工業(yè)互聯(lián)網(wǎng)已經(jīng)成為了各方關(guān)注的焦點(diǎn)。但是，與工業(yè)互聯(lián)網(wǎng)相關(guān)的安全事故也頻頻發(fā)生，安全已經(jīng)不可忽視。數(shù)世咨詢的《工業(yè)互聯(lián)網(wǎng)安全能力指南》將從工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力、工業(yè)互聯(lián)網(wǎng)安全按檢測(cè)/審計(jì)能力、工業(yè)互聯(lián)網(wǎng)安全服務(wù)能力、工業(yè)互聯(lián)網(wǎng)安全靶場能力、以及工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)能力，五個(gè)維度，對(duì)工業(yè)互聯(lián)網(wǎng)安全能力進(jìn)行分析。

由于內(nèi)容篇幅較長，本報(bào)告先會(huì)分批發(fā)布，最終還會(huì)合并發(fā)布完整版。第一部分將以整體工業(yè)互聯(lián)網(wǎng)安全概念為主。

前言

近幾年來，和工業(yè)相關(guān)的嚴(yán)重安全事故頻發(fā)，工業(yè)互聯(lián)網(wǎng)相關(guān)的安全已經(jīng)到了不可不關(guān)注的時(shí)刻。

工業(yè)的自動(dòng)化、信息化，以及最終需要達(dá)到的數(shù)字化，其目的都是為了能夠在減少人力的情況下，更為高效地進(jìn)行工業(yè)生產(chǎn)。尤其在一些如高污染、高溫、低溫等的極端環(huán)境下，更需要通過自動(dòng)化的能力，減少人力的使用，保障工人的生命安全。另一方面，基礎(chǔ)設(shè)施的互聯(lián)互通，使“智慧城市”得以實(shí)現(xiàn)。通過技術(shù)手段，將整個(gè)城市的基礎(chǔ)設(shè)施系統(tǒng)可視化，提升資源運(yùn)用的效率、優(yōu)化城市的管理和服務(wù)，為居民的生活提供便利，并為城市的進(jìn)一步發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)。

然而，無論是“智能制造”，還是“智慧城市”，都離不開對(duì)網(wǎng)絡(luò)的構(gòu)建。一度非常封閉的工業(yè)生產(chǎn)環(huán)境也隨著OT與IT的融合，變得略為開放。但是，開放帶來的不僅是便利與智能，同樣也引入了更多的攻擊面和威脅。烏克蘭與委內(nèi)瑞拉的停電事件、臺(tái)積電與Colonial Pipeline的勒索病毒攻擊事件都標(biāo)志著工業(yè)互聯(lián)網(wǎng)的安全已經(jīng)到了迫在眉睫的地步。工業(yè)網(wǎng)絡(luò)的安全必要性已經(jīng)不再只是滿足合規(guī)的要求，而是要能夠解決真實(shí)可見的威脅。

安全需要從底層做起，工業(yè)互聯(lián)網(wǎng)的安全也一樣。大部分工業(yè)企業(yè)依然處于數(shù)字化轉(zhuǎn)型的起步過程當(dāng)中，只專注于業(yè)務(wù)與生產(chǎn)。但是，事實(shí)上，數(shù)字化轉(zhuǎn)型對(duì)工業(yè)企業(yè)而言，也是一個(gè)從零開始實(shí)現(xiàn)安全生產(chǎn)的新機(jī)會(huì)。數(shù)字化轉(zhuǎn)型一定程度上意味著企業(yè)的技術(shù)架構(gòu)的升級(jí)，甚至是再規(guī)劃——如果從這個(gè)階段起，就將安全能力作為設(shè)計(jì)的一部分，就可以極大減少之后將安全作為額外能力的投入成本。將安全與生產(chǎn)并進(jìn)，才能最大程度地保障生產(chǎn)的安全性。

本報(bào)告希望能通過對(duì)工業(yè)互聯(lián)網(wǎng)一系列的能力的梳理，協(xié)助相關(guān)工業(yè)企業(yè)的安全規(guī)劃。

關(guān)鍵發(fā)現(xiàn)

? 工業(yè)互聯(lián)網(wǎng)的安全驅(qū)動(dòng)力主要有四個(gè)方面：國家安全、政策合規(guī)、工業(yè)協(xié)議缺陷、以及行業(yè)數(shù)字化轉(zhuǎn)型的安全需求。

? 工業(yè)互聯(lián)網(wǎng)的安全有雙重性：系統(tǒng)安全(Security)與生產(chǎn)安全(Safety)。隨著工業(yè)互聯(lián)網(wǎng)越來越多的互聯(lián)與開放，系統(tǒng)安全對(duì)生產(chǎn)安全的影響逐步擴(kuò)大。

? 工業(yè)互聯(lián)網(wǎng)安全的落地難度不僅在于工業(yè)場景自身的特點(diǎn)，同樣受限于不同工業(yè)企業(yè)本身IT能力的發(fā)展差距。

? 工業(yè)互聯(lián)網(wǎng)的安全能力落地按照“先防護(hù)，再檢測(cè)/審計(jì)，持續(xù)服務(wù)，平臺(tái)統(tǒng)一，靶場進(jìn)階”的順序。

