工業(yè)互聯(lián)網(wǎng)安全的落地第一步，是確保工控環(huán)境中的防護能力，之后是檢測/審計能力。本次《工業(yè)互聯(lián)網(wǎng)安全能力指南》的發(fā)布內(nèi)容為報告中的工控防護能力部分，以及工控檢測/審計能力部分。

工業(yè)互聯(lián)網(wǎng)安全能力指南——工控防護能力

在安全領(lǐng)域，最重要的工作之一是對威脅進行處置，這就需要防護能力。在本報告中，工控防護能力的范圍如下：

在工業(yè)互聯(lián)網(wǎng)環(huán)境中，能夠?qū)T相關(guān)場景中發(fā)現(xiàn)的威脅、異常行為，進行包括查殺、阻斷、攔截請求、禁止進程等干涉或處置的技術(shù)、產(chǎn)品或解決方案。

工業(yè)互聯(lián)網(wǎng)環(huán)境中的防護能力在整個工業(yè)互聯(lián)網(wǎng)安全中有著舉足輕重的作用：工業(yè)互聯(lián)網(wǎng)場景中第一需要保障的是生產(chǎn)可持續(xù)性——即威脅不能產(chǎn)生生產(chǎn)事故，同時對威脅的處理不應(yīng)該過度干涉生產(chǎn)。尤其對于預(yù)算非常有限的企業(yè)，工控防護產(chǎn)品會是最優(yōu)先分配的投入領(lǐng)域——只有先確保了生產(chǎn)穩(wěn)定，然后才有更多余力去發(fā)現(xiàn)環(huán)境中潛在的風(fēng)險，以及過去發(fā)生過的異常行為。

本報告中的工控防護能力屬于數(shù)字安全能力圖譜中，行業(yè)環(huán)境下，工業(yè)互聯(lián)網(wǎng)安全中的工控系統(tǒng)安全部分。由于工控系統(tǒng)安全涵蓋的產(chǎn)品與解決內(nèi)容較多，故在本報告中分為工控防護能力，以及工業(yè)互聯(lián)網(wǎng)安全檢測/審計能力。

關(guān)鍵發(fā)現(xiàn)

■ 工控防護能力的主要產(chǎn)品形態(tài)為三種：工控防火墻、工控網(wǎng)閘、以及工控終端安全防護/主機衛(wèi)士。但是根據(jù)不同廠商在應(yīng)對不同需求的情況下，產(chǎn)品形態(tài)也會發(fā)生一些改變。

■ 工控防護能力首先要做到“能運行、不干擾”。關(guān)鍵能力在于“深度協(xié)議解析”與“白名單”技術(shù)。但是，需要注意的是，“深度協(xié)議解析”對于不同的廠商，可能代表著不同的意義，企業(yè)在選購相關(guān)產(chǎn)品時，需要明確廠商能夠解析協(xié)議的具體內(nèi)容。

■ 從市場層面來看，盡管工控防護產(chǎn)品的總體收入依然呈上升趨勢，但是其在整個工業(yè)互聯(lián)網(wǎng)安全中的收入占比會逐漸下降。

工控防護能力點陣圖

本次參與工控檢測/審計能力的廠商共有23家，包括：安帝科技、安恒信息、安盟信息、博智安全、長揚科技、國泰網(wǎng)信、華境安全、惠而特、杰思安全、立思辰安科、六方云、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰、融安網(wǎng)絡(luò)、深信達(dá)、圣博潤、天地和興、天融信、威努特、英賽克。

工控防護能力主要產(chǎn)品形態(tài)

本次調(diào)研中，工控防護能力的主要產(chǎn)品形態(tài)為以下三種：工控防火墻、工控網(wǎng)閘、工控終端安全防護/主機衛(wèi)士。

工控防火墻

工控防火墻部起到工業(yè)控制網(wǎng)絡(luò)中邊界分離的作用，確保一個分區(qū)不會受到來自于另一分區(qū)的攻擊。工控防火墻控制著不同網(wǎng)絡(luò)之間的指令交互，尤其在上位機遭到攻擊向工業(yè)生產(chǎn)機器發(fā)出非正常指令時，工控防火墻需要能夠識別，并且采取告警在內(nèi)的相應(yīng)措施。因此，工控防火墻事當(dāng)下的工業(yè)互聯(lián)網(wǎng)場景中的首要防線。

工控防火墻由于其需要解析工業(yè)特有協(xié)議的特性，其在工業(yè)互聯(lián)網(wǎng)安全中的價值是傳統(tǒng)防火墻不可代替的。

工控網(wǎng)閘

工控網(wǎng)閘在工業(yè)互聯(lián)網(wǎng)中擔(dān)任著數(shù)據(jù)擺渡的作用——尤其是在將OT環(huán)境中的數(shù)據(jù)安全傳輸?shù)较鄬﹂_放的IT環(huán)境的時候。

工業(yè)互聯(lián)網(wǎng)相比傳統(tǒng)工業(yè)生產(chǎn)的一大變化，在于為了更好地提升生產(chǎn)效率，把握生產(chǎn)環(huán)境狀態(tài)，需要將數(shù)據(jù)傳輸?shù)絀T環(huán)境——比如工業(yè)互聯(lián)網(wǎng)平臺。這就會增大針對工業(yè)數(shù)據(jù)的攻擊面。

工控網(wǎng)閘最重要的工作，是確保工業(yè)數(shù)據(jù)只傳輸給可信、被授權(quán)的接收方，從而不造成工業(yè)數(shù)據(jù)信息泄露。

工控終端安全防護/主機衛(wèi)士

工控終端安全防護，又被許多廠商稱為“主機衛(wèi)士”，是對工業(yè)互聯(lián)網(wǎng)場景中的相關(guān)主機進行防護的安全能力。工控終端安全防護/主機衛(wèi)士由于其所處位置，是工業(yè)互聯(lián)網(wǎng)生產(chǎn)環(huán)境中的最后一道防線。

工控終端安全防護/主機衛(wèi)士主要采取的防護手段為白名單機制，只允許工業(yè)互聯(lián)網(wǎng)環(huán)境中的正常、被認(rèn)可的系統(tǒng)運行，禁止非正常程序的運行。

其他產(chǎn)品能力

以上三種是當(dāng)下工業(yè)互聯(lián)網(wǎng)安全中與OT場景相關(guān)的主要產(chǎn)品形態(tài)。另一方面，在實際調(diào)研中發(fā)現(xiàn)，各個廠商會根據(jù)自身能力以及客戶的不同需求，會有一些不同的產(chǎn)品形態(tài)：比如部分安全廠商會基于客戶的環(huán)境以及需求，提供工控IPS產(chǎn)品;有些廠商也會在銷售過程中，將USB管理等外接設(shè)備防護能力作為單獨產(chǎn)品，而非工控終端安全防護/主機衛(wèi)士產(chǎn)品的一部分;甚至有部分廠商也會針對外接設(shè)備，做包括額外的外接設(shè)備管理與監(jiān)控設(shè)備的一整套工控外接設(shè)備安全管理解決方案。

因此，客戶在選購工控防護產(chǎn)品的時候，需要基于自身的安全需求，與廠商進行產(chǎn)品具體能力的確認(rèn)，確保選購的產(chǎn)品能完全覆蓋自己的防護面。

同時，在本次調(diào)研中發(fā)現(xiàn)，未來的工業(yè)生產(chǎn)場景安全能力的一個方向，是網(wǎng)絡(luò)設(shè)備和安全設(shè)備的結(jié)合。在本次調(diào)研中，發(fā)現(xiàn)已經(jīng)有部分廠商開始將自己的安全能力與工業(yè)生產(chǎn)環(huán)境中的網(wǎng)絡(luò)設(shè)備(如路由器)開始融合，成為“帶有安全能力的工業(yè)網(wǎng)絡(luò)設(shè)備”。

工控防護能力落地要點

對于工控防護能力產(chǎn)品，有以下關(guān)鍵能力需要考慮：

工業(yè)環(huán)境可用

工業(yè)場景中，首先需要設(shè)備可用。設(shè)備可用不僅僅是指軟件層面，能夠理論上實現(xiàn)工業(yè)環(huán)境中的要求，最關(guān)鍵的前提，是硬件本身能夠在工業(yè)生產(chǎn)環(huán)境中可用。

在工業(yè)生產(chǎn)環(huán)境中，會遇到很多極端環(huán)境，如高溫、低溫、多塵等會對電子設(shè)備產(chǎn)生極大影響的惡劣因素。對于生產(chǎn)環(huán)境嚴(yán)苛的工業(yè)廠商，在挑選工控防護產(chǎn)品的時候，一定要考慮到設(shè)備的硬件防護本身能否抵御惡劣的生產(chǎn)環(huán)境。如果設(shè)備自身因硬件防護缺失導(dǎo)致無法正常運作，那么即使有再強的信息防護能力，都不能對工業(yè)互聯(lián)網(wǎng)起到真正的保護作用。

生產(chǎn)無影響

工控防護能力是整個工業(yè)互聯(lián)網(wǎng)安全中，最需要在安全與業(yè)務(wù)之間尋求平衡的一塊領(lǐng)域。從工控防護能力的功能來看，需要能夠攔截請求、阻斷可疑來源、禁止某些應(yīng)用運行。但是，這些行為都有可能會導(dǎo)致生產(chǎn)的中斷，甚至終止。

