近年来，工业领域的网络安全问题愈发凸显，并且呈现出隐蔽度深、攻击手段多样化的趋势，不断演变的威胁给个人、企业和国家带来了巨大的损失，已经成为全球性的难题。

据相关机构统计，2022年公开披露的工业信息安全事件共312起，覆盖了十几个工业细分领域，呈现出攻击目标多元化、手段复杂化、影响扩大化的趋势。

在北京网藤科技有限公司副总裁胡仁豪看来，与传统网络安全相比，工控安全具有其独特性。综合来看，导致工控安全事件频发的主要原因是：

边界扩大化：随着IT（信息技术）和OT（操作技术）全方位融合，工业控制系统开始由单机走向互联、由自动化走向智能化，工业生产网络逐步与办公网、互联网以及第三方网络加速互联互通，工控系统的网络安全边界明显扩大。

防护差异化：由于工控系统有其特殊性，表现在工业软件、工业协议、工艺流程等各环节中，传统安全防护手段难以直接对工控系统进行防护。

攻击目标化：工控系统作为国家关键基础设施重要组成部分，已经上升到国家战略高度，一旦受到攻击会关系到国计民生，因其重要性之高、价值之大，使得一些犯罪组织、极端势力有针对性的进行攻击和破坏。

北京网藤科技有限公司副总裁 胡仁豪

中电安科咨询规划部总经理郭占先认为，目前工控安全事件频发，可以从攻击对象的特殊性、防护对象的行业属性，以及安全防护意识三个方面找到原因。他表示，与网络诈骗、杀猪盘，或窃取个人信息、隐私数据的网络攻击不同，工业企业的入侵者通常为针对企业的定向勒索。而从防护对象的行业属性来看，工控安全防护的对象是能源、电力、交通、货运港口等关键信息基础设施行业。这些行业不仅关乎人们日常生活中的“水电煤”，更是一国的经济“命脉”。此外，目前大多数工控系统缺乏基本的防护措施。这是由于在工业互联网发展初期，企业安全意识十分淡薄，防护措施不到位，埋下了很多隐患。

郭占先进一步表示，工控系统与IT系统最大的区别在于，工控系统对实时性、业务连续性有着极高要求。基于上述区别，工控系统的网络安全防护重点也与信息安全不同。为了保证实时性、业务连续性不受影响，工控安全防护的重点在应用层，产品的核心点在于对工控协议、工控行为的识别。此外，随着工业生产网络逐步与办公网、互联网以及第三方网络加速互联互通，工控安全防护要做到动态防护，而不能依靠之前“封堵查杀”这样传统、封闭式、静态的防护思路。

日前，赛迪顾问股份有限公司发布了《中国工控安全市场研究报告（2022）》。赛迪顾问表示，在工控环境下单纯的隔离或者单点的安全能力建设已不足以应对现阶段复杂环境下企业所面临的安全威胁。工业企业在业务发展和技术进步的驱动下，在单点防护逐步完善的基础上，要根据工业控制网络自身特点，以体系化管理、自动化运维、智能化感知等方式建立工控安全纵深防御体系。工控安全从单点安全能力建设转向体系化纵深防御是行业发展的必然趋势。

笔者认为，随着技术的不断演进，攻击手段也变得日趋复杂。为了更好地实现工控安全防护目标，不仅需要加快相关政策的落地，提升员工的安全意识，并加快安全人才培养，企业还需要结合自身业务特点，采取相匹配的、体系化的解决方案。因为无论是企业整体的数字化转型，还是工控安全防护都是一个系统化工程，不可能一蹴而就。

完善政策筑牢安全围栏

IDC2022年全球工业安全市场报告预测，到2026年，全球工业安全市场规模将达到67亿美元，五年间年复合增长率高达28.4%。与此同时，中国的工业安全建设力度也在进一步加强。

自2016年10月工业和信息化部发布《工业控制系统信息安全防护指南》以来，国家关于工控安全方面的法规与政策不断出台，政策体系不断完善。

2019年，网络安全等级保护制度2.0标准正式发布并实施。在《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）中，除提出通用安全要求外，还重点提出了工业控制系统安全扩展要求。

