中國工程院院刊:《我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展態(tài)勢及路徑》

我國正處于新一輪工業(yè)革命的歷史機遇期，工業(yè)互聯(lián)網(wǎng)作為新型基礎(chǔ)設(shè)施建設(shè)的重要組成部分，是推動數(shù)字經(jīng)濟與實體經(jīng)濟深度融合的關(guān)鍵路徑。為此，國家高度重視，提出深入實施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略的要求。自 2017 年國務(wù)院發(fā)布《關(guān)于深化“互聯(lián)網(wǎng) + 先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》以來，一系列配套政策相繼出臺，工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略逐步實施并取得顯著進展。目前，我國工業(yè)互聯(lián)網(wǎng)發(fā)展迅速，已廣泛應(yīng)用于能源、交通、制造、國防等行業(yè)領(lǐng)域，對經(jīng)濟社會發(fā)展的帶動效應(yīng)日益顯著。工業(yè)互聯(lián)網(wǎng)在構(gòu)建全新生產(chǎn)制造和服務(wù)體系，為高質(zhì)量發(fā)展和供給側(cè)改革提供支撐的同時，也打破了傳統(tǒng)工業(yè)環(huán)境相對封閉可信的狀態(tài)，增加了遭受網(wǎng)絡(luò)攻擊的可能性。各國工業(yè)領(lǐng)域的安全事件頻發(fā)，危害日益嚴(yán)重，網(wǎng)絡(luò)攻擊成為制約工業(yè)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵因素。工業(yè)互聯(lián)網(wǎng)安全作為國家安全的重要組成部分，事關(guān)經(jīng)濟發(fā)展和社會穩(wěn)定；消除工控安全威脅與隱患，建立科學(xué)、系統(tǒng)的安全防護體系成為必然。

從產(chǎn)品競爭格局來看，全球工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)可以分為硬件與網(wǎng)絡(luò)、軟件與平臺、信息安全三大板塊；2018 年硬件與網(wǎng)絡(luò)產(chǎn)品占比為 49.8%，軟件與平臺產(chǎn)品占比為 48.3%，信息安全產(chǎn)品占比為 1.9%；2019 年全球工業(yè)互聯(lián)網(wǎng)信息安全產(chǎn)業(yè)的市場規(guī)模為 156.6 億美元，預(yù)計 2025 年為 222 億美元。

與發(fā)達國家相比，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)中的軟硬件產(chǎn)品自主研發(fā)能力有所不足，在核心技術(shù)、產(chǎn)業(yè)規(guī)模、推廣應(yīng)用等方面尚存差距；高端關(guān)鍵基礎(chǔ)裝備、控制系統(tǒng)、軟件及平臺市場長期被國外產(chǎn)品占據(jù)，如工業(yè)控制系統(tǒng)中的微控制單元（MCU）、數(shù)字信號處理器（DSP）、現(xiàn)場可編程門陣列（FPGA）等核心元器件技術(shù)與國外差距較大，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、可編程邏輯控制器（PLC）、分散控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）等較多依賴國外供應(yīng)。為了加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，提升工業(yè)互聯(lián)網(wǎng)安全保障能力，我國需在推動工業(yè)互聯(lián)網(wǎng)安全責(zé)任落實、構(gòu)建互聯(lián)網(wǎng)安全管理體系、提升企業(yè)互聯(lián)網(wǎng)安全防護水平、強化互聯(lián)網(wǎng)數(shù)據(jù)安全保護能力、完善國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段、加強工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力、推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展 7 個方面持續(xù)發(fā)力。

（一）工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)政策持續(xù)向好，不斷細(xì)化深入

隨著云計算、第五代移動通信（5G）、物聯(lián)網(wǎng)等新一代信息技術(shù)與制造業(yè)的不斷融合，工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全風(fēng)險逐漸增大，工業(yè)互聯(lián)網(wǎng)安全成為國家和企業(yè)高度關(guān)注的議題。我國從國家安全角度出發(fā)，對工業(yè)互聯(lián)網(wǎng)安全體系進行了頂層設(shè)計和戰(zhàn)略布局，堅持以安全保發(fā)展、以發(fā)展促安全、安全和發(fā)展并重的發(fā)展路徑，確保安全保障與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運行，為工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的健康發(fā)展奠定了良好基礎(chǔ)。近年來，我國陸續(xù)出臺了一系列政策、指南，從宏觀、中觀、微觀層面不斷細(xì)化完善工業(yè)互聯(lián)網(wǎng)安全政策體系。2019 年 7 月，工業(yè)和信息化部等十部門聯(lián)合印發(fā)了《關(guān)于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》，體系化布局了工業(yè)互聯(lián)網(wǎng)安全工作，為產(chǎn)業(yè)的健康發(fā)展指明了方向。可以預(yù)見，未來還將會有更多的產(chǎn)業(yè)政策出臺，繼續(xù)保持對工業(yè)互聯(lián)網(wǎng)安全的扶持力度，引導(dǎo)其全面發(fā)展。

