2024工業(yè)信息安全技術(shù)

工業(yè)信息安全技術(shù)洞察2023目錄CONTENTS目錄CONTENTS前言 1核發(fā)現(xiàn) 2驅(qū)工信息安全需益凸顯 5合規(guī)監(jiān)管推動(dòng)工信息安全建設(shè) 6安全地位強(qiáng)化 6監(jiān)管手段多樣 數(shù)字化轉(zhuǎn)型促進(jìn)工信息安全提速 護(hù)航數(shù)字化轉(zhuǎn)型 成就可持續(xù)發(fā)展 迎難上工信息安全建設(shè)的挑戰(zhàn)和現(xiàn)狀 工信息安全建設(shè)的四大挑戰(zhàn) 資金人投足 基礎(chǔ)設(shè)施陳舊 擊針對性升級 融合協(xié)同復(fù)雜 工信息安全實(shí)踐的兩大現(xiàn)狀 綜合管理亟待完備 關(guān)鍵技術(shù)逐步地 躬行實(shí)踐業(yè)能構(gòu)筑工信息安全保障 施耐德氣最佳工廠實(shí)踐 343.1.1人才——搭建本地組織343.1.2管理——建設(shè)標(biāo)準(zhǔn)流程353.1.3技術(shù)——落實(shí)技術(shù)控制35施耐德信息安全服實(shí)踐 信安全工信息安全服實(shí)踐 循序漸進(jìn)以最優(yōu)路徑支撐工信息安全未來 梳理現(xiàn)，成規(guī)劃 42建立基，保障業(yè)務(wù) 關(guān)注痛，強(qiáng)化運(yùn)營 持續(xù)改，擁抱未來 46結(jié)語:攜手構(gòu)保，建設(shè)安全未來 關(guān)于作者 48謝 1前言1目前，全球正在經(jīng)歷百年未有過的大變局時(shí)代，以5G數(shù)據(jù)、云計(jì)算、人工智能等為代表的新一代網(wǎng)絡(luò)信息技術(shù)正在推動(dòng)著傳統(tǒng)經(jīng)濟(jì)發(fā)展和產(chǎn)業(yè)模式的變革，數(shù)字經(jīng)濟(jì)已經(jīng)成為世界新格局的重要標(biāo)志。但隨著數(shù)字化進(jìn)程的快速推進(jìn)，網(wǎng)絡(luò)風(fēng)險(xiǎn)也呈現(xiàn)指數(shù)級增長，網(wǎng)絡(luò)漏洞、數(shù)據(jù)泄露等問題日益凸顯，有組織、有目的的網(wǎng)絡(luò)攻擊在不斷增多，網(wǎng)絡(luò)安全防護(hù)工作面臨嚴(yán)峻挑戰(zhàn)。國家工業(yè)信息安全發(fā)展研究中心監(jiān)測數(shù)據(jù)顯示，2020年全球工業(yè)信息安全事件涉及8大領(lǐng)域、16個(gè)細(xì)分領(lǐng)域，其中裝備制造、能源等行業(yè)遭受的網(wǎng)絡(luò)攻擊最為嚴(yán)重，交通運(yùn)輸、電子信息制造、消費(fèi)品制造、水利等行業(yè)網(wǎng)絡(luò)攻擊呈現(xiàn)高發(fā)態(tài)勢[1]。施耐德電氣商業(yè)價(jià)值研究院與亞信安全攜手，從中國工業(yè)信息安全發(fā)展的現(xiàn)狀出發(fā)，利用線上線下結(jié)合的方式針對兩百余家工業(yè)企業(yè)用戶展開摸底調(diào)研。為了加深認(rèn)知，我們挑選其中十余家典型行業(yè)的企業(yè)高管進(jìn)行深訪，以期本洞察的分析和總結(jié)，能夠帶給中國的行業(yè)、企業(yè)以價(jià)值參考。核心發(fā)現(xiàn)在這次由施耐德電氣商業(yè)價(jià)值研究院聯(lián)同亞信安全組織的“工業(yè)信息安全發(fā)展”企業(yè)調(diào)研中，我們收集了近200位工業(yè)企業(yè)高管和信息安全相關(guān)負(fù)責(zé)人對工業(yè)信息安全發(fā)展的反饋。這近200位的被訪者來自十個(gè)縱深行業(yè)中的代表企業(yè)，他們所展示的觀點(diǎn)和經(jīng)驗(yàn)將覆蓋大多數(shù)中國工業(yè)企業(yè)對信息安全這一話題的認(rèn)知現(xiàn)狀，由此所總結(jié)出的核心發(fā)現(xiàn)對眾多國內(nèi)工業(yè)企業(yè)將具有一定借鑒意義。企業(yè)調(diào)研樣本分布4%2%5%5%5%8%

20%

19%

電力離散制造其他冶金交通水務(wù)水利建材石化化工三個(gè)發(fā)現(xiàn)

8%11%

13%

石油天然氣市政食品飲料工業(yè)信息安全發(fā)展驅(qū)動(dòng)力在增強(qiáng)外部監(jiān)管政策法規(guī)高頻發(fā)布國家標(biāo)準(zhǔn)持續(xù)完善監(jiān)管力度不斷提升內(nèi)部驅(qū)動(dòng)外部監(jiān)管政策法規(guī)高頻發(fā)布國家標(biāo)準(zhǔn)持續(xù)完善監(jiān)管力度不斷提升內(nèi)部驅(qū)動(dòng)數(shù)字化轉(zhuǎn)型基礎(chǔ)保障可持續(xù)發(fā)展韌性源泉工業(yè)信息安全建設(shè)仍面臨較大挑戰(zhàn)超半數(shù)受訪者認(rèn)為企業(yè)對工業(yè)信息安全的重視程度還有待完善。資金人力的投入不足成為工業(yè)信息安全建設(shè)的首要挑戰(zhàn)；基礎(chǔ)設(shè)施陳舊、歷史遺留的安全設(shè)計(jì)缺失所帶來的攻擊性升級，以及IT/OT融合大背景下協(xié)同工作的復(fù)雜度升級也相應(yīng)增加了信息安全管理難度。254%資金人力投入不足54%資金：重視程度不夠，整體信息安全投資低于國際公認(rèn)合理水平，OT領(lǐng)域投資更是偏低專職信息安全人員不足，OT領(lǐng)域更是幾乎缺失，企業(yè)選擇服務(wù)外包緩解人才瓶頸33%基礎(chǔ)設(shè)施環(huán)境陳舊33%生產(chǎn)運(yùn)營系統(tǒng)時(shí)間久遠(yuǎn)，安全設(shè)計(jì)考慮少存量風(fēng)險(xiǎn)問題多，實(shí)施需考慮對生產(chǎn)影響27%工業(yè)攻擊針對性升級27%新技術(shù)的應(yīng)用導(dǎo)致攻擊面增大，工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)呈持續(xù)上升趨勢工業(yè)環(huán)境攻擊的針對性顯著增強(qiáng)，高贖金的勒索攻擊對數(shù)據(jù)安全和持續(xù)運(yùn)營帶來嚴(yán)重威脅26%IT/OT融合協(xié)同復(fù)雜26%云技術(shù)在IT領(lǐng)域快速發(fā)展全面應(yīng)用，越來越多的企業(yè)在OT領(lǐng)域探索并使用云計(jì)算和5G技術(shù)工業(yè)大數(shù)據(jù)平臺(tái)建設(shè)成為未來重點(diǎn)方向，IT/OT共同規(guī)劃和落地實(shí)現(xiàn)整體方案成為趨勢企業(yè)工業(yè)信息安全建設(shè)剛剛起步參與調(diào)研的高管及信息安全負(fù)責(zé)人表示，盡管工業(yè)信息安全發(fā)展驅(qū)動(dòng)力正在逐步增強(qiáng)，工業(yè)信息安全建設(shè)卻仍處在“從初步合規(guī)開始邁向全面合規(guī)”的發(fā)展階段。企業(yè)OT信息安全成熟度綜合評分僅為2.1分(滿分5分)，相較IT信息安全成熟度水平具有不小的差距，絕大多數(shù)被訪企業(yè)表示未來需要從管理成熟度和技術(shù)成熟度兩方面著手加強(qiáng)工業(yè)信息安全能力的提升。綜合成熟度2.1/5管理成熟度綜合成熟度2.1/5管理成熟度2/5技術(shù)成熟度2.2/53四大價(jià)值主張賦能最優(yōu)實(shí)施路徑結(jié)合代表企業(yè)在工業(yè)信息安全建設(shè)的行業(yè)經(jīng)驗(yàn)，以及施耐德電氣的最佳工廠實(shí)踐和亞信安全的信息安全服務(wù)實(shí)踐，通過厘清最優(yōu)實(shí)施路徑的發(fā)展思路，施耐德電氣商業(yè)價(jià)值研究院總結(jié)出四個(gè)價(jià)值主張——“自知、合規(guī)、著力、迭代”，作為支撐企業(yè)工業(yè)信息安全建設(shè)的路徑參考。01梳理現(xiàn)狀形成規(guī)劃開展信息資產(chǎn)梳理和和合規(guī)風(fēng)險(xiǎn)識(shí)別，評估信息安全成熟度水平，基于現(xiàn)狀和問題，針對性開展戰(zhàn)略規(guī)劃、落地計(jì)劃規(guī)劃，制定安全體系框架，輸出關(guān)鍵建設(shè)任務(wù)落地方案。自知01梳理現(xiàn)狀形成規(guī)劃開展信息資產(chǎn)梳理和和合規(guī)風(fēng)險(xiǎn)識(shí)別，評估信息安全成熟度水平，基于現(xiàn)狀和問題，針對性開展戰(zhàn)略規(guī)劃、落地計(jì)劃規(guī)劃，制定安全體系框架，輸出關(guān)鍵建設(shè)任務(wù)落地方案。自知02建立基礎(chǔ)保障業(yè)務(wù)構(gòu)建信息安全管理體系，形成完善的管理制度，構(gòu)建并落實(shí)OT環(huán)境安全基線，規(guī)劃部署關(guān)鍵安全技術(shù)控制，以構(gòu)建保障業(yè)務(wù)正常運(yùn)作所必須的防護(hù)體系為目標(biāo)建立基礎(chǔ)安全能力。合規(guī)03關(guān)注痛點(diǎn)強(qiáng)化運(yùn)營著力針對資產(chǎn)管理、應(yīng)用管控、數(shù)據(jù)安全、安全態(tài)勢感知、攻擊遏止與協(xié)同響應(yīng)等OT環(huán)境安全痛點(diǎn)難點(diǎn)問題進(jìn)行專項(xiàng)提升，加強(qiáng)人員團(tuán)隊(duì)建設(shè)，強(qiáng)化IOT協(xié)同的安全運(yùn)營能力建設(shè)。迭代04持續(xù)改進(jìn)擁抱未來建立信息安全內(nèi)部常態(tài)化評估檢查機(jī)制，積極參與網(wǎng)絡(luò)安全等級保護(hù)和工業(yè)信息安全標(biāo)準(zhǔn)貫標(biāo)認(rèn)證工作，主動(dòng)發(fā)現(xiàn)問題不足并及時(shí)制定并落實(shí)改進(jìn)方案，持續(xù)提升工業(yè)信息安全管理水平。41外緊內(nèi)驅(qū)：1工業(yè)信息安全需求日益凸顯5《工業(yè)信息安全技術(shù)洞察》外緊內(nèi)驅(qū)：工業(yè)信息安全需求日益凸顯《工業(yè)信息安全技術(shù)洞察》外緊內(nèi)驅(qū)：工業(yè)信息安全需求日益凸顯合規(guī)監(jiān)管推動(dòng)工業(yè)信息安全建設(shè)信息安全是信息化社會(huì)國家安全的基石，盡管傳統(tǒng)的IT系統(tǒng)信息安全已經(jīng)步入市場成熟階段，并具備不錯(cuò)的成熟度和大量成功案例。但對于工業(yè)企業(yè)來說，工業(yè)信息安全（ICSCybersecurity）比僅有IT系統(tǒng)的傳統(tǒng)信息安全更加復(fù)雜。目前，網(wǎng)絡(luò)空間安全已經(jīng)上升為國家戰(zhàn)略高度，工業(yè)信息安全作為國家網(wǎng)絡(luò)空間安全的重要組成部分，相關(guān)的法律法規(guī)、指導(dǎo)方針、行動(dòng)計(jì)劃、國家標(biāo)準(zhǔn)、行業(yè)規(guī)范等都已發(fā)布或在積極制定過程中，同時(shí)國際組織也在推進(jìn)工業(yè)信息安全國際標(biāo)準(zhǔn)的制定，將最佳實(shí)踐標(biāo)準(zhǔn)化。安全地位強(qiáng)化主要政策法規(guī)2011

