chǎn)業(yè)鏈和生態(tài)鏈。聯(lián)盟建設(shè)方面，加大力度支持工業(yè)互聯(lián)網(wǎng)聯(lián)盟，推進(jìn)工業(yè)互聯(lián)網(wǎng)安全企業(yè)、高校、院所、社會組織等廣泛合作，促進(jìn)產(chǎn)業(yè)鏈各環(huán)節(jié)信息共享和資源整合。

4 結(jié)論

工業(yè)互聯(lián)網(wǎng)作為新基建和新工業(yè)生態(tài)，正逐漸成為新一輪科技革命和產(chǎn)業(yè)變革的重要驅(qū)動力量，同時也日益成為網(wǎng)絡(luò)安全的主戰(zhàn)場。因此，本文借鑒美歐工業(yè)互聯(lián)網(wǎng)安全發(fā)展經(jīng)驗，從政策法規(guī)、標(biāo)準(zhǔn)體系、產(chǎn)業(yè)生態(tài)三個方面對我國工業(yè)互聯(lián)網(wǎng)安全發(fā)展提出建議。政策法規(guī)方面，積極發(fā)揮國家政策的指導(dǎo)引領(lǐng)作用，有針對性地制定地方政策。標(biāo)準(zhǔn)體系方面，完善總體標(biāo)準(zhǔn)制定，探索研究行業(yè)標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn)。產(chǎn)業(yè)生態(tài)方面，加強(qiáng)技術(shù)創(chuàng)新，加快企業(yè)培育，推動聯(lián)盟建設(shè)，積極打造健全完善的產(chǎn)業(yè)鏈和生態(tài)鏈。