（二）工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系穩(wěn)步推進，指導(dǎo)產(chǎn)業(yè)健康發(fā)展

工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系主要由基礎(chǔ)共性類標(biāo)準(zhǔn)、安全防護類標(biāo)準(zhǔn)、安全服務(wù)類標(biāo)準(zhǔn)、垂直行業(yè)類標(biāo)準(zhǔn)組成（見表 1）。標(biāo)準(zhǔn)化對工業(yè)互聯(lián)網(wǎng)安全保障體系建設(shè)至關(guān)重要。近年來，針對工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)的跨行業(yè)、跨專業(yè)、跨領(lǐng)域特點，我國加速開展相關(guān)標(biāo)準(zhǔn)的研制，陸續(xù)發(fā)布了《工業(yè)互聯(lián)網(wǎng)安全防護總體要求》《工業(yè)互聯(lián)網(wǎng)平臺安全防護要求》等標(biāo)準(zhǔn)規(guī)范，印發(fā)了《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》等，初步形成了涵蓋設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全、平臺安全、安全管理的工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系（見圖 1）。后續(xù)，工業(yè)互聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)將會進一步完善，產(chǎn)業(yè)發(fā)展將更趨規(guī)范。

表 1 工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系 

圖 1 我國工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的制定情況

（三）工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結(jié)構(gòu)逐步調(diào)整并持續(xù)優(yōu)化

工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結(jié)構(gòu)依據(jù)市場應(yīng)用分為安全產(chǎn)品和安全服務(wù)兩大類（見表 2）。目前，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品類市場和服務(wù)類市場均在持續(xù)發(fā)展壯大，產(chǎn)品和服務(wù)體系正在加速構(gòu)建，產(chǎn)業(yè)結(jié)構(gòu)不斷優(yōu)化，呈現(xiàn)出以下特點。

表 2 工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結(jié)構(gòu) 

在工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品方面，防護類產(chǎn)品中的邊界、終端安全防護是當(dāng)前的主要分布形態(tài)，發(fā)展相對成熟，市場占有率較大。隨著網(wǎng)絡(luò)安全等級保護 2.0 的正式實施，防護類產(chǎn)品將成為工業(yè)互聯(lián)網(wǎng)安全整體解決方案中必備的基礎(chǔ)安全措施，市場規(guī)模將繼續(xù)穩(wěn)定增長。此外，防護類產(chǎn)品中的網(wǎng)絡(luò)檢測、工業(yè)安全審計類產(chǎn)品的市場規(guī)模雖然較小，但發(fā)展速度較快。管理類產(chǎn)品中的態(tài)勢感知、安全合規(guī)管理、安全運維等產(chǎn)品是安全廠商的重要布局方向。在國家和行業(yè)政策的雙重推動下，我國工業(yè)企業(yè)用戶對合規(guī)安全和內(nèi)生安全的需求加快，未來該類產(chǎn)品的市場規(guī)模也將穩(wěn)定增長。

在工業(yè)互聯(lián)網(wǎng)安全服務(wù)方面，由于近年來工業(yè)網(wǎng)絡(luò)威脅朝著多樣化、復(fù)雜化方向演化，傳統(tǒng)的單一安全產(chǎn)品模式已難以滿足用戶的安全防護需求；以風(fēng)險評估、安全管理咨詢、安全應(yīng)急響應(yīng)、安全托管服務(wù)等為主的安全服務(wù)獲得更多關(guān)注，針對工業(yè)互聯(lián)網(wǎng)安全評估和安全培訓(xùn)的需求日趨旺盛。此外，科研院所、高校對工業(yè)信息安全人才培養(yǎng)的重視程度顯著提高，促進了安全培訓(xùn)服務(wù)市場快速增長，進一步優(yōu)化了產(chǎn)業(yè)結(jié)構(gòu)。

（四）工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)規(guī)模持續(xù)增長

有效的安全保障離不開堅實的產(chǎn)業(yè)支撐。隨著我國工業(yè)互聯(lián)網(wǎng)戰(zhàn)略的全面實施，政府及企業(yè)不斷加大安全投入，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)迎來快速增長期（見圖 2）。2018 年我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的市場規(guī)模為 94.6 億元，預(yù)計 2022 年為 307.6 億元，年均復(fù)合增長率約為 32.66%。在政策環(huán)境與市場需求的共同作用下，加強安全保障將成為今后工作的重點，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)進入快速發(fā)展的新階段。

