I 总报告 GeneralReport
B.1 工业信息安全态势和趋势
孙倩文 李端 闫寒 刘芷君 徐杰 李晓婷 叶晓亮 陈羽凡[1]
摘 要:2020年,新冠肺炎疫情的暴发引发新的经济危机、治理危机和国际秩序危机,各类风险日益增加并相互交织,尤其在中美博弈背景下,网络安全、供应链安全等新型风险的重要性凸显。总体来看,主要国家和地区频繁在工业领域系统设备的供应链安全推行限制政策加强管控力度。在新冠肺炎疫情造成的冲突背景下,针对医疗、电力、交通等相关敏感领域网络攻击的负面影响突出。我国工业信息安全管理体系、技术保障体系、产业生态体系、人才队伍体系建设取得重要进展,但还存在安全风险短期内难以摆脱、技术创新成效不够突出、安全协同能力有待提升、行业发展成熟度不高等问题挑战。面向“十四五”时期工业互联网等新型基础设施建设发展趋势、“5G+工业互联网”融合发展趋势,工业信息安全的风险与机遇同步增加,在现阶段发展累积的政策基础、机制基础、产业基础和人才基础之上,有望发展建立政、产、学、研、用深度合作机制,推动从工业信息安全发展从协同治理走向共同治理。
关键词:工业信息安全;网络攻击;工业信息安全产业
Abstract:In 2020,the global outbreak of COVID-19 triggers a new economic crisis,governance crisis and international order crisis.Various risks are increasing and interwoven,especially in the context of the game between China and the United States,the importance of new risks such as cyber security and supply chain security is highlighted.In general,major countries frequently implement restrictive policies in the supply chain security of industrial systems and equipment to strengthen control.In the context of the conflict caused by the epidemic,the negative impact of cyber attacks on sensitive areas such as health care,electricity and transportation is prominent.Chinese industrial information security management system,technical support system,industrial ecosystem,talent team system construction has made important progress,but there are still security risks in the short term is difficult to get rid of,the effectiveness of technological innovation is not outstanding,security synergistic ability to improve,industry development maturity is not high issues and challenges.Oriented the development trend of the new infrastructure construction,such as the Industrual Internet during the"14th Five-Year Plan"period,"Internet"5G+industry integration development trend,industry to increase the information security risk and opportunity,in the accumulation of the current development policy,mechanism,industrial foundation and talent,is expected to development administration,production,study and research,with the depth of the cooperation mechanism,Promote the development of industrial information security from collaborative governance to joint governance.
Keywords:Industrial Information Security;Cyber Attacks;Industrial Information Security Industry
一、工业信息安全2020年发展态势
新冠肺炎疫情、中美战略博弈加速暴露产业链供应链安全风险,美国、欧盟等国家和地区在重要工业领域针对系统设备采购和使用出台限制性管控举措,试图从根源降低风险。全球工业信息安全事件涉及十余个工业领域,其中,装备、能源和医疗等行业受影响较为严重,与互联网的联通仍是网络威胁最主要的来源。我国工业信息安全管理取得里程碑式成效,《工业控制系统信息安全行动计划(2018—2020年)》《工业互联发展行动计划(2018—2020年)》均圆满收官,漏洞报送机制基本健全,分类分级制度加速落地,安全监测平台初步建成,产业发展保持稳步增长,人才培育模式多元化发展,为全面构建工业信息安全良好生态奠定了重要基础。
(一)工业系统设备供应链安全举措更加落地
1.美国进一步强化国防工业、电力能源领域供应链安全管控
美国2020年在国防工业、电力能源等重要工业领域以供应商为重点管控对象加强能力认证和安全管控。①国防工业领域。2020年1月,美国国防部发布《网络安全成熟度模型认证(CMMC)1.0版》,要求开展国防工业供应商网络安全能力评价,计划在2026年实现对所有国防工业供应商的强制性第三方网络安全认证。2020年5月,美国国家安全局启动了名为“secure DNS”的试点计划,确保美国国防承包商强化域名系统使用安全,防范恶意软件威胁。②电力能源领域。2020年5月,美国总统签署《确保美国大容量电力系统安全》行政令,授权美国能源部长研制电力设备和供应商认证标准,牵头成立关于能源基础设施采购政策的特别工作组,禁止采购对国家安全造成风险的海外电力设备。
