在11月27日闭幕的工控安全与工业信息安全论坛上，浙江国利网安科技有限公司副总经理张志群作了题为《工控安全建设思考》的报告，分析了工业制造新一轮技术革新给工控安全带来的新问题、新挑战，表达了关于如何基于攻击者视角进行防御，并以运营方和安全提供方两个角色，协同完成工控安全建设的思考，阐述了以“保障控制安全”为核心，以“无扰、实效、易维”和“智见、微隔离、处置敏捷”为目标，真正保障企业业务安全与工控网络安全的工控安全建设观。

工控安全建设思考

——浙江国利网安科技有限公司副总经理张志群

工控安全建设视角

我们知道，安全是人与人之间的较量，更是一种攻防思维的博弈。为此，在工控安全建设过程中，我们安全防护方也需要象攻击方一样进行思考，知晓有哪些攻击方法和路径，知晓攻击的大致的发展趋势，才能够有针对性地进行工控安全防御体系的建设。那么，在工控安全防御体系建设中，则需要有运营方和安全提供方进行全力配合协同完成，才能保障系统能够建设好，由于两方所处位置和看问题的角度不同、出发点的不同，对于工控安全的建设则自然有不一样的需求和诉求。

工控系统网络攻击分析

我们系统整理了2010年以来发生的重大工控安全事件，从这儿，我们可以看到，自从2010年针对伊朗核电站的“震网病毒”事件爆发以来，针对工控系统尤其是能够影响物理世界的网络攻击越来越多，这里面乌克兰、委内瑞拉的2次停电事件、美国的科洛尼尔遭受勒索病毒事件、伊朗胡齐斯坦钢铁厂遭受网络攻击导致大火事件最为典型。

针对这些典型的信息物理系统安全事件我们进行了深入还原分析，包括每个安全事件对应的攻击目标、攻击方法以及对物理空间的实际影响等，可以看到，Triton能够针对施耐德的安全仪表系统展开攻击，导致安全保护系统失效；乌克兰的两次停电事件，最终都是控制操作站，操控断路器和修改设备运行参数等方法达到破坏物理系统的目的；伊朗的胡齐斯坦钢铁厂遭受的网络攻击则是黑客入侵后控制了操作员站，通过操控回转台相关参数而达到攻击的效果。

通过系统地整理历年的工控安全事件，我们发现，针对工控系统的攻击，数量呈现逐年上升，并有常态化的趋势；同时，攻击具有潜伏周期长的特点，如Darkside潜伏期可多达数个月；工控攻击的着力点聚焦到了控制层和设备层，如控制系统、功能安全相关设施以及设备层的各种执行器上面，如上述介绍的断路器、回转台等，这也工控网络攻击武器化的典型特征。

针对工控系统的攻击，我们完善了工控系统杀伤链模型，系统梳理了针对每个工控系统的对象可能存在的攻击方式方法和潜在影响，并做了一个概要呈现，从过程监控层、现场控制层到现场设备层，针对每一层的对象，梳理和总结相应的攻击路径、方法和手段，这样我们才能知道如何进行有针对性地防护。但是，我还是补充一下我的理解，工控系统最优先保障的是系统业务的可用性，保障控制的安全，以及在出现可能的安全生产风险情况下如何进行风险管控和应急管理，对于关键基础设施尤其如此。

工控安全建设观

从工控安全建设来说，有运营方和提供方，他们有不同的思考逻辑和诉求。对于运营方，其基于业务运营出发，首先保障生产的连续性、稳定性和可靠性，安全最终还是为了保障业务，因此对于工控安全防护体系建设时要求无扰、实效和易维。无扰要求对业务零影响，实效则是能满足现有工控系统对安全的需求，易维则需要方便用户使用，减少维护工作量，降低运维成本；对于安全建设的提供方来说，他的出发点是要保障工业控制系统的安全，尤其是控制的安全，则需要安全看得见、攻击防得住、事件可处置，最终达成网络安全风险可控可管的目的。

无扰是指在已有的工控系统中增加工控安全功能时，不能因此而影响已有业务的有效开展，为此，我们需要从业务连续性、业务弹性、网络架构、功能安全等方面，针对增加的工控安全软件和设备，开展充分的评估和测试，保障对业务的真正零影响。