圖 2 2017—2022 年我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)市場規(guī)模及預(yù)測

（一）產(chǎn)業(yè)政策利好進一步釋放，產(chǎn)業(yè)基礎(chǔ)更為堅實

工業(yè)互聯(lián)網(wǎng)安全是我國實施制造強國和網(wǎng)絡(luò)強國戰(zhàn)略的重要保障，也是落實總體國家安全觀的重要抓手。在 5G、工業(yè)互聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)加速發(fā)展的大背景下，統(tǒng)籌發(fā)展與安全將成為我國新時期制造業(yè)數(shù)字化轉(zhuǎn)型的主旋律。隨著工業(yè)互聯(lián)網(wǎng)戰(zhàn)略的深入推進，我國不斷加強政策和財政支持力度，促進工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的內(nèi)需增長，引導(dǎo)企業(yè)加大安全技術(shù)投入，加快相關(guān)安全技術(shù)研發(fā)和產(chǎn)業(yè)化推進。隨著國家相關(guān)法規(guī)政策的持續(xù)推進，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)環(huán)境將不斷優(yōu)化，產(chǎn)業(yè)基礎(chǔ)更為堅實，產(chǎn)業(yè)聚集效應(yīng)將逐漸形成。

（二）合規(guī)性需求是推動工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展的主要驅(qū)動力

網(wǎng)絡(luò)安全等級保護 2.0 擴展了網(wǎng)絡(luò)安全保護的范圍，對工業(yè)控制系統(tǒng)提出了更高的安全擴展要求，以適用于工業(yè)控制的專有技術(shù)和應(yīng)用場景特點。面對安全合規(guī)要求，工業(yè)企業(yè)須持續(xù)加強自身安全防護體系，進一步落實主體責(zé)任，加大安全投入，加強體系化的安全規(guī)劃和布局。可以判斷，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的內(nèi)生需求將進一步擴大。

 （三）工業(yè)互聯(lián)網(wǎng)安全需求促使信息技術(shù)（IT）安全與運營技術(shù) (OT) 安全不斷深入融合

工業(yè)互聯(lián)網(wǎng)安全是工業(yè)生產(chǎn)安全和網(wǎng)絡(luò)空間安全相融合的領(lǐng)域，涵蓋工業(yè)領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化、智能化過程中各個要素和各個環(huán)節(jié)的安全，需要專門的安全產(chǎn)品、技術(shù)和服務(wù)。當(dāng)前，我國工業(yè)互聯(lián)網(wǎng)企業(yè)多采用傳統(tǒng)的網(wǎng)絡(luò)信息安全防護技術(shù)，以工控系統(tǒng)的“外建”安全防護產(chǎn)品和解決方案為主，尚沒有工業(yè)互聯(lián)網(wǎng) OT 方面的安全專用防護設(shè)備，整體安全解決方案還不成熟。

我國工業(yè)互聯(lián)網(wǎng)安全技術(shù)體系可以分為外建安全（IT 安全）和內(nèi)嵌安全（OT 安全）兩大類。隨著工業(yè)互聯(lián)網(wǎng)的加速推進，來自工控系統(tǒng)、工業(yè)智能設(shè)備、工業(yè)平臺、數(shù)據(jù)的安全問題不容忽視，對內(nèi)嵌信息安全功能的產(chǎn)品和服務(wù)的市場需求激增。以 IT 安全為主的傳統(tǒng)產(chǎn)品和服務(wù)已不能完全滿足實際市場需求，應(yīng)充分結(jié)合 OT 安全進行縱深發(fā)展。因此，未來工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展應(yīng)統(tǒng)籌考慮 IT 安全和 OT 安全的市場需求，提升工業(yè)企業(yè)綜合防護水平。在特殊性能需求方面，保障生產(chǎn)的連續(xù)性和可靠性是工業(yè)互聯(lián)網(wǎng)的首要任務(wù)，網(wǎng)絡(luò)時延或成本較高的 IT 安全方案將無法應(yīng)用于 OT 網(wǎng)絡(luò)，需要針對 OT 網(wǎng)絡(luò)特點研究平衡安全風(fēng)險和業(yè)務(wù)影響的技術(shù)方案。

（四）結(jié)合多領(lǐng)域、新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全解決方案不斷涌現(xiàn)