? 工業(yè)互聯(lián)網(wǎng)由于非常重視“業(yè)務(wù)連續(xù)性”，在安全性上就需要很大程度的妥協(xié)，因此要做好長期與威脅共存的準(zhǔn)備。

一、工業(yè)互聯(lián)網(wǎng)安全概念與總體市場情況

1、工業(yè)互聯(lián)網(wǎng)概念

工業(yè)控制系統(tǒng)一度是一個(gè)相對(duì)封閉的環(huán)境。在工業(yè)生產(chǎn)環(huán)境中，只需要設(shè)備按照要求，完成相關(guān)任務(wù)即可——在這個(gè)情況下，工業(yè)生產(chǎn)環(huán)境中的設(shè)備并不需要和外部有聯(lián)系，只需要能夠在生產(chǎn)環(huán)境中形成局部的操作技術(shù)(Operational Technology, OT)網(wǎng)絡(luò)。

但是，隨著“工業(yè)4.0”、“智能制造”概念的提出，工業(yè)相關(guān)企業(yè)需要一次全面的轉(zhuǎn)型，通過數(shù)據(jù)分析、整體企業(yè)統(tǒng)一協(xié)同管理等能力，創(chuàng)造更高效、更安全的自動(dòng)化生產(chǎn)環(huán)境。在這一過程中，會(huì)有大量的設(shè)備、系統(tǒng)接入。

首先，企業(yè)生產(chǎn)環(huán)境本身會(huì)有更多的設(shè)備接入，比如傳感器、遙測(cè)儀、監(jiān)控器等。這些設(shè)備能夠采集生產(chǎn)環(huán)境中的相關(guān)數(shù)據(jù)，進(jìn)行進(jìn)一步的分析，從而確認(rèn)生產(chǎn)環(huán)境的安全狀況。在業(yè)務(wù)層面，對(duì)這些數(shù)據(jù)進(jìn)行深度挖掘，可以發(fā)現(xiàn)生產(chǎn)過程中的瓶頸，找到提高生產(chǎn)效率的方案。

另一方面，由于數(shù)據(jù)分析很難完全在生產(chǎn)環(huán)境中進(jìn)行，因此需要傳輸?shù)狡渌恢眠M(jìn)行分析——如云端。這就不可避免地使生產(chǎn)環(huán)境走向開放，需要與外界網(wǎng)絡(luò)逐漸打通。另一方面，工業(yè)生產(chǎn)技術(shù)也逐漸需要和企業(yè)業(yè)務(wù)發(fā)展相關(guān)聯(lián)——比如人員的權(quán)限管理、客戶的生產(chǎn)需求、整體項(xiàng)目的管理等。工業(yè)生產(chǎn)環(huán)境不再是分割的生產(chǎn)實(shí)體，而是基于企業(yè)總體的發(fā)展規(guī)劃和業(yè)務(wù)需求，自上而下的實(shí)現(xiàn)環(huán)境。因此，無論是從技術(shù)需求的角度，還是業(yè)務(wù)發(fā)展的角度，工業(yè)生產(chǎn)環(huán)境中的OT網(wǎng)絡(luò)，與企業(yè)管理的IT網(wǎng)絡(luò)，最終要相融合。

在2020年，由工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟發(fā)布的《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》提供了如下的工業(yè)互聯(lián)網(wǎng)實(shí)施框架總體視圖：

圖片來源：《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》

從這張圖中，我們可以發(fā)現(xiàn)，工業(yè)互聯(lián)網(wǎng)不僅僅是設(shè)備的連接，更需要工業(yè)互聯(lián)網(wǎng)平臺(tái)作為賦能。完整的工業(yè)互聯(lián)網(wǎng)，需要生產(chǎn)機(jī)器、控制設(shè)備、信息系統(tǒng)、以及人員的聯(lián)動(dòng)才能實(shí)現(xiàn)。工業(yè)互聯(lián)網(wǎng)要能夠通過生產(chǎn)時(shí)產(chǎn)生的信息，進(jìn)行分析，也要能夠支撐智能化的生產(chǎn)，以及基于企業(yè)業(yè)務(wù)變化的靈活變更。

工業(yè)互聯(lián)網(wǎng)并非是企業(yè)個(gè)體的能力，也是國家發(fā)展的需求，離不開國家的監(jiān)管與支持。在企業(yè)的層級(jí)之上，需要政府層面的整體監(jiān)管和把控。同時(shí)，國家也能夠通過國家級(jí)的工業(yè)互聯(lián)網(wǎng)平臺(tái)對(duì)全國的工業(yè)發(fā)展進(jìn)行分析，為未來的發(fā)展方向做決策和引導(dǎo)。

2、本報(bào)告中的工業(yè)互聯(lián)網(wǎng)安全概念

完整的工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)離不開IT與OT的高度融合。整個(gè)工業(yè)互聯(lián)網(wǎng)的運(yùn)行需要生產(chǎn)機(jī)器的正常運(yùn)作、采集設(shè)備對(duì)數(shù)據(jù)的采集以及傳輸、相關(guān)系統(tǒng)與儀器對(duì)數(shù)據(jù)的存儲(chǔ)、以及邊緣設(shè)備和平臺(tái)側(cè)的計(jì)算和分析。那么，完整的工業(yè)互聯(lián)網(wǎng)安全理論上，是需要能夠涵蓋整體的運(yùn)作、采集、存儲(chǔ)和分析的安全需求。