实效是指务实求真，充分考虑工控系统的现状进行防护能力的建设。首先，要满足国家等级保护和关键基础设施保护，以及行业监管的需要；其次，要适度防护，即在不影响业务连续性情况下完成攻击防护；第三，考虑到工控攻击具有时效性，潜伏期长的特点，为此，体系建设时要具备快速收集、发现并识别系统异常并判定风险的能力，最后能够采用主、被动防御等处置手段，缓解或化解安全风险。

易维即围绕一线使用者的真正诉求，在操作使用上要贴近行业用户的认知，所见即所得，具备良好的操作性易用性，能通过易学、易见、易用等方面进行安全产品评价，化繁为简，从而减少企业的实际运营成本。

那么，从安全建设的提供方来说，安全首先要摸清家底，让安全看得见，要让用户看得见资产、用户、网络、控制和工艺流程等细粒度的全息信息；能看得清每个资产、子系统的暴露面，资产与资产、资产与用户之间的交互关系、控制流和工艺流的过程交互等。在这个基础上，对于各种变化和异常能够看得真，如资产变化、网络变化、网络异常、各种策略变化、设备参数、运行参数及工艺参数变化、控制器和执行器的异常变化，等等，这为攻击防得住打下良好的数据基础。

随着工控系统从封闭走向开放，从电气化走向智能化，IT和OT也逐步打破原有的物理边界，走向融合过程中，对应防护体系化思路，也从物理隔离演进到现在的边界隔离，在真正的智能化时代，即CPS时代下，网络边界将更为模糊，我们的防护思路也要演进到基于业务的隔离，这要求我们能够清晰地梳理出业务及行为并选择最合适的隔离方式，如物理隔离、物理单向、逻辑隔离、业务隔离等等，最低等级是能够基于异常行为的告警。我们采用的微隔离技术，其基本组网和隔离思路是各分区、分域、分段间的物理隔离、物理单向或者逻辑隔离，工段间的业务隔离、控制器间的业务隔离和主机隔离，等等。通过微隔离技术可以为工控系统建立立体化的纵深防御体系。

对于安全事件的处置，我们需要结合行业、结合客户，针对不同的安全事件进行分类分级，结合不同的场景和对象，构建适合的处置流程，设立安全事件处置步骤，并固化到运维处置平台。这个平台是安全事件处置的中心，通过中台化的设计和各种处置工具包，如安全事件分析工具、安全日志提取工具、封堵工具、主机恢复、控制器组态恢复工具等，建立“流程+平台+处置工具包”来提高安全事件处置的敏捷性，能够输出各种安全能力，如提供智能决策、精准防御、主动防御等，同时能够满足行业及客户的各种业务场景的需求。

工控安全能力体系

针对工控系统的安全，我们基于“安全可信、主动防御”的安全理念，深入分析用户工业控制系统内生安全需求，基于“无扰、实效、易维”“智见、微隔离、处置敏捷”的工控安全建设观，钻研符合工控系统需要的各种安全能力、安全支撑技术，构建研发能力平台，基于研发能力平台我们建立了差异化的工控安全产品、技术和解决方案体系，目前我们有5大产品线。

其中，我们围绕控制器做真正防护。从工控攻击发展趋势来看，更改控制逻辑和设备运行参数等，靠边界隔离防护是远远不够的，工控系统的安全防护最终还是需要围绕控制器建立事前监测预警、事中对各种异常行为进行阻断，事后能够对控制器的逻辑篡改等异常时进行阻断或者恢复，从而真正解决工控系统的安全性问题。我们通过“主机安全卫士+控制器防护系统+完整性监测恢复系统”就很好得满足了上述要求。

我们的研发能力平台可以简单概括为“1+3+1”，即：1套适合于工控场景的硬件平台，3个软件开发平台，包括嵌入式安全软件平台、工控大数据分析平台、终端安全软件平台以及1个工控知识库，为我们产品研发提供了快速的能力支撑。工控安全试验场是我们工控安全能力的基石，它以“攻防评一体化”为目标，为工控安全攻防核心技术研究、产品检测检验、承担国家项目提供了重要的环境支撑。