隨著大數(shù)據(jù)、云計算、人工智能（AI）、5G、邊緣計算等新一代信息技術(shù)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的快速應(yīng)用，IT 和 OT 融合加速。與此同時，融合了新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全環(huán)境將變得更加復(fù)雜多樣，安全風(fēng)險呈現(xiàn)多元化特征；安全隱患發(fā)現(xiàn)難度更高，安全形勢進一步加劇。這一系列技術(shù)和形勢的變化，對安全理念和技術(shù)提出了新的要求，將促使安全態(tài)勢感知、安全可視化、威脅情報、大數(shù)據(jù)處理等新技術(shù)在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域不斷取得應(yīng)用突破；促使定制化安全產(chǎn)品加速出現(xiàn)，滿足客戶不同產(chǎn)品形態(tài)、性能的需求；安全服務(wù)將由現(xiàn)場服務(wù)為主、遠(yuǎn)程服務(wù)為輔轉(zhuǎn)向遠(yuǎn)程化、云化、自動化、平臺化發(fā)展。整體而言，圍繞設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大安全領(lǐng)域，結(jié)合多領(lǐng)域、新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全解決方案將不斷出現(xiàn)，為工業(yè)企業(yè)部署安全防護措施提供可參考的模式。

（五）安全產(chǎn)品的國產(chǎn)化替代需求促進工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)快速發(fā)展

我國的重要工控系統(tǒng)較多采用國外技術(shù)和設(shè)備，存在核心技術(shù)受制于人的問題。大量工業(yè)企業(yè)的工控系統(tǒng)依賴國外廠商提供的運維服務(wù)，企業(yè)對系統(tǒng)運行的可控性較低；缺乏對國外產(chǎn)品和服務(wù)的必要監(jiān)管機制和技術(shù)檢測措施，存在一定的安全隱患。工業(yè)互聯(lián)網(wǎng)安全事關(guān)經(jīng)濟發(fā)展和社會穩(wěn)定，重要工業(yè)數(shù)據(jù)一旦被竊取、篡改或破壞，將對國家安全構(gòu)成嚴(yán)重威脅。頻繁爆發(fā)的竊密和攻擊事件，使得各國在網(wǎng)絡(luò)空間安全領(lǐng)域的對抗態(tài)勢進一步加劇。需要高度關(guān)注信息安全產(chǎn)品的自主可控，將信息安全產(chǎn)品的國產(chǎn)化上升到國家安全的高度，依靠自主創(chuàng)新，積極發(fā)展具有自主知識產(chǎn)權(quán)的信息安全產(chǎn)品。近年來，在信息產(chǎn)品國產(chǎn)化政策的推動下，信息安全產(chǎn)品的國產(chǎn)化替代趨勢趨于顯現(xiàn)。

隨著我國制造業(yè)向數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型升級，網(wǎng)絡(luò)安全威脅日益向工業(yè)領(lǐng)域蔓延。我國工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域仍存在體制機制尚不健全、綜合保障水平偏低、關(guān)鍵核心技術(shù)產(chǎn)品不成熟、高端技術(shù)人才匱乏等突出問題，工業(yè)領(lǐng)域面臨的安全風(fēng)險態(tài)勢十分嚴(yán)峻。另外，隨著新型基礎(chǔ)設(shè)施建設(shè)的推進，工業(yè)系統(tǒng)需要防護對象的數(shù)量大幅增加，工業(yè)系統(tǒng)的受攻擊面不斷擴大，防護要求和難度也不斷提高；新技術(shù)與工業(yè)互聯(lián)網(wǎng)的融合應(yīng)用伴生了新興安全問題，數(shù)據(jù)要素的共享流動則加劇了潛在安全風(fēng)險。這些新挑戰(zhàn)推動工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品加速變革，防護工作逐步向動態(tài)協(xié)同轉(zhuǎn)變，促進安全生態(tài)體系創(chuàng)新。

（一）產(chǎn)業(yè)發(fā)展體制機制不健全，聯(lián)動發(fā)展職責(zé)不明晰

我國出臺了多項頂層政策文件以指導(dǎo)工業(yè)互聯(lián)網(wǎng)安全發(fā)展，但工業(yè)企業(yè)在實際開展安全防護項目的設(shè)計、建設(shè)、實施、運維等過程中，仍存在缺乏具體政策文件統(tǒng)籌指導(dǎo)、安全主體責(zé)任不明等問題。工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系尚未完全建立，相關(guān)標(biāo)準(zhǔn)之間缺乏嚴(yán)格的邏輯關(guān)聯(lián)，關(guān)鍵技術(shù)的管理標(biāo)準(zhǔn)缺失，無法為企業(yè)開展安全防護工作提供標(biāo)準(zhǔn)依據(jù)，難以滿足產(chǎn)業(yè)發(fā)展的安全需求。工業(yè)互聯(lián)網(wǎng)安全在保障目標(biāo)對象、安全需求等方面具有特殊性，而工業(yè)屬性伴生的保護場景多樣性給其自身發(fā)展帶來了挑戰(zhàn)。因此，亟需建立針對性強、特色鮮明的工業(yè)互聯(lián)網(wǎng)安全保障體系。