2.美欧重视评估和应对5G基础设施采购、开发和部署中的供应链安全风险
2020年,美国、欧盟尤为关注5G供应商的安全性。2020年1月,欧盟委员会发布5G网络安全“工具箱”,建议成员国评估5G网络供应商风险状况,对高风险供应商实施限制,避免依赖单一供应商。2020年3月,美国白宫发布《国家5G安全战略》,强调评估和解决全球5G基础设施开发和部署过程中的安全风险,要求依据相关政策法规管理美国联邦政府5G基础设施部署中的供应链风险,同时应对来自高风险供应商的风险。2020年8月,美国国土安全部网络安全和基础设施安全局(CISA)发布《CISA 5G战略:确保美国5G基础设施安全和韧性》,强调要增强对5G供应链风险的态势感知,并推广安全措施,培养值得信赖的5G供应商。
3.多个国家和地区在物联网供应链安全领域出台实操性举措
为应对万物互联带来的网络安全风险,主要国家和地区对物联网设备制造商提出安全准则,确保物联网供应链上的设备和技术部署中的安全性。2020年8月,加拿大隐私事务专员办公室发布《物联网设备制造商隐私指南》,强调物联网设备制造商在个人信息保护方面的合规要求。2020年9月,澳大利亚政府发布《行为准则:保障消费者物联网安全》,为物联网设备制造商提供了提升物联网设备安全性的13条自愿的行为准则。2020年11月,欧盟网络安全局(ENISA)发布《保护物联网准则》,提出了确保物联网供应链安全的准则,为物联网开发全生命周期的安全性提供了指南,指导开发人员、制造商、集成商等利益相关者在物联网供应链各环节进行安全决策。2020年12月,美国总统签署美国第一部国家物联网安全法《物联网网络安全改进法案》,通过为美国政府机构购买的物联网设备设定最低安全标准的方式应对相关网络风险。
(二)装备、能源、医疗等领域受攻击影响严重
根据国家工业信息安全发展研究中心监测数据显示,2020年全球有公开报道的工业信息安全事件约70件,涉及8大领域,16个细分领域(见图1-1)。装备制造、能源(电力、石油和天然气)等行业为遭受网络攻击最严重的领域,占比分别达到27%、21%。交通运输、电子信息制造、消费品制造、水利等行业网络攻击呈现高发态势。事件集中发生在4—6月和12月(见图1-2)。
1.医疗行业受疫情影响遭受较多网络攻击
在新冠肺炎疫情背景下,2020年全球医疗行业网络安全事件数量明显增多,集中发生在全球疫情态势严峻期间,且针对医疗机构甚至疫苗研发机构的攻击较多。例如,2020年4月19日,美国联邦调查局(FBI)确认已有外国政府黑客侵入美国新冠病毒研究机构,FBI称这些国家意在收集有关细节,甚至窃取机密。2020年4月27日,北京汇医慧影公司遭黑客入侵,该公司的新冠病毒检测技术及数据被黑客公开出售。2020年11月,微软发现3起针对新冠病毒疫苗研发公司的APT攻击。2020年12月9日,通用电气医疗成像设备被披露存在数据泄露风险,攻击者可使用医疗成像设备未更改的硬编码密码来获取设备上的患者数据,也可破坏设备的正常运行。
图1-1 2020年全球工业信息安全事件涉及领域分布
资料来源:国家工业信息安全发展研究中心整理。
图1-2 2020年全球工业信息安全事件发生时间分布
资料来源:国家工业信息安全发展研究中心整理。
2.勒索软件仍为攻击者最青睐的攻击手段
一方面,原本还存在老旧漏洞的工业设备加速“上网”;另一方面,勒索软件具有攻击面广、攻击收益高等特点,导致工业领域勒索软件攻击事件频频发生。根据国家工业信息安全发展研究中心监测数据显示,2020年勒索软件是众多事件成因(勒索软件、弱密码验证防护、APT攻击、未授权访问、国家网络攻击、代码注入等)中的最主要原因,2018—2020年,勒索软件攻击导致的工业信息安全事件占比连续3年增长,连续两年处于全球工业信息安全事件成因首位,远远高于其他攻击手段,2020年该比例甚至高达57.1%(见图1-3)。
图1-3 2018—2020年全球勒索软件导致的工业信息安全事件占比
资料来源:国家工业信息安全发展研究中心整理。
3.数据泄露问题依然严峻
根据国家工业信息安全发展研究中心监测数据显示,2018—2020年数据相关安全事件全年占比呈现增长趋势,涉及领域进一步扩大,2020年占比达35.6%,涉及领域达到3年最高水平(见图1-4)。①能源领域。2020年4月10日,美国能源行业劳动力市场和服务提供商RigUp遭遇网络攻击,泄露了76000份美国能源行业组织和个人的私人文件。②汽车制造领域。2020年4月27日,美国智能停车收费系统制造商CivicSmart遭到勒索软件攻击,159GB数据发生泄漏。③交通运输领域。2020年6月9日,美国圣安东尼奥航空航天公司遭网络入侵,导致1.5TB敏感数据泄露。
图1-4 2018—2020年全球涉及数据泄露的工业信息安全事件发展趋势
资料来源:国家工业信息安全发展研究中心整理。
(三)互联网威胁仍是工业控制系统最大的威胁来源
1.受新冠肺炎疫情影响,针对工业主机的网络攻击有所减少
根据卡巴斯基ICS-CERT监测数据显示,2020全球范围内每月约有16%的工业计算机遭到网络攻击,比例相较于前两年(20%以上)有所下降(见图1-5)。但更易遭受攻击的地区与往年类似,工业控制系统(以下简称“工控系统”)遭受攻击比例较高的地方多处于产业链中低端、以制造加工为主的亚洲、非洲等地区,欧洲、北美等地区的受攻击比例较低。我国连续多个月位列全球工控系统遭受攻击比例较高国家和地区的前十名,工业信息安全风险依旧严峻(见表1-1)。
图1-5 2018—2020年全球受攻击的工业主机比例
资料来源:卡巴斯基ICS-CERT,国家工业信息安全发展研究中心整理。
表1-1 2020年全球工控系统遭受攻击比例较高的国家和地区
资料来源:卡巴斯基ICS-CERT,国家工业信息安全发展研究中心整理。
2.互联网仍是工业主机最大的威胁来源
根据卡巴斯基ICS-CERT监测数据,互联网、可移动存储设备、电子邮件是工业主机3个最主要的威胁来源(见图1-6)。虽然2020年受疫情和其他因素等多方面影响,工业主机受攻击的比例有所下降,但来自互联网的安全威胁仍是工控系统最大的威胁来源,受攻击比例约为7%。
图1-6 2020年受攻击工业主机的威胁来源
资料来源:卡巴斯基ICS-CERT,国家工业信息安全发展研究中心整理。
(四)工控系统安全漏洞报送机制进一步健全
1.工控系统安全漏洞数量持续增长
根据国家信息安全漏洞共享平台(CNVD)的数据进行统计,2020年新增工控系统安全漏洞数达682个,增长率为20%(见图1-7)。2020年新增漏洞中,含高危漏洞272个、中危漏洞364个,中高危漏洞占比高达93.3%;有厂商修复补丁的漏洞数量为315个,占比为46.2%。
图1-7 2014—2020年新增工控系统安全漏洞数量及增长率
资料来源:国家信息安全漏洞共享平台(CNVD)。
2.多种类型的工控安全漏洞被挖掘
