一、工業互聯網背景

工業互聯網是新一代信息技術與工業經濟深度融合的產物，具有泛在互聯、全面感知、智能優化、安全穩固等鮮明特征。近年來，我國工業互聯網蓬勃發展，有力提升了產業融合創新水平，加快了制造業數字化轉型步伐，推動了實體經濟高質量發展。然而，工業互聯網在改變生產方式和產業生態的同時，也面臨日益嚴峻復雜的網絡安全威脅和挑戰。

工業互聯網通過實現全要素的全面深度互聯，打通產品設計、生產、管理、服務等制造活動各個環節的信息流，實現資源動態調配，增強工業安全生產的感知、監測、預警、處置和評估能力，從而加速安全生產從靜態分析向動態感知、事后應急向事前預防、單點防控向全局聯防的轉變，提升工業生產本質安全水平。

二、網絡攻擊已經從影響虛擬世界向破壞物理世界轉變

工業互聯網安全已成為國家安全的重要組成部分，是制造強國與網絡強國戰略實施的基礎支撐，其重要性日益凸顯。我國現階段主要存在管理機制不健全、安全防護不到位、安全技術和產業支撐能力不足、安全主體意識薄弱等諸多不足。產業快速發展，促使提升安全保障能力迫在眉睫。

通用化、軟硬結合、互聯互通的技術變化直接帶來基礎設施攻擊面增大的后果，通過互聯網滲透到工業互聯網安全已成為一種重要途徑。傳統病毒與工控病毒相互交織，以計算機為跳板的攻擊在未來可能發展到直接攻擊控制系統上。

工業互聯網入侵很可能從利用O Day or 1 Day漏洞的高難度攻擊方式延伸到常規手段組合式攻擊，甚至繞過工控底層知識的壁壘。

正是由于工控入侵技術的新特點，導致工控系統安全風險加大，工業互聯網當前正面臨五大風險。

三、工業互聯網安全面臨的五大風險

一是漏洞劇增：國家工信安全中心完成全國工業控制系統威脅誘捕網絡部署工程，全年共捕獲來自境外105個國家和地區對我國實施的掃描探測、信息讀取等惡意行為超過600萬次。

我國工控安全漏洞形勢依舊嚴峻，近一年時間，CICSVD新收錄工業信息安全漏洞1500多個，其中通用型漏洞1400多個、事件型漏洞40多個。高危漏洞保持高位，新收錄的漏洞中，高危及以上漏洞共計900多個，其中超危漏洞200多個、高危漏洞700多個，合計占比高達64.1%，與2018年—2021年基本持平。新收錄的漏洞涉及德國西門子、法國施耐德電氣等220個工控品牌產品，較2020年增長35%。從受影響產品類型來看，共涉及10個大類64個小類，其中工業軟件、SCADA、組態軟件排名前3。

二是互聯互通：工控系統在建設之初較少考慮信息安全問題。較早建立的工控系統很少有與外網進行信息交互的需求，隨著“兩化融合”、“互聯網+”等概念的推進，工控系統與互聯網的信息交互變得十分必要且頻繁，工業現場要想繼續保持物理隔離已經不可能，這就把系統中隱藏的風險、漏洞暴露出來，同時也會引入新的風險。

三是攻擊趨易：當網絡安全專家用“自動化”描述網絡攻擊時，網絡攻擊已經開始了一個新的令人恐懼的“里程碑”，就像工業自動化帶來效率飛速發展一樣，網絡攻擊的自動化促使了網絡攻擊速度的大大提高。成為一名攻擊者越來越容易，需要掌握的技術越來越少，網絡上隨手可得的攻擊實例視頻和黑客工具，使得任何人都可以輕松地發動攻擊。

四是防護意識不強：工業生產系統的管理者和操作人員工業互聯網安全防護意識不強；缺乏工業互聯網安全專業化系統培訓，導致工作人員長期缺乏信息安全主動性，且難以對企業工業生產系統中存在的潛在風險進行排查和整改等。