（二）防護建設(shè)運營機制不順暢，綜合保障能力難以提升

當(dāng)前，我國工業(yè)互聯(lián)網(wǎng)安全建設(shè)大多圍繞工業(yè)企業(yè)的基本安全需求而開展，處于以設(shè)備采購為主的初級階段。一方面，工業(yè)企業(yè)用戶在完成工業(yè)互聯(lián)網(wǎng)安全項目建設(shè)后，因缺少持續(xù)學(xué)習(xí)工業(yè)互聯(lián)網(wǎng)安全配置、設(shè)備運維知識的相關(guān)渠道，無法發(fā)揮安全產(chǎn)品的最大效果；另一方面，企業(yè)用戶普遍缺乏對安全措施有效性的量化考核和評估能力，存在安全制度形同虛設(shè)、安全設(shè)備較多閑置等問題。

（三）產(chǎn)品服務(wù)認(rèn)證機制不完善，規(guī)模應(yīng)用進展不平衡

雖已存在各類工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)，但對應(yīng)的市場準(zhǔn)入和認(rèn)證機制還不完善，缺乏檢測認(rèn)證標(biāo)準(zhǔn)規(guī)范和技術(shù)。這是因為工業(yè)互聯(lián)網(wǎng)安全近年來才受到關(guān)注，相關(guān)標(biāo)準(zhǔn)仍在編制過程中，且標(biāo)準(zhǔn)制定存在一定的難度。工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)仍處于發(fā)展起步階段，而制定的標(biāo)準(zhǔn)既要適應(yīng)當(dāng)前用戶需求，又要具有一定的前瞻性，才能指導(dǎo)和引領(lǐng)該類產(chǎn)品的發(fā)展；不同行業(yè)和環(huán)境對工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品的需求差別較大，且工控協(xié)議種類繁多，也增加了標(biāo)準(zhǔn)的制定難度。現(xiàn)階段對工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)的檢測多沿用傳統(tǒng) IT 安全檢測認(rèn)證標(biāo)準(zhǔn)和測評方法，這顯然是不合適的。工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)的統(tǒng)一標(biāo)準(zhǔn)、認(rèn)證機制明顯缺乏，使得相關(guān)認(rèn)證難以面向市場快速推廣，更難以進行規(guī)模化生產(chǎn)和產(chǎn)業(yè)化應(yīng)用。

（四）產(chǎn)業(yè)創(chuàng)新聚集效應(yīng)不明顯，關(guān)鍵產(chǎn)品發(fā)展不成熟

在產(chǎn)業(yè)聚集方面，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)起步晚、體量小，如外建安全產(chǎn)品和服務(wù)的市場規(guī)模占網(wǎng)絡(luò)安全產(chǎn)業(yè)整體規(guī)模的比例不足 5%。我國從事工業(yè)互聯(lián)網(wǎng)安全的企業(yè)約有 266 家，專注該領(lǐng)域的企業(yè)約有 47 家，企業(yè)規(guī)模普遍較小；傳統(tǒng)信息安全企業(yè)、自動化背景企業(yè)、IT 系統(tǒng)集成企業(yè)進入工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的時間普遍較短，存在技術(shù)創(chuàng)新能力不足、缺乏具有市場競爭力的核心產(chǎn)品等問題。目前，我國安全服務(wù)企業(yè)在外置防護產(chǎn)品技術(shù)方面成熟度相對較高，在內(nèi)置信息安全工控產(chǎn)品技術(shù)方面的成熟度偏低；企業(yè)的安全服務(wù)能力難以滿足現(xiàn)實需求，尚未形成引領(lǐng)產(chǎn)業(yè)發(fā)展的骨干龍頭企業(yè)，產(chǎn)業(yè)創(chuàng)新集聚效應(yīng)不明顯，產(chǎn)業(yè)整體規(guī)模仍處于低位。在關(guān)鍵產(chǎn)品方面，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)技術(shù)和產(chǎn)業(yè)化應(yīng)用仍不成熟，工業(yè)軟硬件產(chǎn)品對外依賴度較高，不可預(yù)知的安全隱患增多，安全風(fēng)險加劇。