《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信部）

2017

《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃（2018-2020年）》（工信部）

2019

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃（2021-2023年）》（工信部）《關(guān)于加強(qiáng)工業(yè)控2016《網(wǎng)絡(luò)安全法》2018《信息安全技術(shù)網(wǎng) 2021制系統(tǒng)信息安全管實(shí)施絡(luò)安全等級保護(hù)基理的通知》本要求》（工信部）（圖1）來源：施耐德電氣商業(yè)價(jià)值研究院2010年，震網(wǎng)事件后工業(yè)信息安全地位得到越來越高的重視，2011年工信部印發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，首次明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)在連接、組網(wǎng)、配置管理、設(shè)備選擇與升級管理、數(shù)據(jù)管理和應(yīng)急管理等方面的要求。并建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度，加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的組織推進(jìn)。近年來，伴隨著監(jiān)管單位持續(xù)強(qiáng)化對網(wǎng)絡(luò)安全主體責(zé)任落實(shí)要求，各行業(yè)、各領(lǐng)域的網(wǎng)絡(luò)安全政策供給和標(biāo)準(zhǔn)指引明顯加快，尤其是在關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的重要行業(yè)領(lǐng)域逐漸形成了具備顯著行業(yè)特征的網(wǎng)絡(luò)安全政策體系。伴隨著工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展大潮，工業(yè)信息安全相關(guān)政策密集出臺(tái)。62016為貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》，在充分考慮信息化和工業(yè)化融合的不斷深入過程中，工業(yè)控制系統(tǒng)所面臨的威脅風(fēng)險(xiǎn)情況變化以及我國工控安全現(xiàn)狀，工信部又印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（以下簡稱《指南》），涵蓋工業(yè)控制系統(tǒng)設(shè)計(jì)、選型、建設(shè)、測試、運(yùn)行、檢修、廢棄等各階段防護(hù)工作要求，提出了具體實(shí)施細(xì)則指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作。2017年，《網(wǎng)絡(luò)安全法》正式實(shí)施，并對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)提出了明確要求。2019年，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》發(fā)布新版，進(jìn)入到結(jié)合云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)新應(yīng)用開展綜合治理、系統(tǒng)監(jiān)管、主動(dòng)防控的等保2.0時(shí)代，至此工業(yè)控制系統(tǒng)被正式納入保護(hù)范圍之內(nèi)，并要求在“通用要求”的基礎(chǔ)上，符合“工業(yè)控制系統(tǒng)安全擴(kuò)展要求”。在當(dāng)前數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化加快發(fā)展的大背景下，做好工業(yè)信息安全工作對制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國建設(shè)具有重要意義，在推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的過程中，工信部在2018年和2021年連續(xù)下發(fā)《工業(yè)互聯(lián)網(wǎng)行動(dòng)發(fā)展計(jì)劃》，其中特別強(qiáng)調(diào)推動(dòng)實(shí)施工業(yè)互聯(lián)網(wǎng)安全綜合保障能力提升工程，依法落實(shí)企業(yè)網(wǎng)絡(luò)安全主體責(zé)任，強(qiáng)化網(wǎng)絡(luò)安全技術(shù)保障能力。2021年，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》發(fā)布實(shí)施，條例中包含的公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域中大多涉及工業(yè)控制系統(tǒng)。2021年，《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的發(fā)布實(shí)施充分體現(xiàn)了數(shù)字化時(shí)代數(shù)據(jù)作為新的生產(chǎn)要素的重要性，兩部法律的頒布將數(shù)據(jù)安全工作的重要性提升到了新的高度，數(shù)據(jù)安全也成為工信部加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)，護(hù)航制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國建設(shè)的重要工作中心。7工業(yè)信息安全國家標(biāo)準(zhǔn)體系已初步成形，尤其在工業(yè)控制系統(tǒng)安全和工業(yè)信息安全防護(hù)產(chǎn)品領(lǐng)域，相關(guān)標(biāo)準(zhǔn)(如圖2)已涵蓋了工控系統(tǒng)安全分級、安全管理、安全功能要求、安全評估準(zhǔn)則、信息安全技術(shù)、風(fēng)險(xiǎn)評估、安全程序、安全控制應(yīng)用和工業(yè)信息安全防護(hù)產(chǎn)品技術(shù)要求等多個(gè)維度。安全相關(guān)標(biāo)準(zhǔn)安全分級類國標(biāo)GB/安全分級類國標(biāo)GB/T363242018信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范安全要求類國標(biāo)GB/T363232018信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求GB/T364702018信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備通用安全功能要求GB/T37933\GBGB/T37934\GB/T37941\GB/T37953\GB/T37954等多種類型的工業(yè)安全防護(hù)產(chǎn)品技術(shù)要求GB/T37962-2019信息安全技術(shù)工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準(zhǔn)則GB/T402182021工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)等同IEC/TR6244331:2009安全實(shí)施類國標(biāo)GB/T263332010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范GB/T33007-2016建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序等同IEC624432-1:2010GB/T329192016信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南GB/T364662018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施指南GB/T379802019信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)建設(shè)實(shí)施規(guī)范征求意見稿）（圖2）來源：施耐德電氣商業(yè)價(jià)值研究院2019年，工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《工業(yè)信息安全標(biāo)準(zhǔn)化白皮書》中構(gòu)建了工業(yè)信息安全標(biāo)準(zhǔn)體系框架，覆蓋基礎(chǔ)共性類、安全防護(hù)類、安全服務(wù)類和垂直行業(yè)類的四大維度以及工業(yè)企業(yè)、邊緣接入、工業(yè)云平臺(tái)、工業(yè)應(yīng)用等層次。8工業(yè)信息安全標(biāo)準(zhǔn)基礎(chǔ)共性類標(biāo)準(zhǔn)工業(yè)信息安全標(biāo)準(zhǔn)基礎(chǔ)共性類標(biāo)準(zhǔn)安全防護(hù)類標(biāo)準(zhǔn)安全服務(wù)類標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)安全解工析廠與網(wǎng)交絡(luò)互安處理安全設(shè)備安全安全管理網(wǎng)絡(luò)和通訊安全數(shù)據(jù)安全平臺(tái)安全設(shè)備和控制安全標(biāo)識(shí)解碼安全應(yīng)用安全邊緣計(jì)算安全安全架構(gòu)與模型術(shù)語定義標(biāo)識(shí)解析安全檢查評估態(tài)勢感知及預(yù)警應(yīng)急服務(wù)運(yùn)維服務(wù)檢測認(rèn)證標(biāo)識(shí)解析安全檢查評估態(tài)勢感知及預(yù)警應(yīng)急服務(wù)運(yùn)維服務(wù)檢測認(rèn)證平平虛臺(tái)臺(tái)擬安運(yùn)化全營安防護(hù)安全全數(shù)據(jù)安全分類分級數(shù)據(jù)安全防護(hù)重要數(shù)據(jù)識(shí)別網(wǎng)通絡(luò)信接網(wǎng)入絡(luò)安安全全運(yùn)營者安全產(chǎn)品全生命周期安全供應(yīng)鏈安全垂直行業(yè)類標(biāo)準(zhǔn)垂直行業(yè)類標(biāo)準(zhǔn)汽車鋼鐵石油化工其他（圖3）來源：工業(yè)信息安全標(biāo)準(zhǔn)化白皮書（2019版）-工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟2021年，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟、工業(yè)和信息化部商用密碼應(yīng)用推進(jìn)標(biāo)準(zhǔn)工作組共同發(fā)布了《工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系（2021年）》，其中包括分類分級安全防護(hù)、安全管理、安全應(yīng)用服務(wù)等3個(gè)類別、16個(gè)細(xì)分領(lǐng)域和76個(gè)具體方向。9工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)體系工業(yè)互聯(lián)網(wǎng)安全

EA.分類分級安全防護(hù)EB.安全管理EC.安全應(yīng)用服務(wù)

