不少人說：“沒有物質(zhì)基礎(chǔ)的愛情不會長久”。講真，這句話宅宅是信的，因為這里的“物質(zhì)”遠不止指車子、票子、房子。

試想，一對情侶凈身出戶，或許身上的錢夠買整月的飯，住一周的小旅館，喝20箱水，那么之后呢？

so，所謂“物質(zhì)基礎(chǔ)”映射出的是人對于基礎(chǔ)能源的穩(wěn)定需求，而當這一需求面臨危機時也就命不久矣，何談愛情？

如此擴大，一個國家亦是如此，而工業(yè)互聯(lián)網(wǎng)安全的重要性正是由此體現(xiàn)。

近幾年，工控網(wǎng)絡(luò)安全事件頻發(fā)，無論是烏克蘭電力系統(tǒng)遭破壞導致大規(guī)模停電，還是澳大利亞馬盧奇污水處理廠遭非法入侵導致大量海洋生物死亡......無疑都是對人們的“物質(zhì)基礎(chǔ)”發(fā)起挑戰(zhàn)。

隨著各企業(yè)對工業(yè)互聯(lián)網(wǎng)安全重視程度的提高，2019年工業(yè)互聯(lián)網(wǎng)安全生態(tài)的構(gòu)建明顯加速。在這里，雷鋒網(wǎng)根據(jù)中國信息通信研究院印發(fā)的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書》進行了詳細整理：

2019年的工業(yè)互聯(lián)網(wǎng)安全

隨著工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等技術(shù)的深入發(fā)展，IT72與 OT 加速融合，工業(yè)體系逐漸由封閉走向開放，網(wǎng)絡(luò)安全威脅開始向工業(yè)環(huán)境滲透，工業(yè)互聯(lián)網(wǎng)安全問題日益凸顯，市場需求隨之攀升。

工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品形態(tài)與傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品相近，但在具體技術(shù)實現(xiàn)上具有工業(yè)領(lǐng)域的特殊性，包括需要支持多種工業(yè)協(xié)議、滿足業(yè)務(wù)生產(chǎn)的高可靠低時延要求等。

工控系統(tǒng)（OT 網(wǎng)絡(luò)）方面——邊界和終端安全防護仍是主要手段。OT 邊界安全通常由部署在 OT網(wǎng)絡(luò)和 IT 網(wǎng)絡(luò)之間控制區(qū)內(nèi)的防火墻、入侵檢測、單向網(wǎng)關(guān)等設(shè)備或采用軟件定義的方式實現(xiàn)，終端安全與 IT 領(lǐng)域類似。

國外，大多企業(yè)通過軟件定義網(wǎng)絡(luò)架構(gòu)提供包括安全級模型構(gòu)建、授權(quán)網(wǎng)絡(luò)設(shè)備管理、安全域管理、通信授權(quán)、可視化驗證、安全策略管理等功能。

反觀國內(nèi)，各廠商工業(yè)互聯(lián)網(wǎng)安全相關(guān)產(chǎn)品線日益完備，部分企業(yè)的工業(yè)防火墻支持 Modbus/TCP74、PROFINET75、Siemens S776、FINS77等 10 余種工控協(xié)議，可有效抑制病毒、木馬威脅在工控網(wǎng)安全區(qū)域間的傳播和擴散。

也有廠商基于對工業(yè)控制協(xié)議的深度解析（DPI78），結(jié)合“白名單+智能學習”機制，對各類工控協(xié)議進行快速捕獲和指令級解析，并通過對工控系統(tǒng)重要區(qū)域內(nèi)節(jié)點間的通信流量檢測，發(fā)現(xiàn)工控系統(tǒng)中存在的異常行為和潛在威脅。

工廠 IT 網(wǎng)絡(luò)和工業(yè)云方面——近些年，工廠 IT 網(wǎng)絡(luò)和工業(yè)云平臺相對 OT 網(wǎng)絡(luò)更為開放，也更容易遭受網(wǎng)絡(luò)攻擊。

工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知能力建設(shè)成為趨勢，可基于工業(yè)環(huán)境，動態(tài)、整體地洞悉安全風險的能力，從全局視角對安全威脅進行發(fā)現(xiàn)識別、理解分析和響應(yīng)處置。

工廠 IT 網(wǎng)絡(luò)和工業(yè)云方面的安全產(chǎn)品，大都能自動發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備，識別配置異常，基于深度包檢測技術(shù)識別協(xié)議每一層中需要分析的特定字段進行 OT 網(wǎng)絡(luò)監(jiān)視，從而提供態(tài)勢感知能力。

有的廠商更是通過部署探針、網(wǎng)關(guān)等關(guān)鍵設(shè)備，對工業(yè)互聯(lián)網(wǎng)平臺、工業(yè)互聯(lián)網(wǎng)應(yīng)用設(shè)備和系統(tǒng)、企業(yè)內(nèi)外網(wǎng)等的安全運行情況進行監(jiān)測與感知，同步構(gòu)建技術(shù)手段匯集來自各方的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢信息。

廠商將火力聚焦在哪里？

正如開頭提到，近年來工業(yè)領(lǐng)域安全事件頻發(fā)，不斷敲響網(wǎng)絡(luò)安全警鐘。

2017 年，“永恒之藍”蠕蟲病毒入侵了全球 150 多個國家的信息系統(tǒng)，多家汽車制造商被迫停產(chǎn)，能源與通信等重要行業(yè)損失慘重；

2018年，臺積電多個工廠及營運總部遭遇勒索軟件攻擊，導致在臺灣北、中、南三處重要生產(chǎn)基地生產(chǎn)線停擺；

2019 年挪威海德魯鋁業(yè)公司遭“LockerGoga”勒索攻擊，多工廠關(guān)閉。

隨著高頻次工控安全事件的發(fā)生，工業(yè)領(lǐng)域網(wǎng)絡(luò)安全意識逐步提升。

廠商開始有意識地開展安全評估、防范安全風險、培育工業(yè)領(lǐng)域安全人才等。國內(nèi)部分工業(yè)互聯(lián)網(wǎng)安全廠商能力介紹如圖所示：

