随着工业控制系统（以下简称“工控”）的网络化、信息化程度不断提高，病毒、木马等传统的互联网威胁逐步向封闭的工控领域渗透。2015年12月，乌克兰电力系统遭到网络攻击，再次为全球工控行业敲响安全警钟。因此，有必要对我国工业控制系统安全相关企业进行深入研究，分析我国工控安全企业发展面临的问题，提出促进我国工控安全发展的对策建议，为“中国制造2025”和“互联网+”等战略规划保驾护航。

    一、工控安全企业总体情况

    近年来，信息安全得到国家的高度重视，随着封闭的工业控制网络的不断互联互通，不可避免会产生大量的信息安全问题，促进了一个新兴工控安全市场的形成。当前我国工控安全企业主要分为三类：

    一是自动化背景的工控安全厂商。这类企业主要从事自动化控制相关的业务，后看好工控安全的市场机遇，通过成立工控安全部门或子公司进入工控安全领域。典型厂商有：和利时集团、浙大工控技术股份有限公司、北京四方继保自动化股份有限公司、青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司、珠海市鸿瑞软件技术有限公司、中京天裕科技(北京)有限公司等。这些公司的优势是对工控系统有比较深刻的理解，积累了一定的客户资源，市场影响力较大；劣势是信息安全技术积累不够，研发能力一般。

    二是传统IT安全背景的工控安全厂商。这类厂商主要从事IT信息安全的业务，工控安全是其信息安全市场的一个分支业务，通常以成立工控安全部门或工控安全子公司的方式进入工控安全领域。典型厂商有：启明星辰信息技术有限公司/北京网御星云信息技术有限公司、北京神州绿盟信息安全科技股份有限公司、北京中科网威信息技术有限公司、上海三零卫士信息安全有限公司等。这些企业的优势是信息安全技术积累较多；劣势是缺乏对工控系统的理解，在工控安全方面投入不大。

    三是专业的工控安全厂商。这类企业基本属于近两年成立的创业公司，整合了信息安全与自动化控制方面的人才，专注于工控安全领域。典型厂商有：北京威努特技术有限公司、北京匡恩网络科技有限公司、谷神星网络科技(北京)有限公司等。这些公司优势是专注于工控安全，研发和投入较大；劣势是还处于创业阶段，市场影响力有限，急需政策和资金支持。

    二、我国工控安全企业发展面临的问题

    （一）工控安全技术能力有限

    工控安全技术作为企业的核心竞争力还存在能力不足的问题。一方面，新兴信息技术在工业控制系统中的安全防护体系上不成熟。传统网络安全中的杀毒软件、防火墙、入侵检测工具等安全防护手段难以满足工业大数据互操作性强、实时性高等天然要求，物联网、云计算、大数据等新兴信息技术在工业控制领域的安全理论、防护体系尚未成熟，难以有效解决各种新兴信息技术在工业控制系统的应用中带来的敏感数据存储、智能硬件漏洞等安全问题。另一方面，工控安全核心技术受制于人。民族品牌的工控安全产品大都基于国外控制技术，基础软、硬件和控制元件严重依赖进口，并且在系统可靠性、产品质量（工艺）、市场影响力等方面，与国外先进水平尚有较大差距。可以说，没有自主可控的核心技术，就无法真正实现工业控制系统的安全。

    （二）缺乏有效的认证机制

    在重要的工业行业中，大企业在选择工控安全产品时，关注不是投入成本，而是如何减少安全风险，导致大企业在选择工控安全产品时往往倾向于国际知名品牌。当前，我国的工控安全产业刚刚起步，还没有国家层面的针对工控安全产品的评测机构和审查机制，而国内厂商能够取得国际相关安全认证的还很少。由于缺乏权威的第三方机构有效指导，无法认证工控产品是否符合标准要求并达到工业企业的选择要求，在这种情况下，工控企业的发展较为被动，很容易陷入“市场信誉度低——缺乏实践与改进机会——市场信誉进一步降低”的恶性循环。

    （三）工控安全产业链条不完善

    工控安全产业涉及工业互联网、操作系统、软件、硬件、控制系统、数据传输、数据存储等多个领域，各个领域的研发缺乏统一的共识，尚未形成完备的产业链条。一方面，缺乏有效的沟通和协调机制，工控安全企业间的协同创新、资源整合、信息共享存在障碍；另一方面，工控安全企业相对封闭，与传统的信息安全企业相比，工控安全企业在扩大跨行业的技术交流、增强产品防护体系等方面还存在较大的提升空间。

    三、促进我国工控安全企业发展的对策建议

    （一）加强国家政策引导与扶持，促进工控安全快速发展

    促进工控安全企业发展迫切需要完善顶层设计，政府主管部门应从政策层面加强对工控安全企业发展的引导与扶持，制定工控安全发展战略和总体规划，规划提出工控安全发展路线图，并与我国的“互联网+”、“中国制造2025”有机结合，加速工控安全产业升级，完善工控安全产业链条，提高工控安全核心技术的自主创新水平，推动工控安全产品在重要工业领域中的应用，为实现中国“制造强国”的宏伟目标保驾护航。

    （二）加大研发投入力度，提升工控安全技术保障能力

    针对技术标准滞后的问题，应加强政府协调能力，整合传统信息安全厂商、工业控制系统厂商、基础软硬件厂商、相关科研院所等工控安全各相关方，加大政府投资力度，建立联合攻关小组，围绕工控安全关键技术，在工控安全涉及的体系架构、加密机制、技术指标、传输模式、控制平台等共性技术方面进行深入研究，加强网络防护、入侵检测、身份管理、访问控制、防火墙等网络安全技术研发，促进资源共享，推动工控安全的产业化应用，实现我国在工控安全技术领域的突破，提升核心竞争力。

    （三）制定工控安全标准规范，为测评审查提供依据

    针对工控安全产品的评测与认证审查缺失的情况，应积极倡导标准先行，制定工控安全评测、评估标准，在实践中不断验证完善，推动相关测评标准的国际化，提升公信力和权威性。同时，对接现有的网络安全审查制度，对钢铁、石化化工、有色、装备制造等重要行业领域的工业控制系统安全审查，一方面，确保相关技术、产品达到行业安全的需求，打造工业控制系统的安全防护体系；另一方面，鼓励政府、重要行业采购通过审查的工控产品，给我国的工控安全企业以成长空间。

    （四）完善工控安全产业链，实现多方互惠多赢

    技术融合是工控安全产业发展的大趋势，打破传统信息安全、互联网、工控系统之间的封闭模式，通过成立政府、用户、企业、科研机构、高等院所等相关各方的产业联盟，建立有效的政产学研合作机制，打通工控安全产品和服务供应链，整合各方资源，在工控安全信息共享、关键技术突破等方面形成合力，加强应用创新和模式创新，探索多方共赢的盈利模式，推进我国工业控制系统信息安全产业的持续健康发展。

(责任编辑：紫叶)