EAA分類分級定級指南EAB應(yīng)用工業(yè)互聯(lián)網(wǎng)工業(yè)企業(yè)安全EAC工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)安全EAD工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全EAE工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全EAF工業(yè)互聯(lián)網(wǎng)關(guān)鍵要素安全EBA安全監(jiān)測EBB安全應(yīng)急響應(yīng)EBC安全運(yùn)維EBD安全評估EBE安全能力評估ECA工業(yè)企業(yè)安全上云ECB安全公共服務(wù)ECC5G工業(yè)互聯(lián)網(wǎng)安全ECD密碼應(yīng)用ECE安全技術(shù)及產(chǎn)品應(yīng)用（圖4）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院監(jiān)管手段多樣在相關(guān)政策趨于完善、標(biāo)準(zhǔn)逐漸充盈的環(huán)境下，工業(yè)信息安全的監(jiān)管方式也更加嚴(yán)格和多樣。監(jiān)管手段多樣：各級網(wǎng)信、公安以及各行業(yè)主管單位在職責(zé)范圍內(nèi)通過組織建設(shè)國家和行業(yè)區(qū)域級的安全態(tài)勢感知平臺(tái)、安全技術(shù)保障平臺(tái)和安全基礎(chǔ)資源庫，竭力健全和完善安全威脅通報(bào)的處理機(jī)制，并組織開展網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)的示范工作，通過數(shù)據(jù)安全管理等專項(xiàng)工作試點(diǎn)等多種形式的監(jiān)管手段，積極推進(jìn)網(wǎng)絡(luò)安全的保護(hù)工作。監(jiān)管力度升級：堅(jiān)持以查促建、以查促管、以查促防、以查促改，加強(qiáng)信息安全的風(fēng)險(xiǎn)隱患排查，通報(bào)檢查結(jié)果并加大整改力度，風(fēng)險(xiǎn)防范及主體責(zé)任落實(shí)，重點(diǎn)落實(shí)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)，對未履行義務(wù)或造成重大安全事故的運(yùn)營單位進(jìn)行嚴(yán)肅的處理。102數(shù)字化轉(zhuǎn)型促進(jìn)工業(yè)信息安全提速對于工業(yè)企業(yè)來說，控制系統(tǒng)被廣泛應(yīng)用于我國電力、冶金、水利、市政石油天然氣、化工、交通運(yùn)輸、制藥，以及大型制造業(yè)行業(yè)中，涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施是依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè)的。隨著5G、工業(yè)互聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)的不斷推進(jìn)，工業(yè)生產(chǎn)過程開放程度逐步加深，新一代技術(shù)與實(shí)體工業(yè)緊密融合，制造業(yè)企業(yè)數(shù)字化轉(zhuǎn)型持續(xù)加速，工業(yè)信息安全已然成為支撐轉(zhuǎn)型的重要基礎(chǔ)保障。所以，信息安全和數(shù)字化兩者必須要統(tǒng)一規(guī)劃、統(tǒng)一實(shí)施，做到協(xié)調(diào)一致，切實(shí)防范、控制和化解數(shù)字化轉(zhuǎn)型進(jìn)程中可能產(chǎn)生的安全風(fēng)險(xiǎn)。全球數(shù)字經(jīng)濟(jì)正在加速，且與實(shí)體產(chǎn)業(yè)的融合也在不斷深入，對于制造業(yè)企業(yè)來說，數(shù)字化轉(zhuǎn)型成為“必選題”，并呈現(xiàn)出三大特點(diǎn)：從非數(shù)字化到數(shù)字化：隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展、互聯(lián)互通的設(shè)備大規(guī)模的增加，大量的數(shù)據(jù)被采集匯總，而人工智能等IT技術(shù)也被用于系統(tǒng)優(yōu)化、預(yù)測性維護(hù)等，因此極大地提高了生產(chǎn)力。從封閉到開放：通用IT技術(shù)、工業(yè)軟件以及軟件定義網(wǎng)絡(luò)(SDN)逐漸改變著工業(yè)控制系統(tǒng)的架構(gòu)，而傳統(tǒng)的工業(yè)控制系統(tǒng)架構(gòu)是由不同功能的產(chǎn)品構(gòu)成，隨著ISA-95普渡圖架構(gòu)從分層形態(tài)轉(zhuǎn)變?yōu)楸馄胶妥杂傻慕Y(jié)構(gòu)，逐漸趨同于現(xiàn)場設(shè)備、邊緣及云三層(如圖5)。在新的架構(gòu)下，通信接口更加通用化，每個(gè)節(jié)點(diǎn)和設(shè)備的功能增強(qiáng)且獨(dú)立，更便于訪問不同的資源。11工業(yè)系統(tǒng)網(wǎng)絡(luò)的演變CloudServiceMarketplaceCloudCloudPlatformXCloudPlatform2CloudPlatform1CloudPlatform3ExternalWorldEnterpriseResourcePlanningMfg.ExecutionSystemProcessControlControl(PLC)FieldDevicesReal-timeCriticalSmartAutomationDevicesAutomationPyramid AutomationNetwork（圖5）來源：InteroperabilityinSmartManufacturing:ResearchChallenges(MDPI)從信息孤島到互聯(lián)互通：可遠(yuǎn)程連接的智能節(jié)點(diǎn)數(shù)量隨著工業(yè)系統(tǒng)架構(gòu)的改變，呈現(xiàn)出幾何級的增長態(tài)勢。越來越多的生產(chǎn)流程以數(shù)字化方式進(jìn)行監(jiān)視、操作和控制，因而需要采集、歸檔、分析和管理大量不同系統(tǒng)的實(shí)時(shí)、結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。在生產(chǎn)工藝流程中，則更加依賴大數(shù)據(jù)、控制算法和人工智能等技術(shù)進(jìn)行優(yōu)化，設(shè)計(jì)資料、生產(chǎn)配方數(shù)據(jù)、庫存信息等重要數(shù)據(jù)可通過網(wǎng)絡(luò)進(jìn)行訪問。曾經(jīng)作為“孤島”存在的工業(yè)控制系統(tǒng)因數(shù)字化而變得更加互聯(lián)互通、高效靈活，這卻導(dǎo)致生產(chǎn)運(yùn)營過程中遭受信息安全攻擊的概率顯著提高，攻擊對系統(tǒng)的影響的嚴(yán)重性也急劇升高。在這種背景下，數(shù)字化程度越高的工業(yè)環(huán)境，信息安全的“護(hù)航”作用就越發(fā)明顯。12成就——可持續(xù)發(fā)展在企業(yè)發(fā)展的過程中，效率和安全是首要考量因素，所以在提升效率的過程中保障安全才能真正意義上的實(shí)現(xiàn)可持續(xù)發(fā)展。數(shù)字化進(jìn)程的推進(jìn)可以有效幫助工業(yè)企業(yè)提升生產(chǎn)運(yùn)營效率，但隨之而來暴露的工業(yè)信息安全問題，也是企業(yè)必須要面對和迫切解決的。近些年來，工業(yè)信息安全事件頻發(fā)并有逐步增多的趨勢，為工業(yè)領(lǐng)域的發(fā)展敲響了警鐘，系統(tǒng)的可用性、完整性和保密性都受到了嚴(yán)重的威脅。近年來大型工業(yè)信息安全事件地點(diǎn)事件伊朗核電站震網(wǎng)攻擊導(dǎo)致上千臺(tái)離心機(jī)損毀大型石化企業(yè)3萬臺(tái)電腦數(shù)據(jù)被Shamoon病毒擦除德國鋼鐵廠高爐控制系統(tǒng)遭受攻擊烏克蘭電網(wǎng)兩度被攻破，造成上百萬人停電某半導(dǎo)體廠商同時(shí)遭受勒索病毒攻擊，停產(chǎn)三天損失八千萬美金，并對芯片供應(yīng)鏈造成巨大打擊挪威某鋁業(yè)巨頭遭受“武器化”的勒索攻擊，停產(chǎn)第一周即損失三千萬歐元美國燃油管線運(yùn)輸公司受到勒索攻擊，造成全線管道停運(yùn)，使多個(gè)州的燃油供應(yīng)中斷（圖6）來源：施耐德電氣商業(yè)價(jià)值研究院1314142迎難而上：2工業(yè)信息安全建設(shè)的挑戰(zhàn)和現(xiàn)狀《工業(yè)信息安全技術(shù)洞察》迎難而上：工業(yè)信息安全建設(shè)的挑戰(zhàn)和現(xiàn)狀《工業(yè)信息安全技術(shù)洞察》迎難而上：工業(yè)信息安全建設(shè)的挑戰(zhàn)和現(xiàn)狀構(gòu)建信息安全彈性，確保業(yè)務(wù)韌性。對于積極推進(jìn)數(shù)字化轉(zhuǎn)型、追求可持續(xù)發(fā)展的企業(yè)來說，如果想有效應(yīng)對信息安全威脅并最大程度的保障數(shù)字化轉(zhuǎn)型帶來的提質(zhì)增效成果，就必須加強(qiáng)構(gòu)建信息安全彈性。要使系統(tǒng)具有預(yù)防和適應(yīng)變化的能力，能夠?qū)撛诘耐{進(jìn)行預(yù)測和準(zhǔn)備。監(jiān)視和識(shí)別系統(tǒng)的關(guān)鍵功能或部件是否處于被攻擊狀態(tài)，在面對威脅和攻擊時(shí)能夠及時(shí)響應(yīng)，從而能夠保持信息基礎(chǔ)設(shè)施的結(jié)構(gòu)完整和功能穩(wěn)定，實(shí)現(xiàn)對風(fēng)險(xiǎn)的動(dòng)態(tài)適應(yīng)和%共存。即使在遭受攻擊的情況下，能夠有效的維持關(guān)鍵業(yè)務(wù)運(yùn)行而不會(huì)導(dǎo)致大幅度的性能下降或功能喪失，并能夠迅速恢復(fù)政策業(yè)務(wù)，最大程度減少損失，從而持續(xù)保持業(yè)務(wù)正常運(yùn)轉(zhuǎn)。在數(shù)字化轉(zhuǎn)型提速和監(jiān)管力度升級的背景下，工業(yè)信息安全建設(shè)熱火朝天。但由于在工業(yè)環(huán)境中，產(chǎn)品種類型號紛雜繁多，應(yīng)用場景復(fù)雜多樣，系統(tǒng)長時(shí)間連續(xù)不間斷運(yùn)行，工業(yè)企業(yè)在實(shí)踐的路上仍然存在很多不確定性和挑戰(zhàn)。為了更好地理解當(dāng)下工業(yè)信息安全建設(shè)的現(xiàn)狀，施耐德電氣商業(yè)價(jià)值研究院聯(lián)合亞信安全以“工業(yè)信息安全發(fā)展”為主題，通過線上線下結(jié)合的方式進(jìn)行了深入的調(diào)查研究。線上，采用問卷的形式完成了近兩百家工業(yè)代表企業(yè)用戶調(diào)研；而線下，則與10余家典型行業(yè)的企業(yè)高管或安全工作負(fù)責(zé)人展開了面對面的交流。本次調(diào)研分析，結(jié)合了施耐德電氣自身在工業(yè)領(lǐng)域深耕多年的實(shí)踐經(jīng)驗(yàn)，旨在幫助工業(yè)企業(yè)在充分了解目前工業(yè)信息安全發(fā)展現(xiàn)狀的基礎(chǔ)上吸收更多經(jīng)驗(yàn)，從而提高信息安全的建設(shè)效率，切實(shí)地為企業(yè)數(shù)字化轉(zhuǎn)型提供堅(jiān)實(shí)有力的保障。15工業(yè)信息安全建設(shè)的四大挑戰(zhàn)如核心發(fā)現(xiàn)所述，工業(yè)企業(yè)的信息安全建設(shè)存在四大挑戰(zhàn):約54%的受訪企業(yè)表示，資金、人力投入不足成為建設(shè)的首要突出問題；約33%的受訪者認(rèn)為工業(yè)領(lǐng)域暴露出的信息基礎(chǔ)設(shè)施陳舊不容忽視；與此同時(shí)，近年來工業(yè)攻擊針對性升級和IT/OT融合協(xié)同的復(fù)雜性，更是進(jìn)一步加大了工業(yè)信息安全建設(shè)的難度。資金人力投入不足2021年，工信部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）（征求意見稿）》。該計(jì)劃在國家政策層面明確提出，重點(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例達(dá)到10%。但從我們的調(diào)研結(jié)果來看，近半數(shù)受訪企業(yè)表示2020年度針對信息安全投入占信息化總投入的比例低于3%。其中，有65%的受訪企業(yè)在OT領(lǐng)域信息安全投入占整體信息安全投入比例低于20%。截止目前，所有調(diào)研企業(yè)在OT領(lǐng)域的信息安全投入均少于IT領(lǐng)域。9%26%65%23%47%18%12%信息安全投入占信息化總投入比例分9%26%65%23%47%18%12%1%-3%3%-5%20%以下20%-30%5%-10%10%以上30%-50%（圖7）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021信息安全專業(yè)人員是安全能力構(gòu)建的核心要素，且工業(yè)信息安全領(lǐng)域人力投入嚴(yán)重不足的問題尤其突出。從調(diào)研情況來看，超過10%的受訪企業(yè)暫時(shí)沒有信息安全專職人員，而OT領(lǐng)域沒有信息安全專職人員的比例則接近70%。同時(shí)我們也關(guān)注到，利用服務(wù)外包已經(jīng)成為緩解自身人才瓶頸而造成的投入不足問題的普遍選擇，僅35%受訪企業(yè)沒有常駐外包安全服務(wù)人員。16信息安全專業(yè)人員超10%受訪企業(yè)表示沒有專職信息安全人員70%受訪企業(yè)表示沒有專職OT領(lǐng)域的信息安全人員僅35%受訪企業(yè)表示沒有常駐外包安全服務(wù)人員