2020年,在国家工业信息安全漏洞库(CICSVD)收录的通用型漏洞中,共涉及31种漏洞成因类型,主要漏洞类型及其数量如图1-8所示。其中,缓冲区错误漏洞数量最多。数量排名前6的漏洞类型还有输入验证错误、授权问题、资源管理错误、拒绝服务、权限许可和访问控制问题。在收录的通用型漏洞中,从厂商角度看,涉及西门子、施耐德电气、研华科技等企业相关产品的漏洞数目较多(见图1-9);从产品类型看,PLC、组态软件、工业路由器、SCADA等产品的漏洞数量较多(见图1-10)。
图1-8 2020年CICSVD收录漏洞的主要类型
资料来源:国家工业信息安全发展研究中心《2020年工业信息安全漏洞态势年度简报》。
根据美国网络安全和基础设施安全局(CISA)发布的《工业控制系统安全威胁情报》,2020年新增或更新威胁情报达283条,其中,新增发布249条,涉及漏洞812个,2020年新发布的漏洞516个。涉及关键制造领域的安全漏洞约为总数的21.73%,能源、供水和废水系统等领域的漏洞数量也较多,关键工控系统和信息基础设施系统的脆弱性暴露明显(见图1-11)。
图1-9 2020年CICSVD收录漏洞涉及的厂商
资料来源:国家工业信息安全发展研究中心《2020年工业信息安全漏洞态势年度简报》。
图1-10 2020年CICSVD收录漏洞涉及的产品种类
资料来源:国家工业信息安全发展研究中心《2020年工业信息安全漏洞态势年度简报》。
图1-11 2020年已公开工控系统安全漏洞涉及的主要行业领域
资料来源:美国网络安全和基础设施安全局(CISA)。
(五)分类分级安全管理制度加快构建
1.工业数据安全防护要求持续加码
工业数据作为新的生产要素资源,在支撑制造业数字化转型中的重要作用日益凸显,针对工业数据安全保护力度逐步升级、持续加大。2020年3月,工业和信息化部发布《关于推动工业互联网加快发展的通知》,提出要加快健全安全保障体系,完善安全技术监测体系,健全安全工作机制,加强安全技术产品创新,督促指导企业提升安全水平。2020年4月,工业和信息化部印发《关于工业大数据发展的指导意见》,要求构建工业数据安全管理体系,明确企业安全主体责任和各级政府监督管理责任,构建工业数据安全责任体系。
2.分类分级导向提升精准化防护能力
2020年2月,工业和信息化部办公厅印发《工业数据分类分级指南(试行)》的通知,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享。根据文件的任务部署,工业数据分类分级应用试点工作深入推进,按照“企业点突破、行业线贯通、地方面推广”的思路,立足行业特征,进一步细化了数据分类目录和分级量化指标,有效引导企业落实工业数据分类分级管理主体责任,提升数据管理和安全防护能力,有效挖掘和释放数据的潜在价值。2021年1月,工业和信息化部办公厅印发《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》,选定天津、吉林、上海等15个省(区、直辖市)开展试点,旨在探索可复制、可推广的工业互联网网络安全分类分级管理模式,总结一批典型解决方案,选拔一批优秀示范企业,培育一批专业服务机构。
3.安全标准制定支撑防护措施加快落地
工业信息安全领域关键性标准加快制定,2020年4月,工业和信息化部发布《网络数据安全标准体系建设指南》(征求意见稿),提出到2021年初步建立网络数据安全标准体系。2020年5月,由国家工业信息安全发展研究中心牵头起草的《工业互联网数据安全防护指南》作为国家标准研究项目立项,从通用防护、分类防护、分级防护3个维度提出工业互联网数据安全防护框架。2020年12月,工业和信息化部办公厅印发了《电信和互联网行业数据安全标准体系建设指南》,要求工业互联网安全重点关注控制系统、设备、网络、数据、平台、应用程序安全和安全管理等。工业互联网领域的数据安全标准主要包括工业互联网数据安全保护、工业互联网数据分级技术等。
(六)多级联动的安全保障平台基本建成
1.国家级工业信息安全技术保障平台基本建成
①工控系统信息安全方面。根据《工业控制系统信息安全行动计划(2018—2020年)》,到2020年,建成全国在线监测网络、应急资源库、仿真测试平台、信息共享平台、信息通报平台(一网一库三平台),态势感知、安全防护、应急处置能力显著提升。国家级工业信息安全技术机构持续完善主动监测、被动诱捕、威胁情报获取等工控安全在线监测手段,扩展工控系统资产识别种类,提高识别精准度和搜索效率。②工业互联网安全方面。工业互联网安全保障体系加快建设,国家、省、企业三级联动的技术监测能力基本建立,覆盖机械制造、电子信息等14个重点工业领域、150个重点工业互联网平台,应对工业互联网威胁的监测预警、信息共享、通报处置闭环工作机制初步建立,产业生态、技术攻关、服务供给等市场化要素加码推进。
2.工业互联网创新发展工程和试点示范成效显著
3年来,工业互联网创新发展工程(安全方向)累计支持网络安全产业链协同创新、公共服务平台建设等200多个项目,投入财政资金约60亿元,带动社会投资近200亿元,边界防护、态势感知、安全审计、拟态防御等一批核心技术加快突破。2020年4月,工业和信息化部对2020年工业互联网创新发展工程项目进行公开招标,包含省级工业互联网安全态势感知平台、工业互联网数据可信交换共享服务平台等一批工业互联网安全项目。2020年7月,中标候选人公示(见表1-2)。同时,网络安全技术应用试点示范继续加强项目支持。2020年11月,工业和信息化部办公厅公布了177个网络安全技术应用试点示范项目,其中,新型信息基础设施安全类中包含工业互联网安全、车联网安全、物联网安全等项目。
表1-2 2020年工业互联网创新发展工程安全项目及中标候选人
续表
续表
续表
资料来源:国家工业信息安全发展研究中心整理。
3.新技术与工业信息安全加快融合创新应用
人工智能、区块链、大数据、云计算等技术与工业信息安全加速融合,涌现出一批技术创新成果和行业应用。一是互联网企业输出集成安全能力的系统及软件。阿里云盾提供DDoS防护、主机入侵防护、Web应用防火墙、态势感知等“一站式”安全产品及服务,助力提升工业互联网平台安全防护水平。二是安全企业提升融合安全解决方案供给能力。基于人工智能的恶意流量检测、工控系统漏洞挖掘、恶意代码检测、异常行为发现等工具技术和产品,基于区块链的全流程可追溯技术,基于边缘计算的隔离技术等成为当前行业领域热点。例如,奇虎360、启明星辰等安全厂商为航天云网Indics工业互联网平台建立病毒库、漏洞库及防护工具库,支持平台入侵检测、漏洞扫描和主动防御。三是平台企业加快提升自身安全防护能力。海尔COSMOPlat工业互联网平台自主研发海安盾安全防护系统,以工业IaaS层的虚拟化安全、主机安全为重点,形成集态势感知、业务系统安全分析、漏洞发现为一体的安全解决方案。树根互联根云平台聚焦PaaS和SaaS层安全,支持平台主机、应用的安全审计和工业App上线前安全检测与加固。