因此，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品能否在對生產(chǎn)無影響的前提下確保安全就尤為重要。即使在工業(yè)互聯(lián)網(wǎng)場景中，為了生產(chǎn)的可持續(xù)性，需要允許一些微小威脅的存在，但是對于可能會造成事故的威脅，就需要當(dāng)斷則斷。同時，工控防護產(chǎn)品本身的操作，也不應(yīng)對整個生產(chǎn)環(huán)境產(chǎn)生不良的影響。

協(xié)議解析能力

對于工控防護能力，尤其是工控防火墻而言，協(xié)議解析能力尤為關(guān)鍵。深度協(xié)議解析能力不只是對工業(yè)協(xié)議有所識別，更需要能夠在信息傳輸過程中，對工業(yè)協(xié)議中的具體內(nèi)容進行解析。

協(xié)議的解析能力能夠從兩方面來看，一個是“深度協(xié)議解析能力”。但是，不同安全廠商對“深度協(xié)議解析”的定義并不完全相同。深度協(xié)議解析包含的內(nèi)容，能夠包括協(xié)議指令碼、數(shù)據(jù)地址、數(shù)據(jù)數(shù)值的識別。在對工控防火墻進行選型的時候，需要明確安全廠商所謂的“深度協(xié)議解析”具體的解析內(nèi)容。協(xié)議指令層面可以發(fā)現(xiàn)異常的指令通信，但是數(shù)據(jù)數(shù)值級別能夠識別出正常指令中的異常數(shù)值——避免因參數(shù)不當(dāng)導(dǎo)致事故發(fā)生。

協(xié)議解析的另一個值得注意的能力是“自定義協(xié)議解析能力”。在工業(yè)互聯(lián)網(wǎng)環(huán)境中，有一部分私有協(xié)議，并不作為主流協(xié)議出現(xiàn)，因此不存在于安全廠商原有的協(xié)議能力中。這個情況下，就需要工控防護產(chǎn)品有對未知協(xié)議的學(xué)習(xí)能力，從而實現(xiàn)對未知協(xié)議的解析能力。

彈性白名單

白名單是工控終端安全防護/主機衛(wèi)士的主要防護手段。通過僅讓被許可的程序運行，達(dá)到確保工控主機安全的目的。

然而，白名單同樣需要基于企業(yè)的業(yè)務(wù)環(huán)境進行學(xué)習(xí)，從而制定出符合環(huán)境需求的白名單。從發(fā)展角度來看，工業(yè)互聯(lián)網(wǎng)會基于工業(yè)數(shù)據(jù)的分析，以及企業(yè)的業(yè)務(wù)需求，更為靈活地分配生產(chǎn)力。因此，對于一些數(shù)字化轉(zhuǎn)型較快的企業(yè)，工業(yè)生產(chǎn)環(huán)境本身也會有相比之前更為頻繁的變化。這就需要白名單有同樣的彈性。

白名單的彈性可以從兩方面來看。一方面是白名單的學(xué)習(xí)速度，是否能夠快速學(xué)習(xí)并建立準(zhǔn)確的工農(nóng)業(yè)互聯(lián)網(wǎng)環(huán)境白名單;另一方面是白名單的部署效率是否高效。盡管說功能上，可以通過工業(yè)互聯(lián)網(wǎng)安全管理平臺實現(xiàn)一鍵下發(fā)，但是在具體實踐環(huán)境中，經(jīng)常需要對每個終端進行逐臺更新，這個時候白名單的部署速率就決定了生產(chǎn)恢復(fù)的速度。

部分廠商會使用一些黑名單或者灰名單機制，來增加白名單的彈性。但是，這一類機制同樣也是犧牲了一定的安全性來追求效率——這并不代表這類機制不會安全，只是相對純粹的白名單機制而言，安全保障會相對降低。企業(yè)在這個過程中，也需要平衡自己的需求：是追求純粹的安全性選擇完全的白名單機制，還是降低一點安全性，來確保業(yè)務(wù)轉(zhuǎn)換時的效率。

已知威脅防護能力

盡管敵對勢力極有可能會對我們國家的關(guān)鍵基礎(chǔ)設(shè)施發(fā)動攻擊，但是這一類APT攻擊依然是少數(shù)。工業(yè)企業(yè)面臨的更多還是來自日常的已知攻擊，或者因人員違規(guī)操作產(chǎn)生的病毒感染(比如移動存儲設(shè)備的違規(guī)使用)。這一類威脅往往是已知病毒攻擊，或者利用已知漏洞進行攻擊，因此防病毒能力能夠抵御絕大部分此類攻擊。

針對已知威脅的防護，一方面依賴于安全廠商自身對工業(yè)系統(tǒng)的漏洞研究能力以及病毒庫更新能力。這可以從廠商的工業(yè)互聯(lián)網(wǎng)相關(guān)漏洞提交數(shù)量，以及安全研究團隊能力上體現(xiàn)。另一方面，有強大攻擊特征庫能力的廠商可以通過已知的攻擊行為模式，更精準(zhǔn)快速地發(fā)現(xiàn)攻擊行為，進行響應(yīng)。

工控防護能力市場情況

? 工控系統(tǒng)安全(本報告中“工控防護能力”與“工控檢測/審計”部分)在數(shù)世咨詢定義的市場成熟度，概念市場、新興市場、發(fā)展市場與成熟市場四個階段中，位于發(fā)展市場階段。

? 根據(jù)本次調(diào)研的方向，2019年我國工控防護能力收入總體約為6.3億元，2020年總體收入約為10.3億元，預(yù)計2021年收入為14.1億元，2022年有望達(dá)到17.5億元。工控防護產(chǎn)品作為整個工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵，其收入占比在整個工業(yè)互聯(lián)網(wǎng)安全中當(dāng)前最高。但是，隨著客戶的防護能力日漸成熟，以及工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品數(shù)量增多，會將投入逐漸轉(zhuǎn)向工業(yè)互聯(lián)網(wǎng)安全管理平臺能力。工控防護類產(chǎn)品的總體收入占比將會逐步下降。

? 工控防護類產(chǎn)品當(dāng)前還是以單一標(biāo)準(zhǔn)化產(chǎn)品交付為主，占72%。定制化產(chǎn)品及運營占17%;作為單一功能交付、訂閱模式及其他模式共占11%。

? 從銷售方式來看，廠商直接銷售和通過渠道銷售占比差距不大。直銷(46%)比渠道(44%)占比略高。

? 當(dāng)前來看，工控防護能力的主要落地行業(yè)為電力，占31%。電力在整個工業(yè)互聯(lián)網(wǎng)領(lǐng)域起步較早，因此安全能力落地更多。其余占比超過10%的行業(yè)為軌道交通(16%)、燃?xì)?熱力/供水/電網(wǎng)(13%)、以及石油石化(11%)。從未來發(fā)展來看，石油石化將會成為下一個安全廠商爭奪的領(lǐng)域。

案例一：某水電站工控安全防護項目案例

場景介紹

某水電站作為國內(nèi)首座大型水利樞紐，電力信息化集成越來越高，對電力系統(tǒng)的穩(wěn)定性、安全性、可用性均提出較高考驗。為提升水電站控制系統(tǒng)網(wǎng)絡(luò)安全防護能力，以水電站實際應(yīng)用需求為出發(fā)點，結(jié)合電力行業(yè)相關(guān)標(biāo)準(zhǔn)，從工控終端安全、工控網(wǎng)絡(luò)安全、運維管理安全等方面，設(shè)計出水電站工控安全防護方案，并得到實際的應(yīng)用，幫助水電站建立全方位多技術(shù)的防護手段。

安全隱患

◇ 生產(chǎn)控制區(qū)系統(tǒng)老舊，安全漏洞較多，易被攻擊者利用

◇ 操作站應(yīng)用和移動介質(zhì)缺少管控，無法辨別應(yīng)用來源，可能引入惡意程序

◇ 業(yè)務(wù)調(diào)度和操作行為不規(guī)范，可能存在違規(guī)操作或誤操作

◇ 生產(chǎn)控制區(qū)域之間未執(zhí)行嚴(yán)格的訪問控制，可能存在跨域訪問

客戶需求

通過對水電站控制I和II區(qū)業(yè)務(wù)運行和日常管理進行現(xiàn)場溝通與調(diào)研，明確如下需求：

◆ 技術(shù)人員操作不規(guī)范，管理難2

◆ 難以對重要通信建立行之有效的審計監(jiān)測機制

◆ 工業(yè)控制系統(tǒng)漏洞較多，難以形成集識別和管理措施

◆ 常規(guī)安全檢測手段無法應(yīng)對新型工業(yè)安全威脅

◆ 缺少基于全網(wǎng)的威脅態(tài)勢分析

◆ 網(wǎng)絡(luò)設(shè)備繁多，分布較遠(yuǎn)，定期維護較為困難

解決方案

為更好地解決水電站當(dāng)前面臨的安全問題，首先需要對水電站的網(wǎng)絡(luò)結(jié)構(gòu)和資產(chǎn)信息進行梳理：以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”為建設(shè)原則，細(xì)化生產(chǎn)控制區(qū)(I區(qū))業(yè)務(wù)系統(tǒng)，強化對數(shù)據(jù)網(wǎng)邊界、重要資產(chǎn)或系統(tǒng)的安全防護與審計，增強漏洞威脅識別與發(fā)現(xiàn)能力，建立基于全廠的安全信息匯總與展示，以及全網(wǎng)威脅態(tài)勢感知與分析。

