工業(yè)控制系統(tǒng)廣泛應(yīng)用于能源、水利、石化化工、裝備制造等工業(yè)生產(chǎn)領(lǐng)域,堪稱是國家關(guān)鍵生產(chǎn)設(shè)施和基礎(chǔ)設(shè)施運行的“神經(jīng)中樞”,一旦遭到破壞,可能造成人員傷亡、環(huán)境污染、停產(chǎn)停工等嚴(yán)重后果,將嚴(yán)重威脅國家經(jīng)濟(jì)安全、政治安全、社會穩(wěn)定和國家安全。當(dāng)下,互聯(lián)網(wǎng)與工業(yè)融合創(chuàng)新帶來的安全問題日益嚴(yán)峻,新興需求也使工控安全領(lǐng)域備受關(guān)注。今年針對工控安全領(lǐng)域國家還將出臺多項政策,在政策的密集鼓勵和推進(jìn)下,工控安全行業(yè)是否會真正迎來爆發(fā)?
工控安全存在兩大威脅
2015年5月,《中國制造2025》正式發(fā)布,其內(nèi)涵核心是把信息互聯(lián)技術(shù)與傳統(tǒng)工業(yè)制造相結(jié)合,形成生產(chǎn)智能化,提高資源利用率,以此來推動整個國家競爭力。未來,隨著《中國制造2025》的推進(jìn),工業(yè)領(lǐng)域設(shè)備聯(lián)網(wǎng)實現(xiàn)智能化將成為必然的趨勢。
“在信息技術(shù)全面滲透至人民生產(chǎn)生活各方面的今天,重視工控安全會讓中國制造的實施和關(guān)鍵信息基礎(chǔ)設(shè)施的運行更加可靠?!眹夜I(yè)信息安全發(fā)展研究中心網(wǎng)安部副主任張格在接受《中國電子報》記者采訪時表示,加強(qiáng)我國工控安全的管理和保障,提升我國工控系統(tǒng)安全防護(hù)水平,是保障《中國制造2025》安全實施推進(jìn)的迫切需求,對保障國家安全和社會穩(wěn)定具有重要意義。
與此同時,“互聯(lián)網(wǎng)+”時代,工業(yè)控制系統(tǒng)互聯(lián)互通的發(fā)展趨勢愈發(fā)明顯,在實現(xiàn)數(shù)據(jù)高效交互、信息資源共享的同時,也給針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊提供了可能?!霸缙诘墓た叵到y(tǒng)和企業(yè)管理系統(tǒng)是封閉、隔離的,隨著時代發(fā)展,為了實時數(shù)據(jù)采集與生產(chǎn)控制,需要將工控系統(tǒng)和企業(yè)管理系統(tǒng)直接通信交互。”在中國科學(xué)院院士何積豐看來,工控安全存在兩大威脅,一是系統(tǒng)相關(guān)的威脅,二是工控過程相關(guān)的問題,就是在生產(chǎn)過程中遭受攻擊。
從工控領(lǐng)域被攻擊所可能導(dǎo)致的后果來看,潛在威脅極大。“工業(yè)控制系統(tǒng)廣泛應(yīng)用于能源、水利、石化化工、裝備制造等工業(yè)生產(chǎn)領(lǐng)域,堪稱是國家關(guān)鍵生產(chǎn)設(shè)施和基礎(chǔ)設(shè)施運行的‘神經(jīng)中樞’,一旦遭到破壞,可能造成人員傷亡、環(huán)境污染、停產(chǎn)停工等嚴(yán)重后果,將嚴(yán)重威脅國家經(jīng)濟(jì)安全、政治安全、社會穩(wěn)定和國家安全。”賽迪智庫網(wǎng)絡(luò)空間研究所所長劉權(quán)對《中國電子報》記者表示,“震網(wǎng)”、“烏克蘭電網(wǎng)遭遇網(wǎng)絡(luò)攻擊”以及“以色列電力局遭網(wǎng)絡(luò)攻擊事件”等一系列針對工業(yè)控制系統(tǒng)的攻擊實例業(yè)已充分證明了通過網(wǎng)絡(luò)攻擊工業(yè)控制系統(tǒng),進(jìn)而癱瘓一國關(guān)鍵信息基礎(chǔ)設(shè)施的可行性。
