一、 發(fā)展現(xiàn)狀

1工控系統(tǒng)網(wǎng)絡安全的重要性及意義

工業(yè)控制系統(tǒng)廣泛應用于石油石化、煙草、電力、核能等工業(yè)生產領域，以及航天、鐵路、公路、地鐵、水務等公共服務領域，堪稱中國關鍵生產設施和基礎設施運行的“神經(jīng)中樞”。統(tǒng)計顯示，我國超過80%的涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，因此，一旦發(fā)生安全事故，其造成的社會影響和經(jīng)濟損失非常嚴重。然而，根據(jù)2000年以來中國信息安全漏洞共享平臺披露的工控系統(tǒng)行業(yè)的漏洞數(shù)量來看，工控漏洞在2010年之后卻始終處于增長態(tài)勢。2014年ICS-CERT所公布的數(shù)據(jù)中，工控安全事件達632件，而且多集中于能源行業(yè)（59%）和關鍵制造業(yè)（20%）。總體來看，隨著“兩化融合”的深入，未來工控系統(tǒng)安全漏洞和威脅還會繼續(xù)增長。

由于工控系統(tǒng)被廣泛應用到電力、石化、交通、市政以及關鍵制造業(yè)等涉及國計民生的重要行業(yè)中，如遭受攻擊，受到影響的將不僅是相關企業(yè)的經(jīng)濟損失，甚至會引起相應的社會問題，其重要性不言而喻。因此，工控安全問題已成為當前世界各國最為重視的安全問題，在國內已被上升到國家安全戰(zhàn)略的高度，國家的政策、標準也正在逐步的制定、完善的過程中。雖然國內工控安全市場目前也僅僅是處在剛起步、培育市場的前期階段，但其未來市場潛力巨大，而且在國家層面，包括發(fā)改委、工信部等主管部委也通過設立專項基金，以資助國內科研院所、企業(yè)的工控安全技術研究及工控安全產品研發(fā)及產業(yè)化。

2相關政策、標準及政府支持力度

政策驅動：信息安全已上升至國家戰(zhàn)略

2014年2月27日，中央網(wǎng)絡安全和信息化領導小組宣告成立。

2016 年年初，網(wǎng)絡安全被正式劃入“十三五”規(guī)劃重點建設方向，在政府未來 5 年的 100 項重大建設項目中排在第六位；

2016年11月7日，中國《網(wǎng)絡安全法》獲得通過，并將于2017年6月1日起施行；

2016年12月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡空間安全戰(zhàn)略》。

2017年7月，《關鍵信息基礎設施安全保護條例》（征求意見稿）發(fā)布；

2017年12月，《工業(yè)控制系統(tǒng)信息安全行動計劃》發(fā)布。

標準制定：

目前已發(fā)布的標準規(guī)范有

《信息安全技術 工業(yè)控制系統(tǒng)安全控制應用指南》

《工業(yè)控制系統(tǒng)信息安全 第1部分 評估規(guī)范》

《工業(yè)控制系統(tǒng)信息安全 第2部分 驗收規(guī)范》

需求驅動：關鍵領域加大信息安全采購力度

政府、電信、金融、能源、軍隊等重點行業(yè)，教育、電商、交通等新興行業(yè)對信息安全產品、服務的需求強勁，拉動了信息安全市場的整體需求。

地方政府投入顯著提升，2017年達1.79億元。占市場總量的32%

3市場規(guī)模

數(shù)據(jù)顯示，我國信息安全產業(yè)規(guī)模自2012年的157.26億元上升至2016年的341.72 億元，五年內年均復合增速達到21.41%。2017年我國工業(yè)信息安全市場規(guī)模為5.57億元，市場增長率達到53.6%，工業(yè)信息安全產業(yè)發(fā)展進入“快車道”。

隨著政策的加快推動，市場增速正呈現(xiàn)不斷上升趨勢，到2018年，預測我國信息安全行業(yè)市場規(guī)模有望達到8.66億元，2018年行業(yè)增速預計將達到 55.4%。