無專職人員人以下5-20人20-50人50人以上無專職人員5人以下5-20人20-50人50人以上無常駐外包人員5人以下5-20人20-50人50人以上（圖8）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021“現(xiàn)在最大的挑戰(zhàn)，是管理層重視度和投入的問題，如何展現(xiàn)信息安全工作價(jià)值，讓管理層認(rèn)識(shí)到信息安全的重要性，獲得管理層的支持，從而得到相應(yīng)的資源以開展信息安全工作成為最大的難題?！薄艾F(xiàn)在最大的挑戰(zhàn)，是管理層重視度和投入的問題，如何展現(xiàn)信息安全工作價(jià)值，讓管理層認(rèn)識(shí)到信息安全的重要性，獲得管理層的支持，從而得到相應(yīng)的資源以開展信息安全工作成為最大的難題?！薄颇像Y宏鋅鍺股份有限公司總部自動(dòng)化主管彭俊超基礎(chǔ)設(shè)施陳舊工業(yè)領(lǐng)域的生產(chǎn)運(yùn)營系統(tǒng)生命周期通常較長，在本次調(diào)研中發(fā)現(xiàn)，在役的多數(shù)生產(chǎn)運(yùn)營系統(tǒng)使用的是10多年前甚至是更久的產(chǎn)品或技術(shù)，并且在安裝時(shí)很少會(huì)考慮信息安全風(fēng)險(xiǎn)及防護(hù)，這樣的基礎(chǔ)條件給信息安全防護(hù)建設(shè)帶來很大挑戰(zhàn)。對這些運(yùn)營10年以上的存量系統(tǒng)進(jìn)行信息安全防護(hù)，需要充分思考如下方面：第一，考慮對現(xiàn)有系統(tǒng)和在線生產(chǎn)業(yè)務(wù)可能造成的影響；第二，應(yīng)對系統(tǒng)組件（控制產(chǎn)品、操作系統(tǒng)、應(yīng)用程序等）甚至是信息安全防護(hù)產(chǎn)品本身長久以來積累以及不斷被新發(fā)現(xiàn)的漏洞導(dǎo)致的風(fēng)險(xiǎn)，以及防御網(wǎng)絡(luò)攻擊技術(shù)發(fā)展產(chǎn)生層出不窮的攻擊技術(shù)和手段；第三，適應(yīng)工業(yè)應(yīng)用兼容性差、性能和操作限制多的環(huán)境特征，匹配工控系統(tǒng)的長生命周期。17攻擊針對性升級基于國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2021年工業(yè)信息安全態(tài)勢報(bào)告》，近年來公布的工業(yè)信息安全，尤其是工業(yè)控制系統(tǒng)漏洞呈持續(xù)上升趨勢。由于工業(yè)環(huán)境相較于IT環(huán)境，其系統(tǒng)安全程序、安全措施不夠完善，一旦遭到攻擊產(chǎn)生影響較大，更容易被勒索。越來越多的黑客開始將他們的目標(biāo)，從熟悉的IT、金融等領(lǐng)域擴(kuò)展到工業(yè)領(lǐng)域，尤其是能源、制造等行業(yè)。近年來，工業(yè)環(huán)境攻擊的針對性也顯著增強(qiáng)，每次攻擊的受害者數(shù)量盡管只有幾十個(gè)甚至個(gè)位數(shù)，但都集中在高價(jià)值對象，由此雖然受攻擊主機(jī)數(shù)量在下降，但產(chǎn)生重大影響的大規(guī)模安全事件卻顯著增加，其中高贖金的勒索軟件攻擊對企業(yè)數(shù)據(jù)安全和持續(xù)運(yùn)營帶來的威脅尤為嚴(yán)重。2020年全球及我國受攻擊的工業(yè)主機(jī)比例33%33%32% 32% 32%29%29%27%27%25% 25%25%26%17% 17%15%16% 16%15%16%15%16% 16%15%16%1月 2

月 4月 5

6月 7

8月 9

月全球 我國（圖9）數(shù)據(jù)來源：卡巴斯基ICS-CERT，國家工業(yè)信息安全發(fā)展研究中心18工業(yè)控制系統(tǒng)漏洞新增數(shù)量6895675674423511911331082014 2015 2016 2017 2018 2019 2020（圖10）數(shù)據(jù)來源：國家信息安全漏洞共享平臺(tái)（CNVD）IT/OT融合協(xié)同復(fù)雜IT/OT融合已經(jīng)成為當(dāng)下數(shù)字化轉(zhuǎn)型過程中關(guān)鍵的變革趨勢，在IT領(lǐng)域快速發(fā)展、全面應(yīng)用的基礎(chǔ)上，以工業(yè)頭部企業(yè)為先導(dǎo)，越來越多的企業(yè)正在OT領(lǐng)域持續(xù)探索并使用云計(jì)算、大數(shù)據(jù)分析等新一代數(shù)字化技術(shù)。本次調(diào)研結(jié)果顯示，在現(xiàn)有技術(shù)應(yīng)用中，其中約41%的受訪企業(yè)表明已經(jīng)使用私有云，有23%和15%的企業(yè)正在使用公有云和行業(yè)云。超過半數(shù)的受訪企業(yè)已經(jīng)或者計(jì)劃未來3年內(nèi)進(jìn)行工業(yè)大數(shù)據(jù)平臺(tái)建設(shè)，對于5G技術(shù)的使用比率將超過40%。融合IT和OT資源需要IT和OT共同規(guī)劃和落地，從而實(shí)現(xiàn)整體信息化和安全解決方案的全面部署。19技術(shù)應(yīng)用情況自有數(shù)據(jù)中心私有云公有云租用數(shù)據(jù)中心(專用)物聯(lián)網(wǎng)行業(yè)云5G公共工業(yè)互聯(lián)網(wǎng)平臺(tái)工業(yè)大數(shù)據(jù)平臺(tái)租用數(shù)據(jù)中心(非專用)自建工業(yè)互聯(lián)網(wǎng)平臺(tái)

76%36%41%18%23%35%17%11%36%41%18%23%35%17%11%17%37%15%12%14%28%13%17%12%42%11%3%8%33%（圖11）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021“IOT融合在我們現(xiàn)在新的基地和生產(chǎn)線規(guī)劃時(shí)都會(huì)重點(diǎn)考慮，這個(gè)是未來很明確的趨勢，但舊基地基礎(chǔ)架構(gòu)重視度不足的歷史遺留仍需要更多的時(shí)間和資源去解決。”“IOT融合在我們現(xiàn)在新的基地和生產(chǎn)線規(guī)劃時(shí)都會(huì)重點(diǎn)考慮，這個(gè)是未來很明確的趨勢，但舊基地基礎(chǔ)架構(gòu)重視度不足的歷史遺留仍需要更多的時(shí)間和資源去解決?！薄ジ臧喙艿老到y(tǒng)有限公司陳希202工業(yè)信息安全實(shí)踐的兩大現(xiàn)狀綜合管理亟待完備雖然在多方力量推動(dòng)下，工業(yè)企業(yè)信息安全建設(shè)逐步受到重視并進(jìn)入能力提升的快車道，但OT領(lǐng)域信息安全成熟度整體仍處在較低水平，尤其是“輕管理、輕運(yùn)營”的現(xiàn)象較為嚴(yán)重，人員整體安全意識(shí)薄弱，距離形成基本完備持續(xù)改進(jìn)的成熟體系尚有一定時(shí)日。OT領(lǐng)域信息安全成熟度較低從調(diào)研結(jié)果來看，OT領(lǐng)域信息安全成熟度水平平均在2分（基本合規(guī)），而IT領(lǐng)域信息安全成熟度水平整體接近3分（全面合規(guī)），尤其值得關(guān)注的是來自于大、中型工業(yè)企業(yè)的IT領(lǐng)域得分普遍高于OT領(lǐng)域，兼顧負(fù)責(zé)IT和OT安全職能團(tuán)隊(duì)的受訪者反饋目前兩者的差距比較顯著。與此同時(shí)，我們橫向?qū)Ρ攘耸┠偷码姎馀c亞信安全近年來在不同行業(yè)客戶IT/OT環(huán)境的咨詢項(xiàng)目中，其現(xiàn)狀評估的結(jié)論也與本次調(diào)研分析結(jié)論相呼應(yīng)。IT/OT領(lǐng)域信息安全成熟度自評估得分分布44%35%35%IT領(lǐng)域OT領(lǐng)域29%26%24%18%6%6%3%2%3% 3%0分 1

2分 3

4分 5分（幾乎裸奔）（初級水平

（基本合規(guī)）（全面合規(guī)）

（國內(nèi)領(lǐng)先）（全球領(lǐng)先）（圖12）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，202121“我們的IT信息安全已經(jīng)開展10多年，OT信息安全剛剛起步，兩者成熟度存在差距是必然的，而人才、知識(shí)和能力的匱乏是OT信息安全的短板。從近期工業(yè)信息安全的需求和獲得的成果來看，通過培養(yǎng)既懂安全也懂OT的人才，快速提升OT信息安全水平是完全可行的?！薄硣鴥?nèi)上市能源公司數(shù)字安全解決方案專家程苗“我們的IT信息安全已經(jīng)開展10多年，OT信息安全剛剛起步，兩者成熟度存在差距是必然的，而人才、知識(shí)和能力的匱乏是OT信息安全的短板。從近期工業(yè)信息安全的需求和獲得的成果來看，通過培養(yǎng)既懂安全也懂OT的人才，快速提升OT信息安全水平是完全可行的。”——某國內(nèi)上市能源公司數(shù)字安全解決方案專家程苗信息安全投入轉(zhuǎn)向混合驅(qū)動(dòng)我們認(rèn)為，當(dāng)前信息安全工作驅(qū)動(dòng)力主要來源于監(jiān)管合規(guī)壓力、安全事件和自身業(yè)務(wù)需要三個(gè)維度。調(diào)研結(jié)果顯示，OT領(lǐng)域信息安全投入呈現(xiàn)出由事件驅(qū)動(dòng)向混合驅(qū)動(dòng)的變化，但事件驅(qū)動(dòng)仍是OT領(lǐng)域信息安全投入最重要的驅(qū)動(dòng)，超過70%的受訪者對其重要性給出4分及以上，同時(shí)，選擇這三個(gè)維度作為最重要的驅(qū)動(dòng)力（5分）的組織比例幾乎相當(dāng)，這意味著混合驅(qū)動(dòng)的趨勢已經(jīng)相對明顯。信息安全工作驅(qū)動(dòng)力分布37%35%37%35%33%18%18%13%6%12%19%35%15%6%6%15%12%3%9%9%0監(jiān)管要求5（最重要） 4

