2019年中國工業(yè)信息安全大會(huì)”發(fā)布《中國工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書（2018—2019年）》。白皮書中提到：2018年我國工業(yè)信息安全產(chǎn)業(yè)規(guī)模市場增長率達(dá)33.55%，預(yù)計(jì)2019年市場增長率將達(dá)19.23%，市場整體規(guī)模增長至93.91億元。傳統(tǒng)的安全防護(hù)策略已難以為工業(yè)全產(chǎn)業(yè)鏈抵御外部攻擊，即便5G可以盤活傳統(tǒng)工業(yè)的活力，它首先要過的是安全風(fēng)險(xiǎn)大關(guān)。

工業(yè)互聯(lián)網(wǎng)安全不容樂觀

隨著自身防護(hù)能力較差的傳統(tǒng)工業(yè)控制系統(tǒng)和設(shè)備，接入互聯(lián)網(wǎng)后，海量工控系統(tǒng)、業(yè)務(wù)系統(tǒng)成為被攻擊的重點(diǎn)對(duì)象。這就像是世外桃源被打破，網(wǎng)絡(luò)攻擊直達(dá)生產(chǎn)一線，原先的寧靜就這樣被破壞了。

震網(wǎng)、火焰等病毒所攻擊對(duì)象是工業(yè)控制系統(tǒng)中的工程師站、操作員站、服務(wù)器等主機(jī)以及DCS、PLC等控制器。病毒通過逐級(jí)滲透至現(xiàn)場層控制網(wǎng)絡(luò)，直接對(duì)主機(jī)及現(xiàn)場控制設(shè)備進(jìn)行惡意操作，所以工業(yè)系統(tǒng)很快就被攻破了。去年，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局委托相關(guān)專業(yè)機(jī)構(gòu)對(duì)20余家典型工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)安全檢查評(píng)估時(shí)就發(fā)現(xiàn)了2000多個(gè)安全威脅。

守住工業(yè)主機(jī)的防護(hù)大門

過去一年，很多工業(yè)企業(yè)遭遇的勒索病毒，并非專門針對(duì)工業(yè)控制設(shè)備特定的勒索軟件，通用的勒索軟件從信息化網(wǎng)絡(luò)進(jìn)入工控網(wǎng)絡(luò)，而80%的病毒來源或入侵攻擊源，都是通過USB的數(shù)據(jù)導(dǎo)入。以前的工控系統(tǒng)很封閉，50%以上的工控系統(tǒng)帶毒運(yùn)行，100%的工控系統(tǒng)帶漏洞運(yùn)轉(zhuǎn)，因?yàn)榇罅康墓た叵到y(tǒng)需要7×24小時(shí)不間斷運(yùn)轉(zhuǎn)，沒有機(jī)會(huì)及時(shí)修復(fù)補(bǔ)丁，一些未知的漏洞我們還沒有掌握。

工業(yè)主機(jī)如同信息世界通往物理世界的大門，所有的生產(chǎn)控制指令、數(shù)據(jù)的獲取都通過工業(yè)主機(jī)下發(fā)給具體的工業(yè)控制設(shè)備，守護(hù)好這個(gè)大門，就能從根本上解決安全問題。因此，工業(yè)系統(tǒng)一定要構(gòu)建一個(gè)完整的閉環(huán)的安全體系。再加上工業(yè)環(huán)境里大量的存量設(shè)備替換代價(jià)很高，所以當(dāng)前階段以相對(duì)低的成本解決大存量的工業(yè)設(shè)備安全問題是首要命題。

協(xié)同構(gòu)建工業(yè)互聯(lián)網(wǎng)安全發(fā)展環(huán)境

工業(yè)互聯(lián)網(wǎng)是5G應(yīng)用的大舞臺(tái)，多樣智能終端在工業(yè)互聯(lián)網(wǎng)應(yīng)用場景中廣泛使用，未來安全將向設(shè)備、網(wǎng)絡(luò)、控制、數(shù)據(jù)、應(yīng)用全方面滲透。亟須從技術(shù)、管理、服務(wù)等多角度協(xié)同構(gòu)建工業(yè)互聯(lián)網(wǎng)安全發(fā)展環(huán)境。”

因此，我們必須進(jìn)一步提高對(duì)工業(yè)信息安全工作極端重要性的認(rèn)識(shí)。關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，也是可能遭到重點(diǎn)攻擊的目標(biāo)。針對(duì)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，將進(jìn)一步強(qiáng)化供應(yīng)鏈和重要數(shù)據(jù)安全管理，明確行業(yè)主管、監(jiān)管部門的指導(dǎo)監(jiān)督責(zé)任，落實(shí)運(yùn)營單位主體責(zé)任，建立健全網(wǎng)絡(luò)安全責(zé)任制。