案例詳情如下：

一、三六零：360 工業(yè)互聯(lián)網(wǎng)安全大腦系統(tǒng)實踐

360 工業(yè)互聯(lián)網(wǎng)安全“安全大腦”系統(tǒng)，通過感知、決策、響應(yīng)三個手段形成一套智能安全系統(tǒng)來應(yīng)對安全威脅。 

建立全天候多維度感知系統(tǒng)——橫向感知，通過 ICS 全網(wǎng)資產(chǎn)掃描，全面探測 工控企業(yè)內(nèi)網(wǎng)資產(chǎn)暴露在互聯(lián)網(wǎng)的資產(chǎn)所存在的漏洞，感知內(nèi)外網(wǎng)攻擊橫向滲透 行為?？v向感知，從 IT 系統(tǒng)到 OT 系統(tǒng)總線感知，監(jiān)測由于信息安全導致的生 產(chǎn)安全問題。交叉感知，內(nèi)網(wǎng)數(shù)據(jù)與外網(wǎng)情報交叉分析可快速溯源，定位威脅。 

工業(yè)互聯(lián)網(wǎng)安全大腦

基于數(shù)據(jù)分析及算法建立安全引擎。通過感知獲取數(shù)據(jù)，并對網(wǎng)絡(luò)行為和數(shù) 據(jù)進行記錄，依托海量的安全大數(shù)據(jù)及安全檢測規(guī)則。以此為基礎(chǔ)，利用深度檢測、智能分析和安全專家，對大數(shù)據(jù)進行分析、挖掘和關(guān)聯(lián)，從而快速 發(fā)現(xiàn)高級威脅。

同時通過人工智能算法結(jié)合外圍威脅情報，安全編排等技術(shù)組成 工業(yè)互聯(lián)網(wǎng)安全引擎。 形成“一體兩翼”安全響應(yīng)。360 工業(yè)互聯(lián)網(wǎng)安全大腦以打造安全生態(tài)模式 和大多數(shù)工業(yè)信息安全廠商進行深度合作，實現(xiàn)“360 工業(yè)互聯(lián)網(wǎng)安全大腦形成 決策——>下發(fā)策略更新到工業(yè)信息安全設(shè)備——>實現(xiàn)實時數(shù)據(jù)上報和動態(tài)策 略部署——>阻斷攻擊行為并反饋”。

同時 360 設(shè)立應(yīng)急響應(yīng)中心及安全服務(wù)團 隊，為工業(yè)互聯(lián)網(wǎng)突發(fā)事件形成一體兩翼的響應(yīng)體系。

二、上海觀安：基于設(shè)備行為分析的網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)實踐

基于設(shè)備行為分析的電力監(jiān)控網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)能夠?qū)﹄娏ο到y(tǒng)各種通信 協(xié)議、流量信息，電力報文進行深度解析，對電力設(shè)備行為進行全面分析，平臺 在技術(shù)架構(gòu)上采用“采集終端+大數(shù)據(jù)平臺”的分布式部署方式，采集終端以旁 路部署在電力網(wǎng)絡(luò)的各區(qū)域和交換機側(cè)，通過交換機鏡像口獲取網(wǎng)絡(luò)流量，通過 網(wǎng)絡(luò)發(fā)送至大數(shù)據(jù)監(jiān)控平臺；大數(shù)據(jù)監(jiān)控平臺接收來自采集終端的報文，進行設(shè) 備行為分析，主動感知安全威脅，并且對智能電力系統(tǒng)面臨的風險進行量化分析， 以可視化方式把分析結(jié)果展現(xiàn)給電力監(jiān)控人員進行及時應(yīng)對處理，確保電力網(wǎng)絡(luò) 的安全運行。關(guān)鍵技術(shù)包括： 

1、基于設(shè)備行為分析的異常檢測方法 基于設(shè)備行為分析的異常檢測方法基于深度解析引擎對數(shù)據(jù)包進行解析處 理，把解析后的數(shù)據(jù)發(fā)送到基線學習模塊處理產(chǎn)生設(shè)備行為基線；后續(xù)來自解碼 的設(shè)備行為數(shù)據(jù)與自學習模塊的設(shè)備行為基線進行比對分析，發(fā)現(xiàn)其中是否存在 不符合通信關(guān)系基線的通信行為及非法的新增資產(chǎn)，對異常通信或者異常資產(chǎn)進 行告警。能夠?qū)崟r檢測針對電力網(wǎng)絡(luò)的攻擊、用戶誤操作、用戶違規(guī)操作、非法 設(shè)備接入以及蠕蟲、病毒的傳播等。

2、電力網(wǎng)絡(luò)二次設(shè)備指紋學習及分層拓撲動態(tài)識別 通過分析不同電力報文的特性，對設(shè)備進行特征值分析提取，分別通過監(jiān)督 式的分類算法和無監(jiān)督式的聚類算法對電力網(wǎng)絡(luò)中各電力設(shè)備的拓撲進行識別， 用“分類指導聚類，聚類驗證分類”的思想進行優(yōu)化迭代，最終可以做到電力網(wǎng) 絡(luò)動態(tài)拓撲的識別。在平臺上可以提示用戶對新接入設(shè)備進行確認，規(guī)避非法設(shè) 備的接入風險。