2021年9月，《关键信息基础设施安全保护条例》正式施行，进一步明确了关键信息基础设施安全保护的具体要求和措施，将推动各行业各领域全面开展关键信息基础设施安全保障工作。同时，2022年11月，国家市场监管总局批准发布了《信息安全技术关键信息基础设施安全保护要求》（GB/T39204-2022）国家标准文件。该标准作为《关键信息基础设施安全保护条例》发布后首个正式发布的关键信息基础设施安全保护标准，为开展关键信息基础设施安全保护工作提供了具体的工作指引。

此外，从行业的角度来看，能源、电力、交通运输、生产制造等行业，由于安全现状有所不同，各工业系统的安全需求具有差异化，因此各行业主管部门均根据自身情况，推进行业内的工业安全建设指导，并形成行业标准。

例如，2022年2月，工信部印发的《车联网网络安全和数据安全标准体系建设指南》提出，到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准。2022年12月，国家能源局修订印发了《电力行业网络安全管理办法》。在电力系统结构日趋复杂、网络边界日益扩大、网络安全形势动态变化的情况下，对电力行业网络安全工作提出了更高的要求。

中电安科咨询规划部总经理 郭占先

郭占先表示，工控安全的发展，需要安全事件、合规要求以及用户的安全意识三方面驱动。

首先，全球工控安全事故频发，不断为安全行业从业人员敲响警钟。其次，合规要求迅速提升。随着网络安全法、《信息安全技术网络安全等级保护测评要求》、《关键信息基础设施安全保护条例》等国家法律法规和行业标准的正式发布，电力、能源、交通等行业成为政策关注的重点方向，也推动各行业内的制度建设、技术要求相继出台，工控安全防护的必要性、可实施性极大增强。最后，安全认知持续提高。随着网络安全成为企业职责，能源电力等关键行业的实际业务需求快速增长，网络安全认知及风险意识正在持续提升，工控安全作为关键业务场景将直接获益。

边界模糊化加大防护难度

随着工业领域数字化、网络化、智能化与服务化的加速发展，网络安全威胁正向工业领域加速渗透，网络攻击手段日趋复杂多样，工控安全整体面临的挑战也日益严峻。

胡仁豪表示，在工控边界逐渐扩大、工艺场景复杂多变的情况下，工控安全防护面临诸多难点和挑战。一方面，随着以IT和OT融合为特征的工业数字化转型快速推进，工业生产网和信息网打通，网络空间攻击面进一步扩大；另一方面，不同的工艺场景涉及不同工艺流程、参数以及工业协议，工业环境的差异化对工控安全防护的要求更高。

以油气行业为例，中国石油集团工程技术研究院信息中心副总经理梅运谊表示，尽管油气物联网体系框架完整、技术框架相对成熟、应用场景丰富，但由于终端种类多、规模大、难监管，数据量大且分散、风险大，安全防护能力不足等原因，因此也面临巨大安全挑战。

木链科技副总经理 郭宾

对此，木链科技副总经理郭宾表示，目前我国工业企业在工控安全防护方面的痛点及难点主要包括以下几个方面：

一是边界变得越来越模糊。随着工业企业加速应用各种数字化解决方案和工具，原本封闭的OT环境正走向开放，工业控制系统边界逐渐模糊，这给产品间的协同、数据间的连接互通、通信协议的互认等带来了更大的难度，提升了企业的防护成本。

二是工业企业在制定防护策略及方案的过程中，不仅要全面了解国家及地方的政策标准和行业规范要求，还要在此基础上制定出同步满足各监管方要求的实施方案。这对于相对缺乏安全防护技术的企业来讲，建设难度极大提升。

三是安全人才缺乏，安全技能有限。对于很多工业企业而言，既懂信息安全又熟悉工业系统环境的专业人员严重匮乏，制约着信息安全意识与防护技术的提升。因为安全人才的匮乏会制约对于安全设备的高效使用、安全策略的有效下发以及防御能力的整体提升。

此外，郭宾还表示，长期以来，部分工业企业烟囱式的系统建设，可能导致其不同生产车间、不同生产工段所采用的控制器、工业软件乃至网络拓扑都不尽相同，由此带来的管控等级提升和协议的复杂程度，都对企业的工控安全防护提出了更高的技术要求。