安全事件分 2

業(yè)務(wù)需要1分 0分（不重要）（圖13）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021安全管理和運(yùn)營重視度不足信息安全建設(shè)歷來有“三分技術(shù)、七分管理”的說法，強(qiáng)調(diào)基于風(fēng)險(xiǎn)管理理念的持續(xù)改進(jìn)，但目前OT領(lǐng)域整體呈現(xiàn)重視技術(shù)能力建設(shè)而忽視管理運(yùn)營改進(jìn)的情況。從調(diào)研結(jié)果看，僅有20%左右的受訪企業(yè)能夠在OT領(lǐng)域定期開展較全面的內(nèi)部信息安全檢查，半數(shù)的受訪企業(yè)僅僅是基于事件響應(yīng)需要才開展小規(guī)模專項(xiàng)檢查，甚至有約20%的受訪企業(yè)從未開展過OT領(lǐng)域內(nèi)部信息安全檢查，而沒有全面開展內(nèi)部檢查的企業(yè)幾乎都不具備面向OT領(lǐng)域完善的信息安全管理制度和運(yùn)營流程。OT領(lǐng)域內(nèi)部安全檢查工作執(zhí)行情況分布20%21%50%20%21%50%9%開展過專項(xiàng)檢查開展過全面檢查定期開展過全面檢查（圖14）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021在等保工作推進(jìn)上，雖然工業(yè)控制系統(tǒng)已經(jīng)納入等保2.0測評范圍，但相比較于受訪企業(yè)IT領(lǐng)域主要系統(tǒng)超過90%的備案率和超過60%的測評完成率來說（主要針對企業(yè)主要系統(tǒng)和核心系統(tǒng)測評情況進(jìn)行調(diào)研工控系統(tǒng)測評率不足20%，定級備案率也不足30%，的確存在著顯著的差距。23等級保護(hù)工作執(zhí)行情況分布10%9%29%34%10%9%29%34%29%8%73%8%0暫未開展

IT領(lǐng)域已開展定級備案暫未測評

OT領(lǐng)域核心系統(tǒng)已完成測評

主要系統(tǒng)已完成測評（圖15）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，20安全教育培訓(xùn)意識(shí)薄弱不足OT領(lǐng)域信息安全意識(shí)教育不足的情況比較嚴(yán)重，這也從側(cè)面反映了企業(yè)管理層對工業(yè)信息安全領(lǐng)域的重視程度仍顯不足。從調(diào)研結(jié)果看，約35%的受訪企業(yè)沒有在OT領(lǐng)域開展過全員信息安全意識(shí)教育；近半數(shù)的受訪企業(yè)每年固定開展一次意識(shí)教育而且多數(shù)偏向形式主義，真正能夠每年多次多種形式的開展意識(shí)教育的受訪企業(yè)不足10%。OT領(lǐng)域信息安全意識(shí)教育開展情況35%43%13%9%未開展全員意識(shí)教育35%43%13%9%每年多次單一形式的意識(shí)教育每年多次多種形式的意識(shí)教育（圖16）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，202124這種培訓(xùn)教育不足直接會(huì)導(dǎo)致整體安全意識(shí)的薄弱，集中體現(xiàn)在工業(yè)環(huán)境下信息安全的風(fēng)險(xiǎn)認(rèn)識(shí)不足，如使用弱口令、濫用移動(dòng)設(shè)備等錯(cuò)誤的行為習(xí)慣。關(guān)鍵技術(shù)逐步落地結(jié)合工業(yè)環(huán)境實(shí)際情況及業(yè)務(wù)合規(guī)等需求，配合事件響應(yīng)過程中的安全強(qiáng)化，相關(guān)企業(yè)已開始在威脅防護(hù)、監(jiān)測感知和處置恢復(fù)等維度推動(dòng)工業(yè)網(wǎng)絡(luò)、主機(jī)設(shè)備、控制應(yīng)用、數(shù)據(jù)安全等關(guān)鍵控制措施的落地。在網(wǎng)絡(luò)安全方面，因?yàn)橐恍┖诵哪芰桶踩呗杂行怨芸厣系牟蛔?，整體效果其實(shí)受到較大的限制?？刂浦鳈C(jī)和終端安全方面，廣泛認(rèn)同的最佳實(shí)踐取得一定效果?？刂栖浻布踩蛿?shù)據(jù)安全方面，受到越來越多的重視，頭部企業(yè)已開始進(jìn)入綜合態(tài)勢感知能力建設(shè)的高峰期。OT環(huán)境資產(chǎn)和脆弱性識(shí)別參考IT環(huán)境的經(jīng)驗(yàn)，資產(chǎn)和脆弱性識(shí)別實(shí)際是形成針對性安全管控落地和高效安全運(yùn)營的基礎(chǔ)。但從調(diào)研情況來看，具備OT環(huán)境資產(chǎn)和脆弱性識(shí)別能力的受訪企業(yè)占比不足10%，目前針對管理有訴求的中大規(guī)模企業(yè)來說，很多還是采用手工方式識(shí)別和記錄，缺乏即時(shí)更新。OT環(huán)境資產(chǎn)和資產(chǎn)脆弱性自動(dòng)識(shí)別能力9%9%91%具備自動(dòng)識(shí)別能力 不具備自動(dòng)識(shí)別能力（圖17）施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021“OT“OT環(huán)境的資產(chǎn)和脆弱性識(shí)別難度遠(yuǎn)大于IT環(huán)境，一方面環(huán)境中資產(chǎn)多樣化，可能存在數(shù)千種跨廠商的應(yīng)用組件和控制器。同時(shí)，由于生產(chǎn)環(huán)境限制我們也很難使用主動(dòng)探測技術(shù)，更多需要依靠基于流量的被動(dòng)分析來進(jìn)行識(shí)別，因此進(jìn)一步加大了工作難度?！薄猩常ㄌ旖颍┦邢薰緝x表設(shè)備專家杜佐政25網(wǎng)絡(luò)隔離大部分受訪者表示，網(wǎng)絡(luò)隔離是開展OT信息安全建設(shè)的第一步，但策略有效性問題嚴(yán)重制約了此項(xiàng)關(guān)鍵控制真正發(fā)揮作用。雖然從調(diào)研結(jié)果來看，超過75%的受訪者單位已經(jīng)通過防火墻、網(wǎng)閘等設(shè)備實(shí)現(xiàn)了IT與OT邊界的隔離。但結(jié)合線下訪談，以及施耐德電氣與亞信安全近年來在不同行業(yè)客戶IT/OT環(huán)境的咨詢項(xiàng)目的現(xiàn)場評估結(jié)論，大部分安全設(shè)備缺乏有效地配置。針對OT內(nèi)部不同層級或不同系統(tǒng)間，僅有20%左右的受訪企業(yè)進(jìn)行了進(jìn)一步的邏輯隔離，此類型的隔離設(shè)備策略配置往往較為寬松。IT/OT邊界隔離情況24%IT/OT邊界隔離情況24%IT/OT邊界隔離情況76%21%OT環(huán)境內(nèi)部隔離情況79%未進(jìn)行隔離

進(jìn)行隔離

未進(jìn)行隔離

進(jìn)行隔離（圖18）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021網(wǎng)絡(luò)攻擊檢測阻斷檢測能力是進(jìn)行有效響應(yīng)網(wǎng)絡(luò)攻擊的基礎(chǔ)，但OT環(huán)境下檢測能力建設(shè)剛剛起步。從調(diào)研結(jié)果來看，20%左右的受訪企業(yè)已經(jīng)在OT環(huán)境部署了基于流量分析的攻擊檢測設(shè)備；但考慮到OT環(huán)境誤判情況下對業(yè)務(wù)正常運(yùn)作的潛在影響，在防火墻或網(wǎng)閘的網(wǎng)絡(luò)隔離策略之外，自動(dòng)化的攻擊阻斷手段目前極少使用，即使部署相關(guān)設(shè)備也是處于學(xué)習(xí)模式而非阻斷模式（受訪者阻斷模式使用率低于3%）；基于網(wǎng)絡(luò)側(cè)對惡意代碼識(shí)別或阻斷的部署比例不足8%，并結(jié)合OT環(huán)境主機(jī)終端惡意代碼防護(hù)部署比例不足40%的情況來看，這實(shí)際上也是工業(yè)環(huán)境實(shí)質(zhì)性安全事件中惡意代碼類型比例較高的重要原因。大約10%的受訪企業(yè)具備全流量實(shí)時(shí)審計(jì)分析的能力，但具備流量回溯深度分析的受訪者企業(yè)則僅有約4%，具備沙盒分析能力的占比更是不足2%。企業(yè)對網(wǎng)絡(luò)攻擊的發(fā)現(xiàn)主要依靠規(guī)則匹配，對零日攻擊的發(fā)現(xiàn)能力嚴(yán)重不足。26OT網(wǎng)絡(luò)攻擊阻斷檢測能力情況具備沙盒分析等APT攻擊未知威脅分析能力具備流量回溯分析的能力具備流量實(shí)時(shí)分析的能力具備檢測和阻斷惡意代碼進(jìn)入OT環(huán)境和傳播的能力具備阻斷從OT環(huán)境外部發(fā)起的網(wǎng)絡(luò)攻擊的能力具備檢測從OT環(huán)境外部發(fā)起的網(wǎng)絡(luò)攻擊的能力

