李幼平院士:国外工业互联网安全产业布局情况及对我国的启示
添加时间:2021-09-13 点击次数:266
编者按:工业互联网安全产业是工业互联网健康发展的重要基础支撑,国外发达国家和地区在这一产业的布局已相对完善,我国在建设制造强国、网络强国、数字中国的战略需求下,亟需科学优化工业互联网安全产业布局。
中国工程院李幼平院士科研团队在中国工程院院刊《中国工程科学》2021年第2期撰文,研判了工业互联网安全产业的发展需求,围绕政策引导、企业创新、协同发展、资本整合、联盟生态等方面深入剖析了美国、德国、英国、日本等发达国家工业互联网安全产业的布局现状,评估分析了国际发展趋势,阐述了我国在政策标准、技术产品、市场空间、投资融资、区域布局方面的发展现状和面临的挑战。文章建议,借鉴他国有益经验、结合我国发展实际,充分发挥体制机制优势,统筹安全产业均衡发展;坚持自主创新,打造具有国际竞争力的拳头产品;健全安全标准体系,积极引领国际规则制定;加强对中小企业政策和资金的扶持力度,激发创新活力;构建多链环协同发展生态,形成国际国内双循环格局。
一、前言
当前,全球新一轮科技革命和产业变革加速拓展、深入推进,以云计算、大数据、第五代移动通信(5G)、人工智能(AI)、物联网为代表的新一代信息技术正迅速向能源、电力、通信、化工、航空、航天、机械设备、汽车制造等领域渗透。工业互联网是第四次工业革命的关键支撑和竞争焦点,以核心综合基础设施的形态,通过“人、机、物、数、用”的安全互联和融合,提升工业领域的数字化、网络化、智能化水平,构建全要素、全产业链、全价值链的新型生产制造和服务体系,成为推动数字经济与实体经济深度融合的关键路径,同时成为全球主要经济体经济高质量发展的共同选择。工业互联网的内涵和外延不断拓展,传统封闭的工业制造环境被打破,内生安全与外部风险交织并存,工业互联网安全问题日益复杂化,给现有的安全防护体系、产品技术架构和应对解决方案带来了颠覆性的挑战。世界主要国家和地区高度重视工业互联网安全,积极采取相关措施,优化和完善工业互联网安全产业的发展环境。我国拥有全球门类最为齐全的工业体系,近年来在工业领域的数字化方面转型迅速。借鉴各工业互联网强国的发展经验和成功模式,分析我国相关产业存在的风险与威胁,对解决当前我国面临的工业互联网安全困境,建立适应我国网络空间治理特色的工业互联网安全产业体系,推进制造强国、网络强国、数字中国战略建设,具有重要的现实意义和深远的历史意义。已有的相关研究集中在对国内外工业互联网安全技术发展现状及面临安全风险的分析,侧重从美国工业互联网、德国工业 4.0 等单项规划方面分析相关安全举措对我国的启示;针对多个国家和地区安全产业布局的系统化分析和横向比较研究相对缺乏。为此,本文在文献调研、专家研讨与项目研究的基础上,以国外工业互联网安全产业布局为切入点,研判工业互联网安全产业的发展需求,深入剖析诸多发达国家工业互联网安全产业布局的现状和特点;通过横向比较,评估分析国际发展趋势,结合对我国基本情况和面临挑战的统筹思考,提出优化我国工业互联网安全产业布局的对策建议。
二、工业互联网安全产业发展需求
(一)国家竞争需求近年来,国际社会发展失衡、失序情况频有发生,大国博弈、新型冠状病毒肺炎疫情等加剧了这种状态。工业互联网已经成为少数发达国家利用网络攻击遏制别国发展、胁迫他国服从的重要手段,给国际正常秩序以及国家的安全稳定、经济发展、居民生活造成了严重威胁和巨大损失。例如, 2018 年美国 4 家天然气输气管道公司的客户通信系统受到网络攻击,造成系统关闭数小时;2019 年,挪威海德鲁公司(Norsk Hydro)遭遇网络攻击导致生产中断、工厂关闭;2020 年,委内瑞拉国家电网干线遭到攻击,致使全国大规模停电;新型冠状病毒肺炎疫情暴发以来,仅 2020 年上半年发现的针对我国工业互联网的恶意网络攻击行为就高达 1.356×107 次,涉及企业达 2039 家。亟需加快发展工业互联网安全产业,形成有效可靠的安全防护与保障能力,为国家间的合作与竞争提供基础支撑。(二)技术融合需求工业互联网建设在广度和深度上不断拓展,打通了企业内外网,实现了信息技术(IT)与运营技术(OT)的融合,使得封闭专用、隐患未知的工业控制系统(ICS)风险暴露面大幅扩展;加之 IT 系统存在的自身安全不确定性及其与 ICS 互联互通的融合性问题,进一步增加了工业互联网面临网络攻击威胁的概率。2020
