2018中国工业互联网安全调研报告.pdf

中国 工业 互联网安全调研报告 （ 2018） 工业控制系统安全国家地方联合工程实验室2019.3 主要观点 工业企业对工业互联网安全的重视程度越来越高，安全投入呈现增加趋势，工业互联网安全市场将有巨大的需求； 虽然多数工业企业对工业网络安全重视 程度越来越高，但对自身网络安全建设处于一种过度乐观的状态，较低的估计了自身遭受网络攻击的可能性，对于生产车间网络安全事件处于“不知情”的状态； 将近一半工业企业遭受过生产设备安全故障、电脑蓝屏、重启等安全问题，但确有 69.4%的企业表示没有发生过网络安全事件。当企业内部电脑出现大量蓝屏、重启等现象时，往往意味着企业已经遭到了攻击，但企业管理者未作为安全事件来进行响应和调查，错过处置最佳时机； 防护类产品需求较高，网络安全关注度高；非防护类产品比例相当，呈现多样化趋势；安全服务市场总体形式较乐观；工业安全产品 和服务体系日益完善； 目前看不到收益、人才缺乏是阻碍安全投资建设的重要因素。工业互联网安全建设最大的难处在于没有造成安全事故，企业高层较难理解安全建设短时间内给企业带来的收益，工业互联网安全建设不被工业企业理解； 多方协作趋势明显，构建产业协同的联合防御体系。 安全企业需要不断深入与更多的工业企业、工控系统集成商、安全厂商进行生态 合作与交流，为工业企业客户提供更加优质的工业互联网安全解决方案。 摘要 工业企业对自身安全建设程度普遍“自我感觉良好”，实际上是一种过度乐观的状态。绝大多数工业企业的实际安全状况都让人十分堪忧 ； 国内 53.1%的企业遭受过生产设备安全故障、电脑蓝屏、重启等安全问题， 仅 有不足 25%的企业没有出现过蓝屏、重启现象 ， 我国工业互联网安全建设情况并不乐观； 将近有 1/4 的被调研企业表示对生产车间设备、电脑是否出现过蓝屏、重启现象表示“不掌握”。 “不掌握”也就意味着企业其实并没有部署足够的网络安全监测措施以实时了解其工业系统的网络安全状况 ； 多数工业企业过低的估计了自身遭受网络攻击风险的可 能性； 国内 76.1%的工业用户非常重视工业互联网安全的建设；将近 49.1%的工业企业在安全方面的投入有明显增加趋势；超过 1/4 的企业对安全的投资金额在 10-100 万之间； 国内 43.9%的被调查者认为 工业互联网安全投入 应该占工业互联网投入金额的 5%-10%； 人才的缺乏是影响工业互联网建设的首要因素，看不到收益仍然是阻碍安全投资建设的最主要因素； 国内 69.1%的工业企业有专门的人员 /部门负责安全，但负责安全的人数差距较大； 八成以上 的 国内工业 企业 有意愿部署工业互联网安全服务， 39%的企业 能够 接受的采购费用低于 20 万； 安全问题发生后， 国内 51.8%以上的企业愿意选择一家综合能力强的规模较大的安全厂商解决安全问题； 防护类产品需求较高，网络安全关注度高；非防护类产品比例相当，呈现多样化趋势；安全服务市场总体形式较乐观； 工业安全产品和服务体系日益完善； 多方协作趋势明显 ， 构建产业协同的联合防御体系。 目 录 研究背景 . 1 第一章 工业企业视角下的安全现状 . 2 一、 工业企业对自身安全建设水平的认知 . 2 二、 工业企业对自身面临安全风险的感知 . 2 三、 工业企业对网络安全事件影响的认知 . 4 四、 工业企业对工业安全重视程度的感知 . 5 五、 工业企业对工业网络安全团队的认知 . 6 第二章 企业在工业互联网安全上的投入分析 . 8 一、 工业互联网用户每年在工业互联网网络安全中的资金投入分析 . 8 二、 阻碍工业互联网安全投资建设的主要因素 . 9 第三章 工业企业网络安全市场需求 . 11 一、 工业互联网安全产品需求 . 