上个月，美国最大成品油管道运营商Colonial Pipeline因一次勒索软件攻击，致使燃油管道系统被迫关闭，并且让美国17个州及华盛顿特区一度进入紧急状态，被迫支付440万美元的赎金以恢复系统正常；

日本相机大厂富士胶片遭勒索软件攻击，使部分系统受到影响。有些据点的所有通信，包括电子邮件和经由网络系统打入的电话都受到了不同程度的影响... 

而国内，许多企业也受到了不同程度的安全威胁。

轰动一时的三一重工泵车失踪案，因无法传递设备工况数据与正常锁机，导致三一重工技术研发和售后服务大受影响，更有大量客户恶意拖欠该公司货款，失联泵车价值高达10亿元；

台积电三大制造厂区因电脑大规模勒索病毒现象，造成约17.6亿元的营收损失... 

在华为安全架构师王雨晨看来，无论国内企业还是国外企业，勒索软件，蠕虫，挖矿、APT等是最主要的高级安全攻击且是威胁最大的。其中，勒索软件是目前最常见的安全威胁手段。 

显然，工业互联网安全问题已成为工业企业发展过程中必要的考虑因素。 

安全或成工业互联网最大“绊脚石” 

网络是基础，安全是保障，平台是核心。 

工业互联网是新一代信息通信技术与制造业深度融合所形成的新兴业态与新模式。 

自2018年，工业互联网被首次写入政府工作报告，到2020年被划定为新基建的重要组成部分，经过三年时间，工业互联网已进入发展快车道。据赛迪顾问数据显示，2020年，中国工业互联网市场规模总量达到6712.7亿元，同比增长10.4%。 

新技术带来新机遇的同时，往往也会带来新问题。由于工业互联网中各种设备互联，设备种类多，漏洞后门资源多，攻击路径多，攻击性强，所以新问题主要聚焦在安全方面。

这与工业互联网与生俱来的特性相关，在浪潮工业互联网副总经理宋志刚看来，工业互联网先天具有的专业性、复杂性和技术起点高的特点，以及开放性和异构性的特性，加剧了其面临的安全风险。

图源：《2020年工业信息安全态势报告》 

在工业互联网专有特点的基础上，百度相关负责人认为，工业互联网安全威胁事件频发是由于云计算、人工智能、大数据等技术仍处于不断创新和高速迭代阶段，工业互联网仍处于摸索阶段，诸如工业互联网安全等许多难题有待进一步攻克。 

目前，工业领域的网络攻击事件、工业设备、系统安全漏洞数量呈现逐年递增之势。

据《2020年工业信息安全态势报告》显示，工业领域因运营成本大、数据价值达、社会影响广成为了首要攻击目标，仅2020年工业相关勒索软件攻击事件就有33起，远超2017年至2019年两年的总合。 

除去工业互联网专有特性和发展速度来看，华为安全架构师王雨晨认为，工业互联网安全和传统IT安全的差异也是安全威胁事件频发的重要原因。 

• 首先，补丁、杀毒软件等侵入式安全技术不可实施，终端安全不可接受，漏洞处于开放状态；

• 其次，互联网是统一架构，而工业系统架构、业务类型、设备组合千差万别，通用的威胁情报作用很小；

• 再者，工业互联网系统是高度自动化，低交互的，基于安全专家的人工运维不可实施。 

而且，工业互联网中一旦发生事情就是大事，事后处置的损失不可接受，安全手段也绝对不能在业务系统中造成新增故障点，不能引入“安全悖论”。 

所以说，对于工业互联网安全来说，传统IT安全架构早已不适用，亟需构建新型的工业互联网安全架构。 

百度相关负责人也表示，传统互联网时代，人们对网络安全习惯于采取“事后补救”的措施，而这些措施往往是“头痛医头、脚痛医脚”，不能彻底、全面地解决问题，也无法满足新型工业互联网的安全需求。 

工业互联网不止网络和平台，安全也是重要的一环。 

停留在口头上的安全，也只是空中楼阁 

虽然，安全威胁事件频发，但工业互联网的热度仍吸引了不少企业的入局。

根据IDC中国工业互联网调研数据显示，80.3%的受访用户表示已经部署或计划在未来1~3年内部署工业互联网，包括传统制造企业海尔、美的等，互联网巨头BAT，新兴独角兽企业AI四小龙等，还有一些不起眼的小型企业。 