(七)资本助力产业规模逆势保持稳步增长
1.政策利好与安全需求共同驱动,助力产业整体规模持续增长
在大力部署推进5G、工业互联网等新型基础设施建设的正向推动下,新冠肺炎疫情倒逼工业企业加强网络安全防护,受政策和需求双重因素的驱动,2020年,我国工业信息安全产业表现抢眼。根据国家工业信息安全发展研究中心调研数据,2019年,我国工业信息安全产业规模保持快速上升之势,产业规模为99.74亿元,市场增长率达41.84%,其中,工业互联网安全产业规模为38.3亿元,较2018年同比增长51.62%。经综合研判,预计2020年我国工业信息安全市场增长率将达23.13%,市场整体规模将增长至122.81亿元。
2.产融合作未受疫情影响,资本活跃度不减
据统计,2020年我国工业信息安全产业投融资事件共16起,基本与2019年持平,占全年网络安全投融资事件的25%(见表1-3),资本活跃度较高。一是资本整体看好工业信息安全潜在市场。受新冠肺炎疫情影响,资本对产业投资态度相对谨慎。但在工业信息安全领域,资本在早期项目及中后期项目皆有涉猎,天防安全、六方云等高成长性企业更是在2020年两度获得资本加持。二是国家资本参与工业信息安全行业整合。例如,2020年11月,由国金证券直投基金国金鼎兴领投,上海国有资产管理委员会下属上海国鑫投资、宝鼎投资,清华大学研究院直投基金清研资本,浙江国有创投基金台州金控,上海市国有创投基金上海锦冠、上海镕乐,广东政府引导基金蚁米基金、金泉渡基金等共同参与完成对博智安全的D轮3.7亿元投资。三是上市企业投资价值深获认可。Wind数据显示,2020年7月22日,奇安信正式挂牌科创板,股价开盘上涨138%,截至收盘报133.55元,市值907.63亿元。此次IPO原计划募资45亿元,但上市前夕已实现超募57.19亿元,创同类型企业A股募资额新高。
表1-3 2020年国内工业信息安全厂商融资情况
资料来源:国家工业信息安全发展研究中心整理。
3.全国工控安全深度行活动加快推进行业交流和技术进步
2020年国家工业信息安全发展研究中心累计举办8场全国工控安全深度行活动,分别为江苏站、四川站、云南站、山西站、辽宁站、江西站、京津冀站、河南站。综合运用工业信息安全高峰论坛、攻防对抗赛、工业企业调研等形式手段,全面展现工控系统信息安全技术研究、态势感知、应急保障、产业促进等工作进展,提升行业热度,促进产学研用协同。工业信息安全高峰论坛邀请研究院所专家、行业代表围绕“工控安全行业实践”进行交流和研讨,共议工控安全防护能力现状及产业发展等热点话题,对推进一网一库三平台建设、构建工控安全保障体系、指导工业企业提升工控安全防护能力具有重要意义。
(八)工业信息安全人才培育模式多元发展
1.网络安全、信息安全学科建设增加工业信息安全学科人才供给
为推进国家安全战略实施,加快高层次人才培养,2015年教育部增设“网络空间安全”一级学科。2020年3月,教育部公布《教育部关于公布2019年普通高等学校本科专业备案和审批结果的通知》,我国新增19个网络空间安全专业点,另有8所高等院校增设信息安全专业。截至目前,我国网络空间安全本科专业点累计达72个,信息安全本科专业点达140个。高等院校相关专业的开设壮大成为工业信息安全学科人才的主要培养途径。2020年,国家工业信息安全发展研究中心围绕工业互联网安全、信息系统和设备安全等举办工业信息安全大讲堂,从工业企业安全技术落地的实际需求和防护痛点出发,对系统软硬件的攻击面和安全防护进行解读和建议,累计观看企业数量超过400家。
2.工业信息安全赛事实践助力挖掘、培育、锤炼实战型人才
我国对标DEFCON、Pwn2Own等世界顶级网络安全比赛,积极推动网络安全相关领域竞赛的发展。2020年,我国网络安全相关竞赛丰富多样,具有一定规模和行业影响力的竞赛超过20场,其中,工业信息安全领域有7场(见表1-4),包括2020年全国工业互联网安全技术技能大赛、2020年电力行业网络安全攻防邀请赛、“中能融合杯”第六届全国工控系统信息安全攻防竞赛、2020年福建省第三届工业控制系统信息安全攻防大赛暨首届工业互联网安全技术技能大赛等,聚焦工业信息安全领域风险识别,全面推动安全技术应用,选拔了一批面向实战的工业信息安全队伍和选手,助力培养更多兼备信息安全与工业技术背景的复合型人才。
3.校企联合实验室面向产业需求输出行业人才
校企联合实验室发挥实战培养作用,汇聚高校、企业在科研能力、产业资源等方面的优势,在合作研发前沿技术、优化现有产品方案的过程中,构建面向产业需求的人才培养模式。例如,绿盟科技与哈尔滨工业大学计算机学院共建“工业信息安全联合实验室”,与西安交通大学电子与信息工程学院共建工业互联网安全联合实验室,与常州信息职业技术学院合作成立工业互联网安全重点实验室、工业互联网安全区域服务中心、工业互联网安全人才培训基地。启明星辰联合重庆邮电大学成立工业互联网安全实验室。此外,安恒信息与山东科技大学共同成立青岛市企业工业控制安全运营中心,在校企合作育人的基础上向工业企业输出安全能力。
表1-4 2020年工业信息安全相关竞赛
续表
续表
资料来源:国家工业信息安全发展研究中心整理。
二、工业信息安全面临的挑战
3年的全面建设为我国工业信息安全发展奠定了良好基础,但同工业信息安全动态防护需求、新型基础设施建设发展安全保障需求,制造强国、网络强国和数字中国保障要求相比,还存在安全风险程度较高、技术创新成效还不明显、行业集中度有待提升、人才培养和认证机制有待完善等问题和挑战。
(一)工业企业新旧安全风险相互交织
在工业场景开放化、平台化的发展趋势下,工业领域高风险的黑客攻击、勒索软件、数据泄露等安全事件近年来时有发生,加之受新冠肺炎疫情影响,工业企业面临的网络安全新旧风险交织。一是勒索软件风险短期内难以摆脱。勒索软件主要利用老旧操作系统的安全漏洞进行攻击,通过升级系统、安全补丁等方式能够有效应对勒索软件攻击。但目前工业领域Windows XP、Windows 7等操作系统的存量依旧较大,且由于升级成本较高、升级可能影响企业生产安全和生产稳定性等因素,短期内难以升级操作系统,勒索软件对工业领域信息系统的影响将长期持续。二是工业巨头“蜜罐效应”集聚安全风险。现阶段,我国工业互联网发展取得积极成效,领域企业整合速度加快,发展资源、发展资本高度集中的趋势明显,企业过大、资源垄断、风险聚集的风险随之加大。由于企业被攻击后给攻击者带来的收益与企业规模及价值呈正相关,因此,近年来工业领域巨头企业被攻击的情况屡见不鲜。在此背景下,巨头企业一旦遭受网络攻击或其他风险事件,影响范围较大且有可能不断蔓延。未来我国工业互联网企业持续发展壮大,不排除可能涌现一批工业互联网巨头,针对这类企业的安全风险管理也需要提前考虑布局。三是新冠肺炎疫情进一步凸显中小企业防护短板。工业领域中小企业网络安全意识欠缺的客观情况无法否认,安全防护能力本就不足,安全建设仍多以安全事件和合规性检查驱动为主。新冠肺炎疫情对工业领域的中小企业冲击较大,其营业收入大大减少,企业投入安全防护的资金进一步减少,安全防护能力愈加缺乏。