郭占先认为，在工控安全领域，无论是合规性建设还是全面防护思路，都要考虑采取适用和实用的安全运营方式。工控安全建设重点防护有三大方向：

一是合规建设。工控系统的安全建设需满足网络安全法、《关键信息基础设施安全保护条例》、《网络安全等级保护基本要求》以及《工业控制系统信息安全防护指南》等有关国家政策、标准对工控系统的安全防护要求。

二是全面防护。针对网络、终端、应用数据、运维、管理等多个层面建立完整的安全防护与管理体系，实现工控网络全方位的立体安全保护，具备可延续和可扩展的能力，实现纵深防护。

三是安全运营。工控安全运营需要一方面确保对工控系统零干扰，另一方面能切实有效地实现工控安全的自动化运营管控，实现安全管理集中化、智能化、可视化，提高对安全威胁的应急响应能力，提升运维水平和效率，形成监测预警、动态防御、响应处置、追踪溯源的网络安全运营体系。

平台化、体系化建设是未来趋势

历经边界隔离和单点防护的发展阶段，工控安全如今已经进入纵深防御阶段。在工控安全领域，从单点安全能力建设转向体系化纵深防御已经成为行业发展的必然趋势。

从全球市场来看，例如卡巴斯基、Fotinet、Nozomi、Tenable等国际安全厂商推出的解决方案，都是优先考虑对工控安全防护平台的整体能力进行建设，而不是先进行单点安全能力建设。相对应的，国内大多数的工控安全解决方案，在设计规划时，也大都遵循安全管理平台化的理念，对工业防火墙、工业审计、工控主机卫士等进行统一的管理和调度。

在郭占先看来，中电安科更提倡体系化建设而不是单点作战，并且一直倡导“可知、可管、可控”的工控安全整体防护理念。

“可知”就是摸清家底，利用工控流量监测审计产品旁路获取工控系统的资产信息、流量信息、链路信息、工控行为信息、协议信息等，并形成白名单特征库。“可管”是通过多个维度实时与白名单库进行对比分析，识别异常行为并告警。“可控”是有了相对精准的告警信息、日志信息，以及庞大的安全处置知识库，可以从技术和管理两个维度对威胁进行管控，从而实现工控安全防护的目标。

“工业企业应该部署一套功能完善的安全管理平台。该平台不仅能够统一管理不同的工控安全产品，还能够像工单管理系统那样，向相关人员自动化推送安全管理信息。如果单靠人来发现风险并逐一沟通的话，注定无法满足一家企业日常的安全应急和运营需求。”郭占先如是说。

郭宾表示，随着企业对安全建设投入越来越多，企业顶层规划及信息化建设的思路会朝着平台化、体系化建设的方向发展。不过，在这一过程中，在帮助用户筑牢安全底线的同时，还应该关注企业的安全刚需。“安全底线是指合规性建设，而安全刚需则是用户在安全防护中存在空缺的一个个‘点’。例如，我们与国网某省电科院联合研发的智能变电站协议解析和流量分析工具，就是我们立足用户特定需求，与用户一同打造的行业级安全产品。”他表示，“体系化建设再‘丰满’也无法解决所有的问题。而聚焦用户的安全刚需让我们走出了一条与众不同的发展道路，拥有了更大的发展创新空间。”

在笔者看来，郭宾所提到的“点”并不是指要走回单点防护的老路，而是透过深入的行业理解和实践，聚焦工业企业更为精细化、场景化的安全需求。事实上，这也是行业未来发展的一个重要方向。

郭占先表示，工控安全产品和解决方案，从最初的产品设计到研发，都不能脱离工业互联网的应用场景，不能为了做产品而做产品，而是应该在合规性建设的前提下，尽可能地开发行业用户需要的功能，消除行业用户的痛点。

“企业进行安全建设要与工艺场景紧密结合，从生产业务中来到生产业务中去，结合工业设备、工业流量、工业协议、工业指令等进行工艺流程分析，结合场景进行安全评估、安全设计、安全建模、安全防护。”胡仁豪如此说道。

基于多种需求，工控安全解决方案应该既可以满足工控安全项目对于等保合规性的要求，又可以充分发挥平台化优势，将安全数据上传至管理平台，并以SaaS（应用即服务）化服务的方式向企业提供数据分析及展示服务，从而有效满足物联网、数据上云、智能制造等多种场景下的应用需求。

