西门子等企业的产品都有安全漏洞，工业互联如何迈步?

本文将从安全漏洞事件、gongkong®市场调查、国家政策等多方面来阐述政策制定者、工控市场供应商以及使用者对工控安全的认知。

近年来，工控安全事件频发，工控安全漏洞数量持续增长，工业控制系统面临着日益严峻的安全形势。

2018年重大工控安全漏洞：大牌企业赫然在列

◆ 罗克韦尔工控设备曝多项严重漏洞

2018年3月，思科Talos安全研究团队发文指出罗克韦尔自动化公司的Allen-BradleyMicroLogix1400系列可编程逻辑控制器(PLC)中存在多项严重安全漏洞。并且该系列的可编程逻辑控制器被各关键基础设施部门广泛运用于工业控制系统（ICS）的执行过程控制。

◆ 西门子继电保护设备曝高危漏洞

2018年4月，ICS-CERT（美国工控系统网络应急响应小组）发布安全通告称使用EN100以太网通信模块和DIGSI4软件的西门子继电保护设备SIPROTEC4、SIPROTECCompact、Reyrolle存在三个高危漏洞。此类设备用于控制和保护变电站及其他电力基础设施。

◆ 思科产品存在SAML身份验证系统漏洞

2018年4月，思科公司发布了一个关于SAML身份验证系统的严重漏洞通告（CVE-2018-0229）。该漏洞允许未经身份验证的远程攻击者通过运行ASA（自适应安全设备软件）或FTD（威胁防御软件）来建立伪造的AnyConnect（桌面移动客户端软件）会话。AnyConnect、ASA、FTD等基础套件被广泛应用于思科的工业安全设备、工业防火墙等设备中，一旦被利用将会导致严重的网络安全风险。

根据国家信息安全漏洞共享平台（CNVD）已收录的工业控制系统漏洞涉及20多个工业相关产品显示，2018年数量最多的五大工控厂商的安全漏洞数量中，罗克韦尔最多，为19个，其次是研华18个，西门子和施耐德电气均为15个。

【需要说明的是，收录的漏洞越多，不等于相关厂商的设备越不安全，因为往往是使用越广泛的系统，越受安全工作者的关注，所以被发现和披露的漏洞也越多。】

gognkong®调查：缺乏足够认知

gognkong®通过对石化、油气、化工、冶金、造纸等30余家用户的实地调研发现：工业控制系统信息安全在全球范围内都处于初步发展阶段，工控安全防护、认证、标准等体系仍有待于进一步完善，中国也不例外。市场仍然以工业隔离网关和工业防火墙等隔离类产品为主。

数据来源：gongkong

目前，由于整体性的工控安全解决方案尚不成熟，并且防护成本过高，用户企业基本不会考虑。即使考虑信息安全防护，一般也只是选择局部性信息安全方案。目前市场上，多数用户企业对于信息安全缺乏足够的认知，认知比例很低。

少部分认知较高的用户企业，在导入局部工控安全方案时，一般会将DCS生产系统和MES系统分开考虑。比如石化、化工等对于安全性要求较高的行业，在预算经费能够承担的前提下，部分企业会选择在新建项目时，要求DCS系统附带信息安全，此时DCS生产系统供应商一般会向厂商推荐标配方案。而在MES系统层级，用户企业多会选择内资信息安全品牌。

典型用户需求分析：

◆ 工控安全配套现状（左图）：

企业用户普遍没有整体的工控安全解决方案，目前以系统配套杀毒软件/防火墙和网关类信息安全产品为主，杀毒软件不运行和病毒库不更新情况比比皆是。

◆ 工控安全计划规划（中图）：

多数企业无明确的工控安全解决方案实施规划，部分外资企业在全球总部的主导下，进行信息安全解决方案优化外，部分其他企业主要规划网关类产品的配套引进。

◆ 工控安全规划原因（右图）：

信息安全解决方案规划决策一般都由企业集团相关信息化部主导，分发到各地分公司统一执行，因而集团分公司往往无相关规划，除此之外企业亏损无预算和缺乏信息安全意识也是重要原因。

国家政策：催生工控安全市场需求

如今，网络安全已上升为国家战略，网络安全体系系列标准日趋完善，国家网络安全等级保护2.0机制的推进，多重政策导向利好，将促进中国工控安全防护能力的提升。

具体表现在：

网络安全已上升为国家战略，国家对工控安全的监管会更加严格

2018年《关键信息基础设施安全保护条例》、《网络安全等级保护条例》等与工控安全相关的系列法规、条例出台。随后，国家发改委、工信部、能源局也相应制定、修订与工控安全防护相关的管理和技术规定。今后，行业运营者、网络安全产品/服务的提供者和有关管理部门等不履行法定的网络安全保护职责的，则会承担法律责任。