然而，中國工控信息安全市場在近年才開始進入發(fā)展階段，目前整個市場還處于市場預熱的階段。據(jù)估算，中國信息安全的市場總容量巨大，2013年數(shù)據(jù)統(tǒng)計為194億元，其中工業(yè)信息安全市場容量在23.28億元，而這其中工控系統(tǒng)信息安全容量僅為2億元左右。這一市場中占比最大的是電力市場，石油化工占比第二，其他還包括冶金、煙草、煤礦等。工控信息安全市場的容量遠未飽和。

4產品與服務來源

國內的科研院所、工控系統(tǒng)廠商、信息安全廠商以及一些專注做工控安全的新興企業(yè)都將一定的研發(fā)力量投入工控安全的研究及產品研發(fā)領域，并力爭在工控安全領域獲得先發(fā)優(yōu)勢。

國內從事工控系統(tǒng)網(wǎng)絡安全行業(yè)的廠家有啟明星辰；海天煒業(yè)；威努特；力控華康；珠海鴻瑞；綠盟；三零衛(wèi)士；立思辰；中科網(wǎng)威；華大智寶；得安信息；安策科技；安盟電子；深信服；天融信；華為；中興；聯(lián)想等。其來源可分為以下幾類：

1）專業(yè)的工控網(wǎng)絡安全公司：國內的海天煒業(yè)、威努特、天地和興等。

2）工業(yè)控制系統(tǒng)廠家：和利時、浙江中控等。

3）傳統(tǒng)信息安全公司的新增業(yè)務：綠盟、啟明星辰、藍盾等。

4）科研院所及中石油、中石化等大型國企內部集成商：如賽迪、中電六所、石化盈科、中油瑞飛等。

二、面臨的緊迫問題

1工控系統(tǒng)責任單位安全意識有待加強

由于安全防護功能可能會影響系統(tǒng)性能，增加成本；另一方面安全防護設備對于操作人員要求較高，企業(yè)普遍缺乏相關人才；此外，工控系統(tǒng)安全設備實施時需要協(xié)調多個部門，如信息、儀表等，因此，系統(tǒng)應用企業(yè)的工業(yè)控制系統(tǒng)信息安全工作積極性不高，讓產品推廣受到一定的阻力。

2缺乏標準測試和標準驗證能力

與發(fā)達國家相比，我國信息安全領域的產品標準以及跨領域的安全標準研究仍有待加強，國家網(wǎng)絡與信息安全標準體系有待完善。

信息產業(yè)包含成千上萬的從業(yè)者、各種供應商，以及各類軟件、硬件設備等，因此，從上游的電信運營商到下游的信息企業(yè)公司等，應建立統(tǒng)一的規(guī)范標準。

工信部某研究院從工業(yè)控制系統(tǒng)的技術線、管理線出發(fā)，制定形成了多項工業(yè)控制系統(tǒng)信息安全標準草案；初步建立了工業(yè)控制系統(tǒng)信息安全標準的標準驗證仿真平臺，形成了火力發(fā)電、軌道交通等網(wǎng)絡安全仿真驗證環(huán)境；提出了貫穿工業(yè)控制系統(tǒng)信息安全標準研制各階段的標準驗證流程；但目前已有工業(yè)控制系統(tǒng)信息安全仿真驗證環(huán)境缺乏相關配套的標準測試工具，標準驗證測試床尚不完備，形成的標準驗證能力有限。

3 人才缺口大，培養(yǎng)周期長

我國網(wǎng)絡安全人才結構

據(jù)統(tǒng)計：

68.9%的網(wǎng)絡安全從業(yè)人員年齡在25歲~35歲之間，40歲以下占比高達94.6%，網(wǎng)絡安全從業(yè)人員相對年輕化。

63.2%的網(wǎng)絡安全從業(yè)人員為本科學歷，其次為碩士和大專，且研究生是重要科研力量。

網(wǎng)絡安全人才短缺

七成網(wǎng)絡安全從業(yè)人員都是5年以上資深安全人士，而從業(yè)經(jīng)驗1年以下的僅為2.5%，網(wǎng)絡安全人才短缺一直都是網(wǎng)絡安全發(fā)展面臨的最大的挑戰(zhàn)。

