科技安全观察 | 国外工业互联网安全产业布局情况及对我国的启示

2021/09/13-21:00      浏览:  次
A+ 收藏
来源:CGGT走出去智库
    

 

走出去智库观察  

近几年,网络攻击使许多企业和政府机构瘫痪,今年5月初对美国最大的成品油管道系统Colonial管道的网络攻击成为一个里程碑式事件,迫使Colonial公司在其57年的经营历史中首次关闭其输油管道系统,以防止勒索软件攻击其关键控制系统。此次攻击导致美国东海岸的燃料短缺。

 

走出去智库(CGGT)观察到,随着勒索软件攻击事件的发生,有的甚至渗透到了工业互联网的边缘层或云计算环境,导致企业生产过程被中断,造成严重经济损失。而这只是工业互联网安全面临的问题之一,设备安全、控制安全、数据安全、应用安全等等,都会成为工业互联网发展的制约。而且勒索软件往往跨境攻击,因此各国积极开展相关国际合作以打击网络攻击。

 

如何做好工业互联网安全?今天,走出去智库(CGGT)刊发介绍国外工业互联网安全发展情况的文章,供关注工业互联网的读者参考。

 

要 点

 
 
 
 

CGGT,CHINA GOING GLOBAL THINKTANK

 

1、美国、德国、英国等工业强国在工业互联网安全领域的产业优势明显;中国、日本、韩国等国家的信息化、工业化进程加快,对工业信息安全领域的投入也随之加大。

 

2、面对地缘政治冲突、科技领域竞争、制造产业转移等严峻复杂的国际形势,尤其工业互联网安全已经成为影响国家安全的重要因素,各国政府将制定实施一系列战略政策和相关标准,发挥产业主导地位,积极抢占工业互联网安全产业高地,确保自身国际地位和全球经济话语权。

 

3、鼓励更多中国专家承担相关国际标准组织的职务和任务,大力支持专业机构、工业企业、安全企业等积极参与国际标准制定,推动工业互联网安全标准高水平“走出去”

 

正 文

 
 
 
 

CGGT,CHINA GOING GLOBAL THINKTANK

国外工业互联网安全产业的布局现状

 

美国、德国、英国等工业强国在工业互联网安全领域的产业优势明显;中国、日本、韩国等国家的信息化、工业化进程加快,对工业信息安全领域的投入也随之加大。本文主要从以下 5个方面对全球主要国家和地区的工业互联网安全产业布局发展现状和特点进行梳理分析。

 

(一)制定安全战略政策,引领产业发展

 

1. 美国

 

美国为赢得制造业全球竞争优势,在 2011 年正式启动“先进制造伙伴计划(AMP)”,推动政府、学术界、产业界形成合力,共同投资新一代信息技术以制造高水准的美国产品,确保在全球制造业发展中的领导地位。2018 年 10 月,美国在“先进制造国家战略计划”的基础上,推出“美国先进制造领导力战略”,将制造业网络安全作为战略实施的重要着力点和产业布局方向,出台了一系列安全政策与标准规范以保障工业互联网产业安全有序发展。2018 年 11 月,美国成立网络安全和基础设施安全局(CISA),负责网络和基础设施的安全,并将工控安全列为优先事项。CISA、能源部等政府机构注重与产业界的合作,加强工业、能源等领域的信息安全保障建设。同时,美国持续开展工业互联网安全领域的立法工作,为安全产业发展提供法律支撑;仅在2019年就通过了《物联网设备安全法案》《保障能源基础设施法》《利用网络安全技术保护电网资源法案》《供应链网络安全风险管理指南》,全面保障物联网、能源、电力、医疗等关键基础设施的信息安全。

 

2. 欧盟

 

