在数字化浪潮席卷全球的今天，工业软件作为制造业的“大脑”和“神经”，其重要性不言而喻。近日，工信部发文，围绕石油、化工、航空、船舶、钢铁、汽车、医药、轨道交通等关系经济命脉和国计民生的行业领域，到2027年完成约200万套工业软件和80万台套工业操作系统更新换代任务。重点涉及操作系统、数据库、中间件等基础软件产品，CAD、CAE、CAM、MES、ERP等工业软件产品，PLC、DCS、SCADA、SIS等工业操作系统产品。

其实明眼人不难看出，所谓的“更新换代”，其实就是要逐步摆脱对外国软件的依赖，大力推动国产操作系统、软件生态的生态繁荣。更深层次的角度，是应对复杂的市场环境和国际形势。

要知道，西方国家的制裁大棒已经挥舞了数年，而近期的“黎巴嫩BP机爆炸事件”更是让更多国家认识到自主可控及国产化替代的重要性。

因此，作为关系到国家制造业的“大脑”和“神经”，工业软件的国产化替代也就尤为重要且意义深远。

政策东风劲吹国产工业软件迎来黄金期

在一系列政策“组合拳”的加持和资本的助力下，我国工业软件产业迎来了前所未有的发展机遇。从2012年的729亿元到2023年的2824亿元，产业规模实现了跨越式增长。神州软件、用友、浪潮、金蝶、宝信软件、国睿信维等一批优秀工业软件供应商脱颖而出，突破了一系列产品研制核心软件技术，国产EDA、ERP、MES、PLM和MRO等工业软件纷纷涌现，为我国工业软件的国产化替代奠定了坚实基础。

2023年4月，工信部发布关于《推进 IPv6技术演进和应用创新发展的实施意见》规定抓住 IPv6 演进创新的窗口期，围绕网络协议、系统设备、基础软件等重要环节，强化关键核心技术攻关和产业化，形成技术引领优势。

2023年2月，《质量强国纲要》规定支持通用基础软件、工业软件、平台软件、应用软件工程化开发，实现工业质量分析与控制软件关键技术突破。

2022年12月，《扩大内需规划纲要(2022-2035年)》聚焦核心基础零部件及元器件、关键基础材料、关键基础软件、先进基础工艺和产业技术基础，引号产业链上下游联合攻关。

2022年4月，《关于”十四五”推动石化化工行业高质量发展的指导意见》规定着力开发推广工艺参数在线检测、物性结构在线快速识别判定等感知技术以及过程控制软件、全流程智能控制系统、故障诊断与预测性维护等控制技术。

2022年2月，《"十四五"国家信息化规划》重点突出了软件相关内容,指出要”开展软件价值提升行动，持续打造软件名城、名园、名企、名品，引导软件产业加快集聚发展”，为我国"十四五"期间信息化建设和数字经济发展筑牢软件之基。

挑战并存软件安全开发存在诸多痛点

然而，在国产工业软件快速发展的同时，软件安全开发问题也日益凸显。部分企业在软件开发过程中忽视安全因素，导致软件存在安全隐患；同时，软件安全开发技术更新换代迅速，对企业的技术能力提出了更高要求。这些痛点不仅影响了软件的安全水平，也制约了整个工业软件行业的发展。如何确保软件的安全可靠，成为摆在我们面前的一道难题。

1.软件安全开发全过程流程复杂

开发管理制度建设难、落地更难。

60%的建设单位具有安全开发管理制度，但是存在制度精细化差、可执行性偏低、执行难到位等情况难以控制整个过程。

2. 第三方组件的安全问题普遍严重。

第三方组件在软件开发中扮演着重要角色，项目建设使用几十个第三方组件是很常见的事情，而研究表明，37%的系统使用了至少含有一个已知安全漏洞的第三方组件，第三方组件已成为系统安全中安全问题的重要导入点。

3. 市场缺少安全开发专业人才。

具体的开发安全工作对人员的安全能力有很强的依赖性，无法有效落地；据统计表明，70%的建设单位在项目建设前未对技术人员实施安全培训，或已进行了安全开发培训，但实际开发未按培训要求执行。

4.企业缺少自动化工具与可视化平台支撑

大量重视安全开发的单位投入资金、人力构建安全控制工具、团队，但在流程改进、能力提升、工具维护等方面缺乏持续性，50%的建设单位存在无维护测试工具现象，面对迭代开发持续交付，提高效率是亟待解决的问题。

5.企业缺少对开发安全实践评价及审计能力

导致相应安全活动无法确定实施效果及进行有效改进，最终演变成走形式。

6.信息系统存在重要业务安全漏洞。

严重的代码安全问题能威胁到业务的安全性，据统计，60%的信息系统存在重要业务安全漏洞，而这些漏洞存在信息泄露、数据篡改等严重风险。

7.信息系统与安全标准规范存在较大差距。

很多系统安全问题在监管部门检查中被发现，70%的信息系统上线后发现与等保、个人隐私保护等安全标准规范存在较大差距。

加强安全管控构建全面安全开发体系

面对软件安全开发的复杂形势，加强安全管控显得尤为重要。道普信息风险管控专家提出，要从“软件安全开发全过程”的维度出发，构建全面安全开发总体框架。通过提升安全风险的处置能力，最大限度保障系统的安全性，杜绝系统安全事件的发生。

1.调研阶段

系统调研阶段，收集信息系统建设信息，对供应商进行安全开发能力评估。

2.需求阶段

对关键节点需求等进行安全评审，形成安全需求评审表；并对存在的安全隐私风险进行评估，分析其影响。

3.设计阶段

设计阶段：对关键节点设计等进行安全评审，形成安全设计评审表；减小攻击面，进行威胁建模分析，为信息系统面临的威胁建立模型，明确可能来自的攻击有哪些方面。

4.编码阶段

检测配置库、开发环境，并对开发的代码进行代码审查、代码走查分析，代码静态分析可以由相关工具辅助完成，其结果与人工分析相结合。

5.部署阶段

评估开发质量，对应用系统进行安全测试、渗透测试等，对数据进行数据安全测试、个人信息保护方面的检测，对配置库、运行环境进行安全检查。

6.发布阶段

发布阶段：系统上线后，需要进行等保测评、密码测评、风险评估等方面的合规性验证，定期或不定期进行渗透测试。

工业软件的国产化替代是行业长期发展趋势，也是我国工业制造业实现跨越的必经之路。在这条道路上，我们固然会面临诸多挑战，但更有着无限的风光和可能。在国产化替代的热潮下，国产工业软件必将迎来更加辉煌的明天。