結(jié)合水電站業(yè)務(wù)特點與網(wǎng)絡(luò)結(jié)構(gòu)，安全專家提出了整體安全建設(shè)框架，基于安全防護體系和安全運維感知體系，構(gòu)建對水電站生產(chǎn)控制區(qū)中的安全防護、安全檢測、安全審計、安全運維、威脅識別、安全場景分析能力，形成基于工業(yè)控制系統(tǒng)的縱向防御架構(gòu)。

安全防護體系

安全防護體系包含網(wǎng)絡(luò)中的安全防護設(shè)備、檢測設(shè)備、審計設(shè)備、終端管理、漏洞識別等，防護范圍覆蓋生產(chǎn)控制區(qū);在生產(chǎn)監(jiān)控區(qū)建立安全防護中心作為數(shù)據(jù)探知，將基于各個節(jié)點的安全數(shù)據(jù)、異常數(shù)據(jù)等上送至集中管理平臺，用作安全環(huán)境、基線的分析，并執(zhí)行分析的結(jié)果。

安全運維感知體系

安全運維感知體系作為水電站生產(chǎn)控制大區(qū)安全防護的“大腦”，承擔(dān)安全信息分析的作用，利用大數(shù)據(jù)手段，基于用戶的安全基線進行安全建模，通過模型間的組合進行流式分析，分析網(wǎng)絡(luò)中安全威脅及主機、應(yīng)用脆弱性，后依據(jù)分析結(jié)果下發(fā)策略至安全防護設(shè)備、安全審計設(shè)備，形成基于用戶行為的縱向安全防護體系。

域間隔離

生產(chǎn)控制大區(qū)與非控制區(qū)域部署天融信工控防火墻，實現(xiàn)域間隔離控制。天融信工控防火墻基于白名單的工業(yè)指令級“四維一體”深度防護技術(shù)，可對工控協(xié)議的“完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”進行深度解析和過濾，可對水電站生產(chǎn)控制區(qū)內(nèi)的S7、Modbus、EIP、IEC104協(xié)議進行深度解析;同時，基于水電站業(yè)務(wù)實時特性，采用工控系統(tǒng)業(yè)務(wù)連續(xù)性保障技術(shù)，可在不影響工控業(yè)務(wù)連續(xù)性的基礎(chǔ)上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù)，保證電力生產(chǎn)數(shù)據(jù)安全上傳。

“四維一體”深度防護技術(shù)在傳統(tǒng)防火墻五元組安全檢測的基礎(chǔ)上，對應(yīng)用層工控協(xié)議及數(shù)據(jù)進行四重深度安全檢測，以Modbus協(xié)議為例：

? 第一步對協(xié)議的完整性進行校驗。

? 第二步結(jié)合工控業(yè)務(wù)對功能碼進行分析，檢查協(xié)議功能碼是否合法、合規(guī)。

? 第三步檢查數(shù)據(jù)讀取地址范圍是否在業(yè)務(wù)允許范圍內(nèi)，同時對源操作者的讀寫權(quán)限進行檢查。

? 第四步對工藝參數(shù)進行分析，如轉(zhuǎn)速、壓力、溫度等是否符合目標(biāo)設(shè)備正常業(yè)務(wù)范圍。

工控防火墻協(xié)議解析模型

通過對工控協(xié)議、數(shù)據(jù)的四層安全檢測，可有效保證工控協(xié)議與數(shù)據(jù)的安全性，從而保障工控網(wǎng)絡(luò)、工控設(shè)備的安全穩(wěn)定運行。

基于業(yè)務(wù)的行為建模分析

工控安全監(jiān)測系統(tǒng)部署應(yīng)用結(jié)合水電站業(yè)務(wù)的特性，采用工控業(yè)務(wù)規(guī)則模型，可有效對業(yè)務(wù)系統(tǒng)的攻擊行為、違規(guī)操作、誤操作、非法通訊等異常行為進行監(jiān)測，并對數(shù)據(jù)進行深度解析、分析、記錄、統(tǒng)計、匯報，通過關(guān)聯(lián)分析結(jié)果給出相應(yīng)的防御策略和事件溯源的報文源碼，加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)測，便于快速了解網(wǎng)絡(luò)基本情況的同時獲知網(wǎng)絡(luò)告警分布，輕松掌握網(wǎng)絡(luò)運行狀況。采用旁路部署，對業(yè)務(wù)生產(chǎn)過程“零”影響;具備完善的日志存儲、統(tǒng)計、審計與備份功能，針對安全事件便于篩選與回溯，有效保障了日志數(shù)據(jù)可靠性。

基于白名單的防護

工控主機衛(wèi)士部署在工控上位機和服務(wù)器上，能夠防范惡意程序的運行、控制USB移動存儲介質(zhì)的濫用、管理非法外聯(lián)、為受信任的程序提供完整性保護等，具備完善的終端安全風(fēng)險監(jiān)控和分析能力;同時支持新建、追加白名單，可通過自動掃描、自定義添加、軟件跟蹤等方式自動生成應(yīng)用、腳本白名單庫，同時可根據(jù)文件表、HASH表對庫內(nèi)白名單進行查看，并可配置白名單防護策略，禁止并審計白名單之外的進程、鏡像的啟動加載行為;滿足工控網(wǎng)絡(luò)中終端安全管理需求，實現(xiàn)對工控主機全面的安全防護。

工控主機衛(wèi)士功能架構(gòu)

工業(yè)漏洞識別與發(fā)現(xiàn)

脆弱性掃描與管理系統(tǒng)可對國內(nèi)外常見的SCADA、組態(tài)軟件、HMI、PLC、DCS、應(yīng)用系統(tǒng)等多種類型的系統(tǒng)或設(shè)備進行針對性掃描，采用智能遍歷規(guī)則庫和多種掃描選項的組合手段，深入檢測出系統(tǒng)中存在的漏洞和弱點，準(zhǔn)確定位其脆弱點和潛在威脅。根據(jù)掃描結(jié)果，系統(tǒng)可以提供測試用例來輔助驗證漏洞的準(zhǔn)確性，同時提供整改方法和建議，幫助技術(shù)人員修補漏洞，全面提升整體安全性。

同時，系統(tǒng)柜可將掃描的結(jié)果生成在線或離線報表，也可以根據(jù)不同的用戶角色生成報表，并對掃描結(jié)果進行細(xì)致、全面的分析，并以圖、表、文字說明等多種形式進行展現(xiàn)，支持以HTML、PDF、Word、Excel、Xml等格式進行導(dǎo)出，便于對現(xiàn)場資產(chǎn)與威脅匯總分析。

工控漏洞掃描系統(tǒng)功能架構(gòu)

外部入侵檢測

工控入侵檢測與審計系統(tǒng)內(nèi)置專業(yè)的工控入侵規(guī)則庫，可根據(jù)業(yè)務(wù)功能需求制定白名單策略，滿足水電站關(guān)鍵節(jié)點防護需求，采用攻擊規(guī)則檢測+業(yè)務(wù)白名單兩種方式，對工業(yè)控制網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包進行相應(yīng)的行為匹配，及時發(fā)現(xiàn)來自生產(chǎn)網(wǎng)內(nèi)外部攻擊威脅，為客戶提供直觀、落地的安全防護建議，保障生產(chǎn)網(wǎng)絡(luò)安全運行。實現(xiàn)了對水電站Modbus、S7、IEC104、EIP協(xié)議的深度解析，可根據(jù)業(yè)務(wù)系統(tǒng)的安全需求，制定符合應(yīng)用場景的安全策略，可對安全事件詳情進行記錄和報文留存，為安全事件調(diào)查提供基礎(chǔ)依據(jù)，真正做到事前預(yù)警、事中監(jiān)控和事后追溯。

工控入侵檢測與審計系統(tǒng)架構(gòu)圖

客戶價值

通過在客戶的環(huán)境中工控安全產(chǎn)品，最終實現(xiàn)：

? 終端管控：在重要服務(wù)器和操作站安裝天融信工控主機衛(wèi)士，實現(xiàn)終端主機的安全管控，避免人員惡意操控應(yīng)用程序，減小惡意代碼和病毒木馬對生產(chǎn)控制造成影響。

? 安全隔離：在控制區(qū)和非控制區(qū)部署工業(yè)級防火墻，實現(xiàn)區(qū)域邊界安全隔離，通過實時過濾網(wǎng)絡(luò)中的非法誤操作和惡意攻擊行為，阻斷蠕蟲、病毒域間傳播，提升控制區(qū)防護能力。

? 安全審計與入侵檢測能力：在關(guān)鍵開關(guān)站、調(diào)度數(shù)據(jù)網(wǎng)接口處、非控制區(qū)(II區(qū))部署工控安全監(jiān)測和入侵防護系統(tǒng)，增加重要資產(chǎn)的防護能力，提升外部威脅攻擊入侵檢測與安全審計能力。

? 漏洞識別與修復(fù)能力：通過在控制區(qū)域非控制區(qū)部署工控漏洞掃描系統(tǒng)，可多維度檢測多種形式的系統(tǒng)，快速定位漏洞威脅，并提供完整的修復(fù)指導(dǎo)。

客戶反饋

簡化了運維管理工作，在面臨廠區(qū)較大，可以通過實現(xiàn)集中式運維管理，便于日常發(fā)現(xiàn)工控威脅，同時，針對威脅事件能夠快速響應(yīng)處理。

終端防護能力升級，通過工控主機衛(wèi)士能夠設(shè)定有效的白名單程序，從系統(tǒng)層面封堵外設(shè)，有效應(yīng)對外設(shè)違規(guī)使用以及操作不規(guī)范問題。