11 二、 工业互联网安全服务需求 . 11 三、 工业互联网安全应急响应需求 . 12 第四章 工业企业网络安全发展趋势 . 14 一、 工业企业安全意识有所提高，安全服务市场扩大 . 14 二、 多方协作趋势明显，构建产业协同的联合防御体系 . 14 三、 技术层面深度创新 . 15 第五章 总结 . 16 附录一 工业控制系统安全国家地方联合工程实验室 . 17 1 研究背景 在政策 与技术的双轮驱动下 ，工业控制系统 正在 越来越多地与企业 内 网和互联网相连接，并与 新型服务模式相结合，逐步形成了工业互联网架构 。 工业互联网是数字浪潮下，工业体系和互联网体系的深度融合的产物，是新一轮工业革命的关键支撑。 工业互联网 的 发展 一方面 极大的促进了生产效率 和 服务水平的提高 ，另一方面 也使原本封闭的系统 变得越 来 越 开放 ， 致使 系统安全风险和入侵威胁不断增加，网络安全问题 日益 突出。 工业 互联网 目前已经广泛 应用于 电力、 交通、 石油 、 取暖 、 制造业 等 关键 信息基础设施领域 ，一旦 发生 安全 事件 ，往往会造成巨大的损失和广泛的 影响 。 但是 ， 由于工 业 互联网 环境的特殊性，传统的 IT 信息安全技术 并 不能完全有效的保护工业系统的安全，甚至很多常用 的 安全技术都 不能直接应用于工业网络的安全防护。 对于 工业互联网安全的分析 与 防护，需要使用 一些 专门的方法和 专用 的技术。 工业控制系统安全国家地方联合工程实验室（以下简称“联合实验室”）于 2017 年发布 IT/OT 一体化工业信息安全态势报告，总结分析 IT/OT 融合带来的新挑战，给出工业信息安全建议和展望。 联合实验室为了更全面的了解工业互联网企业网络安全现状， 本报告特别 对 近 400 家工业企业进行 了 问卷调查 ， 深入研究工业企业视角下的网络安全感知、资金投入、市场需求、发展趋势等，最终形成中国工业互联网安全调研报告 ， 供合作伙伴及企业客户决策参考使用 。 中国工业互联网安全调研报告内容被综合收录 到 IT/OT 一体化工业信息安全态势报告（ 2018）年度报告中。 IT/OT 一体化工业信息安全态势报告（ 2018）是续 2017 年发布 IT/OT 一体化工业信息安全态势报告 （ 2017） 后，总结分析 2018 年工业互联网 IT/OT融合带来的新挑战， 安全现状、 产业发展趋势、重大应用案例 等， 给出 2019 年工业信息安全建议和展望 。 最后 ， 希望 本报告 能够 帮助读者对工业互联网安全有一个 更加 全面 、 前沿 的认识。 2 第一章 工业企业视角下的 安全 现状 2018 年 ，联合实验室 在全国范围内对工业企业用户进行 了一次 系统的深入调研 。 根据参与行业的单位属性将制造业、市政 /交通、通信 /网络、石油石化 /化工、能源电力用户填写的问卷作为有效数据进行分析。 关于本次 调研的详细情况， 可 参见 本报告“研究背景”一节的相关介绍。 本 小节 将 主要从 工业 企业对自身 网络 安全状况的认知 和 感知 、 安全团队 情况，来分析工业企业的安全 现状 。 一、 工业企业 对自身安全建设 水平 的认知 调查显示，工业企业对自身企业安全建设水平普遍有较高的认识， 36.7%的被调查者认为自己所在企业网络安全建设水平达到行业领先 ； 仅有 2.9%的被调查者认为，自己所在的企业网络安全建设水平处于“裸奔”状态。 需要 说明的 是 ，根据 联合 实验室在 全国各地 工业企业的实地考察情况来看 ， 工业企业对自身 安全建设程度普遍 “自我感觉 良好 ” ， 实际上是 一种 过度 乐观的状态 。 绝大多数 工业 企业的实际安全 状况都 让人十分堪忧 。 