然而，在實(shí)際落地過程中，IT與OT的融合進(jìn)度還處于相當(dāng)早期的地步。事實(shí)上，許多工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型依然處于建立完善的OT網(wǎng)絡(luò)階段。因此，本報(bào)告中的工業(yè)互聯(lián)網(wǎng)安全的概念為：對(duì)OT相關(guān)場景進(jìn)行防護(hù)的信息安全能力，包括對(duì)OT場景的防護(hù)、檢測(cè)、審計(jì)、管理、監(jiān)管、安全驗(yàn)證、安全能力培訓(xùn)等。

從《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》實(shí)施框架總體視圖來看，本報(bào)告的調(diào)研范圍主要集中在設(shè)備層與邊緣層，以及企業(yè)層與產(chǎn)業(yè)層中的安全平臺(tái)相關(guān)解決方案中，對(duì)工業(yè)控制系統(tǒng)與工業(yè)生產(chǎn)環(huán)境中涉及到的信息安全。

本次調(diào)研分為五個(gè)方向進(jìn)行，分別是工業(yè)互聯(lián)網(wǎng)安全檢測(cè)/審計(jì)能力、工業(yè)互聯(lián)網(wǎng)安全防御能力、工業(yè)互聯(lián)網(wǎng)安全服務(wù)能力、工業(yè)互聯(lián)網(wǎng)靶場能力、以及工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)能力。

3、工業(yè)互聯(lián)網(wǎng)安全總體市場情況

工業(yè)互聯(lián)網(wǎng)安全在2021年中國數(shù)字安全能力圖譜中，屬于行業(yè)環(huán)境分類。其中，下屬還有“工控系統(tǒng)安全”、“安全管理平臺(tái)”、“安全服務(wù)”、“工控靶場”四個(gè)分類。本次報(bào)告中，將工控系統(tǒng)安全分為“工控防護(hù)能力”與“工控檢測(cè)/審計(jì)能力”兩個(gè)部分，其余三個(gè)分類一一對(duì)應(yīng)。

根據(jù)本次調(diào)研的方向，2019年我國工業(yè)互聯(lián)網(wǎng)安全收入總體約為17.4億元，2020年總體收入約為33.8億元，預(yù)計(jì)2021年收入為50.3億元，2022年有望達(dá)到70億元。

而從工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品的總體銷售區(qū)域來看，華北(包括東北)與華南占據(jù)了主要銷售區(qū)域，一定程度上反應(yīng)了我國當(dāng)前的工業(yè)互聯(lián)網(wǎng)部署需求。從未來幾年來看，智慧城市帶動(dòng)的城市基礎(chǔ)設(shè)施安全需求會(huì)進(jìn)一步推動(dòng)?xùn)|部沿海城市對(duì)工業(yè)互聯(lián)網(wǎng)安全的需求。同時(shí)，隨著國家對(duì)西北、西南的進(jìn)一步開發(fā)，長遠(yuǎn)來看，這兩個(gè)區(qū)域也會(huì)有對(duì)工業(yè)互聯(lián)網(wǎng)安全解決方案需求的大幅度提升。

二、工業(yè)互聯(lián)網(wǎng)安全建設(shè)的必要性與驅(qū)動(dòng)力

1、國家：國家安全的保障

工業(yè)場景的安全有著兩重性：系統(tǒng)安全(Security)以及生產(chǎn)安全(Safety)。系統(tǒng)安全意為對(duì)工業(yè)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)自身進(jìn)行保護(hù)的行為與過程，而生產(chǎn)安全則是指工業(yè)控制系統(tǒng)對(duì)非工業(yè)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)本身的影響，如是否會(huì)造成人員傷亡、產(chǎn)生環(huán)境污染等。(本報(bào)告中將“系統(tǒng)安全”簡稱為“安全”)

在封閉環(huán)境下，系統(tǒng)安全對(duì)安全狀態(tài)的影響相對(duì)較小。但是，當(dāng)工業(yè)生產(chǎn)環(huán)境逐漸隨著網(wǎng)絡(luò)變得開放的時(shí)候，系統(tǒng)安全對(duì)生產(chǎn)安全的影響會(huì)逐漸增大。事實(shí)上，在2021年1月，美國舊金山地區(qū)的供水系統(tǒng)就遭到攻擊。無獨(dú)有偶，2021年2月，美國佛羅里達(dá)州地區(qū)一個(gè)小鎮(zhèn)的供水系統(tǒng)同樣遭到攻擊，攻擊者試圖將水中的氫氧化鈉含量增加到100倍，實(shí)現(xiàn)區(qū)域性的“投毒”。這些攻擊，都被防御系統(tǒng)所攔截。

