王秋華，吳國華，魏東曉，苗功勛，徐艷飛，任一支

（1. 杭州電子科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，杭州310018；2. 中孚信息股份有限公司，濟(jì)南250101；3. 中國網(wǎng)絡(luò)空間研究院，北京100010）

一、前言

我國正處于新一輪工業(yè)革命的歷史機(jī)遇期，工業(yè)互聯(lián)網(wǎng)作為新型基礎(chǔ)設(shè)施建設(shè)的重要組成部分，是推動數(shù)字經(jīng)濟(jì)與實體經(jīng)濟(jì)深度融合的關(guān)鍵路徑。為此，國家高度重視，提出深入實施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略的要求 [1]。自2017年國務(wù)院發(fā)布《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》以來，一系列配套政策相繼出臺，工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略逐步實施并取得顯著進(jìn)展。目前，我國工業(yè)互聯(lián)網(wǎng)發(fā)展迅速，已廣泛應(yīng)用于能源、交通、制造、國防等行業(yè)領(lǐng)域，對經(jīng)濟(jì)社會發(fā)展的帶動效應(yīng)日益顯著。工業(yè)互聯(lián)網(wǎng)在構(gòu)建全新生產(chǎn)制造和服務(wù)體系，為高質(zhì)量發(fā)展和供給側(cè)改革提供支撐的同時，也打破了傳統(tǒng)工業(yè)環(huán)境相對封閉可信的狀態(tài)，增加了遭受網(wǎng)絡(luò)攻擊的可能性 [2]。各國工業(yè)領(lǐng)域的安全事件頻發(fā)，危害日益嚴(yán)重，網(wǎng)絡(luò)攻擊成為制約工業(yè)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵因素。工業(yè)互聯(lián)網(wǎng)安全作為國家安全的重要組成部分，事關(guān)經(jīng)濟(jì)發(fā)展和社會穩(wěn)定；消除工控安全威脅與隱患，建立科學(xué)、系統(tǒng)的安全防護(hù)體系成為必然 [3]。

從產(chǎn)品競爭格局來看，全球工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)可以分為硬件與網(wǎng)絡(luò)、軟件與平臺、信息安全三大板塊；2018年硬件與網(wǎng)絡(luò)產(chǎn)品占比為49.8%，軟件與平臺產(chǎn)品占比為48.3%，信息安全產(chǎn)品占比為1.9%；2019年全球工業(yè)互聯(lián)網(wǎng)信息安全產(chǎn)業(yè)的市場規(guī)模為156.6億美元，預(yù)計2025年為222億美元 [4]。與發(fā)達(dá)國家相比，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)中的軟硬件產(chǎn)品自主研發(fā)能力有所不足，在核心技術(shù)、產(chǎn)業(yè)規(guī)模、推廣應(yīng)用等方面尚存差距；高端關(guān)鍵基礎(chǔ)裝備、控制系統(tǒng)、軟件及平臺市場長期被國外產(chǎn)品占據(jù)，如工業(yè)控制系統(tǒng)中的微控制單元（MCU）、數(shù)字信號處理器（DSP）、現(xiàn)場可編程門陣列（FPGA）等核心元器件技術(shù)與國外差距較大，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、可編程邏輯控制器（PLC）、分散控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）等較多依賴國外供應(yīng) [5]。為了加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，提升工業(yè)互聯(lián)網(wǎng)安全保障能力，我國需在推動工業(yè)互聯(lián)網(wǎng)安全責(zé)任落實、構(gòu)建互聯(lián)網(wǎng)安全管理體系、提升企業(yè)互聯(lián)網(wǎng)安全防護(hù)水平、強(qiáng)化互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)能力、完善國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段、加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力、推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展7個方面持續(xù)發(fā)力。

二、我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的發(fā)展現(xiàn)狀

（一）工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)政策持續(xù)向好，不斷細(xì)化深入

隨著云計算、第五代移動通信（5G）、物聯(lián)網(wǎng)等新一代信息技術(shù)與制造業(yè)的不斷融合，工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全風(fēng)險逐漸增大，工業(yè)互聯(lián)網(wǎng)安全成為國家和企業(yè)高度關(guān)注的議題。我國從國家安全角度出發(fā)，對工業(yè)互聯(lián)網(wǎng)安全體系進(jìn)行了頂層設(shè)計和戰(zhàn)略布局，堅持以安全保發(fā)展、以發(fā)展促安全、安全和發(fā)展并重的發(fā)展路徑，確保安全保障與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運行 [6]，為工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的健康發(fā)展奠定了良好基礎(chǔ)。近年來，我國陸續(xù)出臺了一系列政策、指南，從宏觀、中觀、微觀層面不斷細(xì)化完善工業(yè)互聯(lián)網(wǎng)安全政策體系。2019年7月，工業(yè)和信息化部等十部門聯(lián)合印發(fā)了《關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》，體系化布局了工業(yè)互聯(lián)網(wǎng)安全工作，為產(chǎn)業(yè)的健康發(fā)展指明了方向?？梢灶A(yù)見，未來還將會有更多的產(chǎn)業(yè)政策出臺，繼續(xù)保持對工業(yè)互聯(lián)網(wǎng)安全的扶持力度，引導(dǎo)其全面發(fā)展。

