《2019~2020年度工業信息安全形勢分析》發布，業內認為——

1月10日，由工信智庫聯盟指導、國家工業信息安全發展研究中心主辦的首屆工信安全智庫論壇在北京召開
，會上發布了《2019~2020年度工業信息安全形勢分析》(簡稱《報告》)。根據《報告》，2019年(nian)全(quan)球(qiu)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)發(fa)展(zhan)環(huan)境(jing)日(ri)益(yi)嚴(yan)峻(jun)，網(wang)絡(luo)攻(gong)擊(ji)對(dui)於(yu)包(bao)括(kuo)化(hua)工(gong)行(xing)業(ye)在(zai)內(nei)的(de)工(gong)業(ye)領(ling)域(yu)的(de)影(ying)響(xiang)進(jin)一(yi)步(bu)加(jia)劇(ju)，針(zhen)對(dui)工(gong)業(ye)企(qi)業(ye)的(de)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)防(fang)護(hu)能(neng)力(li)亟(ji)待(dai)提(ti)升(sheng)。

網絡攻擊影響凸顯

《報告》顯示，2019年，全球工業信息安全發展環境日益嚴峻，網絡攻擊對工業領域的影響進一步加劇。據國家工信安全中心不完全統計，2019年全球發生的工業信息安全事件數量超過了2018年總量的1.5倍，包括化工行業在內的製造業和能源產業成為網絡攻擊的重點目標，勒索病毒、APT等網絡安全威脅嚴重影響工業企業正常生產運營。2019年3月兩家美國化工企業以及挪威的鋁業巨頭遭受勒索軟件攻擊，造成大量生產係統關鍵數據損失，部分工廠被迫關閉。

工控係統安全漏洞持續增多，並呈多樣化特征。中國國家信息安全漏洞共享平台的統計數據顯示
，截至2019年12月，本年度新增工業控製係統安全漏洞數量同比增長12.8%，已達到567個，其中中高危漏洞占比96.5%。在已公開詳細信息的338個新增工業控製係統漏洞的成因多樣化特征明顯，技術類型多達94種。從產品類型上看
，PLC、SCADA軟件
、組態軟件等產品的漏洞數量較多。

“這些係統和設備廣泛應用於製造業

、能源及市政等主要領域，一旦被攻擊入侵
，將帶來重大安全隱患或經濟損失。”國家工信安全中心政策所網絡安全研究室主任孫倩文表示，“與此同時，人員操作失誤正在成為引發安全事故的最大‘漏洞’
，防火牆錯誤配置、數據庫錯誤配置等時常成為數據泄露、設備被攻擊的直接原因。”

問題猶存挑戰嚴峻

《報告》指出，隨著工業信息安全發展環境日益嚴峻，我國工業領域在應對網絡攻擊方麵的短板也凸現出來，挑戰來自於多方麵。

一是工業互聯網進入深耕階段
，新興技術在工業領域融合應用帶來的伴生效應將進一步顯現，諸如聯網設備、平台和數據安全風險日益嚴峻
，5G或造成毫秒級的破壞，邊緣計算加持下的物聯網安全風險增加
，人工智能可能導致攻擊效率指數級增長等。

二是工業行業的高度複雜性增大了安全防護難度。工業行業眾多

，企業數量龐大
，異構化的工業數據對安全防護帶來挑戰。

三是工業企業實施安全防護上缺乏可落地的具體指導。由於缺乏相關市場準入機製、行業標準
、檢測認證規範和技術手段，企業在工業信息安全產品和服務質量上缺乏判斷能力。

四是網絡安全產業對工業領域針對性的支撐能力不足。我國的網絡安全企業規模小
、研發能力不足，且大多是以網絡安全業務為主
，在工業信息安全
、工gong業ye互hu聯lian網wang安an全quan等deng領ling域yu的de產chan品pin積ji累lei和he服fu務wu經jing驗yan不bu足zu。而er專zhuan注zhu於yu工gong業ye互hu聯lian網wang安an全quan的de廠chang商shang多duo為wei初chu創chuang企qi業ye，處chu於yu技ji術shu研yan發fa實shi力li爬pa坡po階jie段duan
，同tong時shi由you於yu安an全quan廠chang商shang對dui於yu工gong業ye領ling域yu製zhi造zao技ji術shu
、工藝流程等工業知識缺乏係統性掌握
，無法提供部署在控製係統內部的安全產品和解決方案。

