国外工业互联网安全产业布局情况及对我国的启示
添加时间:2021-12-20 点击次数:343
当前,全球新一轮科技革命和产业变革加速拓展、深入推进,以云计算、大数据、第五代移动通信(5G)、人工智能(AI)、物联网为代表的新一代信息技术正迅速向能源、电力、通信、化工、航空、航天、机械设备、汽车制造等领域渗透。工业互联网是第四次工业革命的关键支撑和竞争焦点,以核心综合基础设施的形态,通过“人、机、物、数、用”的安全互联和融合,提升工业领域的数字化、网络化、智能化水平,构建全要素、全产业链、全价值链的新型生产制造和服务体系,成为推动数字经济与实体经济深度融合的关键路径,同时成为全球主要经济体经济高质量发展的共同选择。
工业互联网的内涵和外延不断拓展,传统封闭的工业制造环境被打破,内生安全与外部风险交织并存,工业互联网安全问题日益复杂化,给现有的安全防护体系、产品技术架构和应对解决方案带来了颠覆性的挑战。世界主要国家和地区高度重视工业互联网安全,积极采取相关措施,优化和完善工业互联网安全产业的发展环境。我国拥有全球门类最为齐全的工业体系,近年来在工业领域的数字化方面转型迅速。借鉴各工业互联网强国的发展经验和成功模式,分析我国相关产业存在的风险与威胁,对解决当前我国面临的工业互联网安全困境,建立适应我国网络空间治理特色的工业互联网安全产业体系,推进制造强国、网络强国、数字中国战略建设,具有重要的现实意义和深远的历史意义。
已有的相关研究集中在对国内外工业互联网安全技术发展现状及面临安全风险的分析,侧重从美国工业互联网、德国工业 4.0 等单项规划方面分析相关安全举措对我国的启示;针对多个国家和地区安全产业布局的系统化分析和横向比较研究相对缺乏。
为此,本文在文献调研、专家研讨与项目研究的基础上,以国外工业互联网安全产业布局为切入点,研判工业互联网安全产业的发展需求,深入剖析诸多发达国家工业互联网安全产业布局的现状和特点;通过横向比较,评估分析国际发展趋势,结合对我国基本情况和面临挑战的统筹思考,提出优化我国工业互联网安全产业布局的对策建议。
工业互联网安全产业发展需求
(一)国家竞争需求
近年来,国际社会发展失衡、失序情况频有发生,大国博弈、新型冠状病毒肺炎疫情等加剧了这种状态。工业互联网已经成为少数发达国家利用网络攻击遏制别国发展、胁迫他国服从的重要手段,给国际正常秩序以及国家的安全稳定、经济发展、居民生活造成了严重威胁和巨大损失。例如, 2018 年美国 4 家天然气输气管道公司的客户通信系统受到网络攻击,造成系统关闭数小时;2019 年,挪威海德鲁公司(Norsk Hydro)遭遇网络攻击导致生产中断、工厂关闭;2020 年,委内瑞拉国家电网干线遭到攻击,致使全国大规模停电;新型冠状病毒肺炎疫情暴发以来,仅 2020 年上半年发现的针对我国工业互联网的恶意网络攻击行为就高达 1.356×107 次,涉及企业达 2039 家。亟需加快发展工业互联网安全产业,形成有效可靠的安全防护与保障能力,为国家间的合作与竞争提供基础支撑。
(二)技术融合需求
工业互联网建设在广度和深度上不断拓展,打通了企业内外网,实现了信息技术(IT)与运营技术(OT)的融合,使得封闭专用、隐患未知的工业控制系统(ICS)风险暴露面大幅扩展;加之 IT 系统存在的自身安全不确定性及其与 ICS 互联互通的融合性问题,进一步增加了工业互联网面临网络攻击威胁的概率。2020 年 2 月,工控安全企业德拉戈斯公司(Dragos)在发布的报告中指出,2019 年披露的 438 个漏洞,77% 的漏洞位于 ICS 网络深处的系统,50% 以上的漏洞可能导致系统丧失可见性(无法监视或读取系统状态)或失去控制(无法修改系统状态)。惟有夯实工业互联网安全产业基础,加强技术融合,才能为突破上述安全技术难题提供必要保障。
(三)市场拓展需求
