数字经济观察网 - 软信官网

01

前言

中国工业企业正在加速数字化转型的进程，在后疫情时代，企业数字化运营的习惯逐渐养成，数字化转型的意愿愈发强烈；当传统工业相对封闭独立的生产环境被打破，暴露出一系列有别于传统办公网络的安全风险；缺乏认证、缺乏授权、缺乏加密机制的工业协议易被利用，被国外品牌垄断的大型PLC设备自身安全性，监控主机操作系统无法打补丁的困境等等；工业网络安全面临的安全挑战更加艰巨。

从2017年6月1日起施行《中华人民共和国网络安全法》以来，国家相关机构陆续出台了工业网络安全建设的方向性文件。本体安全、自主可靠、数据安全、供应链安全、主动防御等被提及用来指引企业进行工业网络的体系化建设。

本篇文章将以国家安全政策指引为依据，结合国内工业企业的安全需求变化，总结预测工业网络安全防护的五大发展趋势，以供探讨。

02

趋势预测

趋势1：深入生产工艺场景做安全

一个非法的行为隐藏在多条合法的报文中，该如何防护？

工业网络的区域边界防护经历了两个阶段，通过ACL访问控制技术建立网络连接白名单和基于工业协议深度解析技术建立工业协议白名单；我们可以在上位机和下位机之间通信时，实现基于安全域、IP、MAC、时间段、服务、执行动作等多个维度的访问控制策略；实现对Modbus TCP/RTU、S7、OPC DA/UA等工业协议指令级甚至值域级细粒度控制。

如果攻击者利用两个合法但不符合工艺逻辑的指令引发安全事故（如关闭阀门的同时给管道加压会导致管道爆裂）该如何防御呢，这就是我们要提到的第三个阶段“工艺行为白名单”能解决的问题。通过对报文周期、报文序列号、报文长度、报文时序逻辑等的配置，深入具体生产场景建立工艺行为基线模型，建立工控NDR（工控网络检测与响应），提供对工控网络异常行为和高级威胁的检测和响应能力。该项技术已在国内部分大型企业中实践。

图工艺行为白名单技术

趋势2：建立供应链攻击防护机制

面对供应链攻击，正规软件厂商产品也可能携带后门，带有可靠的数字签名，该怎样应对？

供应链攻击指攻击者将供应链作为攻击对象，先攻击供应链中安全防护相对薄弱的企业，在利用供应链之间的联系，将风险引入到上下游企业，对关联企业带来破坏性。如2020年12月，知名IT公司SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视；通过分析发现，攻击者在编码上高度仿照了SolarWinds的编码方式和命名规范，成功绕过了复杂测试、交叉审核等环节，将后门写入代码中，进行隐蔽通信，利用该后门，攻击者可以不受限制地访问SolarWinds软件和分发机制。

供应链攻击是一种很难防御的攻击手法，具有牵涉到的企业广、极端隐蔽难检测、软件生命周期暴露环节多、使用开源组件不可控等特点；另外，我们也会发现当前普遍采用的纵深防御、威胁情报、应用程序白名单等防御技术在面对供应链攻击时变得力不从心了。在2023年5月1日实施的《关键信息基础设施安全保护要求》（GB/T 39204-2022）中，对供应链攻击安全防护给出了建立供应链安全管理制度、采购通过国家检验认证的产品、建立合格供应方目录、进行源代码安全检测等应对手段。

针对将恶意代码植入到合法供应商合法软件中的供应链攻击手法，我们可以预测工业网络在应对这类攻击的实时防护能力上，需要补充轻量级工业EDR（端点检测和响应）能力，通过全面记录端点系统行为事件，使用行为分析、机器学习等技术分析可疑异常行为，实现对未知潜在威胁的有效发现。另外，工业EDR产品要做到低资源消耗，以适用于部署在工业网络老旧主机上；要摒弃补丁管理，云查杀等只适用于IT网络开发的复杂功能，适用于工业网络使用。

图供应链攻击安全防护手段

趋势3：做自主可控可信免疫安全

大型PLC等自动化系统或设备被国外品牌垄断，关基设施网络安全如何保障？

对于企业来说解决工业网络存在的安全风险从根源上去看是要尽量解决网络中资产本身的脆弱性，从设计上提高工业网络关键设备或系统自身的安全属性，尽量减少其脆弱性，提高其对抗网络攻击的能力。