可視化運維操作，對一線操作行為能夠直觀顯示，方便安全管理人員分析操作行為。

規(guī)范生產(chǎn)區(qū)域之間行為，在不同生產(chǎn)區(qū)域間，通過工控防火墻能夠細(xì)粒度控制通信行為，杜絕跨區(qū)操作。

漏洞排查快速定位，面對全廠上萬套設(shè)備，能夠定期排查漏洞信息，同時給出修復(fù)意見，減少廠區(qū)工控設(shè)備脆弱性。

案例二：某油氣管道生產(chǎn)調(diào)控中心網(wǎng)絡(luò)安全防護案例

涉及領(lǐng)域：工業(yè)互聯(lián)網(wǎng)防護能力、工業(yè)互聯(lián)網(wǎng)檢測/審計能力

場景介紹

近年來，能源行業(yè)層出不窮的網(wǎng)絡(luò)安全事件表明油氣管道SCADA系統(tǒng)已經(jīng)成為國內(nèi)外黑客的攻擊目標(biāo)，面臨愈發(fā)嚴(yán)峻的威脅。

物聯(lián)網(wǎng)、大數(shù)據(jù)、云平臺等新技術(shù)的應(yīng)用，形成了油氣管道生產(chǎn)網(wǎng)絡(luò)的互聯(lián)互通，來自辦公管理層網(wǎng)絡(luò)的入侵、病毒等風(fēng)險容易向生產(chǎn)網(wǎng)蔓延。同時攻擊者偽造身份從外部或內(nèi)部網(wǎng)絡(luò)節(jié)點對生產(chǎn)系統(tǒng)進行滲透，不僅僅可以拿到工藝數(shù)據(jù)，甚至可以造成重大安全事故。管道SCADA系統(tǒng)一旦受攻擊容易發(fā)生惡意操控甚至生產(chǎn)事故，直接影響到管道輸送的正常生產(chǎn)運營，導(dǎo)致火災(zāi)、爆炸、中毒事件的發(fā)生，造成重大經(jīng)濟損失、人員傷亡和環(huán)境污染，直接威脅到國家能源安全和社會穩(wěn)定。因此保護油氣管道SCADA系統(tǒng)的安全，對我國能源安全具有重要的現(xiàn)實意義。

客戶需求

該油氣管道客戶有以下工業(yè)互聯(lián)網(wǎng)安全需求：

◆ 安全通信網(wǎng)絡(luò)安全需求：在通信過程中采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性，在通信過程中采用校驗技術(shù)保證數(shù)據(jù)的完整性，通過應(yīng)用工控防火墻搭載可信模塊的形式，實現(xiàn)可信驗證。

◆ 安全區(qū)域邊界安全需求：監(jiān)控網(wǎng)絡(luò)中存在的各類入侵風(fēng)險、網(wǎng)絡(luò)病毒、非法訪問等行為并進行審計與阻斷，保障生產(chǎn)網(wǎng)絡(luò)的可用性與安全性。

◆ 安全計算環(huán)境安全需求：對各系統(tǒng)工程師站、操作員站、歷史站、接口站、服務(wù)器等實施定期巡檢式的安全掃描，進行針對性的安全加固，以白名單的方式限制可以執(zhí)行的程序，綜合提升主機系統(tǒng)的抗攻擊能力，保護分布廣泛的站控系統(tǒng)主機不被作為跳板入侵上級系統(tǒng)。

◆ 安全管理中心安全需求：建立安全教育與培訓(xùn)、安全保密、應(yīng)急響應(yīng)機制，使安全管理成體系，安全管理常態(tài)化，管理與技防相結(jié)合，形成企業(yè)的綜合網(wǎng)絡(luò)安全防護體系。

解決方案

方案設(shè)計

本方案針對油氣管道SCADA系統(tǒng)實際需求，通過設(shè)計建設(shè)一套穩(wěn)定、高效、可靠的工控安全監(jiān)測防護體系，集中展現(xiàn)油氣管道SCADA系統(tǒng)的整體工控安全態(tài)勢，提升整體工控安全監(jiān)管水平和防御能力。針對SCADA系統(tǒng)的特點進行設(shè)計，以國家等級保護的“一個中心、三重防護”為整體防護思想，構(gòu)建油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全防護的技術(shù)體系，并完善安全管理體系，形成“技術(shù)+管理”的綜合安全防護體系，滿足實際安全防護需求，達(dá)到等保三級建設(shè)標(biāo)準(zhǔn)。

方案從實際出發(fā)，以油氣管道SCADA系統(tǒng)為等級保護對象，以控制中心系統(tǒng)為主體，結(jié)合站控系統(tǒng)、現(xiàn)場設(shè)備等邊緣應(yīng)用分布廣泛的特點，從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心和安全管理要求等幾個維度來構(gòu)建綜合安全防護體系：

? 安全通信網(wǎng)絡(luò)：對油氣管道SCADA系統(tǒng)的訪問邏輯進行梳理，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，按照網(wǎng)絡(luò)資產(chǎn)的屬性與訪問邏輯，合理劃分網(wǎng)絡(luò)安全域。在油氣管道工控系統(tǒng)網(wǎng)絡(luò)的邊界部署安全隔離與訪問控制措施，實現(xiàn)必要的邊界安全防護，同時按照業(yè)務(wù)組網(wǎng)應(yīng)用特點，酌情增加鏈路加密措施，保障鏈路通信的數(shù)據(jù)安全性。

? 安全區(qū)域邊界：在重要的安全域邊界設(shè)計部署安全隔離與訪問控制措施，對重要安全域進行必要的安全防護。在油氣管道工控系統(tǒng)網(wǎng)絡(luò)中，重點對首站、中間站和末站等所在的安全域進行安全隔離與訪問控制，保證油氣管道工控系統(tǒng)的運行安全。

? 安全計算環(huán)境：對全網(wǎng)的服務(wù)器、操作員站、工程師站等主機系統(tǒng)設(shè)計安裝必要的安全管控措施，實現(xiàn)對主機系統(tǒng)必要的安全管控，保障主機系統(tǒng)運行安全。主機安全管控措施包括主機進程管控、主機USB口外界管理等，實現(xiàn)主機防病毒、防第三方軟件非授權(quán)安裝使用、防USB設(shè)備非法連接與數(shù)據(jù)拷貝等功能，提升人機交互界面必要的安全防控與主機系統(tǒng)的安全性。同時，借助于在安全管理域內(nèi)部署的主機系統(tǒng)脆弱性掃描工具，實現(xiàn)對主機系統(tǒng)弱口令、漏洞的安全管理，通過主機加固措施，提升主機系統(tǒng)自身的抗攻擊能力。

? 安全管理中心：在油氣管道工控網(wǎng)絡(luò)中新建安全管理域，部署集中安全管理手段，實現(xiàn)對全網(wǎng)用戶集中認(rèn)證、權(quán)限管理與操作行為審計。同時，部署綜合日志審計與安全管理技術(shù)手段，建立全網(wǎng)安全風(fēng)險的集中管理、分析、可視化與聯(lián)動處置機制，部署安全威脅掃描與管理工具，實現(xiàn)全網(wǎng)風(fēng)險的集中管理與處置，保證風(fēng)險的快速感知與處置，提升安全風(fēng)險的管理與應(yīng)對能力。

? 安全管理體系：基于油氣管道企業(yè)現(xiàn)有的安全管理組織結(jié)構(gòu)與管理措施，由我方專業(yè)的安全服務(wù)人員以安全咨詢服務(wù)的形式，按照相關(guān)標(biāo)準(zhǔn)規(guī)范要求，為用戶梳理安全管理體系內(nèi)容，幫助用戶健全與完善安全管理體系相關(guān)內(nèi)容，從管理上完善安全管理的體系化建設(shè)，包括日常管理以及應(yīng)急保障等相關(guān)內(nèi)容，以構(gòu)建綜合的安全防護體系，保障油氣管道工控系統(tǒng)的安全穩(wěn)定運行。

部署拓?fù)鋱D如下：

工控安全防護系統(tǒng)部署拓?fù)涫疽鈭D

產(chǎn)品部署

? 安全通信網(wǎng)絡(luò)建設(shè)：對油氣管道工控網(wǎng)絡(luò)進行優(yōu)化，劃分安全域，并對油氣管道工控網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)的網(wǎng)絡(luò)邊界部署工控防火墻進行邊界隔離與安全防護，保護油氣管道工控網(wǎng)絡(luò)免受來自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險。

? 安全區(qū)域邊界建設(shè)：在油氣管道工控網(wǎng)絡(luò)中劃分不同的安全域，按照安全域的安全權(quán)重，有針對性進行安全域的隔離與訪問控制、安全審計、入侵檢測等必要的安全防護措施，保護個安全域的運行的安全。本方案中主要是在調(diào)控中心SCADA系統(tǒng)網(wǎng)絡(luò)中部署工控安全審計系統(tǒng)、入侵檢測系統(tǒng)，以及在各個站控系統(tǒng)的生產(chǎn)數(shù)據(jù)匯聚到調(diào)度中心的網(wǎng)絡(luò)入口處部署工控防火墻。

? 安全計算環(huán)境的建設(shè)：在油氣管道工控網(wǎng)絡(luò)中的安全計算環(huán)境是指人機交互界面上的各主機系統(tǒng)，包括各種相關(guān)的應(yīng)用服務(wù)器(如SCADA歷史服務(wù)器、OPC服務(wù)器等)、操作員站、工程師站和歷史站等。主機系統(tǒng)要通過檢查工具對其安全漏洞與脆弱性進行發(fā)現(xiàn)和管理，對可修復(fù)的漏洞進行可行性驗證與修復(fù)，關(guān)閉不需要的默認(rèn)賬號、服務(wù)，進行主機系統(tǒng)必要的安全加固，提升主機系統(tǒng)抗攻擊能力。本次設(shè)計將考慮部署主機安全防護系統(tǒng)技術(shù)措施來對主機系統(tǒng)進行必要的安全防護。