因此，工業(yè)互聯(lián)網(wǎng)的安全性已經(jīng)不只是局限于數(shù)據(jù)保密性與完整性的安全、業(yè)務(wù)可持續(xù)的安全，而是真真切切直接關(guān)系到人民的人生安全與社會(huì)的穩(wěn)定。對(duì)于處于數(shù)字化轉(zhuǎn)型的工業(yè)生產(chǎn)環(huán)境，越多的系統(tǒng)與設(shè)備的連接，意味著越多的攻擊面，在基礎(chǔ)設(shè)施、化工、能源等生產(chǎn)事故可能造成極大人員傷亡與社會(huì)影響的場景中，工業(yè)互聯(lián)網(wǎng)的安全應(yīng)該作為第一考量。

國家角度來看，工業(yè)互聯(lián)網(wǎng)安全是國之大計(jì)，是必須貫徹執(zhí)行的安全方向。

2、企業(yè)：政策合規(guī)的驅(qū)動(dòng)

盡管工業(yè)互聯(lián)網(wǎng)會(huì)影響工業(yè)生產(chǎn)環(huán)境的安全，但是鑒于大部分企業(yè)依然處于工業(yè)數(shù)字化轉(zhuǎn)型的起步期，在認(rèn)知上對(duì)于IT化以后，生產(chǎn)環(huán)境會(huì)面臨的威脅依然不足。這個(gè)時(shí)候，就會(huì)由政策與合規(guī)要求進(jìn)行強(qiáng)驅(qū)動(dòng)。

除了等保2.0的要求之外，工信部印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》、《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》都為相關(guān)企業(yè)提供了工業(yè)互聯(lián)網(wǎng)安全的落地指導(dǎo)作用。2021年9月開始實(shí)行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》更是直指對(duì)國家與人民息息相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施安全。

盡管一方面來看，僅僅為了合規(guī)，為了符合政策需求而購買、使用工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品與能力，并不能真正保護(hù)好相關(guān)場景;但是，法律層面的驅(qū)動(dòng)，至少能劃下安全的底線，從強(qiáng)要求、強(qiáng)監(jiān)管開始，督促相關(guān)企業(yè)重視安全，積累一定的安全能力。另一方面，由于大量工業(yè)企業(yè)對(duì)OT安全依然處于起步期，即使逐漸開始意識(shí)到工業(yè)生產(chǎn)場景中OT安全的重要性，但是卻缺乏具體安全落地的方向與能力;政策與合規(guī)要求不僅僅提供的是一個(gè)法律層面的底線，也是為相關(guān)企業(yè)提供安全落地的一個(gè)指導(dǎo)方向。

企業(yè)角度來看，政策與合規(guī)帶有強(qiáng)制與指導(dǎo)的雙重意義，是企業(yè)落實(shí)工業(yè)互聯(lián)網(wǎng)安全能力的第一驅(qū)動(dòng)力。

3、技術(shù)：工業(yè)協(xié)議自身的缺陷

工業(yè)控制設(shè)備會(huì)根據(jù)不同的供應(yīng)商，使用不同的協(xié)議，因此工業(yè)系統(tǒng)本身存在著復(fù)雜多樣的協(xié)議。然而，這些協(xié)議本身也會(huì)存在漏洞。即使如Modbus、ICE104、PROFINET等主流協(xié)議，在設(shè)計(jì)之初都是為了實(shí)現(xiàn)業(yè)務(wù)的流暢運(yùn)行，在追求時(shí)效性和流暢性的同時(shí)，不可避免地犧牲了一部分安全性，容易被攻擊者利用。

另一方面，同樣被廣泛使用的OPC協(xié)議，其架構(gòu)基于Windows平臺(tái)，從而也“繼承”了許多Windows平臺(tái)中存在的漏洞，同樣能被攻擊者利用。

技術(shù)角度來看，單獨(dú)的工業(yè)控制系統(tǒng)本身存在著一定的安全問題，需要額外的安全手段進(jìn)行保護(hù)。

4、行業(yè)：數(shù)字化轉(zhuǎn)型的保險(xiǎn)

2021年5月發(fā)生的Colonial Pipeline事件，導(dǎo)致全美部分區(qū)域的輸油管道無法使用，造成全球油價(jià)浮動(dòng)以及美國東北部石油使用困難。值得注意的是，該攻擊本身并非直接針對(duì)Colonial Pipeline的輸油管道系統(tǒng)，而是對(duì)Colonial Pipeline的IT系統(tǒng)發(fā)起的勒索病毒攻擊——最終使該公司中斷各類系統(tǒng)，包括輸油管道相關(guān)的OT系統(tǒng)。

對(duì)于工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型，IT與OT環(huán)境的融合是一個(gè)關(guān)鍵。IT與OT融合，能夠更有效地使用工業(yè)生產(chǎn)中生成的數(shù)據(jù)，改進(jìn)生產(chǎn)業(yè)務(wù)的模式，提升生產(chǎn)效率;同時(shí)，也能夠通過IT系統(tǒng)自上而下，對(duì)生產(chǎn)環(huán)境以及非生產(chǎn)環(huán)境進(jìn)行統(tǒng)一的管理。然而，IT環(huán)境往往會(huì)更加開放，從而增大攻擊面。最終，工業(yè)控制系統(tǒng)本身，乃至整個(gè)生產(chǎn)環(huán)境可能并未直接遭到攻擊，但是由于上層的IT系統(tǒng)遭到攻擊被中斷，依然會(huì)讓生產(chǎn)環(huán)境的業(yè)務(wù)中斷。

