工業互聯網安全挑戰與對策建議

張小漫

（北京電信規劃設計院有限公司，北京 100048）

0 引言

以5G移動互聯網、云計算、大數據、人工智能和物聯網等為代表的新一代信息技術正加速改變全球經濟發展格局，信息技術（Information Technology，IT）與操作技術（Operation Technology，OT）的融合應用推動工業行業數字化轉型升級，數字經濟成為拉動經濟增長的重要引擎，工業產業呈現出數字化、網絡化、智能化的發展趨勢。

我國正處于經濟由高速增長階段轉向高質量發展的關鍵階段，工業互聯網作為新型基礎設施的重要組成部分，是建設數字我國、網絡強國和制造強國的關鍵路徑。近年來，我國工業互聯網應用及產業快速發展，已廣泛應用于制造、交通、能源、水務等行業，顯著提升了生產效率及效益，構建了全新生產和服務體系[1]。

在信息化與工業化深度融合、產業數字化轉型升級的過程中，傳統工業領域相對獨立穩定的制造環境逐漸走向開放互聯，網絡安全風險向工業領域持續滲透，工業控制系統、工業網絡、工業互聯網平臺、工業應用、工業大數據等工業領域各個環節面臨的安全風險不斷加劇。消除工控安全威脅與隱患，建立科學、系統的安全防護體系成為必然[2]。

1 工業互聯網發展路徑

1.1 工業發達國家積極布局工業互聯網

第三次工業革命后期，制造業進入穩定發展階段，產生了精益生產需求，伴隨著計算機、互聯網、機電一體化等技術創新，誕生了流程管理軟件、計算機輔助設計系統等工業軟件以及數控機床等生產設備，效率進一步優化。美國著重發展軟件、互聯網為主的IT技術，德國重點發展自動化技術、數控技術為主的自動化制造技術。在第四次工業革命的背景下，需求快速變動、生產資源不斷成本上升，產生了智能生產需求，促使工業向服務化轉型。美國基于軟件技術優勢提出了“工業互聯網”，德國基于制造技術優勢提出了“工業4.0”[3]。

2012年，美國啟動AMP戰略，發布《先進制造業國家戰略計劃》，目標是利用信息技術重塑工業格局，保持全球先進制造業的領導地位。加快制造創新、確保人才輸送、改善營商環境是該計劃的三大支柱，智能機器、大數據與數據分析是重點方向[3]。以通用電氣公司為代表的頭部制造企業利用物聯網設備進行數據采集，打造工業互聯網平臺，并進行工業APP開發，試圖打造包含所有行業的工業互聯網平臺。

2013年，德國在漢諾威工業博覽會上正式提出“工業4.0”發展戰略，指利用物理信息系統（Cyber-Physial System，簡稱CPS），將生產中的供應，制造，銷售信息數據化、結構化[3]，并為生產與管理提供決策優化的參考，智能生產與智能工廠是主要推進方向。

2016年，日本工業價值鏈促進會（IVI）發布智能工業制造業基本框架（IVRA），以企業聯合體牽頭的方式，推動“智能工廠”實現。2018年，日本產經省開始聚焦“互聯工業”，其特質是利用數字化技術使網絡空間與物理空間高度融合，包含社會生產及運行的方方面面，旨在以工業價值鏈強化智造水平，以數字化技術構建智能社會。

1.2 市場、政策、技術共同驅動我國工業互聯網高速發展

（1）工業企業降本增效、轉型升級的需求旺盛

我國工業基礎市場大，但工業產業增加值近年來增長逐漸放緩，存在高能耗、低效益的問題以及低碳綠色生產的要求，具有強烈的數字化轉型需求。在新一輪信息革命和產業革命浪潮的推動下，工業企業根據自身經營需要，通過工業互聯網、智能制造等新發展路徑以實現企業發展“第二曲線”，成為迫切需要。

圖1 2016-2020 年中國工業增加值及增速（數據來源：國家統計局）

（2）國家政策密集出臺，為工業互聯網發展提供土壤。2007年，“兩化融合”即信息化與工業化融合的提出，揭開了推動傳統產業轉型升級的新篇章。2015年，我國發布了《我國制造2025》，并圍繞制造業轉型升級、“互聯網+”、工業互聯網平臺、工業互聯網網絡安全等方面頒布一系列政策文件，拉開了工業互聯網發展序幕。2018年以后，“新基建”的政策指引逐漸明晰，2018年底中央經濟工作會議上首次提出“新型基礎設施建設”概念，指出加快5G商用步伐，加強人工智能、工業互聯網、物聯網等新型基礎設施建設[4]。2020年以后，關注點從工業互聯網平臺，轉到了更為全面的“工業互聯網發展”上來，《工業互聯網創新發展行動計劃（2021-2023年）》為工業互聯網創新發展定下了新的目標，描繪了新的藍圖。