据不完全统计，标识解析体系方面，我国已拥有5个国家顶级节点，90多个二级节点平台已上线，成为三级节点的企业超一万家；

工业互联网平台方面，我国多层级工业互联网平台体系初步形成，国内已涌现出100余个工业互联网平台，其中跨行业跨领域平台达到15个；

工业APP方面，截至3月底，工业互联网平台连接工业设备总数达7300万台，工业App突破59万个。

虽然，目前在工业互联网领域我国已经取得了显著的成就。但是，三一重工泵车失踪案、台积电工厂大面积勒索病毒等事件也说明了企业在安全方面的严重缺失。

据相关调研数据显示，仅有36.5%的工业企业认为自己的工控系统遭受网络攻击的可能性很大，57.4%的企业认为基本不会，甚至有6.1%的受调研企业认为，自己完全不会遭到工控网络攻击。 

六方云总裁李江力表示，这主要是源于各企业对工业互联网安全的认知水平不一，有的企业是经历了安全威胁之后才引起重视，有的企业是根据工信部下发的文件进行着安全实践，还有一批没有接入网络的小型企业并没有工业互联网安全方面的考虑。 

李江力坦言，国内的工业互联网平台企业超过500家，这些平台企业在设计时都会有安全因素的考虑，但不同的平台对安全的理解、设计实现与投入都不一样，整体看，工业互联网平台的安全防护能力还需要提高。 

虽然做的工业安全的企业多越来越多，但是参差不齐的安全认知水平现象愈发严重。现如今，从事工业互联网安全的企业，大部分只重视信息安全，侧重于政府、金融行业等传统领域，但是关于工业领域的生产保护，却很少有企业专注。 

奇安信工业互联网安全事业部产品总监王弢这样说，从调研结果可以看出，表示非常重视工业互联网安全的企业，仅为40.9%。近六成的企业表示较少重视或完全不关心。这也成为了国内工业互联网安全建设始终发展较慢的重要原因之一。 

“软”安全里的“硬”实力

目前，工业互联网安全究竟做的怎么样？

经综合研判，数据显示，预计2020年我国工业信息安全市场增长率将达23.12%，市场整体规模将增长至122.81亿元。

图源：《2020-2021年度工业信息安全形势分析》  

反观去年工业安全事件发生情况，据数据显示，我国2020年公开报道的工业信息安全事件约70件，装备制造、能源等行业为遭受网络攻击最严重领域，占比分别达到27%、22%；2020年新增工业控制系统安全漏洞数达682个，增长率为20%。其中高危漏洞272个，中危漏洞364个，中高危漏洞占比高达93.3%。

一般来说，工业信息安全产业规模和工业安全事件频呈反比，但是从实际数据上来看，在工业信息安全产业规模增长的同时，工业信息安全事件并没有减少反倒增加。 

2020年3月，某大型化工集团发现多台服务器和主机文件被加密，遭受勒索病毒攻击；

8月，某大型煤矿集团一服务器发现感染挖矿蠕虫病毒，往同段其它服务器445以及6379端口发送大量感染数据包；严重影响正常业务的使用；

10月，某大型汽车制造企业重要服务器感染勒索病毒，导致业务系统无法正常运行；

华为安全架构师王雨晨坦言，“对于工业互联网安全来说，防不住是正常的，防住是偶然的。”

无论是传统IT安全还是工业互联网安全主要分为攻防两个方面，二者如同硬币的两面，哪一方面都不可或缺，因此才出现了“以攻促防”，“未知攻，焉知防”之类的金句。 

但现实往往不尽如人意，实际上我们也只做到了前面一半，后一半则明显薄弱，最终成了“虎头蛇尾”，“强弩之末”。归根结底，安全问题本质是一场人才的较量。 

有专业人士曾透露，目前，网络安全人才短缺问题日益突出，2020年缺口突破232%，缺口达140万，2021年缺口飙升至285%...现在安全人才在总数不够的前提下，防守人才更是极度匮乏，比例严重失调。