网络安全系列标准规定日趋完善，工控安全技术和管理更加规范

近年来，国家制定发布了数百项网络安全标准，与工控网络安全相关并已实施的有：GB/T 26333“工业控制网络安全风险评估规范”、GB/T 33007“工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序”、GB/T 33008.1“工业自动化和控制系统网络安全 可编程序控制器（PLC） 第1部分：系统要求”、GB/T 33009.1“工业自动化和控制系统网络安全 集散控制系统（DCS） 第1部分：防护要求”、GB/T 33009.2“工业自动化和控制系统网络安全 集散控制系统（DCS） 第2部分：管理要求”、GB/T 33009.3“工业自动化和控制系统网络安全 集散控制系统（DCS） 第3部分：评估指南”、GB/T 33009.4“工业自动化和控制系统网络安全 集散控制系统（DCS） 第4部分：风险与脆弱性检测要求”等。

随着“等保2.0”机制的推进，预计工控安全需求将有边际改善

随着智能制造持续推进，智能设备、远程运维应用的大量普及，横向、纵向、端到端集成互联范围的逐渐扩大，云计算、大数据、移动互联、工业物联网等新一代技术的加快应用，工控系统面临的安全脆弱性和安全风险不断增高。

2019年5月，国家标准《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》（“等保2.0“）正式发布。新推出的等级保护2.0在继承了等级保护1.0中以资产防护为目标的基础上，增加了云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求、大数据安全扩展要求等五项新的安全防护要求。gongkong®预计，整个工控安全行业需求将会迎来重要的边际改善。

gognkong®调查：

厂商纷纷布局，但分歧依然较大

2018年，越来越多的信息安全厂商开始觊觎工业这个细分市场，开展工控安全业务，与此同时，一些传统的自动化厂商也开始纷纷布局信息安全市场。上有政策导向，下有企业积极行动，市场从业人士无不期望2018成为工控安全产业发展的爆发年。

然而，通过对工控安全市场的实地调研，gongkong®发现：受行业景气度下滑、工控安全标准不统一、用户安全认知有限等因素综合影响，当前工控安全市场发展较为平稳，业界期望的市场爆发仍未到来。

主要表现在：

一方面，2018年中国工业市场需求相对低迷，制造业景气指数持续下滑，电力、烟草等关键领域投资和利润均有下降，用户最迫切的需求为提升企业盈利水平，在未出现重大安全事故的背景下，工控安全未列入近期行动计划表。

另一方面，受限于终端用户认知影响，多数用户认为，工控安全产品和服务不能给其自身带来切实的经济效益，甚至有些用户认为，一旦实施工控安全项目后，还可能对现有生产运行系统带来隐患，导致用户控制对工控安全产品和服务的投入。

2019年工控安全市场处于爆发临界阶段，受益于“等保2.0”正式发布、相关配套政策条例制定、工控安全标准日趋完善、网络安全技术应用试点示范项目的实施等因素影响，工控安全市场发展或将加速前进。面对当前的市场环境，工控安全市场存在三种不同的声音：

乐观积极派

接近20%的供应商认为，工控安全市场是一片蓝海，拥有庞大的市场规模，纵然当前市场存在一些痛点，比如用户对信息安全意识不强、产品缺少技术标准，但仍然坚信工控安全产业前景，布局完善工控安全市场。厂商通过积极获取机构融资，扩充专家技术人员、加大产品研发和市场投入等手段，不断完善既有优势行业布局。例如，聚焦电力行业工控安全的某厂商表示，电力行业的工控安全市场规模将达到数百亿元，其中仅电网行业未来5年对工控安全的投入将达到上百亿元。

稳扎稳打派

约45%的供应商则认为，从政策和需求这两个关键驱动因素看，工控安全产业的发展已然不断提速，虽然市场尚未达到爆发期，但是厂商会坚持苦练内功，实现跨越式发展。例如，厂商会通过积极研发产品、部署安全解决方案等手段，实现从单点安全产品推广到到解决方案转变，也为从工控安全到工业互联网安全的扩展打基础。与此同时，还有一些厂商会实施重点行业压强策略、组建城市服务中心，距离用户更近，促使解决方案深入行业、贴近行业需求。此外，上述厂商普遍在深挖优势行业的基础上，努力向其他重点行业做迁移和拓展，截至目前，已有部分厂商获得了新突破和进展。

谨慎观望派

超过35%的供应商保持观望态度，认为政府积极推动市场发展，工控安全政策法规频出，国家政策要求是市场需求增长的重要推动力。但是，由于发布文件多属于推荐性标准，从政策发布到行业应用之间存在差距，部分厂商认为政策标准对业主影响力有限，没有政府持续有效的严格监管，工控安全项目的大批量落地仍然需要时间。此外，工业经济整体增速放缓、下游用户投资预算收缩，更加重了他们对工控安全市场的担忧。目前，该类厂商主要服务于石油、石化、电力等能源行业，选择大中型国企业作为重点服务对象，推广工控安全解决方案。