(二)动态防护需求考验安全协同能力
设备变更、系统升级等导致工业信息安全防护需求处于持续动态变化中,国内外网络安全威胁、网络攻击技术新形式、新变化同样层出不穷。新形势下,工业信息安全管理体系建设有待提速,各方协同配合能力有待加强。一是各方职责仍需加快落实。加强工业信息安全相关指导文件已经明确安全责任划分,但实际中部分地方主管部门仍然缺乏有效的管理抓手和支撑力量,各级主管部门、工业企业、工业互联网平台企业、标识解析企业等多方主体在保护工业互联网安全方面的权责义务有待进一步落地。二是工业企业网络安全制度建设滞后。工业企业网络安全防护基本以合规为标准,造成缺乏对企业现实安全形势评估,面向实际需求的制度安排滞后。当前大多数企业缺乏针对平台安全、供应商安全要求、安全运维、安全培训等方面的管理制度,安全责任不明晰、内部人员缺乏有效管控等问题仍然普遍存在。三是安全企业创新服务能力有待加强。工业信息安全形势变化及工业企业个性化需求,考验安全企业创新服务能力。例如,受疫情影响,人员流动受控,企业远程信息化的安全运维服务需求上升,传统驻场模式的安全服务方式有待向安全即服务(SECaaS)模式等新模式转变。再如,工业企业、工业互联网企业对数据安全防护的重视程度不断提升,目前国内具有成熟方案和较强实力的网络安全企业不多,无法满足现实服务需求。
(三)“新基建”提升安全技术创新要求
“新基建”背景下网络结构更加复杂、边界更加模糊,传统的和新型的工业信息安全风险交织,防护形势更加严峻复杂,亟须夯实工业信息安全的技术创新“底座”。一是新技术融合应用伴生新的安全问题。新型基础设施建设过程中,云计算、大数据、人工智能、物联网等数字智能技术将发挥重要赋能推进作用,同时也将自身的安全风险嵌入了新型基础设施建设、应用和管理之中。工业数字设备和系统的芯片、架构、传感器等核心零部件的供给稳定性、安全性等风险,在新型基础设施规模化应用中交织放大。二是垂直行业的安全需求呼唤定制化安全产品服务。新型基础设施的建设应用具有软硬件结合、跨行业协同的属性,5G、数据中心、人工智能等面向不同的工业应用场景和行业需求,衍生出不同的落地产品和解决方案。新场景下技术的复杂性、价值环节融合等特性,也决定了相关产业链的分工高度细化,针对垂直行业特性的定制化工业信息安全产品服务有待加快跟进。三是数据安全亟须加强场景化能力。工业领域的数据承载着工业生产的重要信息,囊括了从客户需求到设计、研发、制造等整个产品全生命周期的各类数据。随着新型基础设施建设的加快推进,广泛存在于工业生产设备、工控系统、工业互联网平台等多种设施中的工业数据呈现平台汇聚趋势。工业数据具有体量大、种类多、结构复杂等特性,保护需求多样,数据流动方向和路径复杂,使得数据分级分类存储、清洗与解析、真实性验证等传统数据安全防护措施实施难度加大。
(四)行业发展仍然整体处于初级阶段
尽管工业信息安全业务厂商数量激增,从整体看,我国工业信息安全行业仍处于高速发展的初级阶段。行业还存在产业发展驱动力不足,产业聚集效应不明显,龙头企业对产业发展引领不够,技术研发仍处于爬坡阶段等问题。一是被动的事件性、合规性驱动或导致同质化竞争。目前企业工业信息安全需求主要由应对安全事件风险和满足最低限度合规要求所引发,采购工业信息安全产品和服务的主动性、体系化驱动力不足,工业信息安全厂商研发投入动力不足,或导致工业信息安全行业出现低水平、同质化竞争,甚至引发价格战,不利于工业信息安全产品和服务整体技术水平的提升。二是市场集中度发展还存在较大提升空间。当前,我国工业信息安全产业竞争格局呈现高度碎片化特征,产业链上下游完整性不足,资源配置有待优化,使得规模经济效应难以快速实现,市场份额增加缓慢。三是中小型企业存在融资难、融资贵的痛点。大多数安全厂商在工业信息安全、工业互联网安全等领域还处于发展初期,业绩稳定性有待提升,导致部分投资人对行业持谨慎参与态度,较为青睐拥有较多客户或业务模式较为成熟的龙头企业,增加了中小型企业的融资难度。此外,作为技术密集型产业,工业信息安全企业多为轻资产企业,其核心资产为人才,这使得企业普遍信用评级不高。对于部分中小企业,受限于经营水平,融资仅能通过银行贷款和民间借贷实现,不得不面对利率较高这一问题。
(五)专业人才培养认证机制有待健全
由于高等教育体系专业设置的局限性及职业资格认证机制的缺失,当前工业信息安全人才供给与行业需求难以有效衔接。一是聚焦单一学科的人才培养体系难以满足行业对复合型人才的需求。工业领域专业人才由机械工程、电气工程、冶金工程等专业进行体系化培养,然而这些一级学科下并未设立信息安全相关交叉学科或课程,符合IT安全与OT安全复合学科背景的人才多依赖于网络空间安全专业下设的工业控制、工业互联网相关方向的研究生培养。全国仅中国科学院信息工程研究所、浙江大学、四川大学、上海交通大学、华中科技大学、西北工业大学等少数教育机构开设了工业信息安全相关方向。二是安全竞赛过于关注攻防能力,而对人才培养的导向性不足。当前工业信息安全赛事以夺旗类赛事为主,侧重考察参赛者对漏洞的利用能力,攻防模式下还涉及已知漏洞的修复。然而,从工业企业的常态化需求及安全厂商的服务能力角度出发,攻防对抗型人才只占实际人才需求的较小部分,行业更多需要的是具备网络攻击检测、安全态势分析及安全运维等能力的安全防御类人才。目前,仅奇安信和安恒信息组织开展涉及网络安全分析的行业赛事,对安全防御专业人才培养的导向性仍显不足。三是资格认证的缺失使人才评价标准局限于学历专业。国内外政府、企业、行业组织等各类机构面向信息安全人才的认证丰富多样,但并没有聚焦于工业信息安全领域的资格认证,且工业企业对信息安全类认证了解有限,导致行业认可度普遍不足。专业技术能力认证评估的缺失,限制了技术能力出众但学历水平有限的,或非“科班出身”自学成才的工业信息安全人才进入行业。
三、2021年工业信息安全发展趋势
新冠肺炎疫情对经济发展,尤其是对中小企业的生存造成了负面影响,部分企业出于经济或其他因素考虑而暂缓相关安全配置,这将增加安全隐患。从整体来看,工业信息安全发展动力从被动合规向主动建设、从政府主导向企业主导开始过渡,“5G+工业互联网”融合安全应用加快落地,资本和人才发展环境呈现良好发展趋势,有望成为工业信息安全发展的主要助推力量。
(一)工业系统或将进入网络安全问题爆发阶段
1.疫情限制了新设备的安全和配置
这种情况将减慢工业企业增加外围防护力量的进程,加之远程访问及操作控制数量和种类的不断增加,开放了大量由互联网连入生产管理系统的通道,在企业网络安全防御“缺课”严重的情况下,工业系统的安全性将面临更严峻的挑战。同时,微软在2020年1月14日停止了Windows 7和Windows Server 2008等操作系统的安全更新支持,Windows XP和Windows Server 2003操作系统也于2020年9月被曝出源代码泄露,这些在工控系统中仍存量巨大的操作系统停止安全更新支持或源代码泄露,将意味着其系统漏洞可能被攻击者全面利用而无法得到及时、有效的安全更新或漏洞补丁,工业企业及其生产系统的安全性、脆弱性将成倍放大,甚至可能会在工业领域出现“永恒之蓝”级别的系统漏洞或类似“WannaCry”病毒的攻击工具。