3、 基于事件特征匹配的設(shè)備間流量異常檢測方法 基于電力報文的特性，在流量異常檢測模型中引入各種特征，通過分析特征 值，形成異常流量檢測模型，用于后續(xù)的流量異常檢測。

4、電力設(shè)備間異常指令檢測方法

電力設(shè)備間指令異常檢測場景包括：

（1）設(shè)備間高風險指令；

（2）設(shè)備間異 常指令異常。通過引入規(guī)則引擎，可以實時檢測電力網(wǎng)絡(luò)中的高風險指令操作， 給出告警提示，用戶可以進行相應(yīng)的規(guī)則增減。根據(jù)采集到電力網(wǎng)絡(luò)流量，用機 器學習模型來進行設(shè)備異常指令的檢測，觸發(fā)異常指令告警事件。對于異常指令 事件，通過大數(shù)據(jù)展示平臺向用戶展示異常結(jié)果，提醒用戶排查原因，避免后續(xù) 風險發(fā)生。

 三、中國網(wǎng)安：基于工控信息安全管理服務(wù)的實踐

項目以工控安全管理服務(wù)模式，整體化平臺化服務(wù)保障的方式支撐落實工控 安全管理職責，通過對地區(qū)工業(yè)信息安全管理需求的深入分析，涵蓋地區(qū)工業(yè)控 制信息安全管理工作全生命周期，以安全管理服務(wù)平臺為基礎(chǔ)，融合安全服務(wù)工 具、安全服務(wù)團隊、培訓演練環(huán)境、系列服務(wù)管理流程和相關(guān)政策制度標準為一體的，全面支撐指導、監(jiān)測、通報、處置、響應(yīng)的一體化監(jiān)管體系及軟硬件結(jié)合 的整體保障服務(wù)。

 1. 安全服務(wù)體系

項目服務(wù)體系架構(gòu)按照 ITSM 理念，參照 ITIL/ITSS 等國際國內(nèi)標準，實現(xiàn) 安全服務(wù)過程中“服務(wù)工具”、“服務(wù)團隊”和“服務(wù)流程”的有機整合。 

2. 服務(wù)平臺

服務(wù)平臺對聯(lián)網(wǎng)工業(yè)控制系統(tǒng)主動感知、及時預(yù)警，對重點區(qū)域、重點行業(yè) 相關(guān)工控系統(tǒng)和設(shè)備重點監(jiān)測，對相關(guān)信息開展綜合分析和可視化呈現(xiàn)。同時， 根據(jù)制定的預(yù)警策略將感知到的安全威脅和安全事件等進行預(yù)警通報和應(yīng)急響 應(yīng)。平臺對收集到的數(shù)據(jù)進行集中存儲，對數(shù)據(jù)進行脫敏脫密處理后根據(jù)要求開 放給用戶指定的其他分析平臺。工業(yè)控制信息安全“全域采集、多源匯總、分析 研判、風險感知、態(tài)勢呈現(xiàn)、預(yù)警通報、應(yīng)急響應(yīng)和相關(guān)安全服務(wù)管理”為一體 的監(jiān)測服務(wù)平臺，全面實現(xiàn)工業(yè)控制系統(tǒng)信息安全“自動化監(jiān)測發(fā)現(xiàn)、流程化事 件處置、任務(wù)化預(yù)警通報和規(guī)范化安全監(jiān)管”，為工業(yè)控制系統(tǒng)信息安全管理服 務(wù)提供信息化、流程化、規(guī)范化和體系化的服務(wù)保障。工業(yè)控制系統(tǒng)信息安全服 務(wù)平臺整體架構(gòu)如圖附 2 所示。

工業(yè)控制系統(tǒng)信息安全服務(wù)平臺整體架構(gòu) 

3. 安全服務(wù) 

項目主要服務(wù)內(nèi)容包括態(tài)勢感知服務(wù)、在線監(jiān)測服務(wù)、安全檢查服務(wù)、應(yīng)急 響應(yīng)服務(wù)和安全咨詢服務(wù)等六大類服務(wù)。 

四、天地和興：集控模式下風電工控安全集中感知平臺實踐

針對集控模式下風電工控安全的實際問題，通過風場安全防護、匯總關(guān)聯(lián)分 析、中心集中展示的方式實現(xiàn)風電工控安全動態(tài)防御。

 1. 分布式技術(shù)架構(gòu)，周到防護、全面采集、態(tài)勢展示平臺整體采用三層分布式技術(shù)架構(gòu)，由數(shù)據(jù)采集層、匯聚處理層和分析展示

（1）分析展示層 功能定位：工控安全態(tài)勢展示。作為支撐開展工控安全監(jiān)督、考核、管理等 工作業(yè)務(wù)的窗口和抓手，實現(xiàn)工控安全的合規(guī)監(jiān)管和客觀量化考核管理。集中保 存全網(wǎng)網(wǎng)絡(luò)安全監(jiān)測信息，通過機器學習和關(guān)聯(lián)分析完成各業(yè)務(wù)板塊網(wǎng)絡(luò)安全態(tài) 勢可視化展示。第一級視圖：整體安全態(tài)勢展示；第二級視圖：基于物理位置的 網(wǎng)絡(luò)防護拓撲結(jié)構(gòu)展示；第三級視圖：下屬電廠詳細風險信息展示。