以防護(hù)策略來看，保護(hù)好上層的IT系統(tǒng)固然是一個(gè)必須采取的安全防護(hù)措施。但是，如果因?yàn)樯蠈拥哪硞€(gè)位置遭到攻擊，就導(dǎo)致整個(gè)生產(chǎn)系統(tǒng)癱瘓，這無疑會(huì)產(chǎn)生新的攻擊策略——通過單點(diǎn)故障，從上層系統(tǒng)進(jìn)行降維打擊。在理想狀態(tài)下，需要能夠做到IT與OT融合的同時(shí)，OT環(huán)境本身的安全性能夠抵御因上層IT系統(tǒng)淪陷產(chǎn)生的安全隱患，在上層IT系統(tǒng)下線的情況下，依然能夠安全、有效地執(zhí)行業(yè)務(wù)——這是一個(gè)極其理想的狀態(tài)，但是值得工業(yè)生產(chǎn)環(huán)境中的所有利益相關(guān)方去探索。

整個(gè)行業(yè)來看，數(shù)字化轉(zhuǎn)型成功必然需要完成IT與OT的融合，但是這一結(jié)合的過程也必然會(huì)帶來新的威脅，需要IT與OT兩個(gè)方向協(xié)同去解決相關(guān)的安全問題。

三、工業(yè)互聯(lián)網(wǎng)安全當(dāng)前落地難點(diǎn)

在工業(yè)互聯(lián)網(wǎng)環(huán)境里，傳統(tǒng)IT安全中的機(jī)密性、完整性與可用性在理論上依然有一定價(jià)值——但是在實(shí)踐中，卻容易受限于工業(yè)場景的需求。工業(yè)場景由于其特殊性，需要一種相對(duì)不同的方式來進(jìn)行安全實(shí)踐。另一方面，工業(yè)企業(yè)本身，由于對(duì)網(wǎng)絡(luò)技術(shù)的實(shí)踐總體更為滯后，因此無論是IT層面，還是OT層面的安全，在落地過程中都會(huì)遇到不小的困難。

1、生產(chǎn)大于安全

工業(yè)生產(chǎn)環(huán)境中最大的特點(diǎn)，就是生產(chǎn)穩(wěn)定性高于一般安全性——即在不會(huì)直接影響正常生產(chǎn)的情況時(shí)，安全性可以被犧牲。這一點(diǎn)可以理解，因?yàn)閷?duì)于工業(yè)生產(chǎn)環(huán)境而言，生產(chǎn)機(jī)器的啟動(dòng)本身就極有可能消耗極大的人力和物力，而局部機(jī)器的停止運(yùn)作又有可能影響整體生產(chǎn)的情況——最終造成巨大的經(jīng)濟(jì)損失。另一方面，在關(guān)鍵基礎(chǔ)設(shè)施中，機(jī)器的停運(yùn)也同樣可能對(duì)社會(huì)產(chǎn)生負(fù)面影響。因此，在工業(yè)生產(chǎn)環(huán)境中，生產(chǎn)穩(wěn)定性是最重要的。

但是，這和上文提到的工業(yè)互聯(lián)網(wǎng)中的對(duì)外安全產(chǎn)生了一定的矛盾——一旦攻擊者通過工業(yè)互聯(lián)網(wǎng)成功影響到工控生產(chǎn)環(huán)境，依然可能產(chǎn)生難以估計(jì)的損失——比如美國發(fā)生的對(duì)供水系統(tǒng)“投毒”事件。這一矛盾，給工業(yè)互聯(lián)網(wǎng)安全帶來了極大的困難與挑戰(zhàn)。

首先，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品本身不能對(duì)工業(yè)互聯(lián)網(wǎng)生產(chǎn)環(huán)境產(chǎn)生負(fù)面影響。一旦工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品直接會(huì)對(duì)生產(chǎn)環(huán)境產(chǎn)生影響，那么本身就本末倒置了。

其次，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品要能夠監(jiān)測(cè)出發(fā)生的攻擊事件與異常情況——依然要在不影響工業(yè)互聯(lián)網(wǎng)生產(chǎn)環(huán)境的前提下。這就對(duì)工業(yè)互聯(lián)網(wǎng)安全廠商的安全能力提出了要求。

最后，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品——或者解決方案，要能夠?qū)Πl(fā)生的攻擊進(jìn)行一定的措施評(píng)估：這是攻擊，還僅僅是異常錯(cuò)誤(如人員操作失誤、機(jī)器故障)?正在發(fā)生的攻擊，產(chǎn)生的后果可能是什么?如果攻擊已經(jīng)進(jìn)行，應(yīng)對(duì)攻擊的方式，是阻斷請(qǐng)求，甚至請(qǐng)求源，還是需要將整個(gè)系統(tǒng)關(guān)閉?

