一、2018年工控安全综述

六项关键发现：

● 超过四分之三的受访公司表示OT/ICS网络安全是重中之重，但实际操作中并不会真正严格执行相关安全举措。

● 超过四分之三的受访公司认为其已经成为或即将成为OT/ICS领域网络安全攻击的受害者，实际操作中只有23%的企业遵从行业或政府关于工控安全的最低强制性指导或者符合相关法规。接受调查的绝大多数企业表示会继续追加在OT/ICS网络安全方面的投入，或至少保持稳定。

● 过半企业声称过去一年内未发生安全事件，实际情况可能是企业不具备侦测能力而没有发现攻击。

● 大多数曾经遭受OT/ICS网络攻击的企业承认安全事件对其盈利有负面影响。

● OT/ICS安全成熟度依然较低，但在不断进步。安全成熟度不高主要表现在安全的组织水平低下、人才技能匮乏、部门协同不畅等方面。

● 企业认识到IT和OT团队的良好协同对于保障工控系统安全非常重要，实际操作中大部分企业保持了较高比例的部门之间、企业内外各社会单元的协同。

二、工业环境中的网络安全：

管理风险和合规是关键

1. 业务重点

最主要的安全业务需求是风险管理，其余依次为提高产品/服务质量、更好地遵从法规和满足合规要求等。2018年报告中明显的不同是，与客户直接相关的业务优先度均得到提升，而降低成本的要求被弱化。

图1：未来一年哪项业务将成为贵企业的主要、次要或非优先事项调查结果

2. OT/ICS网络安全性的优先度

高达77%的企业都将安全视为重中之重，21%的企业将其选择为“次要优先度”，仅2%的企业选择为“无优先度”。

3. OT/ICS网络安全的商业风险及关注点

在OT/ICS网络安全的商业风险和关注点方面，主要通过对企业“最关注的安全问题”进行调研，有两项成果：一是企业的安全意识已经显著提升；二是与2017年调查相比，本年度企业重点关注更有侧重点，最关心的问题是产品或服务的质量受损以及员工伤亡。

图2：如果发生ICS网络安全事件，

企业的关注焦点调查结果

企业认同IT和OT/ICS这两个领域的网络安全事务存在差异，因此关注焦点不同，总的来说IT安全影响大致限制在虚拟IT空间里，而工控系统一般都有实体，若实体出现意外，无论对于事件后果处理、风险消减成本还是企业即将面临的责任都具有不同影响。

全球平均32％的被调查企业认为他们很有可能成为攻击目标，在去年基础上增长了7％，说明企业意识到自己成为网络攻击目标的可能性越来越大。

在OT/ICS网络安全领域，主要威胁还是来自传统的IT威胁，有66％的公司表示重点关注“定向攻击和APT攻击”；传统的恶意软件或病毒爆发方面，占比65％，而勒索软件攻击则是64％。

4. 管理OT/ICS网络安全企业面临的挑战——人才稀缺

58％参与调查的企业面临主要的挑战是雇用不到具有相关技能的工控安全员工。50％接受调研企业的另一个挑战是如何找到合适的合作伙伴、服务提供商来实施工控解决方案。

对照2017年的调查成果，可以发现在2017年企业对于人才关注虽然也排在首位，但给予重点关注的仅为15%，而到了2018年重点关注就飙升为58%，可见熟悉工控安全的人才非常稀缺，使得企业开始严肃面对这一现实问题。

图4：企业在管理ICS网络安全面临的挑战调查结果

三、影响工业网络安全的外部因素：向监管机构报告事件的遵守程度高于实际合规要求

1. 合规和监管的角色

调查表明仅有23%的受访企业完全遵从强制性规范，仅8%的企业遵从自愿性规范，约30%的企业被强制要求向监管主体报告工控安全事件。

2. 攻击事件

工控系统与IT系统及外部网络连接增多后，OT/ICS领域就成为常规的木马和病毒肆虐的重灾区。2018年有64%的企业饱受其害，另有30%的企业遭受到勒索软件的攻击。另外由于黑客对工控网络领域进行攻击的目标了解程度加深，定向攻击及APT攻击增多。

3. 经济损失

网络安全造成的经济损失较难估量，参与调查的企业中有20%因安全事件导致经济损失扩大，有48%的企业认为与去年相比他们的财务成本、经济损失持平，另有27%的企业声称财务成本下降。

四、IT趋势-物联网与云计算

1. 工业物联网

工业物联网细分领域较多，企业认为的关联度从高到底依次如下：智慧能源、工业4.0、智能运输、智能仪表及智慧城市，如下图所示：

图5：工控安全受物联网影响程度的调查结果

2. OT/ICS领域的网络（含无线）与云计算

IT领域普遍采用的无线网络与云计算现在也进入OT/ICS领域，但仍需强调潜在的风险：外部攻击、数据和控制指令的拦截与操纵等。

五、下一步：策略与举措

1. 投资

网络攻击数量日增及相关风险趋高的现状，大量企业追加在OT/ICS的网络安全投入，至少保持投入稳定。

图6：工控安全投资驱动因素的调查结果

2. 方法和战略

在如何组织OT/ICS安全职责这一问题上，报告表明工控用户更倾向于将OT/ICS网络安全交由内部管理，仅有8%的企业将此工作完全外包，企业一般不会将位于价值链核心的职能外包，何况也只有为数极少的外包服务商有这个能力来承担此职责。

OT/ICS安全不应再被看成支持业务，理应得到企业其他部门的支持参与，因此在受访企业中有69%的企业运营技术或工程部门参与OT/ICS安全，参与度相对较高，53%的企业由董事会或高管直接负责，48%的企业由系统建造时集成商参与，40%的企业由设施、维护和资产管理团队负责。

3. 战略推进

除IT和OT/ICS的通用安全战略外，成功实施OT/ICS战略还要制定专门的计划。当前仅有52%的企业在OT/ICS领域实施专门的应急响应程序。在OT/ICS安全意识方面，54%的企业已经完成。OT/ICS安全合规方面，52%的企业已经制定程序。

图7：工控安全实施计划的调查结果