2019 年,全球工业信息安全市场规模达到了 164.01 亿美元,到 2026 年市场规模将达到 297.6 亿美元;2019 年,全球 OT 安全开支费用约为 3.8 亿美元(年增长率为 52%),到 2025 年全球 OT 安全市场规模可达 35.31 亿美元。随着工业互联网设备数量的快速增加、安全隐患的不断暴露,对安全防护解决方案的需求也将激增。未来,工业互联网安全产品和服务市场有望成为增速最快的细分领域,带动整个网络安全产业的发展,拓展更为广阔的市场空间。
国外工业互联网安全产业的布局现状
美国、德国、英国等工业强国在工业互联网安全领域的产业优势明显;中国、日本、韩国等国家的信息化、工业化进程加快,对工业信息安全领域的投入也随之加大。本文主要从以下 5 个方面对全球主要国家和地区的工业互联网安全产业布局发展现状和特点进行梳理分析。
(一)制定安全战略政策,引领产业发展
1. 美国
美国为赢得制造业全球竞争优势,在 2011 年正式启动“先进制造伙伴计划(AMP)”,推动政府、学术界、产业界形成合力,共同投资新一代信息技术以制造高水准的美国产品,确保在全球制造业发展中的领导地位。2018 年 10 月,美国在“先进制造国家战略计划”的基础上,推出“美国先进制造领导力战略”,将制造业网络安全作为战略实施的重要着力点和产业布局方向,出台了一系列安全政策与标准规范以保障工业互联网产业安全有序发展。2018 年 11 月,美国成立网络安全和基础设施安全局(CISA),负责网络和基础设施的安全,并将工控安全列为优先事项。CISA、能源部等政府机构注重与产业界的合作,加强工业、能源等领域的信息安全保障建设。同时,美国持续开展工业互联网安全领域的立法工作,为安全产业发展提供法律支撑;仅在2019年就通过了《物联网设备安全法案》《保障能源基础设施法》《利用网络安全技术保护电网资源法案》《供应链网络安全风险管理指南》,全面保障物联网、能源、电力、医疗等关键基础设施的信息安全。
2. 欧盟
欧盟注重加强网络安全资源整合,促进产业多方协作。欧盟网络与信息安全局(ENISA)发布的《工业 4.0 网络安全挑战和建议》,提出了工业物联网安全面临的 7 项主要挑战,据此指导工业信息安全建设,为欧盟工业 4.0 发展奠定基础。欧盟成立了工控安全应急响应组,负责信息收集与共享、各类工控安全事件响应分析、行业安全态势分析、协调实施关键基础设施保护计划等工作;发布了《保护信息时代社会安全战略》《国家网络安全策略——为加强网络空间安全的国家努力设定线路》《欧盟网络安全战略》《关键基础设施保护计划》《网络和信息系统安全指令》《通用数据保护条例》等战略文件和法律法规。
德国作为传统制造业强国,在国家层面大力推进“工业 4.0”战略,期望通过数字化、网络化、智能化手段来提高工业效率,巩固在全球制造业中的龙头地位。2015 年,德国政府牵头,联合相关协会、企业启动建设升级版工业 4.0 平台,将数据安全作为五大主题之一;先后发布了《工业 4.0 安全指南》《工业 4.0 中的 IT 安全》《跨企业安全通信》《安全身份标识》等指导性文件,提出了以网络物理系统平台为核心的分层次安全管理思路。德国联邦信息安全局(BSI)出台了《2019 年工业控制系统安全面临的十大威胁和反制措施》等多份工控安全实施建议文件,具体指导企业做好工业信息安全防护工作。
3. 日本
2016 年,日本提出了以 AI 技术为基础、以提供个性化产品和服务为核心的“超智能社会 5.0”概念,“互联工业”是其中的重要组成部分;同年成立工业网络安全促进机构(ICPA),专门抵御关键基础设施的网络攻击。2019 年 4 月,日本依托经济产业省(METI)发布了《网络 / 物理安全对策框架》及其配套的一系列行动计划,用于确保新型供应链的整体安全,全面梳理产业所需的安全对策。同时,日本积极实施供应链网络安全强化、网络安全经营强化、安全人才培养、安全业务生态系统建设等配套行动计划。
4. 韩国
2019 年,韩国颁布《国家网络安全基本规划》,要求增强网络修复和存活能力,指导改善信息通信网络和信息基础设施的安全环境,加大对新一代安全基础设施的研发和推广力度,有效提升关键基础设施的安全性。同时,韩国政府提出加大人才培养计划,组织开展研发活动,构建创新安全产业生态圈。