可以看到,工控安全正深刻地影響著工業(yè)控制網(wǎng)絡(luò)產(chǎn)業(yè)的發(fā)展,是智能制造順利推進(jìn)的前提保障。工信部信息化和軟件服務(wù)業(yè)司司長謝少鋒在日前召開的全國信息化和軟件服務(wù)業(yè)工作座談會上也強(qiáng)調(diào),工控安全關(guān)乎企業(yè)安全、社會安全、經(jīng)濟(jì)安全乃至國家安全,在大力推動《中國制造2025》、兩化融合的今天,工控安全應(yīng)放在越來越重要的位置并加以重視。
政策推動工控安全防護(hù)升級
2016年可以說是中國工控安全市場的重要節(jié)點。這一年,我國先后出臺了多項政策法規(guī)來推動工業(yè)控制系統(tǒng)信息安全保障體系建設(shè),工業(yè)控制系統(tǒng)的信息安全政策環(huán)境進(jìn)一步優(yōu)化,工控安全正在成為國家安全新戰(zhàn)場。
去年5月頒布的《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》明確提出,要實施工業(yè)控制系統(tǒng)安全保障能力提升工程,制定完善工業(yè)信息安全管理等政策法規(guī),健全工業(yè)信息安全標(biāo)準(zhǔn)體系,提高工業(yè)信息系統(tǒng)安全水平。
去年10月,工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(以下簡稱《防護(hù)指南》),明確了工業(yè)企業(yè)開展工控安全防護(hù)工作的指導(dǎo)方針。
去年11月,第十二屆全國人大常委會第二十四次會議審議通過了《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》),并將于2017年6月1日起施行。《網(wǎng)絡(luò)安全法》明確提出,要保障關(guān)鍵信息基礎(chǔ)設(shè)施運行安全,對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險進(jìn)行抽查檢測,提出改進(jìn)措施等。
去年12月,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》,明確將保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施作為戰(zhàn)略任務(wù)。
此外,政府相關(guān)部門和安全主管部門組織實施了專門針對工控安全的大檢查,引起了整個社會的重視。去年,工信部組織開展了工業(yè)控制系統(tǒng)信息安全檢查和風(fēng)險通報,在全國31個省、區(qū)、市進(jìn)行工控安全檢查,涵蓋重要工業(yè)信息系統(tǒng)68022個,工業(yè)控制系統(tǒng)79457個,基本掌握我國工業(yè)企業(yè)工控安全現(xiàn)狀和面臨的風(fēng)險。而公安部也在去年5月份首次將工控系統(tǒng)納入國家安全執(zhí)法工作。
2017年將會是工控安全領(lǐng)域暖風(fēng)頻吹的一年。據(jù)謝少鋒透露,工信部今年將加快出臺《工業(yè)控制系統(tǒng)信息安全保障行動計劃》,進(jìn)一步完善相關(guān)政策及標(biāo)準(zhǔn)體系。制定《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估方法》等系列規(guī)范標(biāo)準(zhǔn),開展工控系統(tǒng)信息安全檢查評估,推動形成常態(tài)化檢查評估機(jī)制。