在工業(yè)互聯(lián)網(wǎng)場景中，安全不僅僅要考慮威脅，以及威脅對(duì)系統(tǒng)的影響，更需要考慮威脅與各類應(yīng)對(duì)方式對(duì)現(xiàn)實(shí)產(chǎn)生的影響。

2、協(xié)議復(fù)雜多樣性

一些主流工控協(xié)議本身存在一些缺陷，同時(shí)主流工控協(xié)議總體數(shù)量也相對(duì)較多，不同的生產(chǎn)商的設(shè)備會(huì)采用不同的協(xié)議，這就給安全防護(hù)帶來了極大的難度。

大部分工業(yè)互聯(lián)網(wǎng)安全廠商都能做到對(duì)協(xié)議的識(shí)別，但是落實(shí)到安全能力的實(shí)現(xiàn)時(shí)，就需要對(duì)協(xié)議進(jìn)行深度的識(shí)別——而大量不同的協(xié)議無疑是對(duì)廠商協(xié)議研究、分析能力的一大挑戰(zhàn)。

除了主流協(xié)議以外，還存在一些私有協(xié)議，就更需要安全廠商有能力對(duì)陌生的工控協(xié)議有學(xué)習(xí)協(xié)議規(guī)則和行為的能力，從而建立新的安全模型。

3、底層防護(hù)困難

工業(yè)互聯(lián)網(wǎng)另一個(gè)難點(diǎn)在于底層防護(hù)更為困難。工業(yè)設(shè)備往往使用年限會(huì)很長，會(huì)積累大量沒有修復(fù)的漏洞。同時(shí)，由于受限于工業(yè)互聯(lián)網(wǎng)本身的業(yè)務(wù)可持續(xù)性要求，以及過去缺乏的安全意識(shí)，使得對(duì)這些漏洞的全面修復(fù)幾乎成為不可能。

如果無法從底層對(duì)工業(yè)設(shè)備和系統(tǒng)進(jìn)行防護(hù)，就只能將安全能力附加在設(shè)備和系統(tǒng)之上，難以給底層賦予安全能力，通過自身的安全性提升對(duì)威脅的抵抗能力。最終，安全無法從最佳位置開始賦能。

4、企業(yè)不適合接入工業(yè)互聯(lián)網(wǎng)

企業(yè)工業(yè)設(shè)備老舊帶來的另一個(gè)問題，在于老舊設(shè)備與當(dāng)下的IT以及OT能力的不兼容，這些老舊設(shè)備不具備接入工業(yè)互聯(lián)網(wǎng)的條件。但是，對(duì)于相當(dāng)數(shù)量的企業(yè)而言，替換這批設(shè)備需要高額的成本，帶來極大的經(jīng)濟(jì)負(fù)擔(dān)，因此會(huì)繼續(xù)使用這些工業(yè)設(shè)備，導(dǎo)致這些企業(yè)本身也不適合接入工業(yè)互聯(lián)網(wǎng)。

在這些企業(yè)不適合接入工業(yè)互聯(lián)網(wǎng)的情況下，雖然能夠確保工業(yè)控制系統(tǒng)與工業(yè)生產(chǎn)環(huán)境的安全，一定程度提升整體的工業(yè)安全情況。但是，對(duì)于國家層面，監(jiān)管部門很難把握這些企業(yè)的工業(yè)安全態(tài)勢(shì)，無法從國家高度進(jìn)行統(tǒng)一地監(jiān)管與分析。這會(huì)造成在監(jiān)管部門級(jí)別的工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)的落地效果，無法達(dá)到最好的效果。

而對(duì)于企業(yè)自身而言，也容易形成“安全孤島”，難以通過上級(jí)政府的統(tǒng)籌獲取相關(guān)的威脅情報(bào)，從而更好地應(yīng)對(duì)潛在的威脅。

5、工業(yè)互聯(lián)網(wǎng)安全人才短缺

在工業(yè)互聯(lián)網(wǎng)安全的場景中，人才的存在不可或缺。正如前文所提到的，工業(yè)互聯(lián)網(wǎng)安全面臨的另一個(gè)落地難點(diǎn)之一就是業(yè)務(wù)可持續(xù)性與安全之間的平衡，其中的一個(gè)平衡就是安全措施的平衡——采取怎樣的措施是在當(dāng)前生產(chǎn)環(huán)境對(duì)特定威脅最適合的方法。由于工業(yè)生產(chǎn)環(huán)境中對(duì)生產(chǎn)可持續(xù)性的顧慮，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品自動(dòng)處理能力的使用會(huì)受到一定的限制——這就需要專家根據(jù)實(shí)際的情況進(jìn)行分析決策。

不同于傳統(tǒng)的IT安全，工業(yè)互聯(lián)網(wǎng)安全中的決策可能會(huì)影響更加巨大，需要更為豐富的經(jīng)驗(yàn)。在IT與OT融合的情況下，工業(yè)互聯(lián)網(wǎng)安全人才不僅需要對(duì)IT安全的認(rèn)知，還需要對(duì)OT安全的了解、對(duì)工業(yè)生產(chǎn)環(huán)境本身的積累，這三者缺一不可。尤其是對(duì)工業(yè)生產(chǎn)環(huán)境的積累，不僅僅是浮于知識(shí)層面，而是需要大量在工業(yè)生產(chǎn)環(huán)境中的積累才能獲得。但是，在當(dāng)前情況下，即使局限于工業(yè)控制系統(tǒng)安全，受限于起步較晚，能將三者緊密結(jié)合的工業(yè)控制系統(tǒng)安全專家較少，能夠從更宏觀角度看工業(yè)互聯(lián)網(wǎng)整體安全的專家就更為稀缺。