欧盟注重加强网络安全资源整合,促进产业多方协作。欧盟网络与信息安全局(ENISA)发布的《工业 4.0 网络安全挑战和建议》,提出了工业物联网安全面临的 项主要挑战,据此指导工业信息安全建设,为欧盟工业 4.0 发展奠定基础。欧盟成立了工控安全应急响应组,负责信息收集与共享、各类工控安全事件响应分析、行业安全态势分析、协调实施关键基础设施保护计划等工作;发布了《保护信息时代社会安全战略》《国家网络安全策略——为加强网络空间安全的国家努力设定线路》《欧盟网络安全战略》《关键基础设施保护计划》《网络和信息系统安全指令》《通用数据保护条例》等战略文件和法律法规。

 

德国作为传统制造业强国,在国家层面大力推进“工业 4.0”战略,期望通过数字化、网络化、智能化手段来提高工业效率,巩固在全球制造业中的龙头地位。2015 年,德国政府牵头,联合相关协会、企业启动建设升级版工业 4.0 平台,将数据安全作为五大主题之一;先后发布了《工业 4.0 安全指南》《工业 4.0 中的 IT 安全》《跨企业安全通信》《安全身份标识》等指导性文件,提出了以网络物理系统平台为核心的分层次安全管理思路。德国联邦信息安全局(BSI)出台了《2019 年工业控制系统安全面临的十大威胁和反制措施》等多份工控安全实施建议文件,具体指导企业做好工业信息安全防护工作。

 

3. 日本

 

2016 年,日本提出了以 AI 技术为基础、以提供个性化产品和服务为核心的“超智能社会 5.0”概念,“互联工业”是其中的重要组成部分;同年成立工业网络安全促进机构(ICPA),专门抵御关键基础设施的网络攻击。2019 年 月,日本依托经济产业省(METI)发布了《网络 物理安全对策框架》及其配套的一系列行动计划,用于确保新型供应链的整体安全,全面梳理产业所需的安全对策。同时,日本积极实施供应链网络安全强化、网络安全经营强化、安全人才培养、安全业务生态系统建设等配套行动计划。

 

4. 韩国

 

2019 年,韩国颁布《国家网络安全基本规划》,要求增强网络修复和存活能力,指导改善信息通信网络和信息基础设施的安全环境,加大对新一代安全基础设施的研发和推广力度,有效提升关键基础设施的安全性。同时,韩国政府提出加大人才培养计划,组织开展研发活动,构建创新安全产业生态圈。

 

(二)参与安全市场竞争,保持合作主体多元化

 

市场需求催生更多企业参与到工业互联网安全产业,参与主体不仅包括自动化企业和传统安全企业,还包括一批新崛起的工业互联网安全初创企业。美国、德国、英国、日本等国家的相关企业通过收购、合作以及开拓网络安全业务等举措纷纷加入市场竞争。

 

自动化企业(如西门子股份公司、通用电气公司、霍尼韦尔国际公司、施耐德电气有限公司等)依托原有的工业市场基础,通过收购网络安全厂商、与网络安全厂商建立合作伙伴关系、组建专业团队开发安全产品等方式,一方面加强了自身产品、设备等的网络安全保障,提高了产品和服务的可信水平,另一方面对外提供工业互联网安全产品和服务,开拓了工业安全市场。

 

传统网络安全企业具有安全技术优势,拥有开拓工业互联网安全产品、服务的丰富经验;缺少对工业互联环境的了解,导致功能安全和信息安全难以融合,产品无法满足工业企业的安全需求。为此,通过收购或合作的方式,发挥各自优势,解决工业信息安全保障的瓶颈问题。

 

以克拉罗蒂公司(Claroty)、Dragos 公司、希美公司(Nozomi)等为代表的工业互联网安全初创企业,拥有可以引领工业互联网安全产业发展的创新性技术,具备网络安全和工业控制的双重优势;虽然在规模上远不能与业内巨头企业相比较,但作为独立的工业互联网安全供应商已逐渐引起资本市场的关注。自 2011 年起,230 多家本土或外国机构对 165 家以色列网络技术初创企业进行了投资。2020 年 月,美国微软公司以 1.65 亿美元收购了以色列工业网络安全初创企业 CyberX 公司。

 

(三)推动中小企业发展,形成安全保障合力

 