(二)参与安全市场竞争,保持合作主体多元化
市场需求催生更多企业参与到工业互联网安全产业,参与主体不仅包括自动化企业和传统安全企业,还包括一批新崛起的工业互联网安全初创企业。美国、德国、英国、日本等国家的相关企业通过收购、合作以及开拓网络安全业务等举措纷纷加入市场竞争。
自动化企业(如西门子股份公司、通用电气公司、霍尼韦尔国际公司、施耐德电气有限公司等)依托原有的工业市场基础,通过收购网络安全厂商、与网络安全厂商建立合作伙伴关系、组建专业团队开发安全产品等方式,一方面加强了自身产品、设备等的网络安全保障,提高了产品和服务的可信水平,另一方面对外提供工业互联网安全产品和服务,开拓了工业安全市场。
传统网络安全企业具有安全技术优势,拥有开拓工业互联网安全产品、服务的丰富经验;缺少对工业互联环境的了解,导致功能安全和信息安全难以融合,产品无法满足工业企业的安全需求。为此,通过收购或合作的方式,发挥各自优势,解决工业信息安全保障的瓶颈问题。
以克拉罗蒂公司(Claroty)、Dragos 公司、希美公司(Nozomi)等为代表的工业互联网安全初创企业,拥有可以引领工业互联网安全产业发展的创新性技术,具备网络安全和工业控制的双重优势;虽然在规模上远不能与业内巨头企业相比较,但作为独立的工业互联网安全供应商已逐渐引起资本市场的关注。自 2011 年起,230 多家本土或外国机构对 165 家以色列网络技术初创企业进行了投资。2020 年 6 月,美国微软公司以 1.65 亿美元收购了以色列工业网络安全初创企业 CyberX 公司。
(三)推动中小企业发展,形成安全保障合力
日本为推动工厂智能化以及物联网在制造业中的应用,通过建立“智能制造声援团”对中小企业提供技术、工具、人员等方面的支持;在推动标准国际化、发展面向制造的网络安全、培养数字化人才、加大研发投入等方面进行了积极引导。
韩国制定了“制造业创新 3.0”战略,从政策、资金、技术等方面扶持制造领域的中小企业发展。一方面,加大资金扶持力度,为中小型企业提供利率优惠政策和便捷的贷款服务,激励其专注研发安全产品;另一方面,鼓励大型企业与中小企业共享技术研发成果,形成工业互联网企业协同发展的良好局面。
德国为提高中小企业的研发能力,部署开展了专门针对中小企业与研究机构合作的项目。德国的研发机构通常拥有不同测试环境,中小企业通过合作不仅可以得到软硬件支持和技术帮助,还能加强企业员工在相关专业方面的培训。中小企业还可以从政府获得直接资助,相关研究方向有生产自动化、智能传感器等。
美国重点加强对中小企业劳动力的教育培训。2019 年,美国国防部为数字化制造(MxD)拨款 1000 万美元,对服务水平低下的中小制造商进行培训,加强财务模型和易用工具的使用,创建更具弹性的工业体系。具体业务包括:推行网络安全工具试点计划;实施就业分类 2.0 计划,帮助员工深入分析特定工作角色;开展数字能力工作坊,促进识别数字计划;提供技术实习机会;开展工业物联网培训,推动中小企业加快物联网制造。
(四)加大投融资力度,强化基础创新
近年来,工业互联网安全初创企业受到资本市场和网络安全企业的青睐。2017—2019 年,来自美国、以色列、法国等工业互联网安全企业的融资金额超过 3.4 亿美元。美国不断加大对工业信息安全领域的资金投入,在 2020 年联邦预算中,用于网络安全的预算约为 110 亿美元;美国国土安全部在工控安全方面的预算主要用于加强工控安全培训、恶意软件分析、工控系统脆弱性分析、事件响应以及新兴行业和细分领域的安全评估;美国能源部在网络安全、能源安全和应急响应等方面新增了 1.56 亿美元的预算,用于提升美国电网安全和弹性的早期研究项目。2019 年 2 月,欧盟宣布在“地平线 2020”计划中投入 6350 万欧元,启动网络安全能力建设计划,为工业领域网络安全发展提供支撑。
(五)产业联盟推进标准化建设,构建国际工业互联网安全发展生态