（二）工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系穩(wěn)步推進(jìn)，指導(dǎo)產(chǎn)業(yè)健康發(fā)展

工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系主要由基礎(chǔ)共性類標(biāo)準(zhǔn)、安全防護(hù)類標(biāo)準(zhǔn)、安全服務(wù)類標(biāo)準(zhǔn)、垂直行業(yè)類標(biāo)準(zhǔn)組成 [7]（見表1）。標(biāo)準(zhǔn)化對工業(yè)互聯(lián)網(wǎng)安全保障體系建設(shè)至關(guān)重要。近年來，針對工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)的跨行業(yè)、跨專業(yè)、跨領(lǐng)域特點，我國加速開展相關(guān)標(biāo)準(zhǔn)的研制，陸續(xù)發(fā)布了《工業(yè)互聯(lián)網(wǎng)安全防護(hù)總體要求》《工業(yè)互聯(lián)網(wǎng)平臺安全防護(hù)要求》等標(biāo)準(zhǔn)規(guī)范，印發(fā)了《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》等，初步形成了涵蓋設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全、平臺安全、安全管理的工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系（見圖1）。后續(xù)，工業(yè)互聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)將會進(jìn)一步完善，產(chǎn)業(yè)發(fā)展將更趨規(guī)范。

（三）工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結(jié)構(gòu)逐步調(diào)整并持續(xù)優(yōu)化

工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結(jié)構(gòu)依據(jù)市場應(yīng)用分為安全產(chǎn)品和安全服務(wù)兩大類 [8]（見表2）。目前，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品類市場和服務(wù)類市場均在持續(xù)發(fā)展壯大，產(chǎn)品和服務(wù)體系正在加速構(gòu)建，產(chǎn)業(yè)結(jié)構(gòu)不斷優(yōu)化，呈現(xiàn)出以下特點。

在工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品方面，防護(hù)類產(chǎn)品中的邊界、終端安全防護(hù)是當(dāng)前的主要分布形態(tài)，發(fā)展相對成熟，市場占有率較大。隨著網(wǎng)絡(luò)安全等級保護(hù)2.0的正式實施，防護(hù)類產(chǎn)品將成為工業(yè)互聯(lián)網(wǎng)安全整體解決方案中必備的基礎(chǔ)安全措施，市場規(guī)模將繼續(xù)穩(wěn)定增長。此外，防護(hù)類產(chǎn)品中的網(wǎng)絡(luò)檢測、工業(yè)安全審計類產(chǎn)品的市場規(guī)模雖然較小，但發(fā)展速度較快。管理類產(chǎn)品中的態(tài)勢感知、安全合規(guī)管理、安全運維等產(chǎn)品是安全廠商的重要布局方向。在國家和行業(yè)政策的雙重推動下，我國工業(yè)企業(yè)用戶對合規(guī)安全和內(nèi)生安全的需求加快，未來該類產(chǎn)品的市場規(guī)模也將穩(wěn)定增長。

表1 工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系

圖1 我國工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的制定情況

在工業(yè)互聯(lián)網(wǎng)安全服務(wù)方面，由于近年來工業(yè)網(wǎng)絡(luò)威脅朝著多樣化、復(fù)雜化方向演化，傳統(tǒng)的單一安全產(chǎn)品模式已難以滿足用戶的安全防護(hù)需求；以風(fēng)險評估、安全管理咨詢、安全應(yīng)急響應(yīng)、安全托管服務(wù)等為主的安全服務(wù)獲得更多關(guān)注，針對工業(yè)互聯(lián)網(wǎng)安全評估和安全培訓(xùn)的需求日趨旺盛。此外，科研院所、高校對工業(yè)信息安全人才培養(yǎng)的重視程度顯著提高，促進(jìn)了安全培訓(xùn)服務(wù)市場快速增長，進(jìn)一步優(yōu)化了產(chǎn)業(yè)結(jié)構(gòu)。

（四）工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)規(guī)模持續(xù)增長

有效的安全保障離不開堅實的產(chǎn)業(yè)支撐。隨著我國工業(yè)互聯(lián)網(wǎng)戰(zhàn)略的全面實施，政府及企業(yè)不斷加大安全投入，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)迎來快速增長期（見圖2）。2018年我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的市場規(guī)模為94.6億元，預(yù)計2022年為307.6億元，年均復(fù)合增長率約為32.66% [9]。在政策環(huán)境與市場需求的共同作用下，加強(qiáng)安全保障將成為今后工作的重點，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)進(jìn)入快速發(fā)展的新階段。