日本为推动工厂智能化以及物联网在制造业中的应用,通过建立“智能制造声援团”对中小企业提供技术、工具、人员等方面的支持;在推动标准国际化、发展面向制造的网络安全、培养数字化人才、加大研发投入等方面进行了积极引导。

 

韩国制定了“制造业创新 3.0”战略,从政策、资金、技术等方面扶持制造领域的中小企业发展。一方面,加大资金扶持力度,为中小型企业提供利率优惠政策和便捷的贷款服务,激励其专注研发安全产品;另一方面,鼓励大型企业与中小企业共享技术研发成果,形成工业互联网企业协同发展的良好局面。

 

德国为提高中小企业的研发能力,部署开展了专门针对中小企业与研究机构合作的项目。德国的研发机构通常拥有不同测试环境,中小企业通过合作不仅可以得到软硬件支持和技术帮助,还能加强企业员工在相关专业方面的培训。中小企业还可以从政府获得直接资助,相关研究方向有生产自动化、智能传感器等。

 

美国重点加强对中小企业劳动力的教育培训。2019 年,美国国防部为数字化制造(MxD)拨款 1000 万美元,对服务水平低下的中小制造商进行培训,加强财务模型和易用工具的使用,创建更具弹性的工业体系。具体业务包括:推行网络安全工具试点计划;实施就业分类 2.0 计划,帮助员工深入分析特定工作角色;开展数字能力工作坊,促进识别数字计划;提供技术实习机会;开展工业物联网培训,推动中小企业加快物联网制造。

 

(四)加大投融资力度,强化基础创新

 

近年来,工业互联网安全初创企业受到资本市场和网络安全企业的青睐。2017—2019 年,来自美国、以色列、法国等工业互联网安全企业的融资金额超过 3.4 亿美元。美国不断加大对工业信息安全领域的资金投入,在 2020 年联邦预算中,用于网络安全的预算约为 110 亿美元;美国国土安全部在工控安全方面的预算主要用于加强工控安全培训、恶意软件分析、工控系统脆弱性分析、事件响应以及新兴行业和细分领域的安全评估;美国能源部在网络安全、能源安全和应急响应等方面新增了 1.56 亿美元的预算,用于提升美国电网安全和弹性的早期研究项目。2019 年 月,欧盟宣布在“地平线 2020”计划中投入 6350 万欧元,启动网络安全能力建设计划,为工业领域网络安全发展提供支撑。

 

(五)产业联盟推进标准化建设,构建国际工业互联网安全发展生态

 

美国工业互联网联盟(IIC)、美国国家标准与技术研究院(NIST)、德国电工电子与信息技术标准化委员会(DKE)、日本工业价值链促进会(IVI)等产业联盟组织均在积极布局和推进工业互联网安全标准化工作。

 

IIC 在 2016 年发布了工业互联网安全架构(IISF),旨在规范企业在安全防护领域的规划和实践;先后发布《工业互联网安全成熟度模型:从业者指南》《端点安全最佳实践》《数据保护最佳实践》《在实践中管理和评估工业物联网(IIoT)可信度》等一系列与安全相关的文件内容,为工业互联网安全研究和实践提供指导;不断加强与国际标准化组织、开源组织、标准研制部门的协同合作,推动研究成果转为统一标准。NIST 发布了《制造业与工业控制系统安全保障能力评估》《工业控制系统安全指南》等,力求引领工业控制系统安全标准的制定。

 

德国 DKE 发布《德国工业 4.0 标准化路线图》,全面布局工业 4.0 的标准化工作。在德国政府的支持下,德国工程院、弗劳恩霍夫协会、西门子公司等共同组建了“工业4.0平台”,围绕工业4.0的安全、架构、路线图等关键方向,加速推进德国工业产业布局;将安全作为落实工业 4.0 的三大重要主题之一,针对设备、系统安全的加固与增强,发布了《工业 4.0 中的 IT 安全》;针对架构、标准、安全、测试床等关键共性问题,加速与 IIC 的技术协同和产业协作。