2.网络攻击产业链条正日趋成熟和货币化
资产识别、渗透、实施、变现等网络攻击关键环节的分工更加细化和专业化,攻击工具(如勒索病毒)制作、盗取数据后的勒索赎金等由不同的人(组织)来完成,攻击者可以将已获取访问权、控制权的网络设备资产转售给其他攻击者进行后续的攻击和勒索变现,工业企业和系统将受到精细分工和全链条协作的网络攻击,防御难度将大大增加。此外,具有国家背景的黑客组织对工业领域的攻击数量也将大幅增加,国际控制系统网络安全协会和毕马威(KPMG)发布的年度网络安全报告指出,有超过12%的ICS安全事件都归因于有国家背景的黑客组织。
3.数据盗取和数据泄露威胁成为勒索工业企业的主要途径
自“WannaCry”造成全球众多控制系统等瘫痪后,数据安全已经被重点关注,数据备份、异常行为识别、网络安全保险等安全解决方案层出不穷,部分企业也定期对重要的数据和设备参数进行备份,单纯将其数据加密无法达到勒索赎金的目的,而工业数据可能涉及企业秘密、核心竞争能力等,本身的价值较高,售卖或泄露威胁更加容易变现,可能成为攻击者利用工业场景变现的主要手段。
(二)安全需求从满足合规向能力提升方向发展
1.工业互联网分类分级管理机制将持续健全
分类分级管理机制为工业互联网企业提供不同级别的安全指引,将成为工业互联网企业网络安全能力提升的重要抓手。2021年,工业互联网企业网络安全分类分级管理试点工作将在15个省(区、直辖市)开展。分类分级以自我评价为起点,为联网工业企业、平台企业、标识解析企业3类工业互联网企业提出不同级别的安全防护要求,为工业互联网企业落实网络安全主体责任提供标准规范指引,通过贯标达标激发企业更高水平的网络安全防护需求,推动企业建设完善网络安全管理制度,落实安全防护标准,将推动形成自我诊断、对症下药、科学防范的良性循环。
2.安全行为从政府行为向公私合作、企业主导延伸
随着工业信息安全顶层设计和管理手段的日益完善,企业安全意识不断增强,企业参与度明显提升,公私合作和企业主导趋势进一步凸显。从国外来看,2020年,各国在工业信息安全领域出台系列政企合作、企业合作计划,如美国网络安全和基础设施安全局(CISA)计划成立政企协同的行业组织“工业控制系统社区”。美国纽约电力和德国西门子能源股份公司公布提升电网防御能力的网络“卓越中心”计划。澳大利亚政府计划投入16.7亿美元资助企业提升网络安全能力。从国内来看,2020年工业信息安全产业发展联盟作用进一步凸显,全国工业信息安全深度行活动有序开展,各类论坛、赛事、培训、品牌推介等活动有序推进,科研院所和龙头企业的战略合作持续深化。未来,在工业信息安全管理工作上政产学研协同发展趋势将不断增强,政企合作、企业合作计划将进一步落地,企业安全能力建设需求将进一步释放。
3.体系化安全解决方案供给增多
基于调研发现,企业的整体性安全能力建设的主动需求正在提升,如澳门特别行政区的多家电力、水利行业企业通过渗透测试、风险评估、安全建设的阶段性、体系化路径进行安全保障。单纯的安全产品供给难以满足更高水平的安全防御需要和企业安全能力建设需求,未来在更高水平安全需求的激发下,行业将不断开发和供给体系化、全流程的安全解决方案,促进企业整体安全能力提升。
(三)工业信息安全技术模式创新化发展将提速
1.以零信任为代表的新技术、新应用加快落地
一方面,零信任架构将加速引入。基于传统网络边界的安全防护架构已经难以应对复杂的的网络攻击,零信任架构将发挥其动态可信的访问控制授权机制作用,助力企业摆脱安全能力的局部与外挂。在国内终端环境多样化的情况下,零信任的落地需要因地制宜。结合企业业务和安全需求选择零信任的切入场景,依据安全现状筛选优先构建的零信任能力,从而分阶段有序推动落地,这将是零信任落地发展需要考虑的因素。另一方面,安全厂商正加快布局高级威胁实时防护解决方案。随着0day利用、无文件攻击、APT、供应链和社会工程攻击等具有极强隐蔽性和针对性的高级攻击方式的不断升级,工业环境迫切需要具有安全预警响应和纵深防御策略的实时防护综合解决方案,工业信息安全厂商有望在此领域加快布局。
2.远程协同的云服务模式加快探索
首先,工业信息安全加速从提供产品向提供产品、服务和解决方案并重进行转变。虽然当前工业信息安全服务仍以驻场服务、现场服务为主,但多种因素将推动服务模式向云服务转变。一是新冠肺炎疫情促使工业企业选用远程和在线服务。新冠肺炎疫情期间人员流动受到影响,许多企业选择远程运维、监测等在线服务,产业界对安全服务应用的积极性被调动起来。一批向重点工业互联网企业等用户提供网络安全服务的公共服务平台也会发挥重要作用。二是中小企业更加青睐云服务模式。中小型工业企业对工业信息安全产品服务需求较为旺盛,但驻场人员花费较高,受成本制约企业更加青睐基于云模式的安全检测、风险评估、应急处置等安全防护服务。三是国家政策引导安全服务模式创新。《关于促进网络安全产业发展的指导意见(征求意见稿)》提出积极创新网络安全服务模式,可以预见,基于云模式的安全服务将有巨大发展空间。
3.5G和工业互联网安全融合应用将逐步落地
在“新基建”和“512工程”的大力推动背景下,各地5G与垂直行业的融合安全应用将由探索阶段进入落地实施阶段。2021年将是5G商用的关键年,5G新建基站将超过60万个,5G商用应用场景也将在2021年逐步走向成熟。工业互联网安全、车联网安全等B端5G融合安全应用场景,以及智能电网、智慧市政等G端5G融合安全应用场景,将在需求端具备企业和政府两个巨大量级的用户群。在数据安全、智慧城市等方面,B端和G端融合应用将释放更多安全需求,未来前景可期。C端应用有望迎来爆发式增长,超高清视频传输和虚拟现实等方面规模效应显现,将从供给侧带动工业互联网安全垂直领域场景化解决方案应用。
(四)工业数据安全能力建设成为未来发展重点
1.工业数据分类分级保护将成为重要监管抓手
从2020年年初工业和信息化部发布《工业数据分类分级指南(试行)》,到2021年即将开展的工业互联网企业网络安全分类分级管理试点工作,将进一步引导企业以分类分级保护的方式来实现自身工业数据的精细化管理,不断强化企业分类分级主体责任和数据安全意识,形成管理行业企业的重要评判指标。企业为实现相关管理规定的要求,将加快梳理企业数据,并部署相应等级的防护措施。
2.工业互联网平台数据安全建设需求强烈
近年来,勒索病毒、数据泄露、删库等安全事件时有发生,数据安全问题越来越多地得到企业重视。工业互联网平台的数据安全问题,也成为工业互联网进一步发展的重要制约,工业企业接入工业互联网的意愿和动力不足。在数据安全未能得到较完善解决的条件下,即使工业企业有意愿接入工业互联网,也不敢将生产系统、业务系统等存有核心数据资产的重要系统外联。因此,工业企业、工业互联网平台等用户未来都将持续布局数据安全能力建设,有效保障企业和产业重要数据的安全。