2%4%2%4%10%8%3%（圖19）施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021雖然有接近半數(shù)的受訪者表示OT領(lǐng)域在過去3年未發(fā)生過信息安全事件，但進(jìn)一步分析可看到，在網(wǎng)絡(luò)和終端部署有檢測防御手段的受訪者中，超過半數(shù)檢測到過異常流量或行為，這一比例也接近于施耐德電氣與亞信安全工業(yè)信息安全解決方案在不同行業(yè)客戶OT環(huán)境驗(yàn)證測試和實(shí)際使用情況了解的真實(shí)數(shù)據(jù)。由此不難看出，安全事件普遍存在于現(xiàn)實(shí)環(huán)境，但缺乏有效檢測手段部署的企業(yè)卻處于一種渾然不覺的狀態(tài)，并沒有及時(shí)和充分地發(fā)現(xiàn)問題。依據(jù)過去3年發(fā)生過信息安全事件的受訪企業(yè)反饋，最為常見的普通病毒占比超過50%，而漏洞攻擊的占比也超過40%，但從深度訪談中我們獲悉，如何解決勒索病毒是目前安全管理者們在OT領(lǐng)域最為棘手的信息安全問題。OT領(lǐng)域主要類型信息安全事件發(fā)生情況普通病毒68%漏洞攻擊42%勒索病毒26%木馬24%后門攻擊15%挖礦病毒15%掃描竊聽9%拒絕服務(wù)9%（圖20）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，202127“從“從OT安全的特征來講，對可用性的關(guān)注是顯著高于IT領(lǐng)域的，而勒索病毒恰恰直接影響系統(tǒng)應(yīng)用的正常使用，若由此造成大面積停工停產(chǎn)的影響是我們所不能承擔(dān)的?！薄新?lián)水泥集團(tuán)郭曉斌主機(jī)終端防護(hù)得益于IT領(lǐng)域技術(shù)積累和安全工作經(jīng)驗(yàn)較高的可復(fù)用性，基于基線管理、外設(shè)管理、補(bǔ)丁管理和進(jìn)程管控的應(yīng)用，OT環(huán)境主機(jī)和控制器終端安全防護(hù)能力建設(shè)整體成熟度水平相對較高，并且已經(jīng)初步顯現(xiàn)出效果。從調(diào)研結(jié)果來看，超過70%的主機(jī)已經(jīng)定義安全控制基線進(jìn)行了標(biāo)準(zhǔn)化配置，尤其是大家普遍認(rèn)為移動(dòng)介質(zhì)使用造成的惡意代碼傳輸是OT環(huán)境重要的風(fēng)險(xiǎn)因素，基本都通過物理手段或基線配置實(shí)施了移動(dòng)介質(zhì)訪問封禁的配置。補(bǔ)丁管理工作也受到了較多企業(yè)的關(guān)注，接近40%的受訪企業(yè)建立和落實(shí)了相關(guān)流程。相較于IT環(huán)境，控制系統(tǒng)主機(jī)的補(bǔ)丁管理需要更穩(wěn)定，以此避免影響企業(yè)的生產(chǎn)業(yè)務(wù)。通過對先行使用者的反饋，新興的虛擬化補(bǔ)丁技術(shù)效果甚佳。超過30%的受訪企業(yè)已經(jīng)部署安全防護(hù)軟件強(qiáng)化OT環(huán)境工控主機(jī)和終端的系統(tǒng)安全性，但因?yàn)楣I(yè)現(xiàn)場基礎(chǔ)設(shè)施環(huán)境陳舊的現(xiàn)實(shí)情況，軟件對老舊操作系統(tǒng)版本的支持就變得尤為重要?；诎酌麊蔚膽?yīng)用進(jìn)程管控，對系統(tǒng)資源占用少，能較好的適配現(xiàn)場工作站配置較低，在應(yīng)用場景比較單一的客戶現(xiàn)場受到廣泛認(rèn)同。我們也關(guān)注到，在少量應(yīng)用場景比較復(fù)雜的客戶現(xiàn)場，基于白名單的進(jìn)程管控也會(huì)特例性的出現(xiàn)配置不當(dāng)而影響生產(chǎn)的情況。OT環(huán)境主機(jī)/控制器終端安全控制實(shí)施情況實(shí)施安全配置加固74%USB端口等外設(shè)封禁62%實(shí)施補(bǔ)丁管理39%部署了惡意代碼防護(hù)軟件35%部署工控主機(jī)安全防護(hù)軟件34%（圖21）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，202128控制軟件和智能設(shè)備安全因?yàn)楣I(yè)控制軟件和智能設(shè)備的特殊性，再加之企業(yè)在采購選型時(shí)對于自動(dòng)化解決方案信息安全能力的忽視（調(diào)研中僅不足40%的受訪者會(huì)將安全要素納入綜合評價(jià)范圍），安全功能過往一直呈現(xiàn)受重視程度不足且升級緩慢的特征，尤其是缺乏抗攻擊功能的設(shè)計(jì)和實(shí)現(xiàn)。從調(diào)研結(jié)果來看，即使是最為基礎(chǔ)的身份和權(quán)限管理功能，也只有不足50%的工業(yè)控制軟件能夠較完整的涵蓋其功能，受訪者使用的智能設(shè)備經(jīng)過廠商內(nèi)核加固、協(xié)議優(yōu)化等固件安全增強(qiáng)的智能設(shè)備的比率不足10%。結(jié)合施耐德電氣與亞信安全近年來在不同行業(yè)客戶IT/OT環(huán)境的咨詢項(xiàng)目中發(fā)現(xiàn)，由于生產(chǎn)現(xiàn)場人員安全意識(shí)薄弱，弱口令、初始口令、缺乏有效權(quán)限管理等情況比較嚴(yán)重。綜述，控制軟件、智能設(shè)備安全能力的提升需要企業(yè)提高對供應(yīng)商的要求，推動(dòng)安全開發(fā)生命周期落地，持續(xù)提升產(chǎn)品原生安全能力，并在應(yīng)用過程中有效運(yùn)用安全控制措施。工業(yè)控制軟件安全控制實(shí)施情況身份認(rèn)證和權(quán)限管控48%控制協(xié)議通訊加密34%控制軟件補(bǔ)丁管理31%控制軟件運(yùn)行環(huán)境抗攻擊功能設(shè)計(jì)28%控制軟件抗攻擊功能設(shè)計(jì)12%（圖22）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021數(shù)據(jù)安全數(shù)據(jù)安全的重要性已經(jīng)得到充分認(rèn)識(shí)，接近60%的受訪企業(yè)表示未來三年計(jì)劃將數(shù)據(jù)安全作為OT領(lǐng)域信息安全工作建設(shè)的重點(diǎn)方向。29OT領(lǐng)域投入重點(diǎn)分布50%65%50%65%47%59%38%18%28%26%38%24%59%21%48%24%41%3%24%21%47%3%8%

82%智能設(shè)備安全控制軟件安全數(shù)據(jù)安全安全態(tài)勢感知安全服務(wù)邊緣計(jì)算安全物聯(lián)網(wǎng)安全標(biāo)識(shí)安全現(xiàn)有應(yīng)用 三年計(jì)劃（圖23）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021但與此同時(shí)我們也看到，除了預(yù)防性的數(shù)據(jù)備份有45%左右的受訪者使用外（IT領(lǐng)域接近100%的覆蓋），常見的數(shù)據(jù)安全防護(hù)手段僅數(shù)據(jù)加密在受訪單位OT環(huán)境深度使用的比例達(dá)到20%左右，且集中于MES等信息系統(tǒng)，其他諸如數(shù)據(jù)脫敏、操作審計(jì)、數(shù)據(jù)防泄漏和安全數(shù)據(jù)交換手段的深度使用率均低于10%，更有超過15%的受訪者表示尚未使用任何數(shù)據(jù)安全管控措施。結(jié)合現(xiàn)場深入訪談，不足20%的受訪企業(yè)已經(jīng)開展數(shù)據(jù)分類分級工作，且部署使用敏感數(shù)據(jù)發(fā)現(xiàn)梳理工具的不足5%，這意味著實(shí)際工作開展的效果并不理想。30數(shù)據(jù)安全控制實(shí)施情況數(shù)據(jù)備份44%數(shù)據(jù)分類分級19%數(shù)據(jù)加密18%數(shù)據(jù)脫敏9%數(shù)據(jù)交換平臺(tái)8%數(shù)據(jù)操作審計(jì)7%數(shù)據(jù)防泄密5%敏感數(shù)據(jù)發(fā)現(xiàn)4%未使用以上任何控制措施15%（圖24）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021“現(xiàn)在我們做的最弱同時(shí)又最迫切希望提升的能力就是數(shù)據(jù)安全能力，在OT環(huán)境尤其如此，數(shù)字化轉(zhuǎn)型的核心驅(qū)動(dòng)力是數(shù)據(jù)挖掘價(jià)值，做不好數(shù)據(jù)安全未來整個(gè)轉(zhuǎn)型工作都要受到極大的掣肘，產(chǎn)生根本性的影響。”——得力集團(tuán)生產(chǎn)IT部經(jīng)理蔣理明“現(xiàn)在我們做的最弱同時(shí)又最迫切希望提升的能力就是數(shù)據(jù)安全能力，在OT環(huán)境尤其如此，數(shù)字化轉(zhuǎn)型的核心驅(qū)動(dòng)力是數(shù)據(jù)挖掘價(jià)值，做不好數(shù)據(jù)安全未來整個(gè)轉(zhuǎn)型工作都要受到極大的掣肘，產(chǎn)生根本性的影響?！薄昧瘓F(tuán)生產(chǎn)IT部經(jīng)理蔣理明31態(tài)勢感知從調(diào)研結(jié)果分析來看，未來三年建設(shè)規(guī)劃中，接近半數(shù)的受訪企業(yè)將態(tài)勢感知能力建設(shè)作為OT領(lǐng)域信息安全工作的重點(diǎn)方向，僅次于數(shù)據(jù)安全。從現(xiàn)狀來看，超過25%的受訪企業(yè)已經(jīng)實(shí)現(xiàn)了OT環(huán)境主要安全日志集中歸集，超過15%更是進(jìn)一步實(shí)現(xiàn)了日志關(guān)聯(lián)分析告警，同時(shí)超過10%的企業(yè)還引入了威脅情報(bào)進(jìn)行參考。但我們也注意到，相比較于IT環(huán)境態(tài)勢感知近年來在綜合態(tài)勢多維展示、安全運(yùn)營流程支撐和安全編排自動(dòng)化響應(yīng)等維度的快速發(fā)展，OT環(huán)境態(tài)勢感知平臺(tái)在響應(yīng)支撐上的能力還明顯不足。雖然國家工業(yè)信息安全發(fā)展研究中心聯(lián)合31家支撐機(jī)構(gòu)已經(jīng)初步建成國家工業(yè)信息安全監(jiān)測預(yù)警網(wǎng)絡(luò)，但企業(yè)自身平臺(tái)對接國家、省級或行業(yè)工業(yè)態(tài)勢感知平臺(tái)的比例仍然較低，調(diào)研結(jié)果僅在10%左右。工業(yè)態(tài)勢感知平臺(tái)部署情況18%12%10%9%18%12%10%9%8%5%3%與IT環(huán)境態(tài)勢感知集成支持安全響應(yīng)電子流程支持安全編排自動(dòng)化響應(yīng)

