我国工控系统网络安全现状及紧迫性问题分析
震网病毒、乌克兰电网大停电事件、韩国核电站资料泄露、勒索病毒爆发等事件暴露了工业控制系统安全隐患对社会的危害,近年来,工业控制系统安全事件发生数持续增加,让我国的相关企业机构越来越重视工业控制系统的网络安全,而勒索病毒的爆发更是给广大网络安全从业者以深刻的警醒。本文介绍了我国工业控制系统网络安全发展现状,并对其存在的紧迫性问题进行分析,并提出了一些建议。
发展现状
工控系统网络安全 的重要性及意义
工业控制系统广泛应用于石油石化、烟草、电力、核能等工业生产领域,以及航天、铁路、公路、地铁、水务等公共服务领域,堪称中国关键生产设施和基础设施运行的“神经中枢”。统计显示,我国超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,因此,一旦发生安全事故,其造成的社会影响和经济损失非常严重。然而,根据2000年以来中国信息安全漏洞共享平台披露的工控系统行业的漏洞数量来看,工控漏洞在2010年之后却始终处于增长态势。2014年ICS-CERT所公布的数据中,工控安全事件达632件,而且多集中于能源行业(59%)和关键制造业(20%)。总体来看,随着“两化融合”的深入,未来工控系统安全漏洞和威胁还会继续增长。
由于工控系统被广泛应用到电力、石化、交通、市政以及关键制造业等涉及国计民生的重要行业中,如遭受攻击,受到影响的将不仅是相关企业的经济损失,甚至会引起相应的社会问题,其重要性不言而喻。因此,工控安全问题已成为当前世界各国最为重视的安全问题,在国内已被上升到国家安全战略的高度,国家的政策、标准也正在逐步的制定、完善的过程中。虽然国内工控安全市场目前也仅仅是处在刚起步、培育市场的前期阶段,但其未来市场潜力巨大,而且在国家层面,包括发改委、工信部等主管部委也通过设立专项基金,以资助国内科研院所、企业的工控安全技术研究及工控安全产品研发及产业化。
相关政策、标准及政府支持力度
-
政策驱动:信息安全已上升至国家战略
2014年2月27日,中央网络安全和信息化领导小组宣告成立。
2016 年年初,网络安全被正式划入“十三五”规划重点建设方向,在政府未来 5 年的 100 项重大建设项目中排在第六位;
2016年11月7日,中国《网络安全法》获得通过,并将于2017年6月1日起施行;
2016年12月,国家互联网信息办公室发布《国家网络空间安全战略》。
2017年7月,《关键信息基础设施安全保护条例》(征求意见稿)发布;
2017年12月,《工业控制系统信息安全行动计划》发布。
-
标准制定:目前已发布的标准规范有
《信息安全技术 工业控制系统安全控制应用指南》
《工业控制系统信息安全 第1部分 评估规范》
《工业控制系统信息安全 第2部分 验收规范》
-
需求驱动:关键领域加大信息安全采购力度
政府、电信、金融、能源、军队等重点行业,教育、电商、交通等新兴行业对信息安全产品、服务的需求强劲,拉动了信息安全市场的整体需求。
地方政府投入显著提升,2017年达1.79亿元。占市场总量的32%
市场规模
数据显示,我国信息安全产业规模自2012年的157.26亿元上升至2016年的341.72 亿元,五年内年均复合增速达到21.41%。2017年我国工业信息安全市场规模为5.57亿元,市场增长率达到53.6%,工业信息安全产业发展进入“快车道”。
随着政策的加快推动,市场增速正呈现不断上升趋势,到2018年,预测我国信息安全行业市场规模有望达到8.66亿元,2018年行业增速预计将达到 55.4%。
然而,中国工控信息安全市场在近年才开始进入发展阶段,目前整个市场还处于市场预热的阶段。据估算,中国信息安全的市场总容量巨大,2013年数据统计为194亿元,其中工业信息安全市场容量在23.28亿元,而这其中工控系统信息安全容量仅为2亿元左右。这一市场中占比最大的是电力市场,石油化工占比第二,其他还包括冶金、烟草、煤矿等。工控信息安全市场的容量远未饱和。
产品与服务来源
国内的科研院所、工控系统厂商、信息安全厂商以及一些专注做工控安全的新兴企业都将一定的研发力量投入工控安全的研究及产品研发领域,并力争在工控安全领域获得先发优势。