我國工業(yè)互聯(lián)網(wǎng)安全技術(shù)體系的技術(shù)成熟度與應(yīng)用情況如圖 3 所示。

①在外建安全防護方面，防護類技術(shù)的成熟度較高，市場應(yīng)用水平也較高，如基于策略的訪問控制、網(wǎng)絡(luò)隔離和應(yīng)用程序白名單等；但外建安全防護產(chǎn)品在工業(yè)場景兼容性、協(xié)議支持豐富度、智能化水平和可視化水平程度等方面與國外先進技術(shù)仍存在一定差距；在基于指紋匹配的資產(chǎn)識別、基于漏洞庫的風(fēng)險關(guān)聯(lián)、威脅溯源等檢測類和響應(yīng)類技術(shù)方面尚存在不足，與國際工業(yè)互聯(lián)網(wǎng)安全企業(yè)仍存在較大差距。

②在內(nèi)嵌安全防護方面，我國在通信訪問控制、通信和數(shù)據(jù)加密、身份識別等技術(shù)方面已取得一定突破，但與國際水平相比仍存在較大差距；由于工業(yè)系統(tǒng)整體兼容性不強、價格競爭優(yōu)勢不足等因素，市場應(yīng)用水平整體偏低。

圖 3 工業(yè)互聯(lián)網(wǎng)安全技術(shù)成熟度與應(yīng)用情況

（五）安全人才結(jié)構(gòu)布局不合理，人才核心競爭力不充分

網(wǎng)絡(luò)安全實質(zhì)上是攻擊能力和防御能力的較量，歸根結(jié)底是人才之間綜合能力的比較。隨著工業(yè)互聯(lián)網(wǎng)安全風(fēng)險日益突出，工業(yè)企業(yè)亟需持續(xù)提升安全能力，除了購買網(wǎng)絡(luò)安全產(chǎn)品以獲得安全能力外，還應(yīng)通過培養(yǎng)網(wǎng)絡(luò)安全人才、購買網(wǎng)絡(luò)安全咨詢服務(wù)來增強運維能力，彌補自身安全能力的不足。我國網(wǎng)絡(luò)安全人才的缺口較大，亟需具備網(wǎng)絡(luò)安全技能且適應(yīng)復(fù)雜工業(yè)場景的安全防護復(fù)合型人才；人才供需失衡使企業(yè)間的人才競爭加劇，人才儲備無法適應(yīng)未來發(fā)展的挑戰(zhàn)。

（一）加強政策引導(dǎo)與扶持，打造國內(nèi)國際雙循環(huán)相互促進的產(chǎn)業(yè)新發(fā)展格局

建議加強工業(yè)互聯(lián)網(wǎng)管理體系建設(shè)，強化頂層設(shè)計，建立健全法律法規(guī)，實施政策引導(dǎo)和配套，持續(xù)完善產(chǎn)業(yè)發(fā)展的戰(zhàn)略措施，形成持續(xù)發(fā)展的長效機制。強化“關(guān)口前移、防患于未然”的安全防護理念，及時制定工業(yè)大數(shù)據(jù)、工業(yè)云平臺等新興領(lǐng)域的安全管理政策體系和標(biāo)準(zhǔn)，規(guī)范和指導(dǎo)新安全技術(shù)與工業(yè)互聯(lián)網(wǎng)領(lǐng)域的融合應(yīng)用。注重政策落實效果，強化工業(yè)企業(yè)安全主體責(zé)任并提升防護意識，打造以國內(nèi)大循環(huán)為主體，國內(nèi)國際雙循環(huán)相互促進的產(chǎn)業(yè)新發(fā)展格局。

（二）強化科技創(chuàng)新與轉(zhuǎn)化，促使科技創(chuàng)新成為產(chǎn)業(yè)發(fā)展的內(nèi)生動力

科技創(chuàng)新是“十四五”時期的首要任務(wù)，是新型基礎(chǔ)設(shè)施建設(shè)的重要依托，也是網(wǎng)絡(luò)安全的基礎(chǔ)。建議工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)秉承創(chuàng)新發(fā)展理念，逐步建立基于自主知識產(chǎn)權(quán)的技術(shù)架構(gòu)和標(biāo)準(zhǔn)，完成開放生態(tài)建設(shè)，打牢工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)健康發(fā)展的基礎(chǔ)。