另外，工業(yè)互聯(lián)網(wǎng)安全人才也不限于對(duì)于工業(yè)控制系統(tǒng)的安全維護(hù)，以及在工業(yè)互聯(lián)網(wǎng)中產(chǎn)生的攻防對(duì)抗——工業(yè)互聯(lián)網(wǎng)安全也需要能從頂層設(shè)計(jì)的戰(zhàn)略專家，幫助企業(yè)、乃至國家，從更為全面的架構(gòu)，落地各級(jí)工業(yè)互聯(lián)網(wǎng)安全架構(gòu)。這就要求在IT安全知識(shí)、OT安全知識(shí)、以及工業(yè)互聯(lián)網(wǎng)經(jīng)驗(yàn)的基礎(chǔ)上，再擁有企業(yè)級(jí)，甚至國家級(jí)的實(shí)踐視角與能力。

以上五個(gè)難點(diǎn)只是當(dāng)前工業(yè)互聯(lián)網(wǎng)安全面臨的挑戰(zhàn)。事實(shí)上，另一個(gè)工業(yè)互聯(lián)網(wǎng)安全面臨的難點(diǎn)已經(jīng)逐漸開始浮現(xiàn)：工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全。工業(yè)互聯(lián)網(wǎng)平臺(tái)要處理大量的工業(yè)數(shù)據(jù)，運(yùn)行各類工業(yè)互聯(lián)網(wǎng)應(yīng)用——工業(yè)數(shù)據(jù)與工業(yè)互聯(lián)網(wǎng)應(yīng)用和傳統(tǒng)的IT數(shù)據(jù)與IT應(yīng)用又會(huì)有一些不同的安全需求。在未來，當(dāng)工業(yè)互聯(lián)網(wǎng)越發(fā)完善的時(shí)候，對(duì)于工業(yè)互聯(lián)網(wǎng)平臺(tái)的保護(hù)會(huì)逐漸成為工業(yè)互聯(lián)網(wǎng)安全必須重視的關(guān)鍵。

四、工業(yè)互聯(lián)網(wǎng)安全實(shí)踐要點(diǎn)

基于工業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)特點(diǎn)，在工業(yè)互聯(lián)網(wǎng)安全的落地實(shí)踐上，有如下發(fā)現(xiàn)。

1、長期威脅共存

我們無法消除環(huán)境中所有的威脅，對(duì)于一些安全風(fēng)險(xiǎn)，我們只能選擇減緩其影響、轉(zhuǎn)移風(fēng)險(xiǎn)方或者——接受這個(gè)風(fēng)險(xiǎn)。這一點(diǎn)在IT環(huán)境中如此，在工業(yè)互聯(lián)網(wǎng)中就更為明顯。

工業(yè)企業(yè)的最大特性“生產(chǎn)大于安全”極大限制了工業(yè)互聯(lián)網(wǎng)安全能力對(duì)威脅的消除。在IT環(huán)境中，業(yè)務(wù)部門與安全部門的一大矛盾，往往在于安全修復(fù)、補(bǔ)丁升級(jí)等行為會(huì)導(dǎo)致業(yè)務(wù)一定時(shí)間的中斷，對(duì)業(yè)務(wù)部門的業(yè)績收入產(chǎn)生影響。但是，在工業(yè)互聯(lián)網(wǎng)環(huán)境中，首先安全升級(jí)導(dǎo)致的業(yè)務(wù)中斷時(shí)間會(huì)大大超過非工業(yè)企業(yè)的中斷時(shí)間;其次，工業(yè)生產(chǎn)業(yè)務(wù)的中斷，除了會(huì)有本身業(yè)務(wù)生產(chǎn)的成本影響之外，還會(huì)有設(shè)備損耗、資源損耗(如恢復(fù)生產(chǎn)狀態(tài)的資源)等成本——最終，使得工業(yè)企業(yè)的業(yè)務(wù)中斷成本遠(yuǎn)遠(yuǎn)高于非工業(yè)企業(yè)的業(yè)務(wù)中斷成本。另一方面，對(duì)于關(guān)鍵基礎(chǔ)設(shè)施相關(guān)企業(yè)，業(yè)務(wù)中斷又很有可能對(duì)社會(huì)產(chǎn)生影響，如發(fā)電中斷、軌交中斷等情況。

因此，工業(yè)互聯(lián)網(wǎng)場景中會(huì)往往面對(duì)設(shè)備、系統(tǒng)長期無法更新、升級(jí)的狀態(tài)——即生產(chǎn)環(huán)境自身的漏洞會(huì)長期無法進(jìn)行修復(fù)，從而累積大量安全隱患。工業(yè)互聯(lián)網(wǎng)安全的理念就無法做到對(duì)威脅能除盡除，而是要能做到和威脅長期共存的同時(shí)，不讓威脅轉(zhuǎn)變成會(huì)造成嚴(yán)重后果的安全事故。

2、先防護(hù)后檢測(cè)