26%（圖25）數(shù)據(jù)來源：施耐德電氣商業(yè)價(jià)值研究院“工業(yè)信息安全發(fā)展”用戶研究，2021“對日趨增多的企業(yè)網(wǎng)絡(luò)安全需求，工業(yè)信息安全也應(yīng)該使用安全態(tài)勢監(jiān)測與全網(wǎng)感知整合OT和IT安全事件。通過對生產(chǎn)企業(yè)多數(shù)據(jù)源接入、智能分析處置，為OT安全創(chuàng)建基線，實(shí)現(xiàn)可視化檢測未知威脅，監(jiān)測異?；顒?dòng)，與安全生產(chǎn)體系保持一致，為企業(yè)安全生產(chǎn)做好工業(yè)網(wǎng)絡(luò)安全保障?！啊皩θ遮呍龆嗟钠髽I(yè)網(wǎng)絡(luò)安全需求，工業(yè)信息安全也應(yīng)該使用安全態(tài)勢監(jiān)測與全網(wǎng)感知整合OT和IT安全事件。通過對生產(chǎn)企業(yè)多數(shù)據(jù)源接入、智能分析處置，為OT安全創(chuàng)建基線，實(shí)現(xiàn)可視化檢測未知威脅，監(jiān)測異常活動(dòng)，與安全生產(chǎn)體系保持一致，為企業(yè)安全生產(chǎn)做好工業(yè)網(wǎng)絡(luò)安全保障?！啊獊喰虐踩I(yè)互聯(lián)網(wǎng)安全事業(yè)部總經(jīng)理楚鵬323躬行實(shí)踐：3以專業(yè)能力構(gòu)筑工業(yè)信息安全保障33《工業(yè)信息安全技術(shù)洞察》躬行實(shí)踐：以專業(yè)能力構(gòu)筑工業(yè)信息安全保障《工業(yè)信息安全技術(shù)洞察》躬行實(shí)踐：以專業(yè)能力構(gòu)筑工業(yè)信息安全保障施耐德電氣最佳工廠實(shí)踐施耐德電氣連續(xù)兩年躋身Gartner世界供應(yīng)鏈榜單第四名，同時(shí)作為全球擁有七家燈塔工廠的企業(yè)。其中無錫工廠憑借其數(shù)字化轉(zhuǎn)型的卓越成就于2021年獲評為世界經(jīng)濟(jì)論壇端到端“燈塔工廠”的稱號。在中國施耐德電氣已經(jīng)擁有了23家工廠和7家物流中心，其中有15家已被工信部認(rèn)定為綠色工廠，同時(shí)被評為綠色供應(yīng)鏈?zhǔn)痉镀髽I(yè)。作為工業(yè)先鋒之一，施耐德電氣充分借鑒國際和業(yè)界工業(yè)信息安全最佳實(shí)踐，結(jié)合國內(nèi)監(jiān)管要求，將施耐德電氣制造執(zhí)行系統(tǒng)及生產(chǎn)控制系統(tǒng)領(lǐng)域的信息安全建設(shè)服務(wù)充分本地化，形成了具有中國特色的工業(yè)信息安全實(shí)踐范例。人才——搭建本地組織施耐德電氣搭建了地區(qū)和工廠的本地安全管理的組織架構(gòu)，配合與全球架構(gòu)的定期安全會(huì)議機(jī)制，實(shí)現(xiàn)縱向高效的協(xié)同聯(lián)控。在工廠層面，設(shè)立了“安全負(fù)責(zé)人”認(rèn)證機(jī)制，培訓(xùn)并選拔熟悉工廠業(yè)務(wù)并具備信息安全專業(yè)知識(shí)的人員牽頭負(fù)責(zé)各個(gè)工廠的信息安全工作，覆蓋國內(nèi)23個(gè)工廠和7個(gè)物流中心。工廠安全負(fù)責(zé)人實(shí)行雙線匯報(bào)機(jī)制，除匯報(bào)給工廠負(fù)責(zé)人外，統(tǒng)一匯報(bào)給供應(yīng)鏈中國網(wǎng)絡(luò)安全負(fù)責(zé)人。34管理——建設(shè)標(biāo)準(zhǔn)流程基于施耐德電氣的全球標(biāo)準(zhǔn)，并結(jié)合國內(nèi)工廠的特點(diǎn)進(jìn)行調(diào)整，從而構(gòu)建施耐德電氣中國工廠的網(wǎng)絡(luò)安全分級機(jī)制、安全標(biāo)準(zhǔn)和評估體系。同時(shí)，依照施耐德電氣全球信息安全標(biāo)準(zhǔn)和操作手冊，按照國內(nèi)的安全合規(guī)要求進(jìn)行適當(dāng)裁剪和完善，已經(jīng)形成了施耐德電氣中國工廠信息安全管理體系，并定期迭代更新。其中，重點(diǎn)落實(shí)入網(wǎng)設(shè)備動(dòng)態(tài)盤點(diǎn)和登記認(rèn)領(lǐng)機(jī)制、安全開發(fā)和準(zhǔn)入測評機(jī)制、動(dòng)態(tài)安全演練機(jī)制、持續(xù)安全培訓(xùn)機(jī)制、定期安全檢查審計(jì)機(jī)制，以資產(chǎn)管理能力、應(yīng)急處置能力和安全意識(shí)水平為核心要素，持續(xù)改進(jìn)安全管理水平。施耐德電氣中國工廠信息安全管理體系盤點(diǎn)登記機(jī)制三大核心要素盤點(diǎn)登記機(jī)制三大核心要素檢查審計(jì)機(jī)制資產(chǎn)管理開發(fā)測評機(jī)制安全意識(shí)應(yīng)急處置安全培訓(xùn)機(jī)制動(dòng)態(tài)演練機(jī)制五大機(jī)制GSCChinaCyberSecurityOperationalHandbook2021V3.5\h\h（圖26）來源：施耐德電氣技術(shù)——落實(shí)技術(shù)控制施耐德電氣中國目前已經(jīng)實(shí)現(xiàn)了國內(nèi)IT/OT網(wǎng)絡(luò)的統(tǒng)一規(guī)劃設(shè)計(jì)和運(yùn)維管理，通過全面隔離IT/OT網(wǎng)絡(luò)，實(shí)現(xiàn)OT設(shè)備全面覆蓋的域控接入，并在高等級的工廠實(shí)現(xiàn)了產(chǎn)線級的網(wǎng)絡(luò)隔離和差異化安全防護(hù)。通過構(gòu)建覆蓋OT環(huán)境全網(wǎng)、關(guān)鍵終端的安全實(shí)時(shí)監(jiān)測預(yù)警體系和集中安全運(yùn)維平臺(tái)，形成全局感知和聯(lián)動(dòng)處置能力。35施耐德電氣全球安全體系本地化合規(guī)實(shí)踐——工廠OT領(lǐng)域基礎(chǔ)基礎(chǔ)中等高級220工業(yè)現(xiàn)場施耐德電氣全球安全體系本地化合規(guī)實(shí)踐——工廠OT領(lǐng)域隔離生產(chǎn)與信息網(wǎng)絡(luò)隔離系統(tǒng)網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)/拓?fù)浣K端安全病毒防護(hù)/白名單意識(shí)培訓(xùn)評估審計(jì)信息安全專員每個(gè)工廠及物流中心信息安全監(jiān)控資產(chǎn)識(shí)別/性能負(fù)荷流量監(jiān)測生產(chǎn)線分區(qū)隔離保障產(chǎn)品安全安全威脅持續(xù)監(jiān)測主動(dòng)應(yīng)對安全風(fēng)險(xiǎn)安全事件響應(yīng)保障業(yè)務(wù)連續(xù)性（圖27）來源：施耐德電氣2施耐德電氣信息安全服務(wù)實(shí)踐施耐德電氣作為長期在工業(yè)自動(dòng)化及能源管理領(lǐng)域耕耘的專家，具有豐富的IT及OT信息安全專業(yè)知識(shí)和工業(yè)客戶信息安全服務(wù)經(jīng)驗(yàn)。我們目前采用全球業(yè)界內(nèi)認(rèn)可的基于業(yè)界最佳實(shí)踐IEC62443工業(yè)控制系統(tǒng)安全系列標(biāo)準(zhǔn)，指導(dǎo)安全制度流程的建立、安全風(fēng)險(xiǎn)評估和安全措施手段的部署，并選取NIST安全框架作為全生命周期管理的支撐。信息安全框架恢復(fù)恢復(fù)響應(yīng)識(shí)別NISTFRAMEWORK監(jiān)測防護(hù)（圖28）來源：NIST美國國家標(biāo)準(zhǔn)與技術(shù)研究院367號機(jī)組8號機(jī)組7號機(jī)組8號機(jī)組我們在全球以及中國助力工業(yè)用戶提升其信息安全的防護(hù)能力，包括信息安全規(guī)劃咨詢、風(fēng)險(xiǎn)評估、安全防護(hù)設(shè)計(jì)、防護(hù)措施實(shí)施以及全生命周期的安全運(yùn)維等服務(wù)，行業(yè)涵蓋石油天然氣、化工、電力、食品飲料、市政、樓宇等多個(gè)領(lǐng)域，并致力于為全球客戶達(dá)成業(yè)務(wù)安全的目標(biāo)，同時(shí)滿足當(dāng)?shù)卣岢龅姆煞ㄒ?guī)要求。在中國，施耐德電氣引入了全球工業(yè)信息安全的防護(hù)理念、方法論和專業(yè)技能，結(jié)合多年來積累的行業(yè)知識(shí)和經(jīng)驗(yàn)，使用來自于可信賴的信息安全合作伙伴（包括亞信安全在內(nèi)的國內(nèi)信息安全廠商領(lǐng)導(dǎo)者）提供的工業(yè)信息安全軟硬件，打造了符合國內(nèi)法律法規(guī)和國家標(biāo)準(zhǔn)的工業(yè)信息安全服務(wù)方案綜合能力?！霸趹?yīng)對無處不在并不斷演變的信息安全威脅時(shí)，沒有完美實(shí)現(xiàn)零風(fēng)險(xiǎn)的安全方案。如何對公司有形及無形的重要資產(chǎn)進(jìn)行識(shí)別，分析和評估來形成關(guān)鍵威脅風(fēng)險(xiǎn)清單，并以此為目標(biāo)從人員，管理和技術(shù)等不同維度進(jìn)行有針對性的安全控制已經(jīng)成為我們每一家企業(yè)需要面對的挑戰(zhàn)和任務(wù)?！薄霸趹?yīng)對無處不在并不斷演變的信息安全威脅時(shí)，沒有完美實(shí)現(xiàn)零風(fēng)險(xiǎn)的安全方案。如何對公司有形及無形的重要資產(chǎn)進(jìn)行識(shí)別，分析和評估來形成關(guān)鍵威脅風(fēng)險(xiǎn)清單，并以此為目標(biāo)從人員，管理和技術(shù)等不同維度進(jìn)行有針對性的安全控制已經(jīng)成為我們每一家企業(yè)需要面對的挑戰(zhàn)和任務(wù)?！薄┠偷码姎馐紫畔踩偈Y宇寒案例：在某發(fā)電企業(yè)已經(jīng)使用長達(dá)15年之久的DCS控制系統(tǒng)中，施耐德電氣根據(jù)客戶現(xiàn)場信息安全的現(xiàn)狀和企業(yè)對等保2.0三級的明確需求，在不改變現(xiàn)有DCS控制系統(tǒng)整體網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上進(jìn)行了信息安全的整改設(shè)計(jì)，并在2周停機(jī)窗口內(nèi)實(shí)施了信息安全的整改方案：安全管理中心SIS安全管理中心SIS域控服務(wù)器災(zāi)備服務(wù)器審計(jì)服務(wù)器病毒服務(wù)器 更新服務(wù)器 網(wǎng)絡(luò)監(jiān)控SIS工業(yè)網(wǎng)閘工業(yè)網(wǎng)閘流量審計(jì)入侵檢測流量審計(jì)入侵檢測安全專網(wǎng)H92（1臺(tái)6H92（8） （4臺(tái)（3H92win7ccs9x（1臺(tái)6（8H92win7ccs9x（2臺(tái)AW）（3公用機(jī)組Sun51F（1臺(tái)CP60（13DCSMESHNetwork（圖29）來源：施耐德電氣37安全區(qū)域邊界：電力專用隔離裝置隔離網(wǎng)閘：在網(wǎng)絡(luò)邊界通過電力專用隔離裝置單向隔離網(wǎng)閘對工控系統(tǒng)進(jìn)行加強(qiáng)防護(hù)內(nèi)部分區(qū)隔離：在網(wǎng)絡(luò)內(nèi)部針對不同的裝置和功能進(jìn)行內(nèi)部的安全分區(qū)隔離安全網(wǎng)絡(luò)通信：部署網(wǎng)絡(luò)監(jiān)控軟件：對工控網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的負(fù)荷，性能進(jìn)行實(shí)時(shí)監(jiān)控部署入侵檢測和流量審計(jì)系統(tǒng)：在網(wǎng)絡(luò)邊界和核心交換機(jī)對通過網(wǎng)絡(luò)的攻擊和非授權(quán)訪問進(jìn)行實(shí)時(shí)檢測和審計(jì)安全主機(jī)環(huán)境：工控主機(jī)安全加固：安裝工業(yè)防病毒套件對主機(jī)進(jìn)行“白+黑”防護(hù)，同時(shí)部署數(shù)據(jù)防護(hù)組件DLP和主機(jī)入侵防護(hù)組件HIPS實(shí)時(shí)驗(yàn)證系統(tǒng)安全補(bǔ)丁并發(fā)布驗(yàn)證后的補(bǔ)丁清單：通過補(bǔ)丁服務(wù)器可以為所有工控主機(jī)進(jìn)行及時(shí)的補(bǔ)丁修補(bǔ)安全管理中心域控制器統(tǒng)一管理：通過域控制器進(jìn)行工控系統(tǒng)范圍內(nèi)的統(tǒng)一的身份鑒別、訪問控制、行為審計(jì)以及安全策略的統(tǒng)一管理部署安全專網(wǎng)：對工控系統(tǒng)的所有安全管理相關(guān)的數(shù)據(jù)和通信流量都通過安全管理專網(wǎng)，避免對正常的業(yè)務(wù)造成不必要的影響部署安全日志服務(wù)器：對工控網(wǎng)絡(luò)內(nèi)的所有工控資產(chǎn)、網(wǎng)絡(luò)資產(chǎn)和網(wǎng)絡(luò)安全資產(chǎn)的安全相關(guān)的日志進(jìn)行統(tǒng)一的采集，歸檔以及關(guān)聯(lián)分析通過工業(yè)信息安全整改優(yōu)化，該企業(yè)有效的提高了工控系統(tǒng)的信息安全防護(hù)能力和業(yè)務(wù)保障能力，并順利以高分通過了等保2.0三級的測評，為企業(yè)數(shù)字化轉(zhuǎn)型提供有力支撐。