年 2 月,工控安全企业德拉戈斯公司(Dragos)在发布的报告中指出,2019 年披露的 438 个漏洞,77% 的漏洞位于 ICS
网络深处的系统,50% 以上的漏洞可能导致系统丧失可见性(无法监视或读取系统状态)或失去控制(无法修改系统状态)。惟有夯实工业互联网安全产业基础,加强技术融合,才能为突破上述安全技术难题提供必要保障。(三)市场拓展需求2019 年,全球工业信息安全市场规模达到了 164.01 亿美元,到 2026 年市场规模将达到 297.6 亿美元;2019 年,全球 OT 安全开支费用约为 3.8 亿美元(年增长率为 52%),到 2025 年全球 OT 安全市场规模可达 35.31 亿美元。随着工业互联网设备数量的快速增加、安全隐患的不断暴露,对安全防护解决方案的需求也将激增。未来,工业互联网安全产品和服务市场有望成为增速最快的细分领域,带动整个网络安全产业的发展,拓展更为广阔的市场空间。
三、国外工业互联网安全产业的布局现状
美国、德国、英国等工业强国在工业互联网安全领域的产业优势明显;中国、日本、韩国等国家的信息化、工业化进程加快,对工业信息安全领域的投入也随之加大。本文主要从以下 5 个方面对全球主要国家和地区的工业互联网安全产业布局发展现状和特点进行梳理分析。(一)制定安全战略政策,引领产业发展1. 美国美国为赢得制造业全球竞争优势,在 2011 年正式启动“先进制造伙伴计划(AMP)”,推动政府、学术界、产业界形成合力,共同投资新一代信息技术以制造高水准的美国产品,确保在全球制造业发展中的领导地位。2018 年 10 月,美国在“先进制造国家战略计划”的基础上,推出“美国先进制造领导力战略”,将制造业网络安全作为战略实施的重要着力点和产业布局方向,出台了一系列安全政策与标准规范以保障工业互联网产业安全有序发展。2018 年 11 月,美国成立网络安全和基础设施安全局(CISA),负责网络和基础设施的安全,并将工控安全列为优先事项。CISA、能源部等政府机构注重与产业界的合作,加强工业、能源等领域的信息安全保障建设。同时,美国持续开展工业互联网安全领域的立法工作,为安全产业发展提供法律支撑;仅在2019年就通过了《物联网设备安全法案》《保障能源基础设施法》《利用网络安全技术保护电网资源法案》《供应链网络安全风险管理指南》,全面保障物联网、能源、电力、医疗等关键基础设施的信息安全。2. 欧盟欧盟注重加强网络安全资源整合,促进产业多方协作。欧盟网络与信息安全局(ENISA)发布的《工业 4.0 网络安全挑战和建议》,提出了工业物联网安全面临的 7 项主要挑战,据此指导工业信息安全建设,为欧盟工业 4.0 发展奠定基础。欧盟成立了工控安全应急响应组,负责信息收集与共享、各类工控安全事件响应分析、行业安全态势分析、协调实施关键基础设施保护计划等工作;发布了《保护信息时代社会安全战略》《国家网络安全策略——为加强网络空间安全的国家努力设定线路》《欧盟网络安全战略》《关键基础设施保护计划》《网络和信息系统安全指令》《通用数据保护条例》等战略文件和法律法规。德国作为传统制造业强国,在国家层面大力推进“工业 4.0”战略,期望通过数字化、网络化、智能化手段来提高工业效率,巩固在全球制造业中的龙头地位。2015 年,德国政府牵头,联合相关协会、企业启动建设升级版工业 4.0 平台,将数据安全作为五大主题之一;先后发布了《工业 4.0 安全指南》《工业 4.0 中的 IT 安全》《跨企业安全通信》《安全身份标识》等指导性文件,提出了以网络物理系统平台为核心的分层次安全管理思路。