好在近兩年來，用人單位提供給安全人員的薪酬有明顯漲幅，約五分之一的網(wǎng)絡安全人員年薪在30萬以上，同比增長9.2%。但年薪在10萬~30萬的網(wǎng)絡安全人員為主流。

一線城市安全人才需求大，人才分配不均

一線城市安全人才需求大，人才分配不均，僅北、上、廣三地對網(wǎng)絡安全人才的需求就占全國總需求的三分之一。網(wǎng)絡安全人才則主要集中在北京、深圳、上海、西安和成都。

國內對網(wǎng)絡安全人才的需求量高達70余萬，社會對網(wǎng)絡安全人才的需求量每年約1.5萬人，高校每年培養(yǎng)的網(wǎng)絡安全相關專業(yè)人數(shù)不到1萬人。

英特爾公司安全研究團隊發(fā)布的報告顯示，美、英、法、德等8個國家的71%的企業(yè)表示，由于安全人才匱乏，每年都會因網(wǎng)絡攻擊而產生重大經(jīng)濟損失。

權威數(shù)據(jù)顯示，最近3年，我國高校學歷教育培養(yǎng)的信息安全專業(yè)人才僅有3萬余人，不足70萬需求的5%。預計到2020年，需求量將達到140萬人，而現(xiàn)在每年培養(yǎng)的人數(shù)，尚不足1.5萬人。

由于薪酬和福利等吸引人才的條件不足，傳統(tǒng)安全企業(yè)的大量人才流入國外企業(yè)或者BAT等互聯(lián)網(wǎng)公司，頂尖安全專家日益匱乏。

4新興技術在工控信息安全領域應用較少

近年來，云安全、基于大數(shù)據(jù)理論的網(wǎng)絡安全防護等新興技術已經(jīng)應用到傳統(tǒng)信息安全領域，這些新技術可以對終端惡意文件進行有效識別，挖掘用戶使用習慣，建立操作模型，實現(xiàn)自動生成防御策略，在安全方面實現(xiàn)了智能化，但這些技術在工業(yè)控制系統(tǒng)領域應用的較少。

5工控信息安全廠商市場集中度較低

工信部于2016年10月發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護指南》，從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應急預案演練、資產安全、數(shù)據(jù)安全、供應鏈管理、落實責任11個方面對工控信息安全建設內容進行了規(guī)定。目前，國內涉足這11項領域的廠商主要有幾十家。

目前，我國信息安全廠商的集中度較低，國內前五名廠商份額占比約26%，而全球前五大廠商份額占比約40%。信息安全領域細分領域眾多，部分細分領域之間的技術關聯(lián)性不強，而信息安全技術密集型的特點，造成企業(yè)很難在不同的細分領域同時發(fā)力。預計未來市場將更多通過并購的方式提高集中度。

信息安全行業(yè)分散格局的重要原因是信息安全貫穿整個信息流鏈條，涉及幾乎所有信息設備與軟件，單個信息安全企業(yè)無法掌握全部信息安全技術，只能根據(jù)自身技術優(yōu)勢和渠道特點進行差異化定位，選擇部分細分領域參與競爭。

6核心元器件、設備及系統(tǒng)依賴國外

核心部件、核心設備依靠國外廠商提供配套資源，自己未掌握核心生產能力、核心技術的研發(fā)能力，導致信息安全核心元器件、核心設備乃至產業(yè)發(fā)展受制于人。