針對油氣管道工控網(wǎng)絡(luò)中的相關(guān)服務(wù)器、工程師站、操作員站等主機系統(tǒng)，設(shè)計安裝部署主機安全防護軟件系統(tǒng)，實現(xiàn)對人機交互界面的主機系統(tǒng)必要的安全管控。

白名單的主動防御機制可占用更小的系統(tǒng)計算資源，實現(xiàn)最大的防護效能，可有效實現(xiàn)主機防病毒、防第三方軟件的非授權(quán)安裝與使用、對主機系統(tǒng)外接口管控、對USB外接存儲設(shè)備的認(rèn)證管控、防病毒與操作行為審計，為主機系統(tǒng)安全運行提供必要的安全保障。

本方案使用的主機安全防護系統(tǒng)，是工控主機系統(tǒng)專用的安全防護系統(tǒng)，系統(tǒng)運用白名單為主，灰名單、黑名單為輔的創(chuàng)新技術(shù)方式，監(jiān)控主機的進程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB端口狀態(tài)，嚴(yán)格對主機應(yīng)用進程進行管控，外接端口管控，USB設(shè)備認(rèn)證與使用管理，以及操作行為管理，強化工控主機的安全管理，提升主機系統(tǒng)抗攻擊能力。

客戶價值

通過部署一系列的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品，為客戶提供了如下價值：

? 先進安全防護技術(shù)提升企業(yè)工控安全防護能力：本方案采用工業(yè)協(xié)議深度解析技術(shù)、智能學(xué)習(xí)技術(shù)、白名單主動防御技術(shù)和威脅管理無損技術(shù)，并結(jié)合公司自有的工業(yè)漏洞庫、設(shè)備指紋庫，通過制定有效的安全策略和安全集中分析管控手段，在保證穩(wěn)定運行的前提下，對工控系統(tǒng)運行提供必要的網(wǎng)絡(luò)安全保障。

? 完善組織OT內(nèi)控體系，滿足合規(guī)需求：本方案在設(shè)計時，參照了國家等級保護相關(guān)規(guī)范要求，并按照企業(yè)當(dāng)前的工控系統(tǒng)信息化建設(shè)程度來提出符合實際需求的解決方案，實現(xiàn)了從OT應(yīng)用控制、OT一般控制、OT審計等三個維度來打造合規(guī)的OT控制體系。

? 工控安全產(chǎn)品性能達(dá)到國內(nèi)領(lǐng)先水平：包括獨有的專利技術(shù)的全機柜一體化解決方案、松耦合的安全框架設(shè)計具有極好的設(shè)備兼容性、一體化安全產(chǎn)品管理機制。網(wǎng)絡(luò)接入支持IPv6、ipsecVPN、可視化監(jiān)控、自定義協(xié)議規(guī)則、接口聯(lián)動、熱備機制、bypass、低延時等高可用性設(shè)計，真正做到了對工業(yè)網(wǎng)絡(luò)零影響。

? 自主可控的上送信息的數(shù)據(jù)對接：與同類別方案相比，增加的相關(guān)設(shè)備所采集的信息更加全面，也更具合規(guī)性，能完全適應(yīng)工控系統(tǒng)安全防護在穩(wěn)定性與機密性的共同需求。方案中所有信息安全產(chǎn)品均為國產(chǎn)自主產(chǎn)品，可控性強，安全產(chǎn)品聯(lián)動安全性更高，并可提供定制化的功能開發(fā)，方便支撐不斷迭代升級。

? 可信計算的融合技術(shù)：采用設(shè)備上加裝PCI可信控制卡的方式，實現(xiàn)可信功能。主要包括基于可信根對設(shè)備的bootloader、操作系統(tǒng)和應(yīng)用程序等進行可信驗證;基于SM3 HASH對設(shè)備的bootloader、操作系統(tǒng)和應(yīng)用程序等進行可信驗證;對系統(tǒng)中斷、關(guān)鍵內(nèi)存區(qū)域等執(zhí)行資源進行可信驗證;對設(shè)備的網(wǎng)絡(luò)通信進行可信動態(tài)度量，監(jiān)測異常通信行為;將可信驗證結(jié)果形成審計記錄并發(fā)送至安管平臺;安管平臺處理所有安全設(shè)備上報的可信狀態(tài)值，并呈現(xiàn)整個安全防護系統(tǒng)的可信狀況。

客戶反饋

本方案以油氣管道工控系統(tǒng)應(yīng)用為場景，構(gòu)建了安全可控為目標(biāo)，監(jiān)控審計、威脅分析、入侵檢測、主機防護為特征的油氣管道企業(yè)工業(yè)控制系統(tǒng)新一代主動防御體系，提高了工控系統(tǒng)整體安全性。將為企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系建設(shè)開創(chuàng)行之有效的安全建設(shè)模式，提高管控一體化安全防護的能力。

通過本方案中的主動安全防御建設(shè)，提高了工控安全防御能力。按照每年平均防御網(wǎng)絡(luò)攻擊1次，每次攻擊平均造成的停運損失500萬元計算，項目2020年11月份投運至2021年4月份，折算減少停運損失約200萬。由于該項目的建設(shè)，提高了運維效率，每年還可以降低工業(yè)控制系統(tǒng)的運維費用約30萬。

本方案具有很強的推廣價值，也適合在石油石化行業(yè)其它場景的工控系統(tǒng)中進行推廣應(yīng)用。

?

工業(yè)互聯(lián)網(wǎng)安全能力指南 —— 工控檢測/審計部分

關(guān)鍵發(fā)現(xiàn)

? 傳統(tǒng)IT環(huán)境中安全優(yōu)先級要求：CIA，工控環(huán)境中安全優(yōu)先級要求正好相反：AIC。因此工控檢測/審計類產(chǎn)品——特別是主動掃描類檢測產(chǎn)品——首要要求是對業(yè)務(wù)連續(xù)性不能有影響;

? 對主流工業(yè)協(xié)議的識別與解析數(shù)量是該類產(chǎn)品的主要衡量標(biāo)準(zhǔn)，除此以外，也應(yīng)考慮檢測結(jié)果可視化、與業(yè)務(wù)的相關(guān)性等軟性指標(biāo);

? 工控檢測/審計類產(chǎn)品仍然以合規(guī)需求為主要驅(qū)動力，但隨著關(guān)基類用戶的投入逐漸加大，實戰(zhàn)化高級威脅檢測的需求驅(qū)動正在逐漸增強;

? 隨著客戶的檢測能力日漸成熟，以及工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品數(shù)量增多，會將投入逐漸轉(zhuǎn)向工業(yè)互聯(lián)網(wǎng)安全管理平臺能力。工業(yè)互聯(lián)網(wǎng)安全檢測類產(chǎn)品的總體收入占比將會逐步下降。

工控檢測/審計能力點陣圖

本次參與工控防護能力的廠商共有18家，包括：安恒信息、博智安全、烽臺科技、國泰網(wǎng)信、惠而特、立思辰安科、六方云、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰、融安網(wǎng)絡(luò)、圣博潤、天地和興、天融信、威努特、英賽克。

工控檢測/審計能力主要產(chǎn)品形態(tài)

在本次工業(yè)互聯(lián)網(wǎng)安全系列報告中，檢測是最重要的組成部分之一，“看見”是一切安全管理與安全服務(wù)的前提。經(jīng)過近幾年的發(fā)展，工業(yè)互聯(lián)網(wǎng)安全檢測產(chǎn)品形態(tài)主要有以下幾大類：

? 工業(yè)資產(chǎn)發(fā)現(xiàn)與管理

在工業(yè)生產(chǎn)環(huán)境中，以安全視角對包括控制器、控制系統(tǒng)、上位機等工控設(shè)備，以及辦公網(wǎng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備等在內(nèi)的各類資產(chǎn)進行主動/被動資產(chǎn)發(fā)現(xiàn)以及資產(chǎn)管理的安全產(chǎn)品。

? 工業(yè)合規(guī)檢查工具箱(等保工具箱、基線核查系統(tǒng)等)

以合規(guī)檢查為主要目的，內(nèi)置工控系統(tǒng)等級保護檢查標(biāo)準(zhǔn)，支持漏洞檢測、流量分析、配置核查等自動化評估工具的便攜設(shè)備產(chǎn)品，一般這類產(chǎn)品還支持自動生成信息安全等級保護檢查報告以及整改通知書。主要用戶為測評機構(gòu)與現(xiàn)場執(zhí)法檢查的單位(例如各級測評中心、公安、國安、網(wǎng)信、保密等)以及集團類客戶對下屬單位檢查使用。

? 工業(yè)監(jiān)測審計

針對工業(yè)生產(chǎn)環(huán)境中的網(wǎng)絡(luò)流量進行安全監(jiān)測與行為分析的審計類產(chǎn)品。此類產(chǎn)品的目的在于識別非法操作、越權(quán)執(zhí)行、外部攻擊等安全事件并實時告警，同時全面記錄網(wǎng)絡(luò)中的網(wǎng)絡(luò)運行狀況及各協(xié)議通信行為，生成分析報告，給出合理化建議，為安全事件的調(diào)查取證提供依據(jù)。由于采用旁路監(jiān)聽方式進行部署，不影響現(xiàn)有系統(tǒng)的生產(chǎn)運行，審計類產(chǎn)品可以適用于大部分網(wǎng)絡(luò)環(huán)境,。