（2）匯聚處理層 功能定位：平臺數(shù)據(jù)采集的前置終端。集中收集數(shù)據(jù)采集層獲取的生產(chǎn)控制 區(qū)工控網(wǎng)絡(luò)異常行為和事件、工控網(wǎng)絡(luò)違規(guī)內(nèi)外聯(lián)、工控網(wǎng)絡(luò)威脅事件、工控主 機異常操作和違規(guī) U 盤操作等工控網(wǎng)絡(luò)安全信息，并完成所采集安全監(jiān)測數(shù)據(jù) 信息的歸一、整形、壓縮和轉(zhuǎn)發(fā)等數(shù)據(jù)預(yù)處理功能。

（3）數(shù)據(jù)采集層 功能定位：工控安全數(shù)據(jù)信息采集。一是計算環(huán)境數(shù)據(jù)采集，包括非法程序 啟動監(jiān)測、主機非法內(nèi)外聯(lián)監(jiān)測、違規(guī) U 盤操作等；二是網(wǎng)絡(luò)通信數(shù)據(jù)采集，包 括設(shè)備資產(chǎn)發(fā)現(xiàn)、設(shè)備運行狀態(tài)監(jiān)測；三是區(qū)域邊界數(shù)據(jù)采集，包括安全合規(guī)監(jiān) 測、異常攻擊監(jiān)測、非法外聯(lián)監(jiān)測、非法內(nèi)聯(lián)監(jiān)測、內(nèi)網(wǎng)異常訪問監(jiān)測、非法 Web 服務(wù)監(jiān)測等數(shù)據(jù)信息。

 2. 動態(tài)化體系支撐，牢固基礎(chǔ)、強化應(yīng)對、落地運營

本項目在風電集控基礎(chǔ)上應(yīng)用了基于工業(yè)控制系統(tǒng)的防護手段，構(gòu)建了安全 可控為目標、監(jiān)控審計為特征的風電廠控制系統(tǒng)新一代主動防御體系，提高工業(yè) 控制系統(tǒng)在于工業(yè)互聯(lián)網(wǎng)對接過程中的整體安全性。項目的成功實施，為發(fā)電企 業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系建設(shè)開創(chuàng)行之有效的安全建設(shè)模式，提高發(fā)電 廠一體化安全防護的能力。平臺功能體系如圖附 3 所示。

 平臺功能體系

平臺結(jié)合生產(chǎn)控制系統(tǒng)實際設(shè)計，整體具有集中監(jiān)測控制的特點，底層為各 風場機組設(shè)備層，上層為區(qū)域監(jiān)控層，分監(jiān)測模塊、審計模塊、運維管理模塊、 主機防護模塊、集中管控模塊、預(yù)警模塊等多個功能模塊，在現(xiàn)場實現(xiàn)全方位的 縱深防御及基礎(chǔ)數(shù)據(jù)采集，在體系架構(gòu)及運營管理的支撐運行下，達到多級聯(lián)動、 態(tài)勢分析的效果。 

五、天融信：基于行為基線分析的安全技術(shù)防護體系

天融信基于行為基線分析的安全技術(shù)防護體系涵蓋了安全防護設(shè)備、檢測設(shè) 備等體系化的安全產(chǎn)品，解決生產(chǎn)網(wǎng)絡(luò)信息系統(tǒng)安全問題。整體安全防護部署拓 撲圖如圖附 4 所示。

整體安全防護部署拓撲圖 

（1）訪問控制 

在 IT 至 OT 網(wǎng)絡(luò)間部署工業(yè)網(wǎng)閘，實現(xiàn)網(wǎng)絡(luò)邊界訪問控制，滿足等保 2.0 中 控制區(qū)與非控制區(qū)邊界實現(xiàn)單項隔離即協(xié)議剝離要求。 在生產(chǎn)網(wǎng) OT 網(wǎng)絡(luò)區(qū)域邊界部署訪問控制手段，對接入訪問行為進行管控。 同時通過基于用戶端的認證手段，實現(xiàn)接入目標的認證。關(guān)鍵節(jié)點采用工業(yè)防火 墻+VPN 的應(yīng)用方式，實現(xiàn)通信數(shù)據(jù)保密性和完整性防護。

（2）網(wǎng)絡(luò)行為監(jiān)測 

基于網(wǎng)絡(luò)行為監(jiān)測考慮，在應(yīng)用層面設(shè)置監(jiān)測審計節(jié)點，作為流量回溯分析 及網(wǎng)絡(luò)白名單應(yīng)用。 網(wǎng)絡(luò)行為監(jiān)測可監(jiān)測網(wǎng)絡(luò)中非授權(quán)接入行為，實現(xiàn)工業(yè)流量解析，還原對控 制器及上位機的訪問行為，同時可針對通訊流量進行監(jiān)測并統(tǒng)計，可將分析記錄 結(jié)果通報大數(shù)據(jù)分析系統(tǒng)等進行報警、展示。 監(jiān)測審計網(wǎng)絡(luò)白名單功能通過自學習或策略設(shè)定方式，對網(wǎng)絡(luò)監(jiān)測節(jié)點協(xié)議 進行白名單過濾，限定可流通協(xié)議，對于限定外協(xié)議進行報警，有效保障了控制 系統(tǒng)內(nèi)流量最小化原則，減少非必要帶寬占用。

（3）工控主機衛(wèi)士 

工控主機衛(wèi)士客戶端部署于生產(chǎn)網(wǎng)全部 PC，通過對終端的管控，構(gòu)成工業(yè)安全實質(zhì)層面最外層的安全防線。工控主機衛(wèi)士 Server 部署于 IDMZ 區(qū)域，作 為對客戶端管控、審計記錄的統(tǒng)一監(jiān)控及策略統(tǒng)一下發(fā)。 工控主機衛(wèi)士以最小化設(shè)定為原則，對主機中應(yīng)用進行管控，對移動存儲分 級授權(quán)。針對目標應(yīng)用必要進程及服務(wù)開放白名單，非限定進程及服務(wù)均禁止運 行。該策略在保證生產(chǎn)持續(xù)進行條件下有效降低對工控計算資源的占用。