三、我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的發(fā)展趨勢

（一）產(chǎn)業(yè)政策利好進(jìn)一步釋放，產(chǎn)業(yè)基礎(chǔ)更為堅實

工業(yè)互聯(lián)網(wǎng)安全是我國實施制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要保障，也是落實總體國家安全觀的重要抓手。在5G、工業(yè)互聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)加速發(fā)展的大背景下，統(tǒng)籌發(fā)展與安全將成為我國新時期制造業(yè)數(shù)字化轉(zhuǎn)型的主旋律。隨著工業(yè)互聯(lián)網(wǎng)戰(zhàn)略的深入推進(jìn)，我國不斷加強(qiáng)政策和財政支持力度，促進(jìn)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的內(nèi)需增長，引導(dǎo)企業(yè)加大安全技術(shù)投入，加快相關(guān)安全技術(shù)研發(fā)和產(chǎn)業(yè)化推進(jìn)。隨著國家相關(guān)法規(guī)政策的持續(xù)推進(jìn)，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)環(huán)境將不斷優(yōu)化，產(chǎn)業(yè)基礎(chǔ)更為堅實，產(chǎn)業(yè)聚集效應(yīng)將逐漸形成。

表2 工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結(jié)構(gòu)

圖2 2017—2022年我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)市場規(guī)模及預(yù)測

（二）合規(guī)性需求是推動工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展的主要驅(qū)動力

網(wǎng)絡(luò)安全等級保護(hù)2.0擴(kuò)展了網(wǎng)絡(luò)安全保護(hù)的范圍，對工業(yè)控制系統(tǒng)提出了更高的安全擴(kuò)展要求，以適用于工業(yè)控制的專有技術(shù)和應(yīng)用場景特點。面對安全合規(guī)要求，工業(yè)企業(yè)須持續(xù)加強(qiáng)自身安全防護(hù)體系，進(jìn)一步落實主體責(zé)任，加大安全投入，加強(qiáng)體系化的安全規(guī)劃和布局?？梢耘袛?，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的內(nèi)生需求將進(jìn)一步擴(kuò)大 [10]。

（三）工業(yè)互聯(lián)網(wǎng)安全需求促使信息技術(shù)（IT）安全與運營技術(shù)(OT)安全不斷深入融合

工業(yè)互聯(lián)網(wǎng)安全是工業(yè)生產(chǎn)安全和網(wǎng)絡(luò)空間安全相融合的領(lǐng)域，涵蓋工業(yè)領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化、智能化過程中各個要素和各個環(huán)節(jié)的安全 [11]，需要專門的安全產(chǎn)品、技術(shù)和服務(wù)。當(dāng)前，我國工業(yè)互聯(lián)網(wǎng)企業(yè)多采用傳統(tǒng)的網(wǎng)絡(luò)信息安全防護(hù)技術(shù)，以工控系統(tǒng)的“外建”安全防護(hù)產(chǎn)品和解決方案為主，尚沒有工業(yè)互聯(lián)網(wǎng)OT方面的安全專用防護(hù)設(shè)備，整體安全解決方案還不成熟。

我國工業(yè)互聯(lián)網(wǎng)安全技術(shù)體系可以分為外建安全（IT安全）和內(nèi)嵌安全（OT安全）兩大類。隨著工業(yè)互聯(lián)網(wǎng)的加速推進(jìn)，來自工控系統(tǒng)、工業(yè)智能設(shè)備、工業(yè)平臺、數(shù)據(jù)的安全問題不容忽視，對內(nèi)嵌信息安全功能的產(chǎn)品和服務(wù)的市場需求激增。以IT安全為主的傳統(tǒng)產(chǎn)品和服務(wù)已不能完全滿足實際市場需求，應(yīng)充分結(jié)合OT安全進(jìn)行縱深發(fā)展。因此，未來工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展應(yīng)統(tǒng)籌考慮IT安全和OT安全的市場需求，提升工業(yè)企業(yè)綜合防護(hù)水平。在特殊性能需求方面，保障生產(chǎn)的連續(xù)性和可靠性是工業(yè)互聯(lián)網(wǎng)的首要任務(wù)，網(wǎng)絡(luò)時延或成本較高的IT安全方案將無法應(yīng)用于OT網(wǎng)絡(luò)，需要針對OT網(wǎng)絡(luò)特點研究平衡安全風(fēng)險和業(yè)務(wù)影響的技術(shù)方案 [9,12]。

（四）結(jié)合多領(lǐng)域、新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全解決方案不斷涌現(xiàn)

