安全牛發布《工業控制系統安全技術及市場分析》報告

2020-10-27

文章推薦指數： 80 %

投票人數：10人

前言

自2010年「震網」事件以來，工業控制系統網絡安全研究進入了持續的高熱度階段，曝光的漏洞數量從2010年的55個發展到當前的1061個（數據來源：NVD、CVE、CNVD及CNNVD等主流資料庫）；針對工業控制系統的攻擊事件也一直處於高位，2011年200餘起，2012年248起，2013年248起（數據來源：美國工控應急響應中心ICS-CERT）。

另一方面，Gartner發布的《2016年十大信息安全技術》中指出的工控領域的全新安全模型——Pervasive Trust Services，以及2017 RSA大會上發布的工控態勢感知方案，都為技術、產業的發展指出了方向。

從產業方面來看，工控安全領域尚處於市場發展早期，廠家數量不斷增長，產品線日益增多且多元化。

據方正證券估計，目前市場規模為2.25億元，發展空間較大。

對於我國而言，工業控制系統安全所面臨的重要問題是自主可控的問題，我國在工控領域對國外設備和技術的依賴程度強。

據中國產業信息研究網調查統計結果顯示，全國5000多個重要的工業控制系統中，95%以上的工控系統作業系統均採用國外產品；在我國的工控系統產品上，國外產品已經占領了大部分市場，如PLC國內產品的市場占有率不到1%，工業中用到的邏輯控制器95%是來自施耐德（法國）、西門子（德國）、發那科（日本）等的國外品牌。

以揚州市為例，自2014年1月起，在全市範圍內啟動重點行業重要工業控制系統基本情況調查，統計顯示，全市24個企業共計1213個重點工業控制系統，主要分屬化工、電力行業和城市公用事業服務領域。

德國西門子公司生產的可編程控制器（PLC）和我國浙江浙大中控公司生產的分布式控制系統（DCS）在揚州市工業企業應用廣泛，其中德國西門子公司生產的可編程控制器占全部調查企業工業控制系統總數的87%，占全部調查企業可編程控制器應用總數的95%以上。

本報告由安全牛顧問團隊，通過調查國內在工業控制系統網絡安全相關技術產品上較為突出的公司，結合當前最新的相關資料撰寫。

並從作者個人視角，嘗試分析了我國自2011年發布451號文件以來，工控網絡安全的技術、產品、市場發展脈絡，希望可以為相關從業者提供有價值的參考。

關鍵發現

工業控制系統（以下簡稱工控系統）是國家基礎設施的重要組成部分，也是工業基礎設施的核心，被廣泛用於煉油、化工、電力、電網、水廠、交通、水利等領域，其可用性和實時性要求高，系統生命周期長，是信息戰的重點攻擊目標。

目前，我國在工業控制系統網絡安全技術研究以及產業發展等相關領域處於快速發展階段，防護能力和應急處置能力相對較低，特別是關鍵部位工控系統大量使用國外產品，關鍵系統的安全性受制於人，重要基礎設施的工控系統成為外界滲透攻擊的目標。

工控系統網絡安全產品可以從不同層面協助解決關鍵基礎設施網絡安全問題。

這包括：提供審查、測評類產品，幫助監管單位對工控系統、工控產品以及工控安全產品進行安全合規性檢查；提供數據採集、態勢感知類產品，幫助監管、決策部門宏觀把握整體工控系統安全形勢，制定相關策略，分配安全預算；提供防護類產品，幫助工控系統運營單位提升安全防護、應急處置能力；提供教學、演練類產品，幫助已經或準備從事相關行業人員提高專業技術能力和安全防護意識。

工控系統網絡安全建設應視不同行業、同行業不同生產階段以及自身切實安全需求分別制定安全建設方案，不可一概而論。

比如，在電力、石油化工、軌道交通等信息化發展較快行業，網絡安全建設具有比較好的發展基礎；然而在冶金、煉化等行業，基本信息化建設、規範化制度建設並未完善，第一步還需要從管理體系建設入手。

行業標準及規範是工控系統網絡安全建設最好的參考，《工業控制系統信息安全防護指南》、《發改委14號令》、《發改委34號文》、ISA62443、NIST 800-82、NIST 800-53等都是威脅情報行業最具參考意義的標準規範。

工控系統網絡安全涉及行業眾多、應用場景較為複雜，較難有統一產品可以解決全行業問題，可能會按照行業和服務類型，催生細分解決方案廠商。

一、國家政策引導

二、攻擊技術演進

1. 能源行業

2. 水利與水處理行業

3. 交通運輸行業

4. 製造行業

5. 跨行業

三、防護技術分析

1. 技術市場成熟度模型

2. 術語定義