? 工業(yè)安全評估(包含工業(yè)漏掃、防病毒)

此類產(chǎn)品涵蓋了資產(chǎn)發(fā)現(xiàn)、漏洞掃描、配置核查、Windows安全加固、等保合規(guī)關(guān)聯(lián)、Wifi安全檢測等模塊，目的是發(fā)現(xiàn)工控環(huán)境中存在的各種脆弱性問題，包括各種已知安全漏洞、安全配置問題、不合規(guī)行為等風(fēng)險。在信息系統(tǒng)受到實際危害之前為用戶的安全管理人員提供專業(yè)、有效的評估報告和修補建議。因此，這類產(chǎn)品一般都會具備直觀的報表功能。部分具備防病毒基因的安全企業(yè)，還會在這類產(chǎn)品中內(nèi)置脫殼引擎、解壓縮引擎、反病毒引擎，結(jié)合特征碼掃描、啟發(fā)式掃描等技術(shù)檢測各種已、未知病毒威脅。

? 工控漏洞挖掘

此類產(chǎn)品主要用于發(fā)現(xiàn)工控設(shè)備(PLC、RTU等)、工控系統(tǒng)(DCS、SCADA等)中的未知漏洞，以黑盒測試為主要技術(shù)實現(xiàn)方式，產(chǎn)出的測試報告應(yīng)當(dāng)能夠清晰定位問題并提供測試報文便于問題回溯，對于安全要求更高且預(yù)算較多的關(guān)基用戶，這類產(chǎn)品能夠進一步提升工業(yè)控制系統(tǒng)的安全性。

? 工業(yè)入侵檢測系統(tǒng)

顧名思義，應(yīng)用于工業(yè)互聯(lián)網(wǎng)環(huán)境的IDS，主要對緩沖區(qū)溢出、SQL 注入、暴力破解、DDoS攻擊、掃描探測、蠕蟲病毒、木馬后門、間諜軟件、欺騙劫持、僵尸網(wǎng)絡(luò)等各類黑客攻擊和惡意流量進行實時檢測及報警。

工控檢測/審計能力落地要點

不影響用戶的業(yè)務(wù)為基本準(zhǔn)則

傳統(tǒng)IT環(huán)境對安全的優(yōu)先級要求是CIA，工控環(huán)境中對安全的要求優(yōu)先級正好相反——AIC。工控環(huán)境中，絕大部分設(shè)備和系統(tǒng)都要求7*24小時不間斷運轉(zhuǎn)，所以主動掃描類檢測產(chǎn)品，首先要注意的就是不能影響用戶業(yè)務(wù)。如資產(chǎn)發(fā)現(xiàn)與漏洞掃描，應(yīng)當(dāng)以版本匹配為主，不能poc驗證式掃描。同時，要能夠?qū)呙璨呗赃M行靈活配置，注意產(chǎn)品的占用進程和資源。很多老舊設(shè)備的硬件水平與操作系統(tǒng)都經(jīng)不起大流量的掃描行為沖擊。如果是流量檢測，則務(wù)必采用旁路監(jiān)聽方式，同時注意產(chǎn)品檢查點的范圍和深度，避免造成回環(huán)等形式的網(wǎng)絡(luò)擁塞，影響正常的業(yè)務(wù)流量。所有的產(chǎn)品部署要便捷，盡量不中斷或是只占用很短的中斷業(yè)務(wù)時間。

要能夠適應(yīng)惡劣的工業(yè)環(huán)境

安全檢測類產(chǎn)品要具備IP40或以上級別的防護、抗電磁干擾、電源冗余、無風(fēng)扇散熱、雙機熱備、端口冗余、寬溫寬壓等工業(yè)級的可靠性、穩(wěn)定性。對于軍工類用戶，某些便攜檢測類產(chǎn)品還應(yīng)當(dāng)具備三防(防塵，防水，防震)能力，自備電源，適合嚴(yán)苛環(huán)境應(yīng)用。

白名單與黑名單的平衡使用

白名單是工控環(huán)境下安全檢測產(chǎn)品的基本技術(shù)實現(xiàn)思路，但單純依靠白名單其局限性，甚至有可能反被利用。比如2018年被發(fā)現(xiàn)的針對中東某石油天然氣廠工業(yè)控制系統(tǒng)的“海淵”(TRISIS)惡意代碼便是利用社工技巧偽裝成安全儀表系統(tǒng)的日志軟件繞過“白環(huán)境”機制成功進入目標(biāo)網(wǎng)絡(luò)。除采用社工手段外，直接針對白名單設(shè)備、白名單軟件的攻擊行為也愈加頻繁，更有一些復(fù)雜攻擊采用哈希碰撞的攻擊方式繞過“白名單”機制，對系統(tǒng)造成威脅。因此，應(yīng)當(dāng)在基于白名單的基礎(chǔ)上，增加對已知病毒、已知漏洞庫、威脅情報等特征數(shù)據(jù)的檢測能力。而且，目前供應(yīng)商的產(chǎn)品一般都具備一定程度的智能學(xué)習(xí)技術(shù)，通過自動學(xué)習(xí)生成白名單庫，并以此為起點按需進行安全檢測，使白名單也具備了一定的靈活性?？傊?、黑之間的平衡點，要根據(jù)用戶自身的業(yè)務(wù)情況按需制定。

工控檢測/審計主要核心能力

針對以上產(chǎn)品形態(tài)及落地要點，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品的主要核心能力有五個：識別、解析、采集、知識庫、可視化。

識別

“檢測”能力的第一個主要核心能力是準(zhǔn)確的工控設(shè)備指紋識別能力。能力衡量標(biāo)準(zhǔn)是能夠識別的主流協(xié)議的數(shù)量與準(zhǔn)確度，例如西門子、施耐德、羅克韋爾、ABB、艾默生、倍福、歐姆龍、臺達(dá)、和利時、三菱、霍尼韋爾、英維思等國內(nèi)外知名廠商的 OPC、Modbus、DNP3.0、S5、S7、Ethernet/IP、MBTP、IEC104、IEC1850、Profinet、BACnet、MMS、FOCAS、 ENIP、Melsec-Q、PCWorx、ProConOs、Crimson 等協(xié)議。識別的能力門檻相對較低，對設(shè)備協(xié)議、設(shè)備類型、軟硬件版本、廠商、 開放的端口、服務(wù)等信息的綜合判斷，能夠積累較多的協(xié)議識別數(shù)量，但更高的能力壁壘，就需要有專門的技術(shù)團隊，通過逆向分析等手段，分析協(xié)議架構(gòu)、通信流程、報文結(jié)構(gòu)、解析功能碼、敏感報文等信息。目前行業(yè)內(nèi)的主要安全企業(yè)，其協(xié)議識別能力的數(shù)量在數(shù)十個不等。用戶可以根據(jù)自身情況，對供應(yīng)商加以考量。

解析

不同于“識別”，檢測能力中對“解析”的要求更高、更深入。要能夠?qū)χ髁鲄f(xié)議進行指令級、值域級深度解析，準(zhǔn)確解析出協(xié)議中的功能碼、值域、操作碼、寄存器地址范圍等等，從而對報文格式、完整性進行檢測，判斷是否存在畸形報文——嘗試偽裝成正常通信協(xié)議內(nèi)容的惡意代碼進入工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部或區(qū)域內(nèi)部，聯(lián)動防火墻，防止畸形代碼攻擊等多種發(fā)生在工控以太網(wǎng)絡(luò)內(nèi)部的攻擊。

有的審計類產(chǎn)品，還會記錄更為詳細(xì)的指令變更、負(fù)載變更、狀態(tài)變更等指令集的操作數(shù)據(jù)，兼具一些類似業(yè)務(wù)中斷告警這樣的功能，從安全生產(chǎn)的角度來講，當(dāng)然這也屬于安全范疇。用戶可以按需選用。受限于工業(yè)生產(chǎn)設(shè)備的廠商現(xiàn)狀，目前行業(yè)內(nèi)的主要安全企業(yè)，其協(xié)議解析能力的數(shù)量在20-30個之間不等。用戶可以根據(jù)自身情況，對供應(yīng)商加以考量。

采集

包括定時采集和實時采集，如資產(chǎn)、環(huán)境、漏洞等不會頻繁變化數(shù)據(jù)，將采用定時采集或者觸發(fā)式采集(管理中心下發(fā)指令)，針對如進程、文件、網(wǎng)絡(luò)等會頻繁變化數(shù)據(jù)采用實時監(jiān)控模式，進行實時采集和上報。

審計類產(chǎn)品，要具備原始數(shù)據(jù)的采集與存儲能力，有些行業(yè)的審計要求數(shù)據(jù)留存時間不少于六個月。采集方式可以是實時采集，也可以是定時采集。采集方式可以是直接采集工業(yè)數(shù)據(jù)，比如連接485串口收集數(shù)據(jù)，或是根據(jù)工控設(shè)備、網(wǎng)絡(luò)設(shè)備、主機設(shè)備、安全設(shè)備等目標(biāo)的不同，分別通過Syslog、SNMP、SNMP Trap、ICMP、SSH、NMAP、流量嗅探等方式進行收集數(shù)據(jù)。