3.工业数据安全产品仍为市场蓝海
工业数据是重要的网络资产,数据安全是未来安全行业的重点方向。但是当前市场上多为访问控制、安全审计、数据备份恢复等传统信息安全领域移植到工业领域的产品,大部分安全厂商目前还没有形成完整的数据安全产品体系,在工业数据安全需求旺盛的背景下,安全厂商在数据安全产品的技术研发和产品服务设计方面的投入将进一步增加,数据安全产品的功能和覆盖程度将不断完善。
(五)产融合作推进产业发展向高速成长期迈进
1.科创板金融制度创新激发资本活力
科创板设立以来,已有山石网科、安恒信息、奇安信、云涌科技4家涉足工业信息安全领域并极具代表性的企业成功上市。奇安信上市首日大涨138%,山石网科首日涨幅112.73%,势头强劲。科创板设置了多元化、包容性的上市条件,允许符合科创板定位、尚未盈利或存在累计未弥补亏损的企业上市,允许符合要求的特殊股权结构企业上市,这将大幅提升金融资源配置效率,更加有利于培育科技创新型企业。基于此,预计未来会有以威努特、六方云等为代表的一批工业信息安全领域科技创新型企业上市。
2.国家资本将持续在工业信息安全领域布局
近年来针对关键基础设施领域的攻击频发,考虑电力、水利、交通等领域的重要性,维护关键基础设施领域的网络安全不仅与企业自身利益相关,更与国家安全密切相关。2019年,中国电子37.31亿元人民币战略入股奇安信,中电科收购南洋天融信5.0065%股权。2020年,由上海、浙江、广州政府引导基金等参与博智安全的D轮融资,进一步强化国家资本在工业信息安全领域的布局。考虑工业信息安全领域的敏感性,预计国家资本入驻工业信息安全领域的趋势将亟须保持。
3.面向安全行业的金融产品创新探索加快
在20世纪90年代,随着互联网的应用及安全风险的产生,网络安全保险应运而生,目前已在欧美等国家普遍应用,但我国仍处于初期探索阶段。工业企业管理信息系统面临的网络安全威胁将一直存在,新冠肺炎疫情在某种程度上起到了催化剂的作用,很多企业在网络安全防护意识和技术都准备不足的情况下,被迫转到线上办公,短时间内进一步放大了网络安全威胁。鉴于安全风险无法完全消除的特性,网络安全保险作为风险转移的重要手段,在后疫情时代,其重要性将会逐步凸显。当前,奇虎360、奇安信、绿盟科技、安恒信息等安全厂商在网络安全保险领域初有探索。预计未来将有更多的保险公司愿与安全厂商积极探索合作可能性,摸索出适合我国国情和企业发展需求的网络安全保险。
(六)产业主体将深度参与复合型安全人才培养
1.行业主管部门将合力推动产学合作、协同育人
教育部自2014年起开展产学合作、协同育人项目,以产业和技术发展的最新需求推动高校人才培养改革。此外,作为工业信息安全行业的主管部门,工业和信息化部也积极推动校企合作,2020年1月16日,公布首批19个校企协同育人示范基地,包括由哈尔滨工程大学和国家工业信息安全发展研究中心申报的“工业信息安全协同育人基地”。未来,聚焦工业信息安全实际需求的人才培养模式,教育部与工业和信息化部两部门有望形成合力,建设示范基地,遴选典型案例,共同推动高校与工业企业、网络安全企业、相关科研院所的优势互补。
2.校企合作学科共建趋势显现
2020年6月,教育部公布2019年第二批产学合作、协同育人项目立项名单,其中涉及工业信息安全领域的有4个项目,项目分别聚焦在“教学内容和课程体系改革”“师资培训”“新工科建设”。与前两年网络安全企业参与立项的项目相比,涉及“实践条件建设”的项目数量呈下降趋势,并出现了“新工科建设”的项目立项。未来,企业对高校的支持将逐步完成从实验环境建设到教学能力输出的转变,产教合作模式将有望实现从以企业投资为主到校企共同谋划学科建设的重要转变。
3.联合培养短期内难以形成良性循环
对高校而言,校企联合培养对提高毕业生竞争力方面作用并不明显,其为学生颁发的资格证书无法被行业广泛认可,导致高校对与网络安全企业进一步深化合作缺少必要的驱动力。对网络安全企业而言,校企联合培养难以实现对人才的定向引入,由于网络安全产业人均产值天花板难以突破,薪酬吸引力不足,优秀人才向大型互联网企业聚集趋势明显,因而企业对网络安全人才培养的参与动力也有所下降。在未来人才供需双方仍无法建立起有效衔接的一段时期,涉及工业信息安全教学及实训等的协同育人项目的增速将放缓,产教融合发展趋势也可能受到一定程度的抑制。
四、工业信息安全发展建议
党的十九届五中全会通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出,要统筹发展和安全,加快构建新发展格局。面向“十四五”时期产业数字化转型的安全保障需求,在工业信息安全三年发展成效的基础上,应进一步发挥工业企业主体作用,进一步强化制度引领和资源供给,着眼于新型基础设施建设对安全新技术、新模式的需求,提升工业信息安全产品服务的差异性和针对性,构建工业企业、安全企业、行业协会等多方共治的良好局面。
(一)推动分类分级管理举措落实
一是拓宽工业数据分类分级覆盖范围。加快推进工业数据分类分级,加大对优秀示范案例的推广,贯彻落实“企业点突破、行业线贯通、地方面推广”的工作思路,充分发挥首批应用试点企业的标杆示范作用,形成可复制、可推广的工业数据分类分级方法和经验,以点连线、以线带面,在更大范围、更广领域推动企业强化工业数据分类分级管理,助力数字化转型升级。二是逐步推进工业互联网企业分类分级。建立健全工业互联网企业网络安全分类分级管理体系制度和试点推进机制,推进重点行业、地区开展政策标注宣贯和试点应用,组织开展对标检查和第三方评估工作,通过制度引领带动企业意识和能力提升。三是加快相关配套标准的制定发布。面向分类分级管理需求,围绕安全管理、安全防护、安全评估与测试、数据安全等方面,加快制定出台技术产品标准,推动企业贯标达标。结合相关分类分级推进机制,适时推动形成行业标准或国家标准,逐步建立覆盖全国的分类分级管理基础制度。
(二)提升安全产品场景支撑能力
一是加快前沿安全理念和技术的研究应用。推动网络安全、工业信息安全领域骨干企业加强与工业系统、设备提供商的深度合作,将安全模块内嵌到系统设备中,推出内生安全产品。强化对零信任安全、动态防御、态势感知、纵深防御、可信计算等安全新技术的研究攻关。发挥区块链及隐私计算技术在数据安全防护中的作用,强化商用密码研发攻关,加快工业互联网平台安全、工控系统安全、数据安全等技术产品研发推广。发展基于云模式的安全检测、安全评估、安全运营等安全防护服务。二是加大对数据安全技术产品研发的支持。围绕数据采集、传输、存储、使用、共享、删除等全生命周期安全保障需求,聚焦防篡改、防窃取、防泄漏、防滥用等关键防护能力,综合运用重大项目、专项计划等政策倾斜手段,加快研制工业数据安全相关防护思路和技术路线,加强对数据安全技术研发和产品落地的支持、宣传、推广和普及。三是大力发展面向新兴场景的产品服务。依托专项工程等,加快研发设计面向5G、人工智能、区块链等新技术融合应用需求的新型安全产品和服务,强化综合安全运营服务的推广。面向新型基础设施建设发展、“5G+工业互联网”融合应用网络安全保障需求,鼓励工业信息安全龙头企业结合电网、能源、医疗等重点垂直行业经验和需求,提升安全产品服务的针对性和差异性,推出综合性解决方案。