在国内电力行业，《电力监控系统网络安全防护导则》（GB/T 36572-2018）在电力监控系统网络安全防护体系的设计上规划了系统本体安全（电力监控系统软件、操作系统和基础软件、计算机和网络设备及电力专用监控设备、核心处理器芯片均采用安全、可控、可靠的软硬件产品）和可信安全免疫（推广应用以密码硬件为核心的可信计算技术）的能力建设，以中国华能、中国华电、国家能源集团、大唐集团公司、国家电投为代表的发电集团已开始进行自主可控可信免疫安全的推广应用，相信在可预期的将来，随着国内工业企业产品的不断完善，国内更多的工控行业将加入自主可控的阵营。

图电力行业自主可控可信免疫安全建设

趋势4：工业领域做数据安全治理

工艺参数、设计数据、物流数据、客户信息，网络互联后这些数据还安全吗？

数据是国家基础战略性资源和重要生产要素，随着《数据安全法》《个人信息保护法》等法律法规相继落地施行，数据安全保障体系和能力建设显得尤为重要。任何一家工业企业的生产运营都对工业数据都有着高度的依赖性，诸如生产工艺参数、产品设计数据、设备运行数据、物流数据等是影响企业生产活动的关键业务数据，这些数据的泄露、篡改、丢失或错误都可能影响企业经营效益、生产经营安全、国计民生甚至国家安全。

为探索构建工业领域数据安全管理体系，有效保障数据安全，推动数字经济高质量发展，工信部办公厅于2021年12月发文《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点工作的通知》（工信厅网安函〔2021〕295号）；督促企业落实数据安全主体责任，工信部已经在工业领域组织了15个省份300余家工业企业开展数据安全管理试点，探索构建工业领域数据管理模式。

在工业领域数据安全治理实践在走深向实的大趋势下，威努特以贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规为核心，以工信部开展工业领域数据安全管理试点工作相关文件为依据，结合工业企业数据资产的现状以及现有的数据安全防护现状，提出了“1个平台、2个并重、3套体系”的“1+2+3工业领域数据安全治理思路”。为国家全面加快构建工业领域数据安全管理体系建言献策。

图工业领域数据安全治理思路

趋势5：工业级安全运营管理中心

工业网络和办公网络的安全运营管理是一回事吗？

将于2023年10月1日实施的《网络安全态势感知通用技术要求》（GB/T 42453-2023）对网络安全态势感知的定义是：“通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息等数据，分析和处理网络行为及用户行为等因素，掌握网络安全状态，预测网络安全趋势，并进行展示和监测预警的活动”。

互联后的工业网络存在资产和软件系统众多，生产人员的运维工作复杂，相关设备和平台存在安全漏洞多、安全威胁日志庞大难以确定关键攻击等问题，建立网络安全态势感知平台可以给网络运营者和管理者一个全局性和可视化的安全风险运维手段。

在工业网络的安全运营中，应建立工业级安全运营管理中心，除了含有办公网安全态势感知平台的能力外，还需要具有工业网络安全独特的技术和能力。如（1）被动工业资产测绘技术：被动资产测绘是避免对工控网络造成不可接受的干扰；工业资产测绘是要支持对工控设备、工业协议的识别，形成完整的工业网络资产知识库；（2）工控协议规约、关键操作预警能力：运营中心要有能力对违反工业协议规约的报文进行告警，对组态变更、PLC下装、运行参数篡改等关键操作行为进行检测告警。可以预见，建立更加符合工业网络安全管理和威胁检测的工业安全运营管理中心是必然的发展趋势。

图工业安全运营管理中心技术能力

03

结语

网络空间的攻防对抗并非是一场对称性的战争，企业需要面对来自全球的威胁和攻击者，借鉴重要行业和领域开展网络安全保护工作的成熟经验，开放吸纳网络安全防护方面的先进技术，积极参与威胁情报的深入交流和共享，将有助于工业企业构筑成熟、先进、高效的对抗网络安全威胁的防线。