隨著大數(shù)據(jù)、云計算、人工智能（AI）、5G、邊緣計算等新一代信息技術(shù)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的快速應(yīng)用，IT和OT融合加速。與此同時，融合了新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全環(huán)境將變得更加復(fù)雜多樣，安全風(fēng)險呈現(xiàn)多元化特征；安全隱患發(fā)現(xiàn)難度更高，安全形勢進(jìn)一步加劇。這一系列技術(shù)和形勢的變化，對安全理念和技術(shù)提出了新的要求，將促使安全態(tài)勢感知、安全可視化、威脅情報、大數(shù)據(jù)處理等新技術(shù)在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域不斷取得應(yīng)用突破 [10]；促使定制化安全產(chǎn)品加速出現(xiàn)，滿足客戶不同產(chǎn)品形態(tài)、性能的需求；安全服務(wù)將由現(xiàn)場服務(wù)為主、遠(yuǎn)程服務(wù)為輔轉(zhuǎn)向遠(yuǎn)程化、云化、自動化、平臺化發(fā)展。整體而言，圍繞設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大安全領(lǐng)域，結(jié)合多領(lǐng)域、新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全解決方案將不斷出現(xiàn)，為工業(yè)企業(yè)部署安全防護(hù)措施提供可參考的模式。

（五）安全產(chǎn)品的國產(chǎn)化替代需求促進(jìn)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)快速發(fā)展

我國的重要工控系統(tǒng)較多采用國外技術(shù)和設(shè)備，存在核心技術(shù)受制于人的問題。大量工業(yè)企業(yè)的工控系統(tǒng)依賴國外廠商提供的運維服務(wù)，企業(yè)對系統(tǒng)運行的可控性較低；缺乏對國外產(chǎn)品和服務(wù)的必要監(jiān)管機(jī)制和技術(shù)檢測措施，存在一定的安全隱患 [10]。工業(yè)互聯(lián)網(wǎng)安全事關(guān)經(jīng)濟(jì)發(fā)展和社會穩(wěn)定，重要工業(yè)數(shù)據(jù)一旦被竊取、篡改或破壞，將對國家安全構(gòu)成嚴(yán)重威脅。頻繁爆發(fā)的竊密和攻擊事件，使得各國在網(wǎng)絡(luò)空間安全領(lǐng)域的對抗態(tài)勢進(jìn)一步加劇。需要高度關(guān)注信息安全產(chǎn)品的自主可控，將信息安全產(chǎn)品的國產(chǎn)化上升到國家安全的高度，依靠自主創(chuàng)新，積極發(fā)展具有自主知識產(chǎn)權(quán)的信息安全產(chǎn)品 [13]。近年來，在信息產(chǎn)品國產(chǎn)化政策的推動下，信息安全產(chǎn)品的國產(chǎn)化替代趨勢趨于顯現(xiàn)。

四、我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展面臨的挑戰(zhàn)

隨著我國制造業(yè)向數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型升級，網(wǎng)絡(luò)安全威脅日益向工業(yè)領(lǐng)域蔓延。我國工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域仍存在體制機(jī)制尚不健全、綜合保障水平偏低、關(guān)鍵核心技術(shù)產(chǎn)品不成熟、高端技術(shù)人才匱乏等突出問題，工業(yè)領(lǐng)域面臨的安全風(fēng)險態(tài)勢十分嚴(yán)峻 [10]。另外，隨著新型基礎(chǔ)設(shè)施建設(shè)的推進(jìn)，工業(yè)系統(tǒng)需要防護(hù)對象的數(shù)量大幅增加，工業(yè)系統(tǒng)的受攻擊面不斷擴(kuò)大，防護(hù)要求和難度也不斷提高；新技術(shù)與工業(yè)互聯(lián)網(wǎng)的融合應(yīng)用伴生了新興安全問題，數(shù)據(jù)要素的共享流動則加劇了潛在安全風(fēng)險。這些新挑戰(zhàn)推動工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品加速變革，防護(hù)工作逐步向動態(tài)協(xié)同轉(zhuǎn)變，促進(jìn)安全生態(tài)體系創(chuàng)新 [14]。

（一）產(chǎn)業(yè)發(fā)展體制機(jī)制不健全，聯(lián)動發(fā)展職責(zé)不明晰

我國出臺了多項頂層政策文件以指導(dǎo)工業(yè)互聯(lián)網(wǎng)安全發(fā)展，但工業(yè)企業(yè)在實際開展安全防護(hù)項目的設(shè)計、建設(shè)、實施、運維等過程中，仍存在缺乏具體政策文件統(tǒng)籌指導(dǎo)、安全主體責(zé)任不明等問題。工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系尚未完全建立，相關(guān)標(biāo)準(zhǔn)之間缺乏嚴(yán)格的邏輯關(guān)聯(lián)，關(guān)鍵技術(shù)的管理標(biāo)準(zhǔn)缺失，無法為企業(yè)開展安全防護(hù)工作提供標(biāo)準(zhǔn)依據(jù)，難以滿足產(chǎn)業(yè)發(fā)展的安全需求。工業(yè)互聯(lián)網(wǎng)安全在保障目標(biāo)對象、安全需求等方面具有特殊性，而工業(yè)屬性伴生的保護(hù)場景多樣性給其自身發(fā)展帶來了挑戰(zhàn)。因此，亟需建立針對性強(qiáng)、特色鮮明的工業(yè)互聯(lián)網(wǎng)安全保障體系。