美国工业互联网联盟(IIC)、美国国家标准与技术研究院(NIST)、德国电工电子与信息技术标准化委员会(DKE)、日本工业价值链促进会(IVI)等产业联盟组织均在积极布局和推进工业互联网安全标准化工作。
IIC 在 2016 年发布了工业互联网安全架构(IISF),旨在规范企业在安全防护领域的规划和实践;先后发布《工业互联网安全成熟度模型:从业者指南》《端点安全最佳实践》《数据保护最佳实践》《在实践中管理和评估工业物联网(IIoT)可信度》等一系列与安全相关的文件内容,为工业互联网安全研究和实践提供指导;不断加强与国际标准化组织、开源组织、标准研制部门的协同合作,推动研究成果转为统一标准。NIST 发布了《制造业与工业控制系统安全保障能力评估》《工业控制系统安全指南》等,力求引领工业控制系统安全标准的制定。
德国 DKE 发布《德国工业 4.0 标准化路线图》,全面布局工业 4.0 的标准化工作。在德国政府的支持下,德国工程院、弗劳恩霍夫协会、西门子公司等共同组建了“工业4.0平台”,围绕工业4.0的安全、架构、路线图等关键方向,加速推进德国工业产业布局;将安全作为落实工业 4.0 的三大重要主题之一,针对设备、系统安全的加固与增强,发布了《工业 4.0 中的 IT 安全》;针对架构、标准、安全、测试床等关键共性问题,加速与 IIC 的技术协同和产业协作。
日本成立 IVI,以企业联合体牵头的方式,打造开放安全的制造业生态体系;发布了《日本互联工业价值链的战略实施框架》,提出了新一代工业互联网参考架构,成为指导日本产业界发展工业互联网的顶层框架。
综上所述,美国、德国、英国、日本、韩国等发达国家根据本国工业水平和信息技术发展现状,在布局工业互联网安全产业时各有侧重(见表 1)。
①在政策制定方面,以美国、德国为代表的发达国家或地区占据了主导地位。美国互联网技术优势明显,通过不断强化工业互联网安全的相关立法,加强对产业发展的法律保障和战略指导。德国作为工业 4.0 的发起方,更加注重工业信息安全的管理体系建设,以政府为主导,统筹布局工控安全建设。相比之下,其他国家现阶段更为聚焦工业互联网的发展,专门针对工业互联网安全产业的政策较为薄弱。
②在企业发展方面,美国将工业互联网安全作为传统安全企业和工业企业发展的重要方向,德国、英国等国家的制造企业通过收购、合作等方式推动工业企业网络安全业务发展。
③在对中小企业扶持方面,日本和韩国的资金投入力度相对更大,通过对中小企业的投入来激励其提升创新能力、快速发展壮大。
④在资金投入方面,美国、欧盟在工业信息安全方面的投入持续增加。
⑤ 在产业联盟方面,美国、德国成立了专门的工业互联网产业联盟,成员众多、国际合作广泛,具有一定的世界影响力和话语权。
表 1 主要国家工业互联网安全产业布局比较
国外工业互联网安全产业的发展趋势
(一)政府将加强主导地位
面对地缘政治冲突、科技领域竞争、制造产业转移等严峻复杂的国际形势,尤其工业互联网安全已经成为影响国家安全的重要因素,各国政府将制定实施一系列战略政策和相关标准,发挥产业主导地位,积极抢占工业互联网安全产业高地,确保自身国际地位和全球经济话语权。
(二)相关企业将全面渗透
无论是以互联网为代表的跨国科技企业,还是以制造业为代表的传统大型企业,都认识到在消费互联网向产业互联网转型过程中工业互联网安全的广阔市场前景;通过收购、并购、投资等渠道加快进入工业互联网安全产业,进一步整合创新资源和集成产品服务。同时,工业互联网安全产业的不断发展也为中小企业创造了相对有利的发展机遇和创新条件。
(三)跨界融合将更加显著
一方面,工业互联网是随着 5G、AI、物联网等新兴技术发展而来的,工业互联网安全产业的发展既要解决这些新技术带来的安全问题,也要充分利用新技术应对安全挑战,因而各种技术的融合将进一步加速安全产业的创新发展;另一方面,工业互联网将与能源、电力、交通、航空、航天等重要应用领域不断深化结合,针对特定行业的技术、产品、服务以及新兴企业会不断涌现。