二、 工业企业 对自身 面临 安全 风险的 感知 调查 还显示，在被问及 自己所在 的 工业企业是否会遭受网络攻击时，认为 会遭到攻击的人和 认为 不会遭到攻击的人几乎各占一 半。 3 针对生产车间设备、电脑出现蓝屏、重启现象进行调研分析发现， 超过 50%的企业遭受过生产设备安全故障问题， 仅有不足 1/4 的企业没有出现过 这些 现象 ； 另有 约 1/4 的企业对 此问题 表示 “不掌握” 相关 情况 。详见 下图。 其实“不掌握”， 这 一 结果可能 是 最可怕的一种风险 。 因为 “不掌握” 也 就 意味着企业其实并没有部署足够的 网络 安全监控 措施 以实时 了解 其工业系统的网络安全状况 。 这 也说明 ，很多工业企业对自身网络安全建设水平 处于业内 领先地位的 评估 可能是过于乐观 。 在 被 问及 过 去 一年中， 是否发生过 网络安全事件时， 69.4%的被 调查企业表示没有 发生过； 表示发生过 1 次 的有 12.2%； 2 次 的 6.1%； 3 次 及以上的占比 12.2%。 4 将上述 三 组 数据 的 结果 进行对比 分析，我们就会发现 ： 多数企业确实过低的估计了自身遭到网络攻击风险的可能性 。 事实上 ，当 企业 内部电脑出现大量蓝屏、重启等现象 时 ，往往意味着企业已经遭到了攻击，只是很多企业 的 管理者并没有把这些事件作为安全事件来进行响应和调查， 而 只是当作一般的系统故障而已，从而 可能 导致其错过 发现 问题的最佳时机。 一句话， 企业认为自己没有遭到过攻击，但 实际上有迹象 表明他们 可能 已经遭到了攻击，只是 自己 不知情或没有意识到 这些 现象可能 与 攻击有关。 此外 ， 从应急响应或现场处置过 的大量 事件看，绝大多数自认为没有安全问题的工业企业，往往都存在着巨大的安全漏洞，他们对于安全事件只是处于“不知情”的状态。 三、 工业企业 对 网络 安全 事件影响 的 认知 调查 显示， 一旦 遭遇网络安全事件， 22.3%的 工业 企业最为 担心的严重后果是造成人员伤亡 ； 其次为产品质量受损，占比 20.9%， 接下来是 商业机会丧失、违反法规要求、承担法律责任、厂区设备损失 等 。 需要特别 说明的 是 ， 人员伤亡和产品质量受损，是工业企业遭遇网络安全事件时所需面对的特殊风险 ，一般的 政府 机构、企业 ， 或 IT、互联网公司都无需面对此类风险。 5 四、 工业 企业对工业安全重视程度的 感 知 通过对 问卷调查 数据统计发现， 2018 年工业互联网行业用户对安全的重视程度较高，有 76.1%的工业用户非常重视工业互联网安全的建设 ，根据卡巴斯基 2018 工业网络安全现状中统计结果， 77%的受访者认为网络安全是重中之重。国内外的工业企业都已经非常关注工业互联网安全的建设和部署。 针对不同行业对工业互联网安全重视程度进行分析， 统计结果发现， 市政 /交通行业 、制造业 对工业互联网安全重视程度相对较低 ，其中市政 /交通行业重视程度最低。 6 五、 工业 企业对工业网络安全团队的认知 是否设置专职的工业网络安全部门或人员在一定程度上反映出工业企业自身网络安全建设水平。 对工业企业是否设置专职的工业网络安全部门和人员进行统计分析发现， 69.1%的工业企业有专门的人员 /部门负责安全 ， 12.9%的企业正在规划，可见多数企业已设置或者正准备设置安全部门或人员。 除了工业网络安全团队外，在工业网络安全建设方面， IT部门参与程度最高，达到 37%。董事长或高级管理人员的参与程度相对较低，仅占到 10%。根据 Gartner 发布的 IT/OT 一体化安全策略框架，从上层到下层，其都有企业高层或者管理人员参与，高层领导对工业互联网安全的重视程度在一定程度上能够促进工业安全的落实与发展。