绿盟科技 杨博

日前，随着工信部《工业控制系统网络安全防护指南》（工信部网安[2024]14号）的发布，再次将工控网络安全防护的重要性和紧迫性展现在各级监管部门、工业企业的面前，工控系统安全再次成为业界的焦点话题。新形势下持续加强对工控网络安全风险的防范和分析，是网络安全领域的核心关切之一。纵观近年来发生的几起工控网络安全事件，其中影响较大的是发生在2021年5月的“Colonial Pipeline”（科洛尼尔输油管攻击）事件，黑客通过勒索软件攻击了美国最大的成品油管道系统“Colonial Pipeline”，几乎切断了美国东海岸45%的燃料供给。该事件促使美国出台《改善国家网络安全行政令》（Executive Order on Improving the Nation’s Cybersecurity），迫使联邦政府采取综合措施，全面加强关键基础设施网络安全保障能力。

我国政府将工控系统网络安全防护作为国家网络安全战略的重要组成部分，《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《网络安全等级保护基本要求》等一系列法律法规和标准规范都对工控系统网络安全防护做出明确要求。

2   工控系统网络安全风险新特点

在新工业革命的潮流中，随着“互联网+智能制造”建设进程的不断深化，工业企业的组织模式、生产模式和服务模式正在向跨设备、跨系统、跨厂区、跨地区的互联互通转变。工业企业规模迅速扩大，脆弱的网络安全现状，导致工控系统面临着日益严重的攻击威胁。

2.1工控系统面临国家级网络空间对抗新威胁

网络空间已成为国际战略博弈的新领域，近年来国家级网络空间安全对抗也不断升级，网络战风险进一步加大。网络攻击对象也从传统的互联网领域向市政、交通、能源、制造业等工业领域转移，网络安全风险威胁进一步向工业企业管理信息网、工控系统等更多对象和更大范围延伸。工控系统已经成为国家间实施网络安全威慑、制衡他国经济发展的新重点，工控系统面对的网络空间变得更加复杂，网络安全问题异常严峻。

2.2“互联网+”的发展增大了工控系统遭受网络攻击的暴露面

工控系统网络边界在“互联网+”发展进程中不可避免地被打破，攻击者能够从管理端、生产端、消费端等多个层面发起网络攻击，工业生产中的网络安全事件虽然形式各异，但所带来的危害都不仅仅停留在信息世界的“软攻击”，而是对物理世界的“硬摧毁”。

2.3工控系统安全防护意识和能力短板效应显著

工业企业是落实网络安全责任的主体，目前还存在管理制度机制不健全或执行落实不到位，相关从业人员网络安全意识不足的问题。同时，多数企业缺乏针对工控系统的有效防护措施，整体防护水平相对落后，仍存在工业主机安全防护不到位、工控网络边界防护措施不足、工控系统未建立安全配置、未使用身份认证、部分无效服务默认开启等问题。部分企业的工业控制设备暴露于互联网，面临被远程入侵等安全风险。

3   工控系统网络安全防护体系建设思路

针对工控系统网络安全风险新特点，以边界防护为主要手段的传统网络安全防护思路面临失效的可能。新形势下工控系统网络安全防护思路应该更加重视场景适用性、信任机制建立以及适合于工控系统实际运行需要。因此，可从体系化建设的视角入手，构建“全场景、可信任、实战化”的工控网络安全运营能力，实现“全面防护，智能分析，自动响应”的防护效果。

3.1            全场景安全防护

工控系统全场景安全防护要满足全领域、全要素、全类型三个方面的需求，为工控网络、企业经营管理网络以及互联网搭建起信息交互的桥梁。

全领域方面，工控系统涵盖了信息基础设施、融合基础设施以及创新基础设施。全要素方面，工控网络边界不断延伸与扩展，将终端用户、内部员工、上下游产业链等各类要素融入工业生产，增加了参与工业生产的人员链、业务链、供应链的对象种类与数量。全类型方面，工控网络与企业经营管理网络以及互联网的互联互通，导致工业生产需要面对恶意攻击、内部威胁和无意识滥用等全类型的网络安全风险。为工控系统构筑针对全场景的安全防护能力，以便能够在发生网络安全威胁告警时进行有针对性安全防控，避免威胁范围扩大。