據(jù)記者了解,今年工信部還將實施工業(yè)控制系統(tǒng)信息安全保障能力提升工程,建設(shè)運營好國家工業(yè)信息安全發(fā)展研究中心,并繼續(xù)抓好《防護(hù)指南》的宣貫落實,在全國范圍內(nèi)進(jìn)行《防護(hù)指南》宣貫,強(qiáng)化工業(yè)企業(yè)責(zé)任主體意識,先期在電力、鋼鐵、石化、汽車、煙草等行業(yè)開展防護(hù)試點示范。
“作為關(guān)鍵信息基礎(chǔ)設(shè)施的‘核心中樞’,我國對工業(yè)控制系統(tǒng)信息安全的重視程度日漸加深,政策帶動效應(yīng)將顯現(xiàn)。”在劉權(quán)看來,政策層層推進(jìn)有望推動工控安全防護(hù)升級。從政策的數(shù)量和內(nèi)容來看,2017年工控安全行業(yè)有望迎來多重實質(zhì)性利好。
企業(yè)工控安全意識待提高
雖然國家在政策層面給予了高度重視,但是和利時集團(tuán)總工程師朱毅明對工控安全行業(yè)市場卻沒有那么樂觀。作為一家自動化方案提供商,和利時也一直關(guān)注工控安全,“從買方市場看,市場還未很好地成形,需求也不是很明顯?!敝煲忝髟诮邮堋吨袊娮訄蟆酚浾卟稍L時表示,工控安全尚處于市場發(fā)展早期,成本相對偏高,出于安全意識淡薄以及節(jié)省成本的原因,除了一些央企和大型國企,很多中小企業(yè)似乎沒有購買工控安全設(shè)備的打算。
“通過我們近兩年的統(tǒng)計發(fā)現(xiàn),只有不到5%的企業(yè)會自發(fā)地定期巡檢,發(fā)現(xiàn)企業(yè)信息安全問題,95%以上的企業(yè)是被動告知,甚至有的是在遭受到相關(guān)網(wǎng)絡(luò)安全的問題以后才重視的?!?60副總裁、工業(yè)互聯(lián)網(wǎng)協(xié)會安全組成員陶耀東也表達(dá)了類似的觀點,在他看來,企業(yè)自身首先一定要重視安全的問題。
“從性質(zhì)上判斷,工控安全是生產(chǎn)經(jīng)營安全,應(yīng)當(dāng)以人為本,堅持安全發(fā)展,堅持安全第一、預(yù)防為主、綜合治理的方針,強(qiáng)化和落實工業(yè)企業(yè)主體責(zé)任,建立工業(yè)企業(yè)負(fù)責(zé)、職工參與、政府監(jiān)管、行業(yè)自律的管理機(jī)制?!敝x少鋒強(qiáng)調(diào),工控安全頂層設(shè)計滯后、工控安全工作機(jī)制不健全,企業(yè)工控安全責(zé)任意識淡薄,安全技術(shù)和產(chǎn)業(yè)基礎(chǔ)薄弱等問題都需要引起高度重視。
“從技術(shù)上講,我國工控安全防護(hù)技術(shù)相對落后,技術(shù)攻關(guān)有待進(jìn)一步加強(qiáng)?!眲?quán)表示,我國的仿真驗證測試、在線監(jiān)測預(yù)警等共性技術(shù)保障能力建設(shè)尚處于起步階段,漏洞分析、芯片級硬件安全分析、態(tài)勢感知、協(xié)議分析等技術(shù)能力嚴(yán)重不足,難以及時發(fā)現(xiàn)和應(yīng)對針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊,這些領(lǐng)域需要我國盡快實現(xiàn)突破。
“從用戶端統(tǒng)計,2016年我國工控安全市場規(guī)模不到3億元,占全國信息安全市場規(guī)模的比重僅為1%左右,仍處于市場導(dǎo)入期。“依照張格的判斷,隨著這兩年的市場培育以及國家政策、《防護(hù)指南》的逐步推進(jìn)實施,我國工控安全市場正在逐步成長,并有望在未來3~5年進(jìn)入快速成長期。張格預(yù)計,5年后,我國工控安全市場規(guī)模將達(dá)到約20億~30億元,占信息安全市場規(guī)模的比重將達(dá)到5%~6%左右。