据奇安信发布的《2020工业互联网安全发展与实践分析报告》显示，仅有40.3%的企业设置了专职的工业网络安全部门或岗位；21.0%的企业表示正在规划，但现在没有专职负责人员；38.7%的企业即没有专职人员，也没有相关的安全规划。

华为安全架构师王雨晨认为，一方面，我国网络安全从业人员也就几万人，极度匮乏，而且他们都在重复做防火墙，态势感知，很少有人能掌握关键技术，都在做安全方面的应用。

另一方面，在人散小而全的安全人才架构下，安全防御理论和技术手段均处于初级阶段，在对抗威胁时，存在严重的攻防不对称现象。产业、产品的能力都远远不能应对威胁挑战的要求，在此种条件下，防不住是必然的。 

工业数字化转型，缺少“主角”的光辉

失去工业互联网安全，工业数字化转型就失去了金钟罩。 

“通过互联网就可以导致工业生产瘫痪，而且，当我们未来实现更深度的数字化转型，会更容易被攻击。”360集团首席安全官杜跃进博士这样说。

如今，工业互联网已成为工业制造业自动化、数字化、智能化转型的重要载体。在工业互联网与5G、大数据、人工智能等新一代信息技术的共同作用下，大量企业开始了数字化转型的探索。 

工业数字化转型主要是通过IT与OT的充分融合来创造更大的价值，但正是二者的深度融合使工业的产业结构和体系建设发生了巨变，由此而来的“勒索事件”等安全“黑天鹅”情况在工业领域频发。 

对于工业数字化转型面对的安全威胁，奇安信工业互联网安全事业部产品总监王弢这样解释，工业数字化转型中，个性化定制、网络化协同以及服务化延伸，生产连续性、可靠性以及核心数据都将面临更为严重的网络安全威胁。例如有制造企业生产系统联网后，大量计算机病毒涌入系统，导致大规模停产。 

不言而喻，工业互联网安全建设的好坏，将直接影响工业数字化转型的快慢。 

如果工业互联网安全没有建设好，一方面，遭受网络攻击不仅单个企业受损，还可延伸至全产业链、全价值链，引发大规模物理设备损坏、生产停滞，影响经济社会的稳定运行。另一方面，工业生产、设计、工艺、经营管理等敏感信息保护不当将损害企业核心利益、影响行业发展，重要工业数据泄露还将导致国家利益受损。 

对此，六方云总裁李江力表示，工业互联网的本质与核心是利用信息化数字化手段提高工业生产效率，但信息化手段提升效率的同时也带来了安全隐患，保障信息安全是工业互联网业务发展的前提，没有安全就没有发展。

其实，国家早就认识到了工业互联网安全对工业数字化转型的重要性。近年来，相继下发了多部政策文件，以推进工业互联网安全综合保障能力提升工程，完善网络安全分类分级管理制度，提升工业企业本质安全水平。 

任何一项产业的出现和发展，都少不了国家政策的支持，但是产业发展的好坏直接关乎着企业的经济效益，所以主体还是企业，在工业互联网安全领域亦是如此。 

在奇安信工业互联网安全事业部产品总监王弢看来，工业互联网安全事件频发表明工业互联网领域的威胁越来越严重，黑产和黑客组织越来越多的关注到工业领域，主要原因在于企业工业互联网安全投入不足，不能有效面对威胁。 

调研数据显示，国内相关企业在工业互联网安全方面的投入总体规模仍然较小。在工业互联网安全方面的年投入超过100万元的企业，不足被调研企业的三成，仅为27.6%。 

华为安全架构师王雨晨认为，除了国家的政策引导和规范要求外，更重要的是企业要跟根据自身面临的安全威胁切实重视安全，加大安全投入，加强企业自身安全建设。 

“工业互联网安全是工业化的基础，‘没有网络安全就没有国家安全’这句话对于工业数字化转型尤其重要。没有安全保障的工业数字化转型就是把万丈高楼建立在沙滩上，对整个工业化都是非常危险的。”