業內人士表示，在化工行業，智慧園區
、智能工廠、智能車間等正呈燎原之勢，且化工生產存在諸多易燃易爆的高危環節
，一旦遭受攻擊後果不堪設想，因此加強信息安全
、工控安全防護尤為必要。“網絡安全產業對工業領域的支撐力度亟待加強。”孫倩文說。

貼近需求提升能力

展zhan望wang未wei來lai信xin息xi安an全quan形xing勢shi
，孫sun倩qian文wen提ti出chu，未wei來lai工gong業ye企qi業ye應ying對dui網wang絡luo攻gong擊ji將jiang成cheng為wei常chang態tai，應ying對dui網wang絡luo安an全quan風feng險xian的de能neng力li將jiang成cheng為wei企qi業ye生sheng存cun和he發fa展zhan的de重zhong要yao指zhi標biao。同tong時shi，隨sui著zhe新xin技ji術shu的de推tui廣guang和he應ying用yong，工gong業ye信xin息xi安an全quan將jiang更geng多duo關guan注zhu供gong應ying鏈lian安an全quan
，5G的de應ying用yong會hui進jin一yi步bu釋shi放fang工gong業ye企qi業ye網wang絡luo安an全quan防fang護hu需xu求qiu
，網wang絡luo安an全quan企qi業ye需xu要yao深shen耕geng工gong業ye領ling域yu信xin息xi安an全quan防fang護hu特te點dian
，開kai發fa設she計ji適shi合he工gong業ye現xian場chang和he控kong製zhi係xi統tong等deng使shi用yong的de安an全quan產chan品pin和he解jie決jue方fang案an。

IT管理軟件公司SolarWins發(fa)布(bu)的(de)一(yi)份(fen)調(tiao)查(zha)報(bao)告(gao)顯(xian)示(shi)，造(zao)成(cheng)網(wang)絡(luo)安(an)全(quan)事(shi)故(gu)的(de)因(yin)素(su)中(zhong)內(nei)部(bu)人(ren)員(yuan)因(yin)素(su)占(zhan)六(liu)成(cheng)。工(gong)業(ye)企(qi)業(ye)作(zuo)為(wei)網(wang)絡(luo)安(an)全(quan)威(wei)脅(xie)的(de)直(zhi)接(jie)作(zuo)用(yong)主(zhu)體(ti)
，自(zi)身(shen)防(fang)護(hu)能(neng)力(li)的(de)提(ti)升(sheng)也(ye)顯(xian)得(de)尤(you)為(wei)重(zhong)要(yao)，在(zai)采(cai)購(gou)外(wai)部(bu)安(an)全(quan)防(fang)護(hu)產(chan)品(pin)解(jie)決(jue)方(fang)案(an)的(de)同(tong)時(shi)，工(gong)業(ye)企(qi)業(ye)還(hai)應(ying)更(geng)加(jia)注(zhu)重(zhong)優(you)化(hua)自(zi)身(shen)的(de)安(an)全(quan)管(guan)理(li)機(ji)製(zhi)和(he)防(fang)護(hu)手(shou)段(duan)，加(jia)強(qiang)企(qi)業(ye)內(nei)部(bu)的(de)組(zu)織(zhi)管(guan)理(li)
，減(jian)少(shao)人(ren)為(wei)事(shi)故(gu)。

對此，孫倩文強調：“未來一段時間
，工業企業最迫切的任務是建立起有實操能力的、能快速有效更新安全補丁、彌補漏洞的安全團隊，在組織管理層麵加強網絡安全管理，提升專業技能，堵住‘人為漏洞’是降低網絡安全事故最有效的和最直接的方法。”

針對越發嚴峻的工業信息安全形勢
，《報告》提出建議

，下一階段，我國應健全安全風險評估管理機製;加快建設國家、省、企業三級協同的安全監測體係，針對不同企業實施差別化管理和防護，完善以企業為主體的防護標準體係;建立工業軟硬件安全檢測手段;構建綜合性

、協同性工業信息安全防護體係;進一步加強政產學研用優勢資源整合，提升我國工業領域網絡安全保障能力。