國產基礎軟件尤其是核心產品如操作系統(tǒng)、瀏覽器等基本都依附西方技術標準，沒有自己的編程語言和開發(fā)工具。

我國工控產業(yè)綜合競爭力不強，嵌入式軟件、總線協(xié)議、工控軟件等核心技術受制于國外，缺乏自主的通信安全、信息安全、安全可靠性測試等標準。

三、建議及前景展望

1政府引導及政策支持

隨著網(wǎng)絡信息安全事件持續(xù)頻發(fā)，國家加大了在網(wǎng)絡信息安全產業(yè)方面的投入，并將此提升到了國家戰(zhàn)略的層面。有效應對網(wǎng)絡信息安全問題所帶來的威脅，需要政府、企業(yè)和用戶三方共同努力，構建正確的網(wǎng)絡信息安全全局觀，加強政企合作，持續(xù)加大安全投入，推動安全技術創(chuàng)新，多維度、多層級、全方位推進，形成拱衛(wèi)之勢。國家層面高度重視網(wǎng)絡安全和信息化工作，中央網(wǎng)絡安全和信息化領導小組、網(wǎng)信辦、公安部、國家能源局等部門，在戰(zhàn)略上、組織上、政策和法律上均加大力度加強網(wǎng)絡安全工作。

2支持國產工控系統(tǒng)關鍵技術產品研發(fā)

國外產品對我們來說是“黑箱”，在不能了解防護對象的情況下進行安全防護工作十分困難，發(fā)展國產工控系統(tǒng)關鍵技術產品，加快國產化進程是國內工控信息安全相關機構與企業(yè)必須努力的方向。

3推動企業(yè)工控信息安全防護能力提升

工業(yè)控制系統(tǒng)的信息安全不僅可能造成信息丟失，還可能造成工業(yè)生產故障，引起環(huán)境問題和社會問題。防止工業(yè)控制系統(tǒng)安全事件的發(fā)生，已經(jīng)成為政府和企業(yè)關注的熱點，工業(yè)和信息化部下發(fā)的《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，明確了加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性、具體管理要求以及制度建設的迫切需要。應根據(jù)相關政策文件，研發(fā)工業(yè)控制系統(tǒng)安全防護智能化技術，開發(fā)符合標準的安全防護工具。

在國內關鍵領域信息系統(tǒng)產品投入使用之前，應采用第三方測評業(yè)務進行安全評測，同時，還要完善安全測評服務體系，不斷提升信息安全服務質量。

4進一步開展工控信息安全標準化工作

工控系統(tǒng)中安全問題的發(fā)生除了傳統(tǒng)的技術原因，更重要的是網(wǎng)絡安全管理的規(guī)范化缺乏造成的。應該有針對性的提升我國信息安全標準化工作水平，帶動信息技術產業(yè)及相關產業(yè)行業(yè)發(fā)展實現(xiàn)更大突破，支撐國家網(wǎng)絡安全審查制度的順利實施。

5培養(yǎng)行業(yè)人才

匯聚和培養(yǎng)工控安全領域高級工程技術人才。可從本科教育入手，增設網(wǎng)絡安全專業(yè)，并且在自動化、通信、電子等專業(yè)增加工控網(wǎng)絡安全課程。在研究生教育階段，工控網(wǎng)絡安全可以作為相關專業(yè)的一個研究方向。因工控網(wǎng)絡安全涉及自動化、網(wǎng)絡、信息安全等多學科，在專業(yè)建設及課程設置上需要做好頂層設計，自上而下的改進教育模式。

6加快新技術應用及自主安全產品研發(fā)

移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)等新興技術促使互聯(lián)網(wǎng)環(huán)境更加復雜，通過互聯(lián)網(wǎng)所交互的數(shù)據(jù)包數(shù)量更加龐大，因此涌現(xiàn)出的新網(wǎng)絡問題、安全問題、業(yè)務問題等都需要有相應的網(wǎng)絡產品、安全產品支撐，顯然我國在這方面的技術能力仍有待加強。

構建一個植根于工控系統(tǒng)的全生命周期解決方案。通過設備檢測、監(jiān)測審計、智能保護、安全數(shù)據(jù)庫、威脅管理及安全服務等，形成一個豐富的產業(yè)鏈條。構建良好的行業(yè)生態(tài)，加速產業(yè)鏈上下游企業(yè)資本整合速度。