国内从事工控系统网络安全行业的厂家有启明星辰;海天炜业;威努特;力控华康;珠海鸿瑞;绿盟;三零卫士;立思辰;中科网威;华大智宝;得安信息;安策科技;安盟电子;深信服;天融信;华为;中兴;联想等。其来源可分为以下几类:
(1)专业的工控网络安全公司:国内的海天炜业、威努特、天地和兴等。
(2)工业控制系统厂家:和利时、浙江中控等。
(3)传统信息安全公司的新增业务:绿盟、启明星辰、蓝盾等。
(4)科研院所及中石油、中石化等大型国企内部集成商:如赛迪、中电六所、石化盈科、中油瑞飞等。
面临的紧迫问题
工控系统责任单位安全意识有待加强
由于安全防护功能可能会影响系统性能,增加成本;另一方面安全防护设备对于操作人员要求较高,企业普遍缺乏相关人才;此外,工控系统安全设备实施时需要协调多个部门,如信息、仪表等,因此,系统应用企业的工业控制系统信息安全工作积极性不高,让产品推广受到一定的阻力。
缺乏标准测试和标准验证能力
与发达国家相比,我国信息安全领域的产品标准以及跨领域的安全标准研究仍有待加强,国家网络与信息安全标准体系有待完善。
信息产业包含成千上万的从业者、各种供应商,以及各类软件、硬件设备等,因此,从上游的电信运营商到下游的信息企业公司等,应建立统一的规范标准。
工信部某研究院从工业控制系统的技术线、管理线出发,制定形成了多项工业控制系统信息安全标准草案;初步建立了工业控制系统信息安全标准的标准验证仿真平台,形成了火力发电、轨道交通等网络安全仿真验证环境;提出了贯穿工业控制系统信息安全标准研制各阶段的标准验证流程;但目前已有工业控制系统信息安全仿真验证环境缺乏相关配套的标准测试工具,标准验证测试床尚不完备,形成的标准验证能力有限。
人才缺口大,培养周期长
-
我国网络安全人才结构
据统计:
68.9%的网络安全从业人员年龄在25岁~35岁之间,40岁以下占比高达94.6%,网络安全从业人员相对年轻化。
63.2%的网络安全从业人员为本科学历,其次为硕士和大专,且研究生是重要科研力量。
-
网络安全人才短缺
七成网络安全从业人员都是5年以上资深安全人士,而从业经验1年以下的仅为2.5%,网络安全人才短缺一直都是网络安全发展面临的最大的挑战。
好在近两年来,用人单位提供给安全人员的薪酬有明显涨幅,约五分之一的网络安全人员年薪在30万以上,同比增长9.2%。但年薪在10万~30万的网络安全人员为主流。
-
一线城市安全人才需求大,人才分配不均
一线城市安全人才需求大,人才分配不均,仅北、上、广三地对网络安全人才的需求就占全国总需求的三分之一。网络安全人才则主要集中在北京、深圳、上海、西安和成都。
国内对网络安全人才的需求量高达70余万,社会对网络安全人才的需求量每年约1.5万人,高校每年培养的网络安全相关专业人数不到1万人。
英特尔公司安全研究团队发布的报告显示,美、英、法、德等8个国家的71%的企业表示,由于安全人才匮乏,每年都会因网络攻击而产生重大经济损失。
权威数据显示,最近3年,我国高校学历教育培养的信息安全专业人才仅有3万余人,不足70万需求的5%。预计到2020年,需求量将达到140万人,而现在每年培养的人数,尚不足1.5万人。
由于薪酬和福利等吸引人才的条件不足,传统安全企业的大量人才流入国外企业或者BAT等互联网公司,顶尖安全专家日益匮乏。
新兴技术在工控信息安全领域应用较少
近年来,云安全、基于大数据理论的网络安全防护等新兴技术已经应用到传统信息安全领域,这些新技术可以对终端恶意文件进行有效识别,挖掘用户使用习惯,建立操作模型,实现自动生成防御策略,在安全方面实现了智能化,但这些技术在工业控制系统领域应用的较少。
工控信息安全厂商市场集中度较低
工信部于2016年10月发布的《工业控制系统信息安全防护指南》,从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面对工控信息安全建设内容进行了规定。目前,国内涉足这11项领域的厂商主要有几十家。
