在11月27日閉幕的工控安全與工業信息安全論壇上，浙江國利網安科技有限公司副總經理張志群作了題為《工控安全建設思考》的報告，分析了工業制造新一輪技術革新給工控安全帶來的新問題、新挑戰，表達了關于如何基于攻擊者視角進行防御，并以運營方和安全提供方兩個角色，協同完成工控安全建設的思考，闡述了以“保障控制安全”為核心，以“無擾、實效、易維”和“智見、微隔離、處置敏捷”為目標，真正保障企業業務安全與工控網絡安全的工控安全建設觀。

工控安全建設思考

——浙江國利網安科技有限公司副總經理張志群

工控安全建設視角

我們知道，安全是人與人之間的較量，更是一種攻防思維的博弈。為此，在工控安全建設過程中，我們安全防護方也需要象攻擊方一樣進行思考，知曉有哪些攻擊方法和路徑，知曉攻擊的大致的發展趨勢，才能夠有針對性地進行工控安全防御體系的建設。那么，在工控安全防御體系建設中，則需要有運營方和安全提供方進行全力配合協同完成，才能保障系統能夠建設好，由于兩方所處位置和看問題的角度不同、出發點的不同，對于工控安全的建設則自然有不一樣的需求和訴求。

工控系統網絡攻擊分析

我們系統整理了2010年以來發生的重大工控安全事件，從這兒，我們可以看到，自從2010年針對伊朗核電站的“震網病毒”事件爆發以來，針對工控系統尤其是能夠影響物理世界的網絡攻擊越來越多，這里面烏克蘭、委內瑞拉的2次停電事件、美國的科洛尼爾遭受勒索病毒事件、伊朗胡齊斯坦鋼鐵廠遭受網絡攻擊導致大火事件最為典型。

針對這些典型的信息物理系統安全事件我們進行了深入還原分析，包括每個安全事件對應的攻擊目標、攻擊方法以及對物理空間的實際影響等，可以看到，Triton能夠針對施耐德的安全儀表系統展開攻擊，導致安全保護系統失效；烏克蘭的兩次停電事件，最終都是控制操作站，操控斷路器和修改設備運行參數等方法達到破壞物理系統的目的；伊朗的胡齊斯坦鋼鐵廠遭受的網絡攻擊則是黑客入侵后控制了操作員站，通過操控回轉臺相關參數而達到攻擊的效果。

通過系統地整理歷年的工控安全事件，我們發現，針對工控系統的攻擊，數量呈現逐年上升，并有常態化的趨勢；同時，攻擊具有潛伏周期長的特點，如Darkside潛伏期可多達數個月；工控攻擊的著力點聚焦到了控制層和設備層，如控制系統、功能安全相關設施以及設備層的各種執行器上面，如上述介紹的斷路器、回轉臺等，這也工控網絡攻擊武器化的典型特征。

針對工控系統的攻擊，我們完善了工控系統殺傷鏈模型，系統梳理了針對每個工控系統的對象可能存在的攻擊方式方法和潛在影響，并做了一個概要呈現，從過程監控層、現場控制層到現場設備層，針對每一層的對象，梳理和總結相應的攻擊路徑、方法和手段，這樣我們才能知道如何進行有針對性地防護。但是，我還是補充一下我的理解，工控系統最優先保障的是系統業務的可用性，保障控制的安全，以及在出現可能的安全生產風險情況下如何進行風險管控和應急管理，對于關鍵基礎設施尤其如此。

工控安全建設觀

從工控安全建設來說，有運營方和提供方，他們有不同的思考邏輯和訴求。對于運營方，其基于業務運營出發，首先保障生產的連續性、穩定性和可靠性，安全最終還是為了保障業務，因此對于工控安全防護體系建設時要求無擾、實效和易維。無擾要求對業務零影響，實效則是能滿足現有工控系統對安全的需求，易維則需要方便用戶使用，減少維護工作量，降低運維成本；對于安全建設的提供方來說，他的出發點是要保障工業控制系統的安全，尤其是控制的安全，則需要安全看得見、攻擊防得住、事件可處置，最終達成網絡安全風險可控可管的目的。

無擾是指在已有的工控系統中增加工控安全功能時，不能因此而影響已有業務的有效開展，為此，我們需要從業務連續性、業務彈性、網絡架構、功能安全等方面，針對增加的工控安全軟件和設備，開展充分的評估和測試，保障對業務的真正零影響。