這里主要考量數(shù)據(jù)采集的全面性。例如主機設(shè)備包括操作系統(tǒng)層面所有的用戶登錄、操作信息、各類數(shù)據(jù)庫、中間件的重要運行信息以及外設(shè)設(shè)備(鍵盤、鼠標(biāo)以及所有移動存儲設(shè)備)的接入信息;網(wǎng)絡(luò)設(shè)備的配置變更、流量信息、網(wǎng)口狀態(tài)等安全事件信息;安全防護設(shè)備包括防火墻、縱向加密認(rèn)證裝置、正向隔離裝置、反向隔離裝置、入侵檢測系統(tǒng)(IDS)、運維操作審計系統(tǒng)、蜜罐、web應(yīng)用防火墻等安全設(shè)備等;日志則包括系統(tǒng)日志、配置日志、流量日志、攻擊日志、訪問日志等。

知識庫

構(gòu)建工控協(xié)議解析庫，完善安全事件特征庫，豐富網(wǎng)絡(luò)攻擊知識庫，對多環(huán)境、多業(yè)務(wù)流量進行深度分析、識別、發(fā)現(xiàn)、追蹤、評估。

這里的知識庫，主要指檢測類產(chǎn)品所需要的資產(chǎn)指紋庫、漏洞庫、病毒庫、入侵檢測規(guī)則庫、安全攻擊特征庫等。各家的分類及計數(shù)方式各有標(biāo)準(zhǔn)，因此我們并不強調(diào)，也不鼓勵單純的比較各家的知識庫數(shù)量。不過有兩個能力點要說明，一是不論知識庫數(shù)量多或少，檢測還應(yīng)當(dāng)考量效率和準(zhǔn)確率。二是對私有協(xié)議是否提供開發(fā)接口或是SDK，方便用戶自行擴展支持私有協(xié)議和做定制化開發(fā)。

可視化

工控環(huán)境下，安全的很多狀態(tài)不像IT環(huán)境下直觀，因此需要更加注重可視化能力。例如資產(chǎn)狀態(tài)數(shù)據(jù)、基于協(xié)議的網(wǎng)絡(luò)拓?fù)湟晥D和網(wǎng)絡(luò)流量視圖、帶有時間維度的統(tǒng)計數(shù)據(jù)、分析結(jié)果數(shù)據(jù)、異常行為告警信息、突出重點的處置建議等。

在初步檢測出威脅并加以確認(rèn)后，如果能夠具備一定的可視化分析能力就更好，例如將受到威脅風(fēng)險的資產(chǎn)與業(yè)務(wù)屬性做關(guān)聯(lián)， 或是接入用戶的工業(yè)生產(chǎn)數(shù)據(jù)，將安全風(fēng)險與生產(chǎn)數(shù)據(jù)結(jié)合，顯示其潛在的停機、停產(chǎn)帶來的業(yè)務(wù)風(fēng)險?？梢暬哪康囊欢ú恢皇敲烙^，更重要的是體現(xiàn)出安全的價值。

創(chuàng)新嘗試

此次調(diào)研，我們發(fā)現(xiàn)安全企業(yè)的檢測能力具有一定的趨同性，差異點主要集中在對協(xié)議的識別與解析上，但是部分企業(yè)還是嘗試在作出一些創(chuàng)新嘗試，我們列在這里，供用戶參考：

? 融合零信任理念的自適應(yīng)工控安全檢測;

? 在工業(yè)安全領(lǐng)域研究并應(yīng)用SOAR、UEBA等先進技術(shù)，對工業(yè)協(xié)議中的生產(chǎn)過程關(guān)鍵參數(shù)進行趨勢分析與建模，識別正常生產(chǎn)活動與關(guān)鍵參數(shù)異常變化;

? 初步的追蹤溯源能力：支持流量回溯，追溯攻擊過程，支持關(guān)聯(lián)分析攻擊路徑，保存攻擊證據(jù);

? 在安全設(shè)備上加裝PCI可信控制卡的方式，實現(xiàn)可信功能。實時監(jiān)測操作系統(tǒng)、應(yīng)用程序、關(guān)鍵內(nèi)存區(qū)域、網(wǎng)絡(luò)通信等關(guān)鍵點，最終將可信驗證結(jié)果形成審計記錄并發(fā)送至安管平臺;安管平臺處理所有安全設(shè)備上報的可信狀態(tài)值，并呈現(xiàn)整個安全防護系統(tǒng)的可信狀況;

? 對網(wǎng)絡(luò)中漏洞、攻擊等進行監(jiān)測、梳理和分析，并對探測的漏洞與權(quán)威漏洞庫進行關(guān)聯(lián)評測，給出量化評估(風(fēng)險值)，并進行預(yù)警與展示;

? 基于資產(chǎn)、事件、威脅、時間、空間、業(yè)務(wù)行為等多個維度進行關(guān)聯(lián)分析，全面、多維、系統(tǒng)的統(tǒng)計、分析，以可視化的圖表進行展示;

? 基于AI算法和模型的威脅檢測，不依賴特征庫升級方式來檢測威脅。

需求變化：實戰(zhàn)化威脅檢測

工業(yè)互聯(lián)網(wǎng)安全檢測需求的用戶中，有很多關(guān)基類用戶，它們面臨的威脅等級在逐步提高。對于電力、石油石化、軌道交通、智能制造、鋼鐵冶金和軍工等多個國家關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)來說，威脅檢測的場景越來越趨于實戰(zhàn)化，對工業(yè)互聯(lián)網(wǎng)安全檢測類產(chǎn)品的要求也正在趨于“能力化”。例如對工業(yè)協(xié)議的深度解析、基于正常通信行為建模后的異常流量監(jiān)測、對安全事件一定程度的自動化分析、對威脅風(fēng)險的統(tǒng)一管理與可視化展現(xiàn)、對高級威脅的檢測及防御、基于資產(chǎn)的風(fēng)險識別等等。這就要求供應(yīng)商能夠?qū)⒁陨蠙z測類產(chǎn)品與本系列報告中的工控蜜罐、安全管理平臺、安全服務(wù)等內(nèi)容整合以后，實戰(zhàn)化安全運營，才能發(fā)揮出最大的能力效果。

工業(yè)互聯(lián)網(wǎng)安全檢測/審計能力市場情況

? 根據(jù)本次調(diào)研的方向，2019年我國工業(yè)互聯(lián)網(wǎng)安全檢測能力收入總體約為4.11億元，2020年總體收入約為6.89億元，預(yù)計2021年收入為10.56億元，2022年有望達(dá)到14.2億元。隨著客戶的檢測能力日漸成熟，以及工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品數(shù)量增多，會將投入逐漸轉(zhuǎn)向工業(yè)互聯(lián)網(wǎng)安全管理平臺能力。工業(yè)互聯(lián)網(wǎng)安全檢測類產(chǎn)品的總體收入占比將會逐步下降。

? 工業(yè)互聯(lián)網(wǎng)安全檢測類產(chǎn)品當(dāng)前還是以單一標(biāo)準(zhǔn)化產(chǎn)品交付為主，占57.15%。定制化產(chǎn)品及運營占24.19%;作為單一功能交付、訂閱模式及其他模式共占18.66%。

? 從銷售方式來看，廠商直接銷售和通過渠道銷售占比差距不大。直銷(44.81%)比渠道(38.91%)占比略高，OEM的占比為16.29%。

? 當(dāng)前來看，工業(yè)互聯(lián)網(wǎng)安全檢測能力的主要落地行業(yè)為電力，占29%。電力在整個工業(yè)互聯(lián)網(wǎng)領(lǐng)域起步較早，投入也更多，因此安全能力落地更多。其余占比超過10%的行業(yè)為軌道交通(17%)、石油石化(12%)、以及煙草、教育、軍工等其他行業(yè)，匯總后也占到了15%。從未來發(fā)展來看，石油石化將會成為下一個安全廠商爭奪的領(lǐng)域。

案例三：軌道交通-綜合監(jiān)控系統(tǒng)安全防護建設(shè)項目

場景介紹

當(dāng)前，世界各國廣泛采用以信息化促進城市軌道交通發(fā)展的戰(zhàn)略，信息化已覆蓋城市軌道交通的建設(shè)、運營、管理、安全、服務(wù)等各個方面，我國強力推進“互聯(lián)網(wǎng)+城市軌道交通”戰(zhàn)略。地鐵綜合監(jiān)控系統(tǒng)(ISCS)作為軌道交通信息化系統(tǒng)中子系統(tǒng)，承載了對電力設(shè)備、火災(zāi)報警、車站環(huán)控設(shè)備、區(qū)間環(huán)控設(shè)備、環(huán)境參數(shù)、屏蔽門、防掩門、電扶梯設(shè)備、照明設(shè)備、門禁設(shè)備、自動售檢票設(shè)備等進行實時集中監(jiān)視和控制的基本功能，同時擔(dān)負(fù)著非運營時間、正常運營時間以及緊急突發(fā)事件設(shè)備故障情況下的相關(guān)系統(tǒng)設(shè)備之間協(xié)調(diào)互動等高級功能，一旦系統(tǒng)被攻擊入侵，將給地鐵的正常運營、運行帶來巨大的影響。為了避免我國城市軌道交通行業(yè)在數(shù)字化網(wǎng)絡(luò)化發(fā)展過程中出現(xiàn)信息安全和網(wǎng)絡(luò)安全問題，各城市軌道交通行業(yè)建立常態(tài)化、覆蓋事前、事中、事后的全方位信息安全服務(wù)體系，形成動態(tài)防護、監(jiān)測預(yù)警、響應(yīng)處置的網(wǎng)絡(luò)安全工作機制，覆蓋智慧城軌全生命周期和運營全過程。