（雷锋网 雷锋网雷锋网）

那么对于中国而言，工业互联网就是制造业数字化转型的重要手段。 

据全球移动通信系统协会预测，2016年至2025年间，工业互联网设备联网数量将从24亿增加到138亿，预计到2023年将超过消费物联网设备联网数量。 

可见，工业互联网大潮已席卷全球。  

安全是发展工业互联网的先决条件 

众所周知，安全是工业互联网的重要保障，工业互联网的高速发展需要完善的安全体系为其保驾护航。 

作为“新基建”的重要部分，“工业互联网”是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与新模式。新技术带来新机遇的同时，往往也会带来新问题。工业互联网中各种设备互联，设备种类多、数量多，漏洞后门资源多，攻击路径多，攻击可达性强，所以新问题主要聚焦于安全方面的问题。

资料来源：中商产业研究院

目前，在工业互联网的发展过程中主要面临着设备、网络、控制、数据以及应用五方面的安全风险问题：

1）设备安全风险 

传统工业设备更多注重业务连续性需求，日常运行维护主要也是针对安全生产内容开展相关工作，各个环节对网络安全内容涉及较少，基本不具备防护各种网络攻击的能力。但是，工业互联网将越来越多的智能化设备引入到工业控制系统中，直接参与生产，使得工业控制系统面临严重的设备安全风险。

2）网络安全风险

网络IP化、无线化、组网灵活化，给工业互联网环境下的工业控制系统带来更大的安全风险。TCP／IP 等通用的网络协议在工业网络中的应用，大大降低了网络攻击门槛，传统的工业控制系统防护策略无法抵御多数网络攻击。为了满足生产需要，无线通信网络在各工业生产场景下得到广泛使用，趋于单一的安全防护机制让攻击者极易通过无线网络入侵，并实施网络攻击。同时，网络的互相融合，使得工业组网越来越灵活复杂，传统的防护策略面临攻击手段动态化的严峻挑战。 

3）控制安全风险

传统控制过程、控制软件主要注重功能安全，并且基于IT 和OT 技术相对隔离、可信的基础上进行设计。同时，为了满足工业控制系统实时性和高可靠性需求，对于身份认证、传输加密、授权访问等方面安全功能进行极大地弱化甚至丢弃，导致工业控制系统面临极大的控制安全风险。 

4）数据安全风险

工业互联网业务结构复杂，工业数据更是种类多样、体量巨大、流向复杂，而且涉及大量用户隐私数据，导致工业数据保护难度增大。 

5）应用安全风险

随着工业互联网不断催生新的商业模式和工业产业生态，工业互联网相关应用无论从数量还是种类将会出现迅速增长。这对工业互联网安全防护在应用方面提出了更高的要求，以应对工业互联网应用种类多样化、数量巨大化和程序复杂化带来的挑战。 

解决安全问题，需多方齐心协力

针对工业互联网发展过程中所遇到的安全风险，早在2019年，工信部就联合十部委引发了《关于印发加强工业互联网安全工作的指导意见的通知》，并明确了工作目标和工作方向：

• 两个时间节点：到2020年底，工业互联网安全保障体系初步建立；到2025年，制度机制健全完善，技术手段能力显著提升，安全产业形成规模，基本建立起较为完备可靠的工业互联网安全保障体系；

• 一个标准：建立工业互联网安全标准体系；

• 一个监测：建设安全威胁态势感知平台；

• 三级平台：建设国家、省、企业三级协同的工业互联网安全技术保障平台；

• 四个要求：设备和控制安全；提升网络设施安全；强化平台安全；建立健全工业APP应用前安全检测机制，强化应用过程中用户信息和数据安全保护。

经过两年时间，目前我国在工业互联网安全产业也取得了初步成效：

顶层设计方面，我国工业互联网安全政策和标准日益完善，垂直行业工业信息安全建设提速，工业企业安全意识全面增强，工业信息安全保障技术水平显著提升，推动了工业互联网安全产业的全面发展。

技术创新方面，工业互联网安全产品体系正在逐步完善，以边界防护、终端防护、监测审计为代表的安全产品种类增多、功能性能增强，基于 AI、大数据、商用密码的安全新产品也在加快研发。