 

日本成立 IVI,以企业联合体牵头的方式,打造开放安全的制造业生态体系;发布了《日本互联工业价值链的战略实施框架》,提出了新一代工业互联网参考架构,成为指导日本产业界发展工业互联网的顶层框架。

 

综上所述,美国、德国、英国、日本、韩国等发达国家根据本国工业水平和信息技术发展现状,在布局工业互联网安全产业时各有侧重(见表 1)。

 

①在政策制定方面,以美国、德国为代表的发达国家或地区占据了主导地位。美国互联网技术优势明显,通过不断强化工业互联网安全的相关立法,加强对产业发展的法律保障和战略指导。德国作为工业 4.0 的发起方,更加注重工业信息安全的管理体系建设,以政府为主导,统筹布局工控安全建设。相比之下,其他国家现阶段更为聚焦工业互联网的发展,专门针对工业互联网安全产业的政策较为薄弱。

②在企业发展方面,美国将工业互联网安全作为传统安全企业和工业企业发展的重要方向,德国、英国等国家的制造企业通过收购、合作等方式推动工业企业网络安全业务发展。

③在对中小企业扶持方面,日本和韩国的资金投入力度相对更大,通过对中小企业的投入来激励其提升创新能力、快速发展状大。

④在资金投入方面,美国、欧盟在工业信息安全方面的投入持续增加。

在产业联盟方面,美国、德国成立了专门的工业互联网产业联盟,成员众多、国际合作广泛,具有一定的世界影响力和话语权。

 

 

国外工业互联网安全产业发展对我国的启示

 

发达国家和地区积极推进工业互联网安全产业的顶层设计与应用实践,对我国落实工业互联网安全规划部署具有良好的借鉴价值。“十四五”时期是我国深入实施工业互联网创新发展战略的关键期、工业互联网建设的快速成长期,为了科学高效地应对困难挑战,本文从以下 个方面提出科学优化布局我国工业互联网安全产业发展的建议。

 

(一)发挥制度优势,统筹均衡发展

 

充分发挥我国集中力量办大事的体制机制优势,形成工业互联网安全产业的发展合力。建议完善适应安全产业发展的政策体系,解决相关领域融合渗透面临的政策和制度瓶颈,秉承创新、自主可控的发展思路,营造更加良好的发展环境;加强各类资源统筹协调,在不同区域、行业、企业间促进安全产业均衡发展,形成东西部协调、南北方平衡、全国各区域优化发展的产业布局;构建形成兜底线、防风险的安全监管体系,制定负面清单、权力清单、责任清单,着重构建工业数据安全责任体系,推动形成支持工业互联网发展的包容性监管环境;全面提升工业企业的安全防护意识,加强工业互联网安全共建共练、联防联控。

 

 

(二)坚持自主创新,打造优势产品

 

借鉴和吸收国外工业互联网安全技术和产业创新理念,避免照抄照搬他国技术体系和运营模式。建议以构建国家战略科技力量需求为导向,推动建设工业互联网安全国家重点实验室、国家工程研究中心、国家技术创新中心等创新载体,打造支撑工业互联网安全高水平创新的基础设施和平台环境;加快推进设备安全、网络安全、控制安全、应用安全、数据安全等关键核心技术和基础理论的创新突破,充分利用卫星物联网、北斗卫星导航系统等新一代技术装备,辅助提升工业互联网安全防护能力;自主研制具有国际竞争力的安全新技术、新产品、新服务,加强自主成果应用和推广;鼓励并支持工业企业和安全企业开展需求对接,强化技术交流和优势互补,不断提升各方在安全技术、产品和服务上的合作契合度,联合开展关键技术难点攻关,加快工程化产业化突破,研究推出适合不同应用场景的安全防护解决方案;支持通过众测众研等方式聚集社会力量,创新网络攻击防护、漏洞挖掘等安全技术。

 

(三)健全标准体系,引领国际规则

 