實效是指務實求真，充分考慮工控系統的現狀進行防護能力的建設。首先，要滿足國家等級保護和關鍵基礎設施保護，以及行業監管的需要；其次，要適度防護，即在不影響業務連續性情況下完成攻擊防護；第三，考慮到工控攻擊具有時效性，潛伏期長的特點，為此，體系建設時要具備快速收集、發現并識別系統異常并判定風險的能力，最后能夠采用主、被動防御等處置手段，緩解或化解安全風險。

易維即圍繞一線使用者的真正訴求，在操作使用上要貼近行業用戶的認知，所見即所得，具備良好的操作性易用性，能通過易學、易見、易用等方面進行安全產品評價，化繁為簡，從而減少企業的實際運營成本。

那么，從安全建設的提供方來說，安全首先要摸清家底，讓安全看得見，要讓用戶看得見資產、用戶、網絡、控制和工藝流程等細粒度的全息信息；能看得清每個資產、子系統的暴露面，資產與資產、資產與用戶之間的交互關系、控制流和工藝流的過程交互等。在這個基礎上，對于各種變化和異常能夠看得真，如資產變化、網絡變化、網絡異常、各種策略變化、設備參數、運行參數及工藝參數變化、控制器和執行器的異常變化，等等，這為攻擊防得住打下良好的數據基礎。

隨著工控系統從封閉走向開放，從電氣化走向智能化，IT和OT也逐步打破原有的物理邊界，走向融合過程中，對應防護體系化思路，也從物理隔離演進到現在的邊界隔離，在真正的智能化時代，即CPS時代下，網絡邊界將更為模糊，我們的防護思路也要演進到基于業務的隔離，這要求我們能夠清晰地梳理出業務及行為并選擇最合適的隔離方式，如物理隔離、物理單向、邏輯隔離、業務隔離等等，最低等級是能夠基于異常行為的告警。我們采用的微隔離技術，其基本組網和隔離思路是各分區、分域、分段間的物理隔離、物理單向或者邏輯隔離，工段間的業務隔離、控制器間的業務隔離和主機隔離，等等。通過微隔離技術可以為工控系統建立立體化的縱深防御體系。

對于安全事件的處置，我們需要結合行業、結合客戶，針對不同的安全事件進行分類分級，結合不同的場景和對象，構建適合的處置流程，設立安全事件處置步驟，并固化到運維處置平臺。這個平臺是安全事件處置的中心，通過中臺化的設計和各種處置工具包，如安全事件分析工具、安全日志提取工具、封堵工具、主機恢復、控制器組態恢復工具等，建立“流程+平臺+處置工具包”來提高安全事件處置的敏捷性，能夠輸出各種安全能力，如提供智能決策、精準防御、主動防御等，同時能夠滿足行業及客戶的各種業務場景的需求。

工控安全能力體系

針對工控系統的安全，我們基于“安全可信、主動防御”的安全理念，深入分析用戶工業控制系統內生安全需求，基于“無擾、實效、易維”“智見、微隔離、處置敏捷”的工控安全建設觀，鉆研符合工控系統需要的各種安全能力、安全支撐技術，構建研發能力平臺，基于研發能力平臺我們建立了差異化的工控安全產品、技術和解決方案體系，目前我們有5大產品線。

其中，我們圍繞控制器做真正防護。從工控攻擊發展趨勢來看，更改控制邏輯和設備運行參數等，靠邊界隔離防護是遠遠不夠的，工控系統的安全防護最終還是需要圍繞控制器建立事前監測預警、事中對各種異常行為進行阻斷，事后能夠對控制器的邏輯篡改等異常時進行阻斷或者恢復，從而真正解決工控系統的安全性問題。我們通過“主機安全衛士+控制器防護系統+完整性監測恢復系統”就很好得滿足了上述要求。

我們的研發能力平臺可以簡單概括為“1+3+1”，即：1套適合于工控場景的硬件平臺，3個軟件開發平臺，包括嵌入式安全軟件平臺、工控大數據分析平臺、終端安全軟件平臺以及1個工控知識庫，為我們產品研發提供了快速的能力支撐。工控安全試驗場是我們工控安全能力的基石，它以“攻防評一體化”為目標，為工控安全攻防核心技術研究、產品檢測檢驗、承擔國家項目提供了重要的環境支撐。