(三)促进安全多方主体协同共治
一是强化工业企业网络安全能力提升。通过政策宣传、意识宣贯、行业赛事等多元化手段,进一步强化工业企业网络安全意识的培养和提升。推动检查评估等政策手段从确认安全设备有无向评估安全能力高低过渡,强化对网络安全防护能力建设的引领,切实推动工业企业加快落实和优化网络安全管理制度和相关防护技术举措。二是充分发挥行业组织的桥梁作用。充分发挥工业信息安全产业发展联盟等行业协会、第三方专业机构等在行业研究、政策标准制定、制度落实、赛事举办、产品服务推广、供需深度对接、行业自律等方面的桥梁纽带作用,推动资源、资金、信息、能力等的共享汇聚,推动技术发展、行业交流和生态共建。三是构建多方协同共治的安全生态。充分发挥工业信息安全各方主体力量,在充分调动工业企业安全防护能动性的基础上,聚焦工业信息安全意识宣贯、安全诊断、技术改造、应急处置、补偿赔偿、投资融资等方面的能力提升和资源打通需求,利用行业论坛、大型赛事等,促进工业企业、安全企业、第三方检测评估机构、工业行业协会、投资机构、教育培训机构等深度交流对接,逐步推动从协同治理走向共同治理,提升安全治理效能。
(四)探索新基建安全管理新模式
一是推动安全前置。强化总体安全理念,把网络安全作为新基建建设的重要内容之一,推动工业企业在信息化建设的同时考虑信息安全能力建设,同步考虑和谋划安全问题,同步培育安全能力,强化安全资金投入,形成全天候、全方位、全图景的安全策略和安全机制,推动网络安全前置。二是加强运行安全监测和应急处置。进一步完善国家、省、企业三级联动的网络安全监测体系,开展针对工业领域新型基础设施运行状态、风险隐患的监测预警,形成统一高效的风险报告和情报共享机制。统筹建设态势感知、应急处置、攻防演练、安全众测等安全公共服务平台,面向企业提供安全公共服务。三是强化数据全生命周期安全防护。围绕5G、工业互联网、大数据中心建设安全保障需求,加快研制新型基础设施相关数据安全防护指南、安全防护解决方案等。建立健全数据安全管理机制,统筹推进数据安全合规性评估、风险评估、成熟度评估等,针对工业数据采集、传输、存储、分析等关键环节,梳理数据资产,加强精准管理。
(五)建设完善产融合作长效机制
一是建立完善产融合作相关机制。通过举办网络安全行业大会、产融对接会等方式,为网络安全产业资金需求方与投资方搭建交流平台,打通双方良好互动渠道,加强网络安全产融两端的信息共享,优化市场资源配置。汇聚资本市场和产学研用各方力量,畅通产业链、人才链、资金链的衔接。二是探索发展网络安全保险。加快相关法律法规和政策体系研究,推动明确网络安全保险的法律责任。研究扶持网络安全保险发展的相关战略计划,明确政策引导和支持方向,引导保险公司和网络安全厂商加强合作,共同积极推动网络安全保险广泛应用。加大网络安全意识宣传,提升企业侧风险防范意识,进而提高对网络安全保险这一新兴金融产品接纳度,汇聚三方力量促进网络安全保险市场健康有序发展。三是探索安全企业适用的价值评价体系。完善企业信用评级建设,积极利用大数据、人工智能、区块链等新一代信息技术,打造企业可视化诚信体系,充分反映安全企业生产经营情况,为金融机构开展贷款业务提供多维度参考依据。积极探索工业信息安全企业估值模型,基于企业生命周期,针对初创型、成长型、成熟型企业分别建立估值模型,为投资机构进行产业投融资决策提供参考。
(六)加快培养跨领域复合型人才
一是推动设立人才认证机制。建立以产业需求为导向、以岗位能力为基础的人才评价体系,针对不同层次、岗位制定专业的考核标准,规范人员资质认证活动。推动将工业信息安全系列纳入计算机技术与软件专业技术资格(水平)考试,建立工业信息安全专业岗位持证上岗制度。二是建设一批工业信息安全人才实训基地。聚焦工业信息安全产业发展资金和人才需要,建立健全产融产教合作机制,推动产学合作、协同育人,建设完善工业信息安全人才培养实训基地,鼓励第三方专业机构建立健全实训基地评价认定体系和实训导师培养认定体系,源源不断培养复合型、实战型人才。三是促进行业竞赛类型多元化发展。强化综合型能力竞赛对人才培养的导向性作用,鼓励网络安全企业、地方政府组织安全分析、漏洞挖掘、逆向工程、取证溯源等类型的专业竞赛,提高夺旗类竞赛、攻防类竞赛的组织要求和竞赛水准,面向产业实际需求,挖掘、培育、锤炼实战型人才。
参考资料
1.工业和信息化部.工业控制系统信息安全行动计划(2018—2020年).https://www.miit.gov.cn/jgsj/xxjsfzs/wjfb/art/2020/art_dc95c 79d172344eb 9a240720725c4317.html,2017-12-12。
2.工业和信息化部.关于工业大数据发展的指导意见.https://www.miit.gov.cn/jgsj/xxjsfzs/wjfb/art/2020/art_7d47e435e41d45d8ac843b796470f512.html,2020-04-28。
3.工业和信息化部.工业数据分类分级指南(试行).https://www.miit.gov.cn/ztzl/rdzt/xxgzbdgrdfyyqfkgz/tzgg/art/2020/art_d33bb2d1ec2d4a13bf49c8e5ef3986d1.html,2020-02-27。
4.工业信息安全产业发展联盟.中国工业信息安全产业发展白皮书(2019—2020),2020。
5.黄鹏,孙倩文,李端.新基建 新网安 新机遇.网络空间安全,2020。
6.张汉青.零信任成为网络安全新理念新架构.经济参考报,2020。
7.尹丽波.工业信息安全为制造强国建设保驾护航.中国电子报,2017。
[1] 孙倩文,国家工业信息安全发展研究中心工程师,硕士,主要研究方向为网络安全、工业信息安全战略、网络安全产业等;李端,国家工业信息安全发展研究中心工程师,硕士,主要研究方向为工业信息安全、工业互联网安全、数据安全等;闫寒,国家工业信息安全发展研究中心工程师,硕士,主要研究方向为网络安全、工业互联网安全、网络空间治理等;刘芷君,国家工业信息安全发展研究中心助理工程师,硕士,主要研究方向为数据安全、供应链安全等;徐杰,国家工业信息安全发展研究中心工程师,硕士,主要研究方向为工业互联网安全,供应链安全;李晓婷,国家工业信息安全发展研究中心助理工程师,硕士,主要研究方向为网络安全;叶晓亮,国家工业信息安全发展研究中心助理工程师,硕士,主要研究方向为工业信息安全;陈羽凡,国家工业信息安全发展研究中心助理工程师,硕士,主要研究方向为网络安全产业、网络安全人才培养等。