应用场景方面，工业互联网平台已成为工业企业构建网络化协同、规模化定制、服务型制造等新模式、新业态、新动能的重要支撑，工业互联网安全的产业市场正在从防护、管理等产品型向评估、培训等服务型转变。目前，工业互联网安全解决方案已在能源、电力、制造业、交通、石油石化、航空、航天、核工业等领域得到广泛应用。

投融资方面，工业互联网产业政策利好，网络安全社会关注度持续上升，相关企业和投资机构不断加大对工业互联网安全市场的投融资力度。例如，奇安信、六方云等企业不断加大投入，积极推进工业互联网安全技术研发和突破。截至 2020 年上半年，我国在工业互联网方面的投融资规模累计达 15 亿元，其中工业互联网安全、数据安全、云安全等方向成为市场投融资热点 。

区域布局方面，我国主要经济区域，诸如京津冀、长三角地区、粤港澳大湾区、长江中上游地区、东北地区以及西北地区根据自身工业和网络安全产业发展条件，出台了相应的发展规划和政策，引导工业互联网安全产业的区域布局。

工业互联网安全，差在哪？

相较于欧美，日韩等工业起步较早的国家，我国工业互联网安全发展仍处于起步阶段，产业布局尚不完善，面临着诸多严峻挑战：政策体系尚不健全，区域间发展不均衡现象普遍存在；安全标准体系尚未建立，重点行业领域布局不到位，工业互联网设备和安全产品在通信协议、配套规范等方面未统一；资金、设备等资源要素保障能力缺乏，中小企业发展动力不足，专业人才缺失严重等。

“十四五”时期是我国深入实施工业互联网创新发展战略的关键期、工业互联网建设的快速成长期，为了科学高效地应对工业互联网安全困难挑战，应从以下几方面布局：

1）完善政策体系、标准体系，统筹区域均衡发展

完善适应安全产业发展的政策体系，解决相关领域融合渗透面临的政策和制度瓶颈，秉承创新、自主可控的发展思路，营造良好的发展环境；

健全垂直行业安全标准规范，超前布局能源、电力、交通、航空、航天等重点领域安全标准的研究制定；构建涵盖各部委、省市、企业，多方协同的工业互联网安全服务和保障支撑平台，统筹总体系统架构建设，建立全国统一的系统准入标准与接口，制定安全融合应用系列指南；

加强各类资源统筹协调，在不同区域、行业、企业间促进安全产业均衡发展，形成东西部协调、南北方平衡、全国各区域优化发展的产业布局。

2）加大自主研发力度，提高自主创新能力

以构建国家战略科技力量需求为导向，推动建设工业互联网安全国家重点实验室、国家技术创新中心等创新载体，打造支撑工业互联网安全高水平创新的基础设施和平台环境；加快推进设备安全、网络安全、控制安全、应用安全、数据安全等关键核心技术和基础理论的创新突破，充分利用卫星物联网、北斗卫星导航系统等新一代技术装备，辅助提升工业互联网安全防护能力；自主研制具有国际竞争力的安全新技术、新产品、新服务，加强自主成果应用和推广。

3）加大扶持力度，激发中小企业发展活力

重视和鼓励工业安全领域中小企业改革创新，加大对中小企业的政策和资金的扶持力度；支持中小企业开展基础研究和科技创新，参与关键核心技术研发和国家重大科技项目攻关；鼓励和支持在相关地区实施帮扶策略，以项目方式为中小企业提供改造升级和创新活动的技术支持、服务转型、技术指导；引导和帮助中小企业配套软硬件设备、培训相关专业人员、引进先进创新成果，逐步培养中小企业核心竞争力，打造各类型企业协同发展的优势格局。

4）加强政府引导，壮大工业安全人才队伍

加强顶层规划，建立并完善我国工业互联网安全产业体系，引导地方政府、科研机构、安全企业等在产业体系中找准定位、精准发力、协同发展，共同支撑构建我国工业安全产业生态；依托产业联盟、高端智库等力量，推动“政产学研用”深度融合，培育一批具有产业整合能力的龙头和特色企业；制定工业互联网安全人才发展规划，建立安全人才库、专家库，创新联合培养机制，挖掘和培养国家和企业亟需的复合型、实战型专有人才。（雷锋网 雷锋网 雷锋网）