（二）防護(hù)建設(shè)運營機(jī)制不順暢，綜合保障能力難以提升

當(dāng)前，我國工業(yè)互聯(lián)網(wǎng)安全建設(shè)大多圍繞工業(yè)企業(yè)的基本安全需求而開展，處于以設(shè)備采購為主的初級階段。一方面，工業(yè)企業(yè)用戶在完成工業(yè)互聯(lián)網(wǎng)安全項目建設(shè)后，因缺少持續(xù)學(xué)習(xí)工業(yè)互聯(lián)網(wǎng)安全配置、設(shè)備運維知識的相關(guān)渠道，無法發(fā)揮安全產(chǎn)品的最大效果；另一方面，企業(yè)用戶普遍缺乏對安全措施有效性的量化考核和評估能力，存在安全制度形同虛設(shè)、安全設(shè)備較多閑置等問題。

（三）產(chǎn)品服務(wù)認(rèn)證機(jī)制不完善，規(guī)模應(yīng)用進(jìn)展不平衡

雖已存在各類工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)，但對應(yīng)的市場準(zhǔn)入和認(rèn)證機(jī)制還不完善，缺乏檢測認(rèn)證標(biāo)準(zhǔn)規(guī)范和技術(shù)。這是因為工業(yè)互聯(lián)網(wǎng)安全近年來才受到關(guān)注，相關(guān)標(biāo)準(zhǔn)仍在編制過程中，且標(biāo)準(zhǔn)制定存在一定的難度。工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)仍處于發(fā)展起步階段，而制定的標(biāo)準(zhǔn)既要適應(yīng)當(dāng)前用戶需求，又要具有一定的前瞻性，才能指導(dǎo)和引領(lǐng)該類產(chǎn)品的發(fā)展；不同行業(yè)和環(huán)境對工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品的需求差別較大，且工控協(xié)議種類繁多，也增加了標(biāo)準(zhǔn)的制定難度。現(xiàn)階段對工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)的檢測多沿用傳統(tǒng)IT安全檢測認(rèn)證標(biāo)準(zhǔn)和測評方法，這顯然是不合適的。工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)的統(tǒng)一標(biāo)準(zhǔn)、認(rèn)證機(jī)制明顯缺乏，使得相關(guān)認(rèn)證難以面向市場快速推廣，更難以進(jìn)行規(guī)?；a(chǎn)和產(chǎn)業(yè)化應(yīng)用 [15,4]。

（四）產(chǎn)業(yè)創(chuàng)新聚集效應(yīng)不明顯，關(guān)鍵產(chǎn)品發(fā)展不成熟

在產(chǎn)業(yè)聚集方面，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)起步晚、體量小，如外建安全產(chǎn)品和服務(wù)的市場規(guī)模占網(wǎng)絡(luò)安全產(chǎn)業(yè)整體規(guī)模的比例不足5%。我國從事工業(yè)互聯(lián)網(wǎng)安全的企業(yè)約有266家，專注該領(lǐng)域的企業(yè)約有47家，企業(yè)規(guī)模普遍較??；傳統(tǒng)信息安全企業(yè)、自動化背景企業(yè)、IT系統(tǒng)集成企業(yè)進(jìn)入工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的時間普遍較短，存在技術(shù)創(chuàng)新能力不足、缺乏具有市場競爭力的核心產(chǎn)品等問題 [15]。目前，我國安全服務(wù)企業(yè)在外置防護(hù)產(chǎn)品技術(shù)方面成熟度相對較高，在內(nèi)置信息安全工控產(chǎn)品技術(shù)方面的成熟度偏低；企業(yè)的安全服務(wù)能力難以滿足現(xiàn)實需求，尚未形成引領(lǐng)產(chǎn)業(yè)發(fā)展的骨干龍頭企業(yè)，產(chǎn)業(yè)創(chuàng)新集聚效應(yīng)不明顯，產(chǎn)業(yè)整體規(guī)模仍處于低位 [4,13]。在關(guān)鍵產(chǎn)品方面，我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)技術(shù)和產(chǎn)業(yè)化應(yīng)用仍不成熟，工業(yè)軟硬件產(chǎn)品對外依賴度較高，不可預(yù)知的安全隱患增多，安全風(fēng)險加劇 [16]。