（3）關鍵技術成熟，為工業互聯網提供實施基礎。當前以5G、大數據、人工智能、云計算、邊緣計算、區塊鏈為引領的新一代信息技術正處于創新應用不斷開發、突破的階段：5G打破通信技術瓶頸，5G+工業互聯網融合創造新應用；智能制造技術領域，國產操作系統有望逐步代替國外系統；國產超低功耗RFID芯片研制成功，降低成本，有利于中小企業鋪開。新興技術的發展成熟疊加與工業互聯網的融合應用落地，推動工業互聯網持續演進，從而提升整體產業的效率。

2 工業互聯網安全內涵

工業互聯網包含網絡、平臺、安全三大功能體系，其中網絡是工業互聯網實現互聯互通的基礎，平臺是發展工業互聯網的核心，安全是工業互聯網的保障，三大體系各自包含了與之相應的架構與技術構成，融合發展構建了工業互聯網生態[5]。

隨著5G、云計算、工業以太網和大數據等新興技術的快速發展，相對封閉的工業生產控制網絡轉變為相對開放的工業互聯網平臺，兩化融合加速了數字化向網絡化過渡，互聯網快速滲透到工業領域的各個環節，工業實體逐步趨向泛在互聯，工業互聯網安全逐漸成為工業信息安全的焦點和核心[3]。工業互聯網中各種設備互聯，設備種類多、數量多，漏洞后門資源多，攻擊路徑多，攻擊可達性強。

工業互聯網安全包括工業生產運行過程中的信息安全、功能安全與物理安全，涉及工業互聯網領域各個環節[6]。與傳統的工控系統安全和傳統網絡安全相比，工業互聯網安全具備以下特點：

一是防護對象擴大，場景的安全需求需要重新審視。傳統工控系統安全更多關注生產管理層、工業控制層和現場設備層所涉及的信息安全防護，傳統網絡安全則更多關注網絡設施、信息系統軟硬件以及數據安全。工業互聯網安全的涵蓋范圍擴展至工業運行全生命周期，包括設備安全、控制安全、網絡安全、應用安全以及數據安全[7]。

二是廣泛連接，實體、網絡領域均面臨風險。傳統網絡安全的攻擊對象為用戶終端、網站、軟件系統等，但工業互聯網已聯通工業現場與互聯網，網絡攻擊可直接攻擊生產一線，直接影響實體世界。

三是網絡安全和生產安全互相影響，安全事件危害更嚴重。傳統網絡安全事件大多表現為利用病毒、木馬等手段獲取漏洞攻擊工具，造成信息泄露或篡改、服務中斷等，影響工作生活和社會活動。而工業互聯網一旦遭受攻擊，將直接影響工業生產運行，給生產生活與人民生命財產造成嚴重損失，與之相關的所有行業包括能源、交通、采礦、軍工、制造等重要領域，有可能引發重大安全生產事故，給國家總體安全造成嚴重威脅。

圖2 工業互聯網安全體系存在隱患

3 工業互聯網安全面臨的挑戰

安全體系是工業互聯網高質量發展的基礎和保障。構建涵蓋工業全系統的安全防護體系，增強設備、網絡、控制、應用和數據的安全保障能力，識別和抵御安全威脅，化解各種安全風險，構建工業智能化發展的安全可信環境，才能夠保障工業智能化的實現[8]。

3.1 工業互聯網安全體系中的安全風險

邊緣設備存在安全風險。工業互聯網中的邊緣設備承擔著數據采集與匯聚的功能，能夠控制設備，也有計算能力和決策能力，打破了原來集中安全管理的約束[9]。隨著智能設備種類日益增多、數量快速增長，面對接入技術和通信協議的多樣化，邊緣設備自身安全防護技術不能全部滿足需求，設備缺乏安全考慮。許多設備直接暴露于互聯網或防護手段簡單，產品質量良莠不齊，可能導致設備非法受控，為惡意樣本的傳播提供了入口，攻擊者可利用邊緣設備漏洞入侵平臺或發起大規模網絡攻擊。

工業云平臺存在安全風險。一方面是其自身面臨網絡攻擊的風險大，云平臺網絡資源集中，攻擊者通過一個賬戶便可以進入與該服務相關的其他賬戶，與傳統網絡中分散的攻擊目標相比，攻擊者在云平臺中可以“長驅直入”。云資源平臺沒有傳統IT架構的物理界限做屏障，一旦網絡被攻擊，擴散速度比傳統網絡中更快，影響范圍也更廣。另一方面是云計算的技術架構比傳統應用技術棧更加復雜，需要對安全域、流量控制、訪問控制等進行全棧式立體防護。PaaS平臺包括工業微服務組件、大數據分析系統、工業應用內高開發環境、工業數據建模等服務，平臺缺乏有效的安全防護機制，開放性導致安全防護難度加大。