（4）脆弱性檢測 工控漏洞作為一項重要脆弱性指標需有相應(yīng)的安全防護措施進行應(yīng)對，建議 采用離線工控系統(tǒng)漏洞掃描和入網(wǎng)檢測方式進行工控系統(tǒng)脆弱性檢測。脆弱性檢 測對目標設(shè)備進行掃描，可發(fā)現(xiàn)生產(chǎn)系統(tǒng)中存在的工控漏洞等脆弱性。同時可對 生產(chǎn)網(wǎng)中新增設(shè)備/系統(tǒng)進行上線前檢測，檢測合格后方能具備入網(wǎng)資格。 

六、安天：智甲終端防御系統(tǒng)的工業(yè)部署實踐

安天智甲終端防御系統(tǒng)（簡稱“智甲”）是專為各行業(yè)的業(yè)務(wù)網(wǎng)絡(luò)、辦公網(wǎng) 絡(luò)、專用網(wǎng)絡(luò)、桌面虛擬化辦公網(wǎng)絡(luò)、數(shù)據(jù)中心以研發(fā)的終端安全防御產(chǎn)品。

 安天智甲終端防御系統(tǒng)以私有查殺云技術(shù)為基石，以黑白雙控檢測為機制， 以可信應(yīng)用控制和主機安全策略為主線，以靜態(tài)鑒定、程序動態(tài)安全分析為手段， 以多維度多機制終端安全防護為目的，實現(xiàn)對 APT 高級攻擊、勒索軟件攻擊的 全面防護，實現(xiàn)對終端的有效防護。 

安天智甲終端防御系統(tǒng)由云平臺系統(tǒng)（管理中心）與終端代理軟件（客戶端） 兩部分構(gòu)成。管理中心采用 B/S 管理架構(gòu)，管理員可以在網(wǎng)內(nèi)任意一臺計算機上 通過 Web 方式隨時隨地登錄管理中心實現(xiàn)全網(wǎng)終端安全態(tài)勢管控。管理中心具 有定制和分發(fā)系統(tǒng)安全策略、對客戶端提交的文件進行安全鑒定響應(yīng)、收集主機 安全日志、漏洞統(tǒng)一管理、管理員權(quán)限分配等功能。

 安天智甲終端防御系統(tǒng)主要包括以下功能：系統(tǒng)管理、威脅展示、可視化展 現(xiàn)、病毒查殺、漏洞檢測與修復(fù)、主動防御、高級威脅防護、APT 追溯、虛擬補 丁防護、防勒索、終端管理、檢測加固、網(wǎng)絡(luò)保護、安全基線、移動介質(zhì)管控、 流量控制、威脅報表、日志與審計等功能。安天智甲終端防御系統(tǒng)如圖附 5 所示。

安天智甲終端防御系統(tǒng) 

（1）終端管理 

可查看網(wǎng)內(nèi)終端信息，包括：計算機名、IP 地址、MAC 地址、CUP 占用率、 內(nèi)存容量、TCP 連接數(shù)、硬盤容量、客戶端版本、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件 版本等信息?？晒芸嘏渲每蛻舳朔雷o策略，包括：客戶端啟動策略、升級策略、 防護策略、上傳策略、掃描策略等?？蛇M行終端安全狀態(tài)評估，對全局終端安全 性進行監(jiān)控。評估終端安全狀態(tài)，可查看終端威脅文件、未知文件、未知文件執(zhí) 行、系統(tǒng)高危漏洞、終端安全狀態(tài)等信息。支持分組管理，可對不同組下終端配 置不同防護策略。

（2）威脅展示

 展示全局安全狀態(tài)信息，包括病毒事件統(tǒng)計信息、高級威脅統(tǒng)計信息、系統(tǒng) 高危漏洞統(tǒng)計信息；以未知文件統(tǒng)計信息、文件云鑒定統(tǒng)計信息、威脅可視化等。 還有系統(tǒng)通知信息，安全基線，威脅終端排名。顯示當前分級以及當前分級以下 分級的威脅統(tǒng)計信息，以分級為統(tǒng)計對象，顯示各級的病毒、漏洞統(tǒng)計信息以及 文件鑒定建議統(tǒng)計信息。 

七、綠盟：工業(yè)網(wǎng)絡(luò)安全智能監(jiān)控預(yù)警平臺實踐

綠盟工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺從工業(yè)控制系統(tǒng)安全的角度，對工控系統(tǒng)的 各類 IT 和 OT 設(shè)備數(shù)據(jù)進行采集，包括業(yè)務(wù)設(shè)備日志采集、安全設(shè)備事件收集、 網(wǎng)絡(luò)流量數(shù)據(jù)采集、安全設(shè)備配置采集等功能。平臺對采集得到的結(jié)果進行統(tǒng)一 分析與展示，發(fā)現(xiàn)工控網(wǎng)絡(luò)內(nèi)部的異常行為，如新增資產(chǎn)、時間異常、新增關(guān)系、 負載變更、異常訪問等行為，實現(xiàn)對工控現(xiàn)場安全事件的預(yù)警與響應(yīng)。