我國工業(yè)互聯(lián)網(wǎng)安全技術(shù)體系的技術(shù)成熟度與應(yīng)用情況如圖3所示。①在外建安全防護(hù)方面，防護(hù)類技術(shù)的成熟度較高，市場應(yīng)用水平也較高，如基于策略的訪問控制、網(wǎng)絡(luò)隔離和應(yīng)用程序白名單等；但外建安全防護(hù)產(chǎn)品在工業(yè)場景兼容性、協(xié)議支持豐富度、智能化水平和可視化水平程度等方面與國外先進(jìn)技術(shù)仍存在一定差距；在基于指紋匹配的資產(chǎn)識別、基于漏洞庫的風(fēng)險關(guān)聯(lián)、威脅溯源等檢測類和響應(yīng)類技術(shù)方面尚存在不足，與國際工業(yè)互聯(lián)網(wǎng)安全企業(yè)仍存在較大差距。②在內(nèi)嵌安全防護(hù)方面，我國在通信訪問控制、通信和數(shù)據(jù)加密、身份識別等技術(shù)方面已取得一定突破，但與國際水平相比仍存在較大差距；由于工業(yè)系統(tǒng)整體兼容性不強(qiáng)、價格競爭優(yōu)勢不足等因素，市場應(yīng)用水平整體偏低。

（五）安全人才結(jié)構(gòu)布局不合理，人才核心競爭力不充分

網(wǎng)絡(luò)安全實質(zhì)上是攻擊能力和防御能力的較量，歸根結(jié)底是人才之間綜合能力的比較。隨著工業(yè)互聯(lián)網(wǎng)安全風(fēng)險日益突出，工業(yè)企業(yè)亟需持續(xù)提升安全能力，除了購買網(wǎng)絡(luò)安全產(chǎn)品以獲得安全能力外，還應(yīng)通過培養(yǎng)網(wǎng)絡(luò)安全人才、購買網(wǎng)絡(luò)安全咨詢服務(wù)來增強(qiáng)運維能力，彌補(bǔ)自身安全能力的不足。我國網(wǎng)絡(luò)安全人才的缺口較大，亟需具備網(wǎng)絡(luò)安全技能且適應(yīng)復(fù)雜工業(yè)場景的安全防護(hù)復(fù)合型人才；人才供需失衡使企業(yè)間的人才競爭加劇，人才儲備無法適應(yīng)未來發(fā)展的挑戰(zhàn)。

五、新一代工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展的路徑建議

（一）加強(qiáng)政策引導(dǎo)與扶持，打造國內(nèi)國際雙循環(huán)相互促進(jìn)的產(chǎn)業(yè)新發(fā)展格局

建議加強(qiáng)工業(yè)互聯(lián)網(wǎng)管理體系建設(shè)，強(qiáng)化頂層設(shè)計，建立健全法律法規(guī)，實施政策引導(dǎo)和配套，持續(xù)完善產(chǎn)業(yè)發(fā)展的戰(zhàn)略措施，形成持續(xù)發(fā)展的長效機(jī)制。強(qiáng)化“關(guān)口前移、防患于未然”的安全防護(hù)理念，及時制定工業(yè)大數(shù)據(jù)、工業(yè)云平臺等新興領(lǐng)域的安全管理政策體系和標(biāo)準(zhǔn)，規(guī)范和指導(dǎo)新安全技術(shù)與工業(yè)互聯(lián)網(wǎng)領(lǐng)域的融合應(yīng)用 [17]。注重政策落實效果，強(qiáng)化工業(yè)企業(yè)安全主體責(zé)任并提升防護(hù)意識，打造以國內(nèi)大循環(huán)為主體，國內(nèi)國際雙循環(huán)相互促進(jìn)的產(chǎn)業(yè)新發(fā)展格局。

（二）強(qiáng)化科技創(chuàng)新與轉(zhuǎn)化，促使科技創(chuàng)新成為產(chǎn)業(yè)發(fā)展的內(nèi)生動力

科技創(chuàng)新是“十四五”時期的首要任務(wù)，是新型基礎(chǔ)設(shè)施建設(shè)的重要依托，也是網(wǎng)絡(luò)安全的基礎(chǔ)。建議工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)秉承創(chuàng)新發(fā)展理念，逐步建立基于自主知識產(chǎn)權(quán)的技術(shù)架構(gòu)和標(biāo)準(zhǔn)，完成開放生態(tài)建設(shè)，打牢工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)健康發(fā)展的基礎(chǔ)。

持續(xù)增強(qiáng)體系化技術(shù)創(chuàng)新能力，構(gòu)建國家工業(yè)互聯(lián)網(wǎng)安全保障體系，瞄準(zhǔn)產(chǎn)業(yè)發(fā)展制高點，指導(dǎo)發(fā)布重點領(lǐng)域技術(shù)創(chuàng)新指南，在資產(chǎn)識別、風(fēng)險管理、應(yīng)急處置等技術(shù)領(lǐng)域梳理瓶頸短板清單，引導(dǎo)市場主體創(chuàng)新突破。不斷探索工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新融合應(yīng)用的解決方案，鼓勵安全企業(yè)積極探索應(yīng)用大數(shù)據(jù)、AI、5G、區(qū)塊鏈等新興技術(shù)解決工業(yè)互聯(lián)網(wǎng)安全問題，形成典型解決方案，為工業(yè)企業(yè)部署安全防護(hù)措施提供可借鑒模式。