德国联邦信息安全局(BSI)出台了《2019 年工业控制系统安全面临的十大威胁和反制措施》等多份工控安全实施建议文件,具体指导企业做好工业信息安全防护工作。3. 日本2016 年,日本提出了以 AI 技术为基础、以提供个性化产品和服务为核心的“超智能社会 5.0”概念,“互联工业”是其中的重要组成部分;同年成立工业网络安全促进机构(ICPA),专门抵御关键基础设施的网络攻击。2019 年 4 月,日本依托经济产业省(METI)发布了《网络 / 物理安全对策框架》及其配套的一系列行动计划,用于确保新型供应链的整体安全,全面梳理产业所需的安全对策。同时,日本积极实施供应链网络安全强化、网络安全经营强化、安全人才培养、安全业务生态系统建设等配套行动计划。4. 韩国2019 年,韩国颁布《国家网络安全基本规划》,要求增强网络修复和存活能力,指导改善信息通信网络和信息基础设施的安全环境,加大对新一代安全基础设施的研发和推广力度,有效提升关键基础设施的安全性。同时,韩国政府提出加大人才培养计划,组织开展研发活动,构建创新安全产业生态圈。(二)参与安全市场竞争,保持合作主体多元化市场需求催生更多企业参与到工业互联网安全产业,参与主体不仅包括自动化企业和传统安全企业,还包括一批新崛起的工业互联网安全初创企业。美国、德国、英国、日本等国家的相关企业通过收购、合作以及开拓网络安全业务等举措纷纷加入市场竞争。自动化企业(如西门子股份公司、通用电气公司、霍尼韦尔国际公司、施耐德电气有限公司等)依托原有的工业市场基础,通过收购网络安全厂商、与网络安全厂商建立合作伙伴关系、组建专业团队开发安全产品等方式,一方面加强了自身产品、设备等的网络安全保障,提高了产品和服务的可信水平,另一方面对外提供工业互联网安全产品和服务,开拓了工业安全市场。传统网络安全企业具有安全技术优势,拥有开拓工业互联网安全产品、服务的丰富经验;缺少对工业互联环境的了解,导致功能安全和信息安全难以融合,产品无法满足工业企业的安全需求。为此,通过收购或合作的方式,发挥各自优势,解决工业信息安全保障的瓶颈问题。以克拉罗蒂公司(Claroty)、Dragos 公司、希美公司(Nozomi)等为代表的工业互联网安全初创企业,拥有可以引领工业互联网安全产业发展的创新性技术,具备网络安全和工业控制的双重优势;虽然在规模上远不能与业内巨头企业相比较,但作为独立的工业互联网安全供应商已逐渐引起资本市场的关注。自 2011 年起,230 多家本土或外国机构对 165 家以色列网络技术初创企业进行了投资。2020 年 6 月,美国微软公司以 1.65 亿美元收购了以色列工业网络安全初创企业 CyberX 公司。(三)推动中小企业发展,形成安全保障合力日本为推动工厂智能化以及物联网在制造业中的应用,通过建立“智能制造声援团”对中小企业提供技术、工具、人员等方面的支持;在推动标准国际化、发展面向制造的网络安全、培养数字化人才、加大研发投入等方面进行了积极引导。韩国制定了“制造业创新 3.0”战略,从政策、资金、技术等方面扶持制造领域的中小企业发展。一方面,加大资金扶持力度,为中小型企业提供利率优惠政策和便捷的贷款服务,激励其专注研发安全产品;另一方面,鼓励大型企业与中小企业共享技术研发成果,形成工业互联网企业协同发展的良好局面。德国为提高中小企业的研发能力,部署开展了专门针对中小企业与研究机构合作的项目。德国的研发机构通常拥有不同测试环境,中小企业通过合作不仅可以得到软硬件支持和技术帮助,还能加强企业员工在相关专业方面的培训。中小企业还可以从政府获得直接资助,相关研究方向有生产自动化、智能传感器等。美国重点加强对中小企业劳动力的教育培训。 2019 年,美国国防部为数字化制造(MxD)拨款 1000 万美元,对服务水平低下的中小制造商进行培训,加强财务模型和易用工具的使用,创建更具弹性的工业体系。具体业务包括:推行网络安全工具试点计划;实施就业分类 2.0 计划,帮助员工深入分析特定工作角色;开展数字能力工作坊,促进识别数字计划;提供技术实习机会;开展工业物联网培训,推动中小企业加快物联网制造。