行业信息安全，下一个前沿?

随着企业对工业控制系统信息安全认识的逐步提高和安全领域技术投入的不断加大，未来中国工业信息安全市场将加速增长。标准、法规和政府行动正在鼓励人们更加关注网络安全。

最近，一项要求商业银行购买“安全可控”IT设备的新规定引起了许多国外IT企业的关注。据外媒报道，这份由工信部和中国银监会联合起草的“IT限购令”最早将于4月份实施。新规定将要求银行IT设备供应商在中国开展研发工作，并向银监会提供源代码。虽然这一消息没有得到官方的证实，但它似乎标志着信息安全在与国计民生相关的行业将被提高到越来越重要的水平。

可观察到的趋势

这一趋势可以从政府近两年的采购清单中观察到。近日印发的《关于印发2015年政府采购工作要点的通知》指出，今年中央政府采购清单中的国外科技产品数量较前两年减少了三分之一。在2000多种商品中，数量增长最多的是本土品牌。著名的科技公司包括思科、苹果、McAfee(英特尔的一部分)和思杰。“棱镜门”引发的一系列事件促使中国政府加快在信息安全领域的布局。政策的调整能否成为本土企业真正的机遇，关键在于产品质量。

先进的互联网功能

在云计算、物联网、大数据、智能工厂等“互联网+”时代，日益庞大的数据和信息流给我们带来便利的同时，也存在安全漏洞的风险。窃取个人银行账户、侵入核电站信息、钢铁厂系统等一切都有可能成为黑客的目标。

根据美国工业控制系统网络应急响应小组(ICS-CERT)的监测报告，2014财年共报告了245起安全事件，其中能源行业(32%)和制造业(27%)是受影响最严重的领域。大约55%的攻击涉及高级持续性威胁(APT)。与其他类型的攻击不同，APT具有时延高、组织能力强、持久性强等特点，对工业控制系统的信息安全构成巨大威胁。近年来，APT在大型恶意网络攻击中频频出现，如臭名昭著的Stuxnet、Havex、BlackEnergy等。

针对德国钢铁的网络安全攻击

2014年，德国一家钢铁企业遭遇APT攻击。该病毒侵入了钢铁厂的工业控制系统，导致整条生产线暂停运行，包括炼钢炉在内的钢铁厂物理设施遭到重大破坏。

随着互联网技术的快速发展和工业化与制造业信息技术融合的不断深入，工业控制系统越来越多地采用通用的软硬件系统和通信协议。工业以太网和无线网络的应用使企业的各个层次实现了信息共享和实时通信，提高了工作效率。

缺乏对风险的理解

然而，“开放系统无疑暴露了信息安全的问题。在2014年8月举行的中国工业信息化与信息安全发展VIP论坛上，工业控制最大的隐患是许多行业和企业仍然没有意识到工业控制安全是非常脆弱的，”工业和信息化部第一电子司副司长李新社说。

面对日益严峻的工业控制系统信息安全问题，中国政府在2014年采取了许多举措。11月，工业和信息化部发布了18项通信行业网络和信息安全标准。不久之后，12月，中华人民共和国标准化管理委员会技术委员会(SAC/TC124)正式发布了《工业控制系统安全》，这是自动化领域的第一个国家正式标准。本标准由GB/T 30976.1-2014-工业控制系统安全-第1部分:考核规范和GB/T 30976.1-2014-工业控制系统安全-第2部分:验收规范两部分组成。虽然目前这只是一个推荐标准，但该标准的发布填补了中国在工业控制领域在体系基础和产品考核验收方面的空白，也为中国独立的工业控制系统信息安全产业和标准体系奠定了坚实的基础。

投资

这一目标是中国在其战略规划中提出的信息安全产业“十二五”发展规划2015年信息安全产业规模将超过108.1亿美元，截至4月20日，并保持30%以上的年增长率。虽然中国工控安全市场刚刚起步，占整个信息安全市场的份额并不大，但重要的是，随着中控、和利时等本土龙头企业的出现，NSFOCUS、力控华康、摩西等专注工控安全的企业已经崛起。

- Aileen Jin主编控制工程中国．由数字项目经理Joy Chang编辑，控制工程，jchang@cfemedia.com．

在线额外

这是翻译和编辑控制工程从控制工程中国．

www.cechina.cn

参见其他国际报道。

www.globalelove.com/international

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。