圖3 工業(yè)互聯(lián)網(wǎng)安全技術(shù)成熟度與應(yīng)用情況

推動工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品的研發(fā)。建立以企業(yè)為主導(dǎo)的“產(chǎn)學(xué)研用”聯(lián)合創(chuàng)新機(jī)制，瞄準(zhǔn)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)技術(shù)、共性關(guān)鍵技術(shù)、前沿技術(shù)以及重點工業(yè)領(lǐng)域的信息安全系統(tǒng)解決方案和核心環(huán)節(jié)，研究新興工業(yè)互聯(lián)網(wǎng)安全技術(shù)在工業(yè)領(lǐng)域的融合應(yīng)用，盡快突破一批關(guān)鍵核心技術(shù)。加強(qiáng)協(xié)同攻關(guān)，以點帶面、消除瓶頸，補(bǔ)齊短板、整體推進(jìn)，重點發(fā)展一批高端產(chǎn)品，形成具有市場競爭力的產(chǎn)品體系。積極推動核心技術(shù)成果轉(zhuǎn)化和交易，加強(qiáng)知識產(chǎn)權(quán)保護(hù)和管理，促進(jìn)創(chuàng)新成果轉(zhuǎn)化，不斷提升創(chuàng)新鏈、產(chǎn)業(yè)鏈、價值鏈的整合能力。

（三）引導(dǎo)相關(guān)企業(yè)和機(jī)構(gòu)優(yōu)勢互補(bǔ)，構(gòu)建產(chǎn)業(yè)發(fā)展的良好生態(tài)

跨界合作是應(yīng)對交叉領(lǐng)域安全問題的有效辦法。隨著越來越多的工業(yè)設(shè)備聯(lián)網(wǎng)，僅靠企業(yè)自身力量很難對潛在的工業(yè)互聯(lián)網(wǎng)安全風(fēng)險進(jìn)行全面防御，需要政府主管部門、科研機(jī)構(gòu)、安全服務(wù)商、工業(yè)企業(yè)、工控設(shè)備提供商等進(jìn)行優(yōu)勢互補(bǔ)，緊密配合，針對各工業(yè)行業(yè)的特點，協(xié)同構(gòu)建多維度、多層次的防御機(jī)制，共同應(yīng)對來自各領(lǐng)域的安全威脅與挑戰(zhàn)，打造協(xié)同發(fā)展的良好產(chǎn)業(yè)生態(tài)體系 [12,13]。

加強(qiáng)產(chǎn)業(yè)政策傾斜，鼓勵工控系統(tǒng)制造企業(yè)、工業(yè)企業(yè)和網(wǎng)絡(luò)安全企業(yè)深度合作。建議制定促進(jìn)合作的相關(guān)政策，鼓勵工業(yè)互聯(lián)網(wǎng)各相關(guān)企業(yè)針對工業(yè)領(lǐng)域各行業(yè)的生產(chǎn)運營特征，聚焦行業(yè)痛點，將技術(shù)突破、模式創(chuàng)新與產(chǎn)業(yè)實際需求相結(jié)合，逐步形成政府引導(dǎo)、用戶主導(dǎo)、廠商參與和資本推動的良性產(chǎn)業(yè)生態(tài)。

在能源、交通等重點產(chǎn)業(yè)進(jìn)行集中攻關(guān)，整合“政產(chǎn)學(xué)研用”資源，發(fā)揮集中力量辦大事的制度優(yōu)勢，形成關(guān)鍵核心技術(shù)攻堅體制，合作研發(fā)高精尖安全產(chǎn)品和解決方案，成立國家級的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。以問題為導(dǎo)向，加快建立關(guān)鍵共性技術(shù)體系，布局技術(shù)短板和下一代前沿技術(shù)，盡快突破關(guān)鍵核心技術(shù)瓶頸，確保自主可控。

重點培育龍頭骨干企業(yè)，引導(dǎo)安全廠商不斷革新商業(yè)模式，強(qiáng)化網(wǎng)絡(luò)安全資源整合，聚焦產(chǎn)業(yè)多方協(xié)同，加快構(gòu)建產(chǎn)業(yè)生態(tài)?；谟脩粜枨笾貥?gòu)產(chǎn)業(yè)鏈，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)鏈上下游企業(yè)要共同發(fā)力，加快資本整合和戰(zhàn)略合作步伐。集中力量構(gòu)建開放的網(wǎng)絡(luò)安全生態(tài)，將安全能力對外輻射給更多合作伙伴，踐行合作共贏的發(fā)展理念。