如今，国内大多数工控安全厂商提供的新一代工控安全防护解决方案，基本都采用了平台化、体系化、场景化的建设思路。通过一定时间的技术完善以及用户安全意识的提升，相信越来越多的用户会以平台化的模式来开展体系化的工控安全能力建设。

自主可信才能安全可控

随着外部环境不确定性加剧，信息技术应用创新（以下简称“信创”）已经成为数字化转型的重要组成部分和关键基础设施的重要支撑，对于保障软硬件供应链安全，推动核心数字产业升级的重要性日益凸显。

郭占先表示，目前，我国关键基础设施中使用的核心技术产品大多来自国外，面临的最为直接的威胁是黑客组织对关键信息基础设施的定向攻击。对此，国家着力从顶层设计角度解决信创安全面临的最为紧迫棘手的问题。

“中电安科自2016年成立以来，聚焦工控网络安全产品的自主研发，基于主要产品全自研的行业优势，率先在行业内提出‘工控+本土化’‘工控安全+信创’等概念。如今，正加快脚步实现中电安科整个产品线的本土化，并已在多个研究院进行相关试点工作。”郭占先如此说道。

杭州中电安科现代科技有限公司

郭宾表示，木链科技认为，新一代的信创安全能力要从自主、可控两个方面来加强。自主是实现核心技术、关键零部件、各类软件的自研、自造。可控则是实现信息安全的重要目标。完善的生态链能够有效推动信创产业发展，这就需要产业链上下游共同努力并历经市场的不断检验。

木链科技全面支持国产芯片、操作系统、数据库、主机等上下游环境，相关产品已与飞腾、海光、华为鲲鹏等主流国产芯片，麒麟等主流国产操作系统，中科曙光服务器完成兼容适配性认证，在PKS安全体系、麒麟软件安全生态联盟、光合组织中也均能看到木链科技的身影。

此外，木链科技还将积极构建信创实验室，围绕产品测评、建设方案咨询与设计、信创人才培训等为用户提供专业服务。同时基于实验室平台，协同生态伙伴共同参与信创体系下各类安全标准研究，协助监管单位进一步完善信创环境下的网络安全漏洞发现、修复和应急响应工作。

在国家政策的指导下，根据不同行业及不同应用场景的需求，信息安全技术需要不断创新，信创安全能力也需要不断完善。与此同时，随着信创生态的不断壮大，配套软硬件不断发展，安全领域需要打造统一标准、性能可靠的底层IT基础设施，并形成常态化的适配工作，以满足未来大规模部署应用。

记者手记

通过对工控安全领域的整体分析，笔者观察到，不同行业、不同体量的企业在安全方面的投入存在明显差异。以电力、能源为代表的工业企业，受合规性要求的推动，在安全投入预算上相对充足。而其他制造业企业，特别是非国有的制造业企业，在工控安全方面的投入则相对较少。由此来看，尽管我国工业企业的安全防护意识正逐步提高，但发展还不平衡，整体仍处于起步阶段。

不仅如此，工控安全人员的技能也亟待提高。从现状来看，工控安全人员与系统运行的衔接性仍存在明显不足。如果工控安全人员对工控系统网络安全需求的把控不准确，就会导致实施的防护策略对系统运行的针对性不足，无法起到防护作用。

然而，有不足也有突破。一方面，国家及地方结合工控系统信息安全实际情况，正逐步完善配套法规及标准体系，保障工控系统的建设规范和安全运行；另一方面，通过加强国产技术研发，引导和扶持国内工控企业，我国正推动工控系统核心技术快速实现本土化和产业化。

此外，通过打造更多可复制推广的标杆案例，还能将先进的工控安全防护理念和技术惠及更多企业，有利于构建更加良性的生态体系，从而实现规模化发展。

在笔者看来，新一代信息技术的深入应用，对于工控安全防护既是挑战也是机遇。如何抢抓机遇？关键在于建立健全工业企业网络安全保障体系，并实现差异化、精准化的防护。

进一步来讲，工业企业要做好工控系统安全防护，不仅要对工控系统及相关网络有深入了解，更要对其所承载的业务有足够认识。因此，工业企业在进行工控安全纵深防御安全建设时，需要根据企业实际情况，分层次做好需求分析、规划设计和实施落地。

作者：路沙

编辑：高珊珊

监制：刘晶