工業互聯網應用層存在風險。隨著工業互聯網與行業的融合應用，新的生產模式、行業價值鏈不斷變革，工業互聯網智能化生產、網絡化協同、個性化定制、服務化延伸、數字化管理[10]等新模式也面臨著安全防護需求。工業應用開發安全防護體系尚不成熟，組件化導致安全風險增加，都成為應用安全的風險隱患。

工業大數據存在風險。工業互聯網的應用將產生海量數據，數據流動方向和路徑復雜，設計、生產、管理、監測等多類數據分布在邊緣設備、云平臺、用戶端等設施，環節眾多、責任邊界模糊，敏感數據細粒度標識和脫敏功能不完善，且開源大數據系統架構往往存在安全漏洞，工業大數據亟待覆蓋全流程、全生命周期的數據保護措施。

3.2 工業互聯網安全技術突破存在挑戰

目前我國工業互聯網安全技術發展尚處于在傳統網絡安全技術與工控系統安全技術的基礎上加以融合的階段。面對復雜的工業協議，深度解析難度大；應用領域眾多，即使同一行業內的業務及各環節也存在巨大差別，在工業互聯網安全技術產品落地具體場景時，無法使用同一種模型覆蓋多個行業，開發及應用成本相對較高；面對5G+工業互聯網等新浪潮，多種通信協議及新興技術對工業互聯網技術儲備提出了挑戰。

3.3 工業互聯網安全產業有較大市場空間

根據工信部數據測算，我國工業互聯網安全產業體量較小，存量規模由2017年的13.4億元增長至2019年的27.2億元，年復合增長率高達42.3%，但在工業互聯網核心產業中占比仍較低，近年來基本維持在0.5%的水平[3]。我國從事工業互聯網安全的企業越有266家，專業企業越有47家，企業規模普遍較小[3]。

與美國、德國、日本相比，我國工業互聯網安全產業起步較晚，傳統信息安全企業、系統集成企業進入工業互聯網安全產業普遍時間較短，缺乏龍頭企業，研發能力、創新能力、技術積累不足，存在產品競爭力相對較弱、核心技術能力較少等問題[3]。工業互聯網安全技術的落地應用與產業化規模較小，軟硬件產品高度依賴于國外產品，自主產品仍主要為邊緣和終端安全防護，這將大大削弱我國工業互聯網安全防護能力。

3.4 部分企業安全意識及投入不足

受限于企業發展階段、技術水平、資金狀況，部分企業對工業互聯網安全意識不夠充分，重發展、輕安全，或仍停留在僅關注工控系統安全的階段，對工業互聯網網絡安全、云平臺安全、數據安全的防護投入較少；未將IT與OT統籌考慮建設，不利于工業互聯網安全防護。

4 工業互聯網安全發展對策建議

4.1 IT與OT技術融合以實現主動防御

加強IT與OT深度融合，保護OT的運行環境，構建IT/OT融合的網絡安全防御技術框架和體系，以實現安全生產快速感知、實時監測、超前預警、應急處置、系統評估五大新型能力，推動安全生產全過程中風險可感知、可分析、可預測、可管控[11]，提升對整體工業互聯網的安全防護能力。

4.2 推動企業、行業及社會安全的協同聯動

企業圍繞自身業務特性，開展安全能力建設，推進企業動態提升工業互聯網安全能力。培育行業解決方案，引導網絡安全企業與系統設備提供商、工業企業協作，圍繞安全生產研發具有市場競爭力的核心產品。將工業互聯網信息安全納入行業價值鏈以及整個產品生命周期，推進產業鏈協同創新，建立企業、行業、社會共同參與的威脅情報共享機制和信息庫。

4.3 加大工業互聯網安全創新的政策保障

加強工業互聯網安全的政策引導及配套，提供政策供給。加強頂層設計，建立健全工業互聯網安全法律法規，持續完善產業發展的戰略措施，聚焦工業互聯網安全發展的關鍵環節和技術薄弱環節，提升政策的精準性；完善金融支持政策，發揮資本市場支撐新興產業、優質企業的能力；完善人才培養及配套政策，加強對工業、計算機信息等相關基礎學科人才教育，鼓勵高校、科研機構、工業企業、安全企業聯合開展工業互聯網安全學科建設，加大對工業互聯網安全和專業技術人才的支持。