優(yōu)化產(chǎn)業(yè)生態(tài)環(huán)境，發(fā)揮政府管理部門、行業(yè)協(xié)會的引導(dǎo)與支持作用，拓寬企業(yè)在技術(shù)引進(jìn)、投資融資、人才引進(jìn)等方面的渠道。建議加快落實法律法規(guī)、政策標(biāo)準(zhǔn)等對工業(yè)企業(yè)信息安全的有關(guān)要求，挖掘企業(yè)安全需求，激發(fā)市場活力。統(tǒng)籌基礎(chǔ)研究、技術(shù)創(chuàng)新與應(yīng)用部署，增強(qiáng)上游技術(shù)研發(fā)與下游推廣應(yīng)用的協(xié)同互動效應(yīng)，打造協(xié)同發(fā)展的產(chǎn)業(yè)生態(tài)系統(tǒng)。

（四） 維護(hù)供應(yīng)鏈安全與穩(wěn)定，加強(qiáng)協(xié)調(diào)、聯(lián)合評估、風(fēng)險預(yù)警等機(jī)制建設(shè)

近年來，隨著逆全球化思潮和經(jīng)濟(jì)民族主義的涌起以及新型冠狀病毒肺炎疫情的暴發(fā)，全球供應(yīng)鏈的不確定性進(jìn)一步加劇。在大國博弈日益激烈、先進(jìn)技術(shù)產(chǎn)業(yè)競爭態(tài)勢加劇的背景下，加強(qiáng)供應(yīng)鏈安全監(jiān)管，建立全面的供應(yīng)鏈安全管理體系已經(jīng)迫在眉睫。

加強(qiáng)頂層設(shè)計，將供應(yīng)鏈安全納入國家安全整體框架，制定供應(yīng)鏈安全管理的政策法規(guī)，加快出臺工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全領(lǐng)域的戰(zhàn)略規(guī)劃。加大落實力度，形成科學(xué)規(guī)范、運行有效的制度體系，推動供應(yīng)鏈安全管理標(biāo)準(zhǔn)制定向?qū)I(yè)化和精細(xì)化發(fā)展，為相關(guān)部門和機(jī)構(gòu)在識別、評估、減輕供應(yīng)鏈風(fēng)險方面提供依據(jù)。

強(qiáng)化全球供應(yīng)鏈系統(tǒng)風(fēng)險識別與評估，建立全生命周期供應(yīng)鏈風(fēng)險管理制度，形成信息跟蹤、風(fēng)險識別、危機(jī)應(yīng)對聯(lián)動的管理體系，提升有關(guān)全球供應(yīng)鏈風(fēng)險的防控能力。

開展供應(yīng)鏈安全評估與審查，梳理工業(yè)領(lǐng)域的關(guān)鍵薄弱環(huán)節(jié)，對重點領(lǐng)域的工業(yè)基礎(chǔ)供應(yīng)鏈進(jìn)行風(fēng)險預(yù)警和風(fēng)險管控。創(chuàng)建供應(yīng)鏈風(fēng)險評估共享服務(wù)，強(qiáng)化審查監(jiān)管，建立適應(yīng)性強(qiáng)、可持續(xù)和安全的供應(yīng)鏈。

（五）加強(qiáng)人才培養(yǎng)與隊伍建設(shè)，建立跨界安全人才培訓(xùn)教育體系

鼓勵政府、高等院校、科研院所、工業(yè)企業(yè)與安全企業(yè)加強(qiáng)合作，聯(lián)合開展工業(yè)互聯(lián)網(wǎng)安全學(xué)科建設(shè)，培養(yǎng)專業(yè)人才，促進(jìn)該領(lǐng)域產(chǎn)業(yè)鏈、崗位鏈、教學(xué)鏈有機(jī)結(jié)合。多方整合優(yōu)勢資源，共建專業(yè)實驗室、特色課程體系、實習(xí)實訓(xùn)基地，保持理論學(xué)習(xí)與實踐的有機(jī)結(jié)合，全面提升工業(yè)互聯(lián)網(wǎng)安全學(xué)科水平，批量培養(yǎng)具有工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域應(yīng)用能力的高水平人才。例如，安全企業(yè)和工業(yè)企業(yè)聯(lián)合建立工控安全測試床和網(wǎng)絡(luò)靶場，讓學(xué)生開展虛擬化對抗，提高其實戰(zhàn)性和實操性。支持從事工業(yè)互聯(lián)網(wǎng)安全的企業(yè)設(shè)立相關(guān)教育培訓(xùn)機(jī)構(gòu)。我國工業(yè)互聯(lián)網(wǎng)安全人才缺口大，特別是防御型人才，通過社會力量開展大規(guī)模職業(yè)培訓(xùn)教育，是快速彌補(bǔ)人才短缺問題的有效途徑。加強(qiáng)財政資助力度，設(shè)立專項人才培養(yǎng)基金，依托重點創(chuàng)新課題，積極開展高端人才的培育。