客戶需求

◆ 工控協(xié)議識別種類廣泛：綜合監(jiān)控系統(tǒng)(ISCS)屬于多系統(tǒng)深度集成的系統(tǒng)，在控制網(wǎng)絡(luò)中存在多家自動化廠商PLC控制器，需要對全部進行協(xié)議的識別和分析;

◆ 工控入侵行為檢測能力精確性：能夠精準(zhǔn)的識別基于工控協(xié)議的入侵行為，對異常的通信行為進行分析和告警，實現(xiàn)風(fēng)險、威脅“可知、可管”;

◆ 工控協(xié)議指令級的異常監(jiān)控和行為取證：能夠?qū)た鼐W(wǎng)絡(luò)流量基于“字節(jié)和位”的協(xié)議分析，能夠?qū)﹃P(guān)鍵操作行為、控制命令等進行實時監(jiān)測和分析;

◆ 從“技”、“管”兩個維度建立全面防護體系：從安全計算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界等多個維度實現(xiàn)安全防護建設(shè)，同時結(jié)合綜合監(jiān)控系統(tǒng)特性，構(gòu)建符合國家“等保”監(jiān)管要求的安全防護體系。

解決方案

地鐵綜合監(jiān)控系統(tǒng)由控制中心系統(tǒng)、各車站級控制系統(tǒng)、車輛段控制系統(tǒng)、培訓(xùn)管理系統(tǒng)、設(shè)備維護及網(wǎng)絡(luò)管理系統(tǒng)等組成，各系統(tǒng)通過冗余環(huán)網(wǎng)連接。針對本項目綜合監(jiān)控系統(tǒng)安全防護體系建設(shè)，主要集中在控制中心、各車站、車輛段、停車場以及主所/區(qū)間所等系統(tǒng)防護。

地鐵安全防護總體架構(gòu)如下圖所示：

依據(jù)網(wǎng)絡(luò)安全等級保護“三級”系統(tǒng)保護要求，結(jié)合地鐵綜合監(jiān)控系統(tǒng)安全防護面臨的諸多安全問題，我們在本項目安全防護體系建設(shè)方面遵循“系統(tǒng)內(nèi)主機加固和風(fēng)險監(jiān)控，互聯(lián)系統(tǒng)間邏輯隔離和防護，審計和告警數(shù)據(jù)集中管理和統(tǒng)一呈現(xiàn)”的工控系統(tǒng)安全建設(shè)原則。具體防護思路如下：

? 在控制中心、車站、車輛段部署工控安全監(jiān)測與審計系統(tǒng)，實時監(jiān)測系統(tǒng)內(nèi)部異常行為，異常流量告警。進行全面的異常行為檢測和深度分析，提供現(xiàn)場設(shè)備故障報警和惡意入侵活動報警;

? 基于機器學(xué)習(xí)及大數(shù)據(jù)技術(shù)，對綜合監(jiān)控系統(tǒng)運行一段時間的工控網(wǎng)絡(luò)數(shù)據(jù)進行智能分析和自主學(xué)習(xí)，一鍵自動穿件白名單策略;持續(xù)監(jiān)視網(wǎng)絡(luò)流量，自動識別合規(guī)數(shù)據(jù)，及時發(fā)現(xiàn)違規(guī)行為并實施告警;

? 系統(tǒng)基于網(wǎng)絡(luò)通信數(shù)據(jù)的深度分析繪制獨特的ISCS工控網(wǎng)絡(luò)拓?fù)鋱D，可直觀展示ISCS系統(tǒng)工控網(wǎng)絡(luò)中各個設(shè)備節(jié)點間的通信連接情況，便于發(fā)現(xiàn)工業(yè)資產(chǎn)，并提供可視化的異常展示與告警。當(dāng)存在潛在威脅時，節(jié)點間的連線可采用高亮的方式進行展示;

? 內(nèi)置海量已知工控漏洞庫，當(dāng)監(jiān)測到發(fā)生工控漏洞入侵行為時自動產(chǎn)生告警并提供系統(tǒng)運營人員，工控監(jiān)測審計系統(tǒng)與多個SIEM平臺進行無縫集成，實現(xiàn)分析網(wǎng)絡(luò)數(shù)據(jù);

? 基于通訊數(shù)據(jù)的資產(chǎn)自動發(fā)現(xiàn)和自動鏈路繪制，識別國內(nèi)外主流的IT設(shè)備和工控設(shè)備，并通過通訊拓?fù)浜蛨蟊韮煞N方式進行展示，同時對工控網(wǎng)絡(luò)中的多IP資產(chǎn)提供特殊的管理方式，呈現(xiàn)ISCS系統(tǒng)工控網(wǎng)絡(luò)實際情況。

? 對ISCS系統(tǒng)中Modbus、IEC61850、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-UA、MMS等工控協(xié)議進行深度的解析和防護，同時可支持特有的工控協(xié)議自定義功能。

客戶價值

建立ISCS網(wǎng)絡(luò)異常監(jiān)控、行為取證分析的閉環(huán)防護措施：通過深度協(xié)議分析技術(shù)，實時對工控網(wǎng)絡(luò)流量進行細(xì)粒度(字節(jié)和位)的協(xié)議分析，通過黑白名單方式識別異常行為(異常設(shè)備接入、異常網(wǎng)絡(luò)連接、異?？刂泼钕掳l(fā)等)并自動報警，支持安全基線和白名單的自動創(chuàng)建。安全系統(tǒng)自身可提供專用取證分析工具，對采集到的工控網(wǎng)絡(luò)流量進行分析和調(diào)查取證，系統(tǒng)既可對歷史數(shù)據(jù)也可對實時數(shù)據(jù)進行取證分析，發(fā)現(xiàn)和追蹤工控網(wǎng)絡(luò)安全威脅，方便管理人員能夠快速及時的做出應(yīng)對措施。

實現(xiàn)通信行為、威脅、資產(chǎn)的“可知、可管”：通過自主的網(wǎng)絡(luò)流量采集探針，收集ISCS網(wǎng)絡(luò)環(huán)境中的所有網(wǎng)絡(luò)行為進行協(xié)議解析和識別，包含源、目的地址，源、目的端口，協(xié)議、時間、會話量等，統(tǒng)一上傳給管理平臺。平臺提供行為分析引擎，利用機器自學(xué)習(xí)、行為分析模型等分析網(wǎng)絡(luò)異常行為，并對網(wǎng)絡(luò)行為進行聚類分析。能夠?qū)た鼐W(wǎng)絡(luò)中的各種PLC、操作員站等設(shè)備進行自動發(fā)現(xiàn)并自動生成設(shè)備臺賬設(shè)備信息包括IP地址、MAC地址和設(shè)備類型等。可快速定位和發(fā)現(xiàn)接入工控網(wǎng)絡(luò)的非法資產(chǎn)，同時可識別僵尸資產(chǎn)，降低工控網(wǎng)絡(luò)安全風(fēng)險。

實現(xiàn)基于流量的可視化“掛圖”作戰(zhàn)：提供完整全面的ISCS系統(tǒng)網(wǎng)絡(luò)流量拓?fù)鋱D，在拓?fù)鋱D中顯示設(shè)備位置和設(shè)備之間的連接關(guān)系，可識別IP連接和串行連接。同時能夠顯示設(shè)備之間連接所使用的協(xié)議，并對具有潛在安全風(fēng)險的設(shè)備進行高亮顯示。對網(wǎng)絡(luò)環(huán)境中的流量數(shù)據(jù)及安全數(shù)據(jù)，在“安全管理平臺”上進行直觀展示，管理員可直觀地看到流量傳輸情況，及系統(tǒng)檢測出的告警情況，識別危險鏈路和危險區(qū)域，從而進行適當(dāng)?shù)姆揽亍?/span>

基于工業(yè)特性，從“技術(shù)”、“管”兩個維度形成全面的ISCS系統(tǒng)防護系統(tǒng)：從網(wǎng)絡(luò)、終端、通信、數(shù)據(jù)、運維、管理等多個層面提供完整的安全防護與管理手段，實現(xiàn)生產(chǎn)網(wǎng)絡(luò)全面的安全保護。所有安全組件均采用非侵入式安全監(jiān)測與防護工作方式，可確保安全防護措施對生產(chǎn)網(wǎng)絡(luò)的干擾降到最低，同時安全不是單純的技術(shù)問題，在采用安全技術(shù)和產(chǎn)品的同時，結(jié)合ISCS系統(tǒng)的業(yè)務(wù)特性，從管理制度、應(yīng)急預(yù)案等維度進行完善全面提高安全管理水平。形成“技”、“管”并重的方式，加強ISCS系統(tǒng)控制網(wǎng)絡(luò)的安全。

客戶反饋

基于ISCS系統(tǒng)安全防護技術(shù)方案，采用旁路非入侵式防護技術(shù)能夠動態(tài)識別ISCS工業(yè)控制網(wǎng)絡(luò)過程風(fēng)險，對所有資產(chǎn)情況進行監(jiān)視，及時發(fā)現(xiàn)僵尸資產(chǎn)的入侵行為，能夠快速定位風(fēng)險入侵路徑、風(fēng)險階段、風(fēng)險源頭，將安全風(fēng)險遏制在源頭、遏制在攻擊過程中，形成閉環(huán)動態(tài)的ISCS系統(tǒng)安全防御體系，為軌道交通ISCS系統(tǒng)的穩(wěn)定運行、安全運行提供有效的安全保障支撐。

來源：數(shù)世咨詢