38亞信安全工業(yè)信息安全服務(wù)實(shí)踐亞信安全作為國內(nèi)綜合型網(wǎng)絡(luò)安全廠商的代表企業(yè)和5G安全研究應(yīng)用的先行者，能夠提供完備的工業(yè)信息安全解決方案和服務(wù)支撐，支持工業(yè)企業(yè)客戶構(gòu)建IOT環(huán)境安全縱深防御和態(tài)勢感知體系，規(guī)范安全日常運(yùn)維和風(fēng)險(xiǎn)管理并提升安全運(yùn)營水平，為工業(yè)客戶數(shù)字化轉(zhuǎn)型保駕護(hù)航。案例：某大型工業(yè)企業(yè)希望設(shè)計(jì)構(gòu)建一整套統(tǒng)一的網(wǎng)絡(luò)安全綜合防護(hù)平臺(tái)在其內(nèi)部多個(gè)企業(yè)進(jìn)行規(guī)范化應(yīng)用，實(shí)現(xiàn)對組織安全態(tài)勢的全面監(jiān)控和典型安全風(fēng)險(xiǎn)的高效處置。亞信安全在對其組織進(jìn)行全面調(diào)研后，結(jié)合最佳實(shí)踐設(shè)計(jì)了包括防護(hù)能力組件和安全運(yùn)營平臺(tái)兩大模塊的整體方案，通過不同的防護(hù)能力組件實(shí)現(xiàn)基礎(chǔ)安全能力落地。并借由安全運(yùn)營平臺(tái)實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)安全的總體風(fēng)險(xiǎn)監(jiān)測及控制，通過不斷的數(shù)據(jù)采集、事件分析、安全事件形成、防護(hù)規(guī)則形成、防護(hù)規(guī)則下發(fā)的過程，反復(fù)螺旋迭代優(yōu)化策略，最終實(shí)現(xiàn)阻斷各種威脅并支持對攻擊事件的溯源取證，整套方案在該企業(yè)旗下多家工廠部署應(yīng)用。網(wǎng)絡(luò)安全綜合防護(hù)方案設(shè)計(jì)企業(yè)資源層資源管理系統(tǒng)業(yè)務(wù)終端惡意代碼防護(hù)終端統(tǒng)一管理數(shù)據(jù)防泄漏企業(yè)資源層資源管理系統(tǒng)業(yè)務(wù)終端惡意代碼防護(hù)終端統(tǒng)一管理數(shù)據(jù)防泄漏隔離網(wǎng)閘網(wǎng)絡(luò)流量審計(jì)工控網(wǎng)入侵檢測惡意代碼防護(hù)網(wǎng)絡(luò)資產(chǎn)測繪現(xiàn)場控制層控制器工業(yè)防火墻工控網(wǎng)入侵檢測工控終端安全安全殺毒棒過程監(jiān)控站控制服務(wù)器數(shù)據(jù)庫 工程師站操作員站工業(yè)防火墻網(wǎng)絡(luò)流量審計(jì)工控網(wǎng)入侵檢測生產(chǎn)管理層生產(chǎn)實(shí)施系統(tǒng)運(yùn)營平臺(tái)現(xiàn)場控制層現(xiàn)場控制層現(xiàn)場儀表（圖30）來源：亞信安全39企業(yè)資源層主要部署管理終端安全能力組件，為企業(yè)管理網(wǎng)絡(luò)中關(guān)鍵崗位的業(yè)務(wù)終端提供惡意代碼防護(hù)、終端統(tǒng)一管理和數(shù)據(jù)防泄露能力。生產(chǎn)管理層主要面向生產(chǎn)實(shí)施系統(tǒng)服務(wù)器部署惡意代碼防護(hù)組件，對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新。過程監(jiān)控層面向控制服務(wù)器、數(shù)據(jù)庫和工程師站、操作員站等部署工控終端安全組件，強(qiáng)化對工業(yè)生產(chǎn)網(wǎng)絡(luò)中服務(wù)器和操作終端操作系統(tǒng)安全控制能力。同時(shí)部署安全殺毒棒，實(shí)現(xiàn)無法安裝客戶端條件下的惡意軟件查殺。在企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層和現(xiàn)場控制層邊界部署工業(yè)防火墻與工控網(wǎng)入侵檢測組件，實(shí)現(xiàn)有效的網(wǎng)絡(luò)隔離、訪問控制和攻擊檢測。同時(shí)對生產(chǎn)管理層和過程監(jiān)控層網(wǎng)絡(luò)中資產(chǎn)進(jìn)行識(shí)別和管理，形成對工業(yè)生產(chǎn)網(wǎng)絡(luò)環(huán)境資產(chǎn)狀態(tài)的全面了解。對企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)流量進(jìn)行審計(jì)分析，有效支持事后審計(jì)、事件追溯和網(wǎng)絡(luò)取證。部署安全運(yùn)營平臺(tái)納管網(wǎng)絡(luò)安全綜合防護(hù)平臺(tái)各安全能力組件和組織環(huán)境中原有的關(guān)鍵網(wǎng)絡(luò)安全設(shè)備平臺(tái)和主機(jī)、數(shù)據(jù)庫的日志信息，進(jìn)行綜合分析和可視化展現(xiàn)，支持安全事件研判告警和聯(lián)動(dòng)處置，實(shí)現(xiàn)企業(yè)跨工廠安全運(yùn)營流程的標(biāo)準(zhǔn)化和企業(yè)工廠兩級數(shù)據(jù)對接綜合管理。4041414循序漸進(jìn)：4以最優(yōu)路徑支撐工業(yè)信息安全未來《工業(yè)信息安全技術(shù)洞察》循序漸進(jìn)：以最優(yōu)路徑支撐工業(yè)信息安全未來《工業(yè)信息安全技術(shù)洞察》循序漸進(jìn)：以最優(yōu)路徑支撐工業(yè)信息安全未來針對工業(yè)信息面臨的風(fēng)險(xiǎn)環(huán)境變化，工業(yè)企業(yè)將如何強(qiáng)化信息安全的綜合能力？如何保障數(shù)字化轉(zhuǎn)型的順利推進(jìn)？我們結(jié)合此次調(diào)研的兩百余家工業(yè)企業(yè)信息安全建設(shè)發(fā)展現(xiàn)狀分析，并綜合施耐德電氣多年來在工業(yè)信息安全建設(shè)運(yùn)營和服務(wù)方面的實(shí)踐，提出四大價(jià)值主張：自知、合規(guī)、著力、迭代，用以支撐工業(yè)信息安全最優(yōu)實(shí)施路徑，賦能未來建設(shè)。梳理現(xiàn)狀，形成規(guī)劃工業(yè)信息安全能力建設(shè)是一個(gè)系統(tǒng)性工程，要積極穩(wěn)妥有序高效的推進(jìn)此項(xiàng)工作必須真正落地風(fēng)險(xiǎn)管理理念，基于對自我現(xiàn)狀尤其是風(fēng)險(xiǎn)的清晰認(rèn)知開展系統(tǒng)性的規(guī)劃，積極借鑒最佳實(shí)踐經(jīng)驗(yàn)形成適配自身業(yè)務(wù)發(fā)展需要的建設(shè)藍(lán)圖和演進(jìn)路線。在現(xiàn)狀梳理過程中，我們認(rèn)為有幾個(gè)核心的關(guān)注要點(diǎn)：關(guān)鍵業(yè)務(wù)和資產(chǎn)梳理：應(yīng)清晰定義IT/OT融合環(huán)境下整體業(yè)務(wù)流及其關(guān)鍵支撐信息基礎(chǔ)設(shè)施，初步建立關(guān)鍵資產(chǎn)清單。合規(guī)風(fēng)險(xiǎn)識(shí)別：應(yīng)完整識(shí)別法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等各類合規(guī)需求，對比組織信息安全管理技術(shù)控制落實(shí)情況，對合規(guī)要求尤其是近期監(jiān)管重點(diǎn)的符合性進(jìn)行準(zhǔn)確判定，發(fā)現(xiàn)不滿足事項(xiàng)需要立刻建立待整改清單。信息安全成熟度水平：對信息安全控制措施實(shí)施水平進(jìn)行全面評估，識(shí)別落地執(zhí)行不足環(huán)節(jié)，進(jìn)而形成改進(jìn)事項(xiàng)清單?；诂F(xiàn)狀梳理結(jié)果，結(jié)合工作需要構(gòu)建不同層級的信息安全規(guī)劃指導(dǎo)工作的開展，我們認(rèn)為應(yīng)考慮的規(guī)劃內(nèi)容包括四類：四類規(guī)劃內(nèi)容01戰(zhàn)略發(fā)展規(guī)劃以支持客戶進(jìn)行數(shù)據(jù)化轉(zhuǎn)型為整體性戰(zhàn)略目標(biāo)，明確工業(yè)信息安全工作戰(zhàn)略目標(biāo)、重點(diǎn)任務(wù)和保障措施0201戰(zhàn)略發(fā)展規(guī)劃以支持客戶進(jìn)行數(shù)據(jù)化轉(zhuǎn)型為整體性戰(zhàn)略目標(biāo)，明確工業(yè)信息安全工作戰(zhàn)略目標(biāo)、重點(diǎn)任務(wù)和保障措施02中期落地規(guī)劃通過規(guī)劃信息安全建設(shè)的藍(lán)圖及建設(shè)路線圖，開展優(yōu)先級分析，明確重點(diǎn)03安全體系規(guī)劃確定信息安全目標(biāo)，形成風(fēng)險(xiǎn)控制策略和控制措施矩陣，初步設(shè)計(jì)安全技術(shù)體系、管理體系和運(yùn)營體系框架04執(zhí)行方案規(guī)劃就具體建設(shè)任務(wù)項(xiàng)目，梳理業(yè)務(wù)技術(shù)環(huán)境，細(xì)化信息安全需求，輸出定制42工業(yè)信息安全現(xiàn)狀梳理和規(guī)劃過程中，具備豐富OT環(huán)境實(shí)戰(zhàn)經(jīng)驗(yàn)的安全專家經(jīng)驗(yàn)尤為重要。如果自身缺乏適宜專業(yè)人員儲(chǔ)備的組織，可通過專業(yè)咨詢服務(wù)適當(dāng)借用外部資源，確保科學(xué)研判、因地制宜，從而對工業(yè)信息安全能力可持續(xù)發(fā)展發(fā)揮重要的指導(dǎo)作用。2建立基礎(chǔ)，保障業(yè)務(wù)安全能力的真正提升最終離不開規(guī)劃的切實(shí)落地，實(shí)際建設(shè)過程中首先應(yīng)該基于安全體系規(guī)劃框架規(guī)劃建立適應(yīng)組織業(yè)務(wù)發(fā)展需要的信息安全管理體系和運(yùn)營機(jī)制，結(jié)合中期落地規(guī)劃和重點(diǎn)項(xiàng)目執(zhí)行方案規(guī)劃部署關(guān)鍵安全技術(shù)控制，以構(gòu)建保障業(yè)務(wù)正常運(yùn)作所必須的防護(hù)體系為目標(biāo)建立基礎(chǔ)安全能力。43我們認(rèn)為以下控制措施是工業(yè)信息安全能力優(yōu)先落地的常見選項(xiàng)：建立責(zé)任機(jī)制：建立工業(yè)信息安全工作機(jī)制