借鉴发达国家的有益经验,健全工业互联网垂直应用行业安全标准规范,超前布局能源、电力、交通、航空、航天等重点领域安全标准的研究制定。建议构建涵盖各部委、省市、企业,多方协同的工业互联网安全服务和保障支撑平台,统筹总体系统架构建设,建立全国统一的系统准入标准与接口,制定安全融合应用系列指南;建立并不断完善国家级工业互联网安全基础信息资源库,涵盖工业互联网所需的资产目录、通信协议、安全漏洞、恶意代码、工业安全防御处置建议策略等,同时构建信息情报资源共享机制和共享激励机制;加快《统一内容标签格式规范》(GB/T35304—2017)等已有国家标准的应用推广;围绕工业互联网设备、控制、网络(含标识解析系统)、平台、数据等方面安全需求,加快研究制定安全防护、测试、评估等国家和行业安全标准,建设安全技术与标准试验验证环境;在制定工业互联网安全标准时,应遵循国际惯例,衔接好其他国际标准,采取更加开放的态度,欢迎国外企业或专家参与;鼓励更多中国专家承担相关国际标准组织的职务和任务,大力支持专业机构、工业企业、安全企业等积极参与国际标准制定,推动工业互联网安全标准高水平“走出去”。

 

(四)加大扶持力度,激发中小企业发展活力

 

建议重视和鼓励工业和安全领域中小企业改革创新,提升经营能力和管理水平,加大对中小企业的政策和资金的扶持力度;支持中小企业开展基础研究和科技创新,参与关键核心技术研发和国家重大科技项目攻关;科学规划并加快建设中小企业创新创业基地、企业孵化园、科技孵化器等,促进中小企业产业聚集发展,提高产业集聚度;完善多元化投融资体系和试点应用的试错容错与风险对冲机制,发挥好信托、保险等投资基金作用;加强供应链、产业链上下游协同,发挥好行业“领头羊”角色,经济基础较好区域的龙头企业要先行将安全研究成果进行试点转化并评估效能,通过龙头企业带动配套中小企业的发展;鼓励和支持在相关地区实施帮扶策略,以项目方式为中小企业提供改造升级和创新活动的技术支持、服务转型、技术指导;引导和帮助中小企业配套软硬件设备、培训相关专业人员、引进先进创新成果,逐步培养中小企业核心竞争力,打造各类型企业协同发展的优势格局。

 

(五)构建协同生态,促进双循环格局形成

 

加强顶层规划,建立并完善我国工业互联网安全产业体系,引导地方政府、工业企业、科研机构、安全企业等核心参与者在产业体系中找准定位、精准发力、协同发展,共同支撑构建我国工业安全产业生态。建议面向国内外市场和不同领域产业链、供应链,构建统一规划的智能化、协同化、网格化的平台框架,提高安全可控能力;依托产业联盟、高端智库等力量,推动“政产学研用”深度融合,培育一批具有产业整合能力的龙头和特色企业;制定工业互联网安全人才发展规划,建立安全人才库、专家库,创新联合培养机制,挖掘和培养国家和企业亟需的复合型、实战型专有人才;加大对工业互联网安全相关国际赛事的支持和推广力度,创新赛事形式,增强赛事名次的含金量,广泛吸引国外选手和团队参赛;加强国际合作和区域布局,重点衔接“一带一路”倡议,同时深化与先进发达国家互动融合,鼓励并支持工业企业、安全企业进一步提升“走出去”的层次、水平和效益。

 

来源:全球技术地图(原载于中国工程院院刊)

本文为CGG走出去智库版权所有,未经过允许不得转载。如需转载请联系Contact@cggthinktank.com
关键词:

关于我们

    "走出去"一站式解决方案平台

  • CGGT是一个"走出去"在线实务智囊团,由走出去智库主办;
  • 秉持"让企业走出去、走得稳、走的好"朴素价值观;
  • 为企业提供一站式海外战略、金融、财务、税务、法律、品牌管理的实务研讨平台。

发起机构

其他文章

发送私信咨询

向专家Kaldkfjalskjdf咨询