持續(xù)增強體系化技術(shù)創(chuàng)新能力，構(gòu)建國家工業(yè)互聯(lián)網(wǎng)安全保障體系，瞄準(zhǔn)產(chǎn)業(yè)發(fā)展制高點，指導(dǎo)發(fā)布重點領(lǐng)域技術(shù)創(chuàng)新指南，在資產(chǎn)識別、風(fēng)險管理、應(yīng)急處置等技術(shù)領(lǐng)域梳理瓶頸短板清單，引導(dǎo)市場主體創(chuàng)新突破。不斷探索工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新融合應(yīng)用的解決方案，鼓勵安全企業(yè)積極探索應(yīng)用大數(shù)據(jù)、AI、5G、區(qū)塊鏈等新興技術(shù)解決工業(yè)互聯(lián)網(wǎng)安全問題，形成典型解決方案，為工業(yè)企業(yè)部署安全防護措施提供可借鑒模式。

推動工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品的研發(fā)。建立以企業(yè)為主導(dǎo)的“產(chǎn)學(xué)研用”聯(lián)合創(chuàng)新機制，瞄準(zhǔn)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)技術(shù)、共性關(guān)鍵技術(shù)、前沿技術(shù)以及重點工業(yè)領(lǐng)域的信息安全系統(tǒng)解決方案和核心環(huán)節(jié)，研究新興工業(yè)互聯(lián)網(wǎng)安全技術(shù)在工業(yè)領(lǐng)域的融合應(yīng)用，盡快突破一批關(guān)鍵核心技術(shù)。加強協(xié)同攻關(guān)，以點帶面、消除瓶頸，補齊短板、整體推進，重點發(fā)展一批高端產(chǎn)品，形成具有市場競爭力的產(chǎn)品體系。積極推動核心技術(shù)成果轉(zhuǎn)化和交易，加強知識產(chǎn)權(quán)保護和管理，促進創(chuàng)新成果轉(zhuǎn)化，不斷提升創(chuàng)新鏈、產(chǎn)業(yè)鏈、價值鏈的整合能力。

（三）引導(dǎo)相關(guān)企業(yè)和機構(gòu)優(yōu)勢互補，構(gòu)建產(chǎn)業(yè)發(fā)展的良好生態(tài)

跨界合作是應(yīng)對交叉領(lǐng)域安全問題的有效辦法。隨著越來越多的工業(yè)設(shè)備聯(lián)網(wǎng)，僅靠企業(yè)自身力量很難對潛在的工業(yè)互聯(lián)網(wǎng)安全風(fēng)險進行全面防御，需要政府主管部門、科研機構(gòu)、安全服務(wù)商、工業(yè)企業(yè)、工控設(shè)備提供商等進行優(yōu)勢互補，緊密配合，針對各工業(yè)行業(yè)的特點，協(xié)同構(gòu)建多維度、多層次的防御機制，共同應(yīng)對來自各領(lǐng)域的安全威脅與挑戰(zhàn)，打造協(xié)同發(fā)展的良好產(chǎn)業(yè)生態(tài)體系。

加強產(chǎn)業(yè)政策傾斜，鼓勵工控系統(tǒng)制造企業(yè)、工業(yè)企業(yè)和網(wǎng)絡(luò)安全企業(yè)深度合作。建議制定促進合作的相關(guān)政策，鼓勵工業(yè)互聯(lián)網(wǎng)各相關(guān)企業(yè)針對工業(yè)領(lǐng)域各行業(yè)的生產(chǎn)運營特征，聚焦行業(yè)痛點，將技術(shù)突破、模式創(chuàng)新與產(chǎn)業(yè)實際需求相結(jié)合，逐步形成政府引導(dǎo)、用戶主導(dǎo)、廠商參與和資本推動的良性產(chǎn)業(yè)生態(tài)。

在能源、交通等重點產(chǎn)業(yè)進行集中攻關(guān)，整合“政產(chǎn)學(xué)研用”資源，發(fā)揮集中力量辦大事的制度優(yōu)勢，形成關(guān)鍵核心技術(shù)攻堅體制，合作研發(fā)高精尖安全產(chǎn)品和解決方案，成立國家級的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。以問題為導(dǎo)向，加快建立關(guān)鍵共性技術(shù)體系，布局技術(shù)短板和下一代前沿技術(shù)，盡快突破關(guān)鍵核心技術(shù)瓶頸，確保自主可控。

重點培育龍頭骨干企業(yè)，引導(dǎo)安全廠商不斷革新商業(yè)模式，強化網(wǎng)絡(luò)安全資源整合，聚焦產(chǎn)業(yè)多方協(xié)同，加快構(gòu)建產(chǎn)業(yè)生態(tài)。基于用戶需求重構(gòu)產(chǎn)業(yè)鏈，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)鏈上下游企業(yè)要共同發(fā)力，加快資本整合和戰(zhàn)略合作步伐。集中力量構(gòu)建開放的網(wǎng)絡(luò)安全生態(tài)，將安全能力對外輻射給更多合作伙伴，踐行合作共贏的發(fā)展理念。