(四)加大投融资力度,强化基础创新近年来,工业互联网安全初创企业受到资本市场和网络安全企业的青睐。2017—2019 年,来自美国、以色列、法国等工业互联网安全企业的融资金额超过 3.4 亿美元。美国不断加大对工业信息安全领域的资金投入,在 2020 年联邦预算中,用于网络安全的预算约为 110 亿美元;美国国土安全部在工控安全方面的预算主要用于加强工控安全培训、恶意软件分析、工控系统脆弱性分析、事件响应以及新兴行业和细分领域的安全评估;美国能源部在网络安全、能源安全和应急响应等方面新增了 1.56 亿美元的预算,用于提升美国电网安全和弹性的早期研究项目。2019 年 2 月,欧盟宣布在“地平线 2020”计划中投入 6350 万欧元,启动网络安全能力建设计划,为工业领域网络安全发展提供支撑。(五)产业联盟推进标准化建设,构建国际工业互联网安全发展生态美国工业互联网联盟(IIC)、美国国家标准与技术研究院(NIST)、德国电工电子与信息技术标准化委员会(DKE)、日本工业价值链促进会(IVI)等产业联盟组织均在积极布局和推进工业互联网安全标准化工作。IIC 在 2016 年发布了工业互联网安全架构(IISF),旨在规范企业在安全防护领域的规划和实践;先后发布《工业互联网安全成熟度模型:从业者指南》《端点安全最佳实践》《数据保护最佳实践》《在实践中管理和评估工业物联网(IIoT)可信度》等一系列与安全相关的文件内容,为工业互联网安全研究和实践提供指导;不断加强与国际标准化组织、开源组织、标准研制部门的协同合作,推动研究成果转为统一标准。NIST 发布了《制造业与工业控制系统安全保障能力评估》《工业控制系统安全指南》等,力求引领工业控制系统安全标准的制定。德国 DKE 发布《德国工业 4.0 标准化路线图》,全面布局工业 4.0 的标准化工作。在德国政府的支持下,德国工程院、弗劳恩霍夫协会、西门子公司等共同组建了“工业4.0平台”,围绕工业4.0的安全、架构、路线图等关键方向,加速推进德国工业产业布局;将安全作为落实工业 4.0 的三大重要主题之一,针对设备、系统安全的加固与增强,发布了《工业 4.0 中的 IT 安全》;针对架构、标准、安全、测试床等关键共性问题,加速与 IIC 的技术协同和产业协作。日本成立 IVI,以企业联合体牵头的方式,打造开放安全的制造业生态体系;发布了《日本互联工业价值链的战略实施框架》,提出了新一代工业互联网参考架构,成为指导日本产业界发展工业互联网的顶层框架。综上所述,美国、德国、英国、日本、韩国等发达国家根据本国工业水平和信息技术发展现状,在布局工业互联网安全产业时各有侧重(见表 1)。①在政策制定方面,以美国、德国为代表的发达国家或地区占据了主导地位。美国互联网技术优势明显,通过不断强化工业互联网安全的相关立法,加强对产业发展的法律保障和战略指导。德国作为工业 4.0 的发起方,更加注重工业信息安全的管理体系建设,以政府为主导,统筹布局工控安全建设。相比之下,其他国家现阶段更为聚焦工业互联网的发展,专门针对工业互联网安全产业的政策较为薄弱。②在企业发展方面,美国将工业互联网安全作为传统安全企业和工业企业发展的重要方向,德国、英国等国家的制造企业通过收购、合作等方式推动工业企业网络安全业务发展。③在对中小企业扶持方面,日本和韩国的资金投入力度相对更大,通过对中小企业的投入来激励其提升创新能力、快速发展状大。④在资金投入方面,美国、欧盟在工业信息安全方面的投入持续增加。⑤ 在产业联盟方面,美国、德国成立了专门的工业互联网产业联盟,成员众多、国际合作广泛,具有一定的世界影响力和话语权。表 1 主要国家工业互联网安全产业布局比较 
四、国外工业互联网安全产业的发展趋势
五、我国工业互联网安全产业的现状梳理