 綠盟工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺可以對工業(yè)網(wǎng)絡(luò)中各類上位機服務(wù)器、工控 終端、網(wǎng)絡(luò)交換設(shè)備、工控安全設(shè)備進行集中化的性能狀態(tài)監(jiān)控、安全事件的集 中展示、安全風險的評估、工控分區(qū)分域的健康等級，以及依賴于工控知識庫的 安全響應(yīng)與處置。綠盟工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺如圖附 6 所示。

 綠盟工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺

（1）工業(yè)網(wǎng)絡(luò)數(shù)據(jù)采集

 綠盟工控預(yù)警平臺可以支持代理日志采集方式和多種標準協(xié)議。通過數(shù)據(jù)采 集、數(shù)據(jù)理解、數(shù)據(jù)抽取和數(shù)據(jù)清洗等操作，將各種應(yīng)用系統(tǒng)和設(shè)備的日志進行 預(yù)處理，幫助管理員把工業(yè)網(wǎng)絡(luò)日志進行去噪，提取其中人們事先不知道，但有 潛在有用的信息和知識。

（2）數(shù)據(jù)強化技術(shù)

綠盟工控預(yù)警平臺根據(jù)綠盟科技對攻防研究的長期積累，提供一套簡潔有效 的日志統(tǒng)一分類，使用獨有的技術(shù)將日志快速標準化，并基于安全分析需要進行 數(shù)據(jù)的過濾和強化，丟棄無法用的噪音信息，提升日志查詢和分析效率。

（3）分析引擎

 平臺中預(yù)制關(guān)聯(lián)分析引擎，預(yù)制引擎構(gòu)成分析平臺的核心功能并且對專項分 析提供基礎(chǔ)能力，如風險分析、脆弱性分析、態(tài)勢分析、資產(chǎn)分析、攻擊鏈條分 析等。 分析引擎采用分布式設(shè)計能夠進行橫向擴展，面臨工業(yè)網(wǎng)絡(luò)數(shù)據(jù)量時能夠?qū)?現(xiàn)按需擴展，將分析引擎分散到其他更多的機器中，實現(xiàn)按需進行計算資源擴展。

（4） 面向業(yè)務(wù)的插件化設(shè)計 

綠盟工控預(yù)警平臺采用全新大數(shù)據(jù)框架，將上層業(yè)務(wù)模塊插件化處理，使業(yè) 務(wù)模塊與平臺功能進行一對一設(shè)計，業(yè)務(wù)模塊的改善和增加就不會造成其他模塊 或平臺功能的調(diào)整，也就是將業(yè)務(wù)模塊抽象并與平臺功能實現(xiàn)分離，從而提高研 發(fā)效率，降低企業(yè)維護成本。

（5）可靠性 

綠盟工控預(yù)警平臺采用大數(shù)據(jù)組件，對數(shù)據(jù)對象彈性分布存儲 3 個存儲節(jié)點 中，并采用線程級監(jiān)控，一旦發(fā)現(xiàn)問題，可迅速恢復(fù)并告警，同時 3 備份可以提 供完整的災(zāi)難恢復(fù)功能。

（6） 多地部署

針對大型多組織的企業(yè)和機構(gòu)，采集器可以部署在異地站點或二級單位（保 持網(wǎng)絡(luò)可達），分析中心部署在總部節(jié)點，異地站點將采集到的數(shù)據(jù)定時通過 FTP 或 SFTP 上傳到上級分析中心，供本地留存和查詢服務(wù)。 

八、威努特：基于無損探測的工業(yè)互聯(lián)網(wǎng)設(shè)備測繪實踐

威努特自主研發(fā)的工業(yè)互聯(lián)網(wǎng)雷達 iRadar 旨在發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)上的工業(yè) 設(shè)備、工業(yè)系統(tǒng)、物聯(lián)網(wǎng)設(shè)備等。工業(yè)互聯(lián)網(wǎng)雷達產(chǎn)品架構(gòu)圖如圖附 7 所示。

工業(yè)互聯(lián)網(wǎng)雷達產(chǎn)品架構(gòu)圖

（1）IoT 設(shè)備掃描

工業(yè)互聯(lián)網(wǎng)雷達 iRadar 采用分布式并行掃描技術(shù)，掃描節(jié)點動態(tài)可擴展，實 現(xiàn)了網(wǎng)絡(luò)空間設(shè)備快速掃描。工業(yè)互聯(lián)網(wǎng)雷達采用了流水線作業(yè)式探測技術(shù)，來 提高探測效率。設(shè)備探測過程包括端口存活、服務(wù)判別、設(shè)備識別、漏洞發(fā)現(xiàn)等 多個步驟，每個步驟作為流水線的一個環(huán)節(jié)，實現(xiàn)了細粒度的掃描任務(wù)調(diào)度。工 業(yè)互聯(lián)網(wǎng)雷達引入了無狀態(tài)極速掃描技術(shù)，使用了 TCP 半連接掃描和異步狀態(tài) 統(tǒng)計的相結(jié)合的模式，大幅度的提升了單次掃描的速度。

（2）基于指紋的設(shè)備類型識別 

工業(yè)互聯(lián)網(wǎng)雷達引入了多維度的協(xié)議識別技術(shù)實現(xiàn)了廣泛的協(xié)議解析。此外， 平臺采用會話深度交互技術(shù)，可獲取工控設(shè)備固件的型號、版本等多種信息。 

工業(yè)互聯(lián)網(wǎng)雷達除可識別 HTTP、HTTPS、FTP、Telnet、SNMP 等通用協(xié)議 外，還支持主流工控協(xié)議識別，如 Modbus、S7、DNP3、IEC104 等，覆蓋西門 子、施耐德、羅克韋爾等國內(nèi)外知名廠商的 PLC、DCS、RTU、SCADA、HMI 等工控系統(tǒng)。