五是應急響應機制不完善：部分工業企業雖擁有生產連續性的應對措施，但未建立工業互聯網安全應急響應機制，普遍缺少有針對性的專項預案；建立的應急預案不完善，難以應對日益復雜的信息安全威脅；缺少專業應急救援隊伍，未組織開展對應急預案的定期演練和修訂工作。

四、工業互聯網安全面臨的五大挑戰

一是安全失衡：即重發展、輕網絡，重業務系統、輕信息安全。縱觀國內安全市場，整個網絡安全投入占IT投入不足2%，而工業控制系統信息安全投入又不足IT安全投入的20%，再加上各工業企業在年度預算執行中，工業控制系統信息安全預算又少之又少。所以，從安全投入可以看出，不足量的投入難以保證全量的防護。

二是態勢失察：即資產底數不清、安全態勢不明、風險預警缺乏。工業控制系統一般運行15-20年，一條生產線或車間通常由多個設備廠商、集成商負責建設，且基本依靠第三方維護，資產清單（硬件、軟件、網絡拓撲、配置等）分布于不同的廠商、人員，沒有完整的資產清單。在系統進行設備、網絡連接、配置發生改變時，往往不進行更新，與現存的臺賬（竣工移交的資料）往往存在很大的區別，這是目前企業最為“頭疼”的病。

三是聯網混亂：為了生產上的便利，工業生產環境中越來越多的智能傳感器、設備、機器、應用系統與網絡進行連接，逐漸與辦公網、互聯網第三方網絡進行連接。再加上企業在日常維護過程中，經常把個人筆記本、手機等設備違規接入生產網絡，甚至非法外聯（手機熱點連接互聯網），使得網絡邊界越來越模糊，而又缺少必要的安全防護措施或者安全防護措施難以實施。

四是防護失效：由于工控系統的特殊性，導致大量現有的信息安全措施無法直接應用于工控安全防護的工作中；另外就是工業主機的操作系統版本老舊，大多數是windows XP及以下版本，這些操作系統的漏洞多，而且存在補丁不易更新、不敢更新、不想更新現象，另一方面微軟早已不提供補丁更新技術 。

五是力量失衡：由于我國工業互聯網安全研究力量分散，仍無專注于工控安全領域的權威先進的技術研究與支撐機構，工控安全保障技術體系還不完善，以至于目前對工控安全的態勢感知、有效防控、應急恢復、預測分析技術的保障能力還處于初級水平。

五、如何促進工業互聯網安全發展

對于上述五大風險和挑戰，可通過以下措施來提升工業互聯網的安全防護和保障能力。

1. 安全解決思路以《網絡安全法》、《關基信息基礎設施安全保護條例》等法律法規為背景，基于《信息安全技術網絡安全等級保護基本要求》以及《工業控制系統信息安全防護指南》為設計標準，通過建設安全技術體系和安全管理體系，構建一個可信、可控、可管的安全動態防御體系。

2. 在工業大數據安全技術與應用實踐過程中，以商用密碼構建基礎安全，才能實現工業大數據的采集、傳輸、存儲、分享、應用及安全保障，不斷支撐起整個工業數據的全生命周期安全流程。

3. 推進工業互聯網安全防護體系建設，加強對工業生產系統安全防護工作的組織領導和宏觀規劃，深入研究設計工業生產系統防護體系框架結構，制定工業生產系統的安全防護策略。

4. 建立工業互聯網安全防護預警及響應機制，建立統分結合、協調高效的預警及響應機制，加大工業生產系統安全應急演練，檢驗重要控制系統在遭遇大規模網絡攻擊時的應對能力。

5. 以安全運營平臺為抓手，建設集工業資產管理、安全感知、風險態勢、安全評估、應急處置、應急指揮、通報預警、安全培訓等能力為一體的實戰化運營體系，落實安全運營，保障工業生產網絡安全穩定運行。

安盟信息作為領先的新一代邊界安全、工業互聯網安全和商用密碼應用解決方案供應商，將不斷優化產品性能、豐富產品系列、提升解決方案能力，實現安全與業務深度融合，筑牢工控安全底座，加速構建自主可控的工業安全生態體系，賦能數字經濟發展，助力建設數字強國！