工業轉型，其實缺少一道“防火墻”。如今，工業互聯網已進入發展快車道，但安全問題卻給工業互聯網原本晴朗的天空蒙上了一層烏云。上個月，美國最大成品油管道運營商Colonial Pipeline因一次勒索軟件攻擊，致使燃油管道系統被迫關閉，并且讓美國17個州及華盛頓特區一度進入緊急狀態，被迫支付440萬美元的贖金以恢復系統正常；日本相機大廠富士膠片遭勒索軟件攻擊，使部分系統受到影響。有些據點的所有通信，包括電子郵件和經由網絡系統打入的電話都受到了不同程度的影響。而國內，許多企業也受到了不同程度的安全威脅。

轟動一時的三一重工泵車失蹤案，因無法傳遞設備工況數據與正常鎖機，導致三一重工技術研發和售后服務大受影響，更有大量客戶惡意拖欠該公司貨款，失聯泵車價值高達10億元；臺積電三大制造廠區因電腦大規模勒索病毒現象，造成約17.6億元的營收損失。在華為安全架構師王雨晨看來，無論國內企業還是國外企業，勒索軟件，蠕蟲，挖礦、APT等是最主要的高級安全攻擊且是威脅最大的。其中，勒索軟件是目前最常見的安全威脅手段。

顯然，工業互聯網安全問題已成為工業企業發展過程中必要的考慮因素。

安全或成工業互聯網最大“絆腳石”

網絡是基礎，安全是保障，平臺是核心。工業互聯網是新一代信息通信技術與制造業深度融合所形成的新興業態與新模式。

自2018年，工業互聯網被首次寫入政府工作報告，到2020年被劃定為新基建的重要組成部分，經過三年時間，工業互聯網已進入發展快車道。據賽迪顧問數據顯示，2020年，中國工業互聯網市場規模總量達到6712.7億元，同比增長10.4%。

新技術帶來新機遇的同時，往往也會帶來新問題。由于工業互聯網中各種設備互聯，設備種類多，漏洞后門資源多，攻擊路徑多，攻擊性強，所以新問題主要聚焦在安全方面。

這與工業互聯網與生俱來的特性相關，在浪潮工業互聯網副總經理宋志剛看來，工業互聯網先天具有的專業性、復雜性和技術起點高的特點，以及開放性和異構性的特性，加劇了其面臨的安全風險。

圖源：《2020年工業信息安全態勢報告》

在工業互聯網專有特點的基礎上，百度相關負責人認為，工業互聯網安全威脅事件頻發是由于云計算、人工智能、大數據等技術仍處于不斷創新和高速迭代階段，工業互聯網仍處于摸索階段，諸如工業互聯網安全等許多難題有待進一步攻克。目前，工業領域的網絡攻擊事件、工業設備、系統安全漏洞數量呈現逐年遞增之勢。

據《2020年工業信息安全態勢報告》顯示，工業領域因運營成本大、數據價值達、社會影響廣成為了首要攻擊目標，僅2020年工業相關勒索軟件攻擊事件就有33起，遠超2017年至2019年兩年的總合。

除去工業互聯網專有特性和發展速度來看，華為安全架構師王雨晨認為，工業互聯網安全和傳統IT安全的差異也是安全威脅事件頻發的重要原因。

首先，補丁、殺毒軟件等侵入式安全技術不可實施，終端安全不可接受，漏洞處于開放狀態；

其次，互聯網是統一架構，而工業系統架構、業務類型、設備組合千差萬別，通用的威脅情報作用很小；

再者，工業互聯網系統是高度自動化，低交互的，基于安全專家的人工運維不可實施。

而且，工業互聯網中一旦發生事情就是大事，事后處置的損失不可接受，安全手段也絕對不能在業務系統中造成新增故障點，不能引入“安全悖論”。

所以說，對于工業互聯網安全來說，傳統IT安全架構早已不適用，亟需構建新型的工業互聯網安全架構。

百度相關負責人也表示，傳統互聯網時代，人們對網絡安全習慣于采取“事后補救”的措施，而這些措施往往是“頭痛醫頭、腳痛醫腳”，不能徹底、全面地解決問題，也無法滿足新型工業互聯網的安全需求。

工業互聯網不止網絡和平臺，安全也是重要的一環

停留在口頭上的安全，也只是空中樓閣。雖然，安全威脅事件頻發，但工業互聯網的熱度仍吸引了不少企業的入局。根據IDC中國工業互聯網調研數據顯示，80.3%的受訪用戶表示已經部署或計劃在未來1~3年內部署工業互聯網，包括傳統制造企業海爾、美的等，互聯網巨頭BAT，新興獨角獸企業AI四小龍等，還有一些不起眼的小型企業。

據不完全統計，標識解析體系方面，我國已擁有5個國家頂級節點，90多個二級節點平臺已上線，成為三級節點的企業超一萬家；工業互聯網平臺方面，我國多層級工業互聯網平臺體系初步形成，國內已涌現出100余個工業互聯網平臺，其中跨行業跨領域平臺達到15個；

工業APP方面，截至3月底，工業互聯網平臺連接工業設備總數達7300萬臺，工業App突破59萬個。

雖然，目前在工業互聯網領域我國已經取得了顯著的成就。但是，三一重工泵車失蹤案、臺積電工廠大面積勒索病毒等事件也說明了企業在安全方面的嚴重缺失。

據相關調研數據顯示，僅有36.5%的工業企業認為自己的工控系統遭受網絡攻擊的可能性很大，57.4%的企業認為基本不會，甚至有6.1%的受調研企業認為，自己完全不會遭到工控網絡攻擊。

六方云總裁李江力表示，這主要是源于各企業對工業互聯網安全的認知水平不一，有的企業是經歷了安全威脅之后才引起重視，有的企業是根據工信部下發的文件進行著安全實踐，還有一批沒有接入網絡的小型企業并沒有工業互聯網安全方面的考慮。

李江力坦言，國內的工業互聯網平臺企業超過500家，這些平臺企業在設計時都會有安全因素的考慮，但不同的平臺對安全的理解、設計實現與投入都不一樣，整體看，工業互聯網平臺的安全防護能力還需要提高。

雖然做的工業安全的企業多越來越多，但是參差不齊的安全認知水平現象愈發嚴重。現如今，從事工業互聯網安全的企業，大部分只重視信息安全，側重于政府、金融行業等傳統領域，但是關于工業領域的生產保護，卻很少有企業專注。

奇安信工業互聯網安全事業部產品總監王弢這樣說，從調研結果可以看出，表示非常重視工業互聯網安全的企業，僅為40.9%。近六成的企業表示較少重視或完全不關心。這也成為了國內工業互聯網安全建設始終發展較慢的重要原因之一。

“軟”安全里的“硬”實力

目前，工業互聯網安全究竟做的怎么樣？經綜合研判，數據顯示，預計2020年我國工業信息安全市場增長率將達23.12%，市場整體規模將增長至122.81億元。

圖源：《2020-2021年度工業信息安全形勢分析》

反觀去年工業安全事件發生情況，據數據顯示，我國2020年公開報道的工業信息安全事件約70件，裝備制造、能源等行業為遭受網絡攻擊最嚴重領域，占比分別達到27%、22%；2020年新增工業控制系統安全漏洞數達682個，增長率為20%。其中高危漏洞272個，中危漏洞364個，中高危漏洞占比高達93.3%。