（1）基于業(yè)務(wù)報文的無損漏洞探測 

對于工控系統(tǒng)等重要信息基礎(chǔ)設(shè)施，業(yè)務(wù)的連續(xù)性與穩(wěn)定性是至關(guān)重要的。 傳統(tǒng)的有損漏洞探測方式并不適用此類設(shè)備。傳統(tǒng)的掃描產(chǎn)品為了保證漏洞識別 的精準度，探測器會向被探測設(shè)備發(fā)送含有一定攻擊特征的報文，會對目標系統(tǒng) 帶來攻擊性和不穩(wěn)定性。

工業(yè)互聯(lián)網(wǎng)雷達采用無損漏洞探測技術(shù)，利用正常協(xié)議控制命令，獲取設(shè)備 漏洞信息，保證探測行為與業(yè)務(wù)行為的一致，從而實現(xiàn)了在不影響系統(tǒng)正常作業(yè) 基礎(chǔ)上的漏洞探測。

九、亞信安全：工業(yè)互聯(lián)網(wǎng)安全解決方案及應(yīng)用實踐

針對工業(yè)互聯(lián)網(wǎng)的安全需求，基于亞信安全目前成熟的解決方案，將工業(yè)互 聯(lián)網(wǎng)劃分為工業(yè)互聯(lián)網(wǎng)云平臺、工廠外部網(wǎng)絡(luò)和工廠內(nèi)部網(wǎng)絡(luò)來提供安全能力架 構(gòu)。安全能力架構(gòu)如圖附 8 所示。

安全能力架構(gòu)

（1）針對工業(yè)互聯(lián)網(wǎng)云平臺提供了工業(yè)云平臺安全、工業(yè)網(wǎng)絡(luò)威脅檢測、工 業(yè)網(wǎng)絡(luò)威脅防護、威脅取證、安全沙箱、郵件威脅防護、安全監(jiān)測與管 理、工業(yè)數(shù)據(jù)安全、工業(yè)移動終端及 APP 安全、身份管理安全等能力；

（2）針對工廠外部網(wǎng)絡(luò)提供了協(xié)議標識解析、網(wǎng)絡(luò)威脅檢測、網(wǎng)絡(luò)威脅防護、 安全監(jiān)測與管理等能力； 

（3）針對工廠內(nèi)部 OT 網(wǎng)絡(luò)提供了工廠控制系統(tǒng)網(wǎng)絡(luò)威脅檢測、網(wǎng)絡(luò)威脅防 護、惡意軟件清除、軟件運行安全能力；針對工廠內(nèi)部 IT 網(wǎng)絡(luò)提供了云 平臺、主機安全、數(shù)據(jù)安全、郵件威脅防護、安全沙箱、身份安全、安 全監(jiān)測與管理等能力。

在汽車制造業(yè)中提供了以精密聯(lián)動為核心的 APT 防護系統(tǒng)解決方案，作為未知威脅信息采集（郵件網(wǎng)關(guān) IMSA、DDEI）、網(wǎng)關(guān)（下一代安全網(wǎng)關(guān) Deep Edge） 及終端處理節(jié)點（TMCM\OSCE），并新增未知威脅分析、網(wǎng)絡(luò)傳輸已知威脅檢測 及未知威脅采集（TDA）、網(wǎng)絡(luò)防毒墻阻斷新威脅 IP/URL/文件/漏洞利用（DE）， 形成威脅源頭捕獲、威脅分析、威脅處理的一個完善流程，通過聯(lián)動方式自動完 成，將 APT 威脅得到有效及時的處理。

十、啟明星辰：基于流量自學習的工業(yè)互聯(lián)網(wǎng)設(shè)備深度網(wǎng)絡(luò)邏

輯隔離安全防護實踐 天清漢馬工業(yè)防火墻可部署在工業(yè)網(wǎng)絡(luò)每層的邊界位置，或部署設(shè)備層的邊 界對不同的工廠進行邏輯隔離。

 1. 工業(yè)協(xié)議訪問控制

工業(yè)防火墻可以對專用的工業(yè)協(xié)議進行白名單或黑名單的訪問控制：

（1） 預(yù)置了百種以上工業(yè)協(xié)議，可實現(xiàn)工業(yè)協(xié)議的白名單安全防護；

（2）預(yù)置了常用的 PLC 防護模型，可快速實現(xiàn)控制器的白名單防護；

（3）支持基于二層協(xié)議號和三層網(wǎng)絡(luò)端口號的自定義工業(yè)協(xié)議白名單安全 防護。

2. 工業(yè)協(xié)議深度過濾

天清漢馬工業(yè)防火墻針對工業(yè)協(xié)議的安全防護，除了具備白名單訪問控制等 基本功能外，還需要對工業(yè)協(xié)議有應(yīng)用層的理解與控制，可以實現(xiàn)對工業(yè)指令的 過濾。天清漢馬工業(yè)防火墻支持基于 Modbus/TCP、Modbus/RTU、IEC104 等協(xié) 議的深度過濾功能。以下以 Modbus/TCP 和 Modbus/RTU 為例進行說明：

（1）MODBUS/TCP 深度解析防護

天清漢馬工業(yè)防火墻的 Modbus/TCP 深度解析模塊可以支持應(yīng)用層細粒度 控制，具體包括：功能碼的訪問控制、設(shè)備地址的訪問控制、線圈范圍的讀寫訪 問控制、寄存器范圍的讀寫訪問控制、輸入地址訪問控制等。此外還通過支持阻 斷時 Reset 回復(fù)、阻斷時異常回復(fù)和黑白名單機制來保證工業(yè)網(wǎng)絡(luò)在防護設(shè)備阻 斷時不會出現(xiàn)異常。