優(yōu)化產(chǎn)業(yè)生態(tài)環(huán)境，發(fā)揮政府管理部門、行業(yè)協(xié)會的引導(dǎo)與支持作用，拓寬企業(yè)在技術(shù)引進、投資融資、人才引進等方面的渠道。建議加快落實法律法規(guī)、政策標(biāo)準(zhǔn)等對工業(yè)企業(yè)信息安全的有關(guān)要求，挖掘企業(yè)安全需求，激發(fā)市場活力。統(tǒng)籌基礎(chǔ)研究、技術(shù)創(chuàng)新與應(yīng)用部署，增強上游技術(shù)研發(fā)與下游推廣應(yīng)用的協(xié)同互動效應(yīng)，打造協(xié)同發(fā)展的產(chǎn)業(yè)生態(tài)系統(tǒng)。

（四）維護供應(yīng)鏈安全與穩(wěn)定，加強協(xié)調(diào)、聯(lián)合評估、風(fēng)險預(yù)警等機制建設(shè)

近年來，隨著逆全球化思潮和經(jīng)濟民族主義的涌起以及新型冠狀病毒肺炎疫情的暴發(fā)，全球供應(yīng)鏈的不確定性進一步加劇。在大國博弈日益激烈、先進技術(shù)產(chǎn)業(yè)競爭態(tài)勢加劇的背景下，加強供應(yīng)鏈安全監(jiān)管，建立全面的供應(yīng)鏈安全管理體系已經(jīng)迫在眉睫。

加強頂層設(shè)計，將供應(yīng)鏈安全納入國家安全整體框架，制定供應(yīng)鏈安全管理的政策法規(guī)，加快出臺工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全領(lǐng)域的戰(zhàn)略規(guī)劃。加大落實力度，形成科學(xué)規(guī)范、運行有效的制度體系，推動供應(yīng)鏈安全管理標(biāo)準(zhǔn)制定向?qū)I(yè)化和精細(xì)化發(fā)展，為相關(guān)部門和機構(gòu)在識別、評估、減輕供應(yīng)鏈風(fēng)險方面提供依據(jù)。

強化全球供應(yīng)鏈系統(tǒng)風(fēng)險識別與評估，建立全生命周期供應(yīng)鏈風(fēng)險管理制度，形成信息跟蹤、風(fēng)險識別、危機應(yīng)對聯(lián)動的管理體系，提升有關(guān)全球供應(yīng)鏈風(fēng)險的防控能力。

開展供應(yīng)鏈安全評估與審查，梳理工業(yè)領(lǐng)域的關(guān)鍵薄弱環(huán)節(jié)，對重點領(lǐng)域的工業(yè)基礎(chǔ)供應(yīng)鏈進行風(fēng)險預(yù)警和風(fēng)險管控。創(chuàng)建供應(yīng)鏈風(fēng)險評估共享服務(wù)，強化審查監(jiān)管，建立適應(yīng)性強、可持續(xù)和安全的供應(yīng)鏈。

（五）加強人才培養(yǎng)與隊伍建設(shè)，建立跨界安全人才培訓(xùn)教育體系

鼓勵政府、高等院校、科研院所、工業(yè)企業(yè)與安全企業(yè)加強合作，聯(lián)合開展工業(yè)互聯(lián)網(wǎng)安全學(xué)科建設(shè)，培養(yǎng)專業(yè)人才，促進該領(lǐng)域產(chǎn)業(yè)鏈、崗位鏈、教學(xué)鏈有機結(jié)合。多方整合優(yōu)勢資源，共建專業(yè)實驗室、特色課程體系、實習(xí)實訓(xùn)基地，保持理論學(xué)習(xí)與實踐的有機結(jié)合，全面提升工業(yè)互聯(lián)網(wǎng)安全學(xué)科水平，批量培養(yǎng)具有工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域應(yīng)用能力的高水平人才。例如，安全企業(yè)和工業(yè)企業(yè)聯(lián)合建立工控安全測試床和網(wǎng)絡(luò)靶場，讓學(xué)生開展虛擬化對抗，提高其實戰(zhàn)性和實操性。支持從事工業(yè)互聯(lián)網(wǎng)安全的企業(yè)設(shè)立相關(guān)教育培訓(xùn)機構(gòu)。我國工業(yè)互聯(lián)網(wǎng)安全人才缺口大，特別是防御型人才，通過社會力量開展大規(guī)模職業(yè)培訓(xùn)教育，是快速彌補人才短缺問題的有效途徑。加強財政資助力度，設(shè)立專項人才培養(yǎng)基金，依托重點創(chuàng)新課題，積極開展高端人才的培育。