基于工業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)特性，在工業(yè)互聯(lián)網(wǎng)安全落地的順序往往是“先防護(hù)，再檢測(cè)/審計(jì)，持續(xù)服務(wù)，平臺(tái)統(tǒng)一，靶場進(jìn)階”的一個(gè)過程。

對(duì)于工業(yè)企業(yè)而言，確保工業(yè)生產(chǎn)平穩(wěn)、正常地進(jìn)行，是第一要點(diǎn)。因此，工業(yè)互聯(lián)網(wǎng)安全的防護(hù)底線，是確保絕對(duì)的生產(chǎn)穩(wěn)定。對(duì)于會(huì)造成重大生產(chǎn)安全事故的威脅，要完全阻斷;對(duì)于不會(huì)產(chǎn)生重大事故，但是會(huì)對(duì)生產(chǎn)產(chǎn)生一定影響的，要采取相匹配的措施;而有安全隱患卻不會(huì)對(duì)生產(chǎn)安全造成影響的，在起步階段，可以選擇有意忽略。因此，安全落地的第一步，是先對(duì)生產(chǎn)安全有影響的威脅采取相應(yīng)的措施，通過確定的正常業(yè)務(wù)模型，只允許正常流量交互，實(shí)現(xiàn)基本的安全防護(hù)。

在能確保生產(chǎn)安全的基礎(chǔ)上，有余力的工業(yè)企業(yè)就需要開始發(fā)現(xiàn)環(huán)境中潛在的威脅，以及對(duì)環(huán)境中的行為進(jìn)行審計(jì)。這個(gè)階段，檢測(cè)/審計(jì)類能力就進(jìn)入了落地階段。檢測(cè)/審計(jì)類能力能夠幫助防護(hù)類產(chǎn)品，達(dá)成更為精準(zhǔn)的防御效果。

安全服務(wù)應(yīng)該是持續(xù)進(jìn)行的。事實(shí)上，在工業(yè)企業(yè)部署防護(hù)產(chǎn)品階段，安全服務(wù)就已經(jīng)開始了——只是受限于當(dāng)前環(huán)境，大部分客戶依然沒有接受“服務(wù)收費(fèi)”的方式，許多服務(wù)(如產(chǎn)品部署的規(guī)劃咨詢、等保咨詢、安全防護(hù)工作等)會(huì)在初期隨著產(chǎn)品捆綁。但實(shí)際上，安全服務(wù)是貫穿整個(gè)工業(yè)互聯(lián)網(wǎng)安全周期的，從事前的等保咨詢、規(guī)劃部署，到安全防護(hù)、人員培養(yǎng)，再到攻防演練，甚至設(shè)備、系統(tǒng)的驗(yàn)證等，都需要安全服務(wù)給整體的工業(yè)互聯(lián)網(wǎng)安全能力層層賦能。

在工業(yè)企業(yè)有大量的安全防護(hù)設(shè)備、檢測(cè)設(shè)備與審計(jì)設(shè)備之后，會(huì)面臨兩個(gè)問題：一是難以管理大量的安全設(shè)備與系統(tǒng)，另一個(gè)是只能對(duì)單點(diǎn)或者部分區(qū)域的安全情況有所了解，無法全面把握整體安全的狀態(tài)。這個(gè)階段，就需要依靠安全管理平臺(tái)。對(duì)整體的安全能力進(jìn)行管理，同時(shí)基于大量的日志信息、流量信息，對(duì)整體的安全能力進(jìn)行把控。而安全服務(wù)在這一階段，又能通過安全管理平臺(tái)，對(duì)企業(yè)工業(yè)互聯(lián)網(wǎng)整體進(jìn)行分析，發(fā)現(xiàn)潛在威脅，并基于當(dāng)前的業(yè)務(wù)與安全狀態(tài)，提出提升安全態(tài)勢(shì)的方式。

當(dāng)企業(yè)、組織能整體統(tǒng)籌自身當(dāng)前的安全態(tài)勢(shì)時(shí)，就可以開始為未來做一些預(yù)備工作，如方案的推演、內(nèi)部人才的進(jìn)一步培養(yǎng)、設(shè)備與系統(tǒng)的測(cè)試與驗(yàn)證等，這就需要一個(gè)模仿工業(yè)互聯(lián)網(wǎng)的虛擬環(huán)境——即工業(yè)靶場。對(duì)于企業(yè)、監(jiān)管機(jī)構(gòu)、與研究機(jī)構(gòu)而言，工業(yè)靶場不僅可以提供一個(gè)推演安全解決方案的虛擬環(huán)境，更可以通過工業(yè)靶場驗(yàn)證新的工業(yè)設(shè)備或者安全設(shè)備在自身環(huán)境的運(yùn)行情況。從更長遠(yuǎn)往未來的角度來看，工業(yè)靶場還能對(duì)現(xiàn)有的設(shè)備、系統(tǒng)進(jìn)行研究分析，提前發(fā)現(xiàn)潛在的未知威脅。

以上是第一部分的內(nèi)容，下一次發(fā)布的內(nèi)容為工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力、與工業(yè)互聯(lián)網(wǎng)安全檢測(cè)/審計(jì)能力(包括兩個(gè)領(lǐng)域的相關(guān)點(diǎn)陣圖與實(shí)踐案例)。

來源：數(shù)世咨詢