目前,我国信息安全厂商的集中度较低,国内前五名厂商份额占比约26%,而全球前五大厂商份额占比约40%。信息安全领域细分领域众多,部分细分领域之间的技术关联性不强,而信息安全技术密集型的特点,造成企业很难在不同的细分领域同时发力。预计未来市场将更多通过并购的方式提高集中度。
信息安全行业分散格局的重要原因是信息安全贯穿整个信息流链条,涉及几乎所有信息设备与软件,单个信息安全企业无法掌握全部信息安全技术,只能根据自身技术优势和渠道特点进行差异化定位,选择部分细分领域参与竞争。
核心元器件、设备及系统依赖国外
核心部件、核心设备依靠国外厂商提供配套资源,自己未掌握核心生产能力、核心技术的研发能力,导致信息安全核心元器件、核心设备乃至产业发展受制于人。
国产基础软件尤其是核心产品如操作系统、浏览器等基本都依附西方技术标准,没有自己的编程语言和开发工具。
我国工控产业综合竞争力不强,嵌入式软件、总线协议、工控软件等核心技术受制于国外,缺乏自主的通信安全、信息安全、安全可靠性测试等标准。
建议及前景展望
政府引导及政策支持
随着网络信息安全事件持续频发,国家加大了在网络信息安全产业方面的投入,并将此提升到了国家战略的层面。有效应对网络信息安全问题所带来的威胁,需要政府、企业和用户三方共同努力,构建正确的网络信息安全全局观,加强政企合作,持续加大安全投入,推动安全技术创新,多维度、多层级、全方位推进,形成拱卫之势。国家层面高度重视网络安全和信息化工作,中央网络安全和信息化领导小组、网信办、公安部、国家能源局等部门,在战略上、组织上、政策和法律上均加大力度加强网络安全工作。
支持国产工控系统关键技术产品研发
国外产品对我们来说是“黑箱”,在不能了解防护对象的情况下进行安全防护工作十分困难,发展国产工控系统关键技术产品,加快国产化进程是国内工控信息安全相关机构与企业必须努力的方向。
推动企业工控信息安全防护能力提升
工业控制系统的信息安全不仅可能造成信息丢失,还可能造成工业生产故障,引起环境问题和社会问题。防止工业控制系统安全事件的发生,已经成为政府和企业关注的热点,工业和信息化部下发的《关于加强工业控制系统信息安全管理的通知》,明确了加强工业控制系统信息安全管理的重要性和紧迫性、具体管理要求以及制度建设的迫切需要。应根据相关政策文件,研发工业控制系统安全防护智能化技术,开发符合标准的安全防护工具。
在国内关键领域信息系统产品投入使用之前,应采用第三方测评业务进行安全评测,同时,还要完善安全测评服务体系,不断提升信息安全服务质量。
进一步开展工控信息安全标准化工作
工控系统中安全问题的发生除了传统的技术原因,更重要的是网络安全管理的规范化缺乏造成的。应该有针对性的提升我国信息安全标准化工作水平,带动信息技术产业及相关产业行业发展实现更大突破,支撑国家网络安全审查制度的顺利实施。
培养行业人才
汇聚和培养工控安全领域高级工程技术人才。可从本科教育入手,增设网络安全专业,并且在自动化、通信、电子等专业增加工控网络安全课程。在研究生教育阶段,工控网络安全可以作为相关专业的一个研究方向。因工控网络安全涉及自动化、网络、信息安全等多学科,在专业建设及课程设置上需要做好顶层设计,自上而下的改进教育模式。
加快新技术应用及自主安全产品研发
移动互联网、云计算、物联网等新兴技术促使互联网环境更加复杂,通过互联网所交互的数据包数量更加庞大,因此涌现出的新网络问题、安全问题、业务问题等都需要有相应的网络产品、安全产品支撑,显然我国在这方面的技术能力仍有待加强。
构建一个植根于工控系统的全生命周期解决方案。通过设备检测、监测审计、智能保护、安全数据库、威胁管理及安全服务等,形成一个丰富的产业链条。构建良好的行业生态,加速产业链上下游企业资本整合速度。
谁在引领中国制造?
为了回答这一问题,亿欧将在2019年6月的上海,于2019全球新经济年会期间举办制造新动能峰会,讨论中国制造创新的未来推动力。在这里,你会看到 国内外大型制造业企业的观点经验 、 新技术与制造业间的对话沟通 、 不同维度先进制造参与者的思维碰撞 。
亿欧新制造频道,致力成为连接工业制造领域和新技术赋能力量的一座桥梁。
峰会报名链接:
https://www.iyiou.com/post/ad/id/808
本文已标注来源和出处,版权归原作者所有,如有侵权,请联系我们。