3.2            可信任机制保障

工控网络人员访问可信任方面，针对参与业务流程的各类人员，应用零信任技术，基于数字证书、身份标识、生物特征、动态口令等多种手段，在区域边界设置满足相应安全要求的技术隔离与细粒度的访问控制措施，并形成动态化威胁识别能力，实现对网络边界行为识别、确权、报警以及安全阻断。

工业设备接入可信任方面，工业智能设备在进行网络连接时要采取准入机制，同时能够主动识别未知接入设备所使用的端口、协议、服务等，研判安全风险并采取报警、隔离与阻断措施，避免未经检验授权的设备将恶意代码引入工业控制网。

供应链可信任方面，工控系统通过采用安全可信、自主可控的处理器、存储、内存、操作系统、应用软件等措施保障自身的安全可信任，或者通过应用层安全加固形成有一定的网络安全防护能力。

3.3            实战化资源调配

从攻防实战化视角保障工控系统网络安全，是推进互联网与工业生产深度融合的基础。安全能力按需调度方面，针对工业生产实时性、连续性特点，为工控系统网络安全开展边界防护、状态监测与审计、态势感知、威胁情报等安全能力建设，满足业务安全与网络安全协同发展的需求。

高效攻防方面，基于网络安全对抗即时有效的要求，通过检测工业网络流量获取通信行为信息，借助深度包过滤、终端安全检测、日志审计等掌握工控系统网络安全状态，借助外部威胁情报并通过聚合、关联分析形成全局安全态势与威胁预警。

4   工控系统网络安全典型解决方案

工控系统网络安全涉及位于管理网络的企业资源层，以及工控系统的生产管理层、过程控制层、现场控制层和现场设备层。在体系化建设思路的指引下，工控系统网络安全防护可采用如下方案进行部署（详见图1）。

图1工控系统网络安全防护部署图

4.1            全场景边界安全防护

在互联网边界，通过高级威胁监测系统的动态检测技术实现对未知威胁的高效识别，避免恶意软件通过网页、电子邮件或其他在线文件共享方式进入网络。在控制网络与管理网络边界，通过工业网闸实现从物理层面和逻辑层面断开直接连接，杜绝网络威胁通过办公网络入侵控制系统的可能。在控制网络边界部署工业防火墙，对流经数据包依据相应的访问控制策略进行控制，阻断非授权访问，并对违反策略的操作行为进行记录并形成日志，定期对日志进行分析处理。

4.2            工控网络安全可信任

工控系统供应链可信任方面，在开发环节识别系统中引入的开源代码和第三方软件库，并评估其潜在的安全漏洞；在集成环节，对第三方模组、系统或镜像等进行安全评估。在安全产品可信任方面，建立应急响应机制，及时发现潜在安全漏洞，在最短时间内确认安全事件、验证安全补丁并落实安全修复计划。通过事前、事中和事后的预防和应对机制，避免因安全产品漏洞导致工控系统被攻破。工控系统联网设备可信任方面，采用加密认证装置对通过广域网接入控制网络的工业联网设备进行身份认证，并基于密码技术对传输数据进行机密性、完整性保护。

工控网络行为可信任方面，在网络交换机旁路部署入侵检测系统，对网络流量数据进行基于协议与行为的深度检测，及时发现应用端口传输的恶意代码，避免服务器遭受应用层攻击。

4.3            实战化安全态势管控

实战化是检验安全能力有效性的唯一标准，通过网络安全监测预警平台并依托威胁情报与信息共享机制，，实现对工控网络和管理网络安全态势的全面掌控。通过对网络流量和安全设备、网络设备的日志信息、配置信息进行集中分析与处理，实现网络综合态势管理、攻击链和业务行为基线的风险预警管理等。及时洞悉工控系统资产面临的安全威胁，并准确地进行威胁追踪和攻击溯源^[8]，优化安全策略，统筹管理网络安全设备，实现工控安全持续化运营，形成对安全防御保障体系的反馈闭环机制。

5   结语

数字化转型浪潮带来了工控网络边界的融合、数据的融合。传统的相对静态、被动和孤立的攻击检测和防御体系已经无法有效应对当前以规模化、自动化、0day高级持续性攻击为特征的各种安全威胁，必须采取积极主动的防御策略，构建由边界管控、权限控制、威胁监控、态势感知、快速响应和全面追溯反制组成的“智慧安全”工控系统网络安全防御体系。在借助信息化帮助工业企业快速应对市场需求、提升效率的同时，有效地保障工业控制系统网络安全。