(一)加强顶层设计,指引产业发展我国工业互联网安全政策和标准日益完善,垂直行业工业信息安全建设提速,工业企业安全意识全面增强,工业信息安全保障技术水平显著提升,推动了工业互联网安全产业的全面发展。2017 年,国务院印发《关于深化“互联网 + 先进制造业”发展工业互联网的指导意见》,明确要求提升安全防护能力,建立数据安全防护体系,推动安全技术手段建设。2019 年,我国工业信息安全产业规模保持快速发展势头,产业规模达到 38.3 亿元,较 2018 年增长了 51.62%。2020 年,我国工业信息安全主管部门和行业监管部门密集出台了《关于推动工业互联网加快发展的通知》《“工业互联网 + 安全生产”行动计划(2021—2023 年)》等多项与工业互联网安全相关的政策,指导工业互联网安全保障工作的具体实施。(二)促进技术产品创新,壮大产业规模工业互联网安全产品体系正在逐步完善,以边界防护、终端防护、监测审计为代表的安全产品种类增多、功能性能增强,基于 AI、大数据、商用密码的安全新产品也在加快研发。我国工业互联网安全产业的市场主体主要包括大型自动化企业、传统综合网络安全企业、专注工控安全的初创安全企业。在工业自动化领域,青岛海天炜业过程控制技术股份有限公司、北京力控元通科技有限公司、和利时科技集团有限公司等企业,在 2009 年前后就将业务延伸到工业互联网安全领域,开展工业互联网安全技术产品的研发与应用推广。近年来,众多专注工业互联网安全领域的初创企业涌现,如北京威努特技术有限公司、长扬科技(北京)有限公司、北京安点科技有限责任公司等;凭借网络安全和工业控制方面所具有的人才优势,以工业互联网安全为主要业务方向,在能源、制造、化工等领域开拓国际客户,通过技术创新引领整个行业的发展趋势。(三)丰富应用场景,积极拓展市场工业互联网平台已成为工业企业构建网络化协同、规模化定制、服务型制造等新模式、新业态、新动能的重要支撑,工业互联网安全的产业市场正在从防护、管理等产品型向评估、培训等服务型转变。目前,工业互联网安全解决方案已在能源、电力、制造业、交通、石油石化、航空、航天、核工业等领域得到广泛应用。各行业在工业互联网信息安全方面的投入也在逐年增长,市场规模逐步扩大,如 2021 年我国工业互联网安全市场规模预计为 228 亿元。(四)加大投融资力度,提升产业竞争力工业互联网产业政策频出利好,网络安全的社会关注度持续上升,相关企业和投资机构不断加大对工业互联网安全市场的投融资力度。例如,奇安信科技集团股份有限公司、启明星辰信息技术集团股份有限公司、北京六方云科技有限公司等企业不断加大投入,积极推进工业互联网安全技术研发和突破。截至 2020 年上半年,我国在工业互联网方面的投融资规模累计达 15 亿元,其中工业互联网安全、数据安全、云安全等方向成为市场投融资热点。(五)深化区域布局,促进产业平衡我国主要经济区域根据自身工业和网络安全产业发展条件,出台了相应的发展规划和政策,引导工业互联网安全产业的区域布局:京津冀地区通过突破平台安全核心技术,形成区域协同发展示范效应;长江三角洲地区通过搭建安全创新功能型平台,建设世界级先进制造业集群;粤港澳大湾区通过打造平台安全保障和服务体系,解决新型基础设施建设的安全问题;长江中上游地区(武汉市、成都市、贵州省)通过提高安全技术基础支撑能力,促进传统工业转型升级;东北地区通过重点领域应用试点示范,加强新型产业体系的安全保障;西北地区通过打造安全企业和安全生态,为优势产业发展提供服务保障。也要注意到,现阶段我国工业互联网安全产业的发展仍处于起步期,产业布局尚不完善,面临着诸多严峻挑战:统筹协调能力不足,政策体系尚不健全,区域、行业、企业间发展不均衡现象普遍存在;核心技术受制于人,技术自主化程度较低,功能安全和信息安全的融合欠缺;安全标准体系尚未建立,重点行业领域布局不到位,工业互联网设备和安全产品在通信协议、配套规范等方面未统一;资金、设备等资源要素保障能力缺乏,专业人才缺失严重,中小企业发展动力不足;产业生态尚待完善,工业企业对安全理念的认识不充分,安全产品设计与生产实际结合不密切,尚未形成协同发展合力。
六、国外工业互联网安全产业发展对我国的启示