管理員通過對業(yè)務(wù)和實際生產(chǎn)網(wǎng)絡(luò)的梳理，可以建立起合法業(yè)務(wù)的 Modbus 指令列表，通過 Modbus 深度解析防護模塊可以建立合法白名單，阻止非法和入 侵的報文通過，極大提高 Modbus 網(wǎng)絡(luò)的安全防護能力。

（2）MODBUS/RTU 深度解析防護

雖然工業(yè)以太網(wǎng)是發(fā)展趨勢，但很多生產(chǎn)線仍是基于串行鏈路進行通信。天 清漢馬工業(yè)防火墻支持基于 RS232/440/485 鏈路的數(shù)據(jù)通信，同時可以支持引用 Modbus/RTU 的深度解析防護策略。

天清漢馬工業(yè)防火墻支持串行通信參數(shù)配置，可以針對波特率、數(shù)據(jù)位、奇 偶校驗、停止位、流控參數(shù)進行配置。

3. 工業(yè)入侵防御

天清漢馬工業(yè)防火墻集成特有工業(yè)入侵防御引擎，可以對工業(yè)系統(tǒng)的私有協(xié) 議或者特定攻擊進行防護。其引擎獨創(chuàng)的規(guī)則定義語言支持 TCP、UDP、HTTP、 DNS 等 60 多種協(xié)議解析；支持 300 多種協(xié)議變量的解析，且協(xié)議變量名稱遵循 國際標準；提供百余種功能函數(shù)專用于規(guī)則描述，簡化復(fù)雜規(guī)則功能的定義；支 持 24 種算術(shù)運算符、邏輯運算符和多種數(shù)據(jù)類型?？梢跃_表達類似自然語言 的豐富的檢測需求，減少誤報的同時可增強發(fā)現(xiàn)各種多樣化、復(fù)雜化、隱蔽化的 攻擊。

4. 流量自學習

為了解決現(xiàn)場工程師熟悉業(yè)務(wù)但對工控網(wǎng)絡(luò)協(xié)議不太了解的情況，設(shè)備支持 在添加防護策略前，在工控環(huán)境中進行流量自學習。 設(shè)備首先通過自學習獲取工控設(shè)備的 IP、MAC 地址、工業(yè)協(xié)議等信息；然 后對工控設(shè)備進行自動命名，以資產(chǎn)和協(xié)議的角度更加形象化地梳理并呈現(xiàn)工控 網(wǎng)絡(luò)情況，并進行向?qū)降陌踩呗酝扑]。

5. 多工作模式

工業(yè)網(wǎng)絡(luò)對可用性要求最高，管理員需要完全掌握工業(yè)網(wǎng)絡(luò)的運行情況后， 才能根據(jù)實際情況制定合適和有效的安全策略。天清漢馬工業(yè)防火墻支持三種工 作模式，分別是：

（1）全通模式：所有報文都通過，保障網(wǎng)絡(luò)暢通。

（2）測試模式：針對要阻斷的報文并不實際丟棄，而是以日志報警的方式告 知管理員，主要用于管理員理解策略的效果是否符合預(yù)期。

（3） 防護模式：安全策略經(jīng)過測試模式的考驗，管理員對效果進行了充分的 評估，并將策略調(diào)整到最優(yōu)，此時可以切換到防護模式，對工業(yè)網(wǎng)絡(luò)進 行安全防護。

十一、安恒信息：發(fā)電廠電力監(jiān)控系統(tǒng)信息安全防護實踐

電廠工控網(wǎng)絡(luò)和信息安全防護體系建設(shè)是根據(jù)“縱深防御”安全原則。不僅 加固管理大區(qū)信息安全防護手段，同時通過對工業(yè)控制系統(tǒng)進行安全區(qū)域劃分， 建立不同區(qū)域之間的數(shù)據(jù)通訊管道，對管道數(shù)據(jù)進行全面的分析與管控。中央管 理與控制平臺必須使企業(yè)管理者能夠總攬全局，時刻了解工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全 的狀況，指導企業(yè)建立合理的安全策略，規(guī)范安全管理流程，建立工業(yè)控制系統(tǒng) 網(wǎng)絡(luò)安全的“縱深防御”體系。

在本電廠中建立“縱深防御”體系如圖附 9 所示。

工控及信息系統(tǒng)智能防護解決方案網(wǎng)絡(luò)圖

1. 加固管理大區(qū)信息安全防護 在信息大區(qū)部署安全防護產(chǎn)品，對 Web 攻擊及 APT 攻擊進行過濾和預(yù)警， 具體措施如下：

（1）在四區(qū)核心交換機上采用旁路接入的方式部署數(shù)據(jù)庫安全審計系統(tǒng)；

（2）在四區(qū)核心交換機上采用旁路接入的方式部署 APT 攻擊預(yù)警平臺；

（3）在四區(qū)在 IPS 與防火墻之間部署 Web 應(yīng)用防火墻。

2. 實現(xiàn)生產(chǎn)大區(qū)工控安全防護

在生產(chǎn)大區(qū)部署工控安全防護產(chǎn)品，提高工控系統(tǒng)在邊界隔離、入侵檢測及 安全審計等方面的防護能力，具體措施如下：

（1）在 1 號 DCS 根交換機上采用旁路接入的方式部署工控威脅感知系統(tǒng)；

（2）在 2 號 DCS 根交換機上采用旁路接入的方式部署工控威脅感知系統(tǒng)；

（3）在輔網(wǎng)核心交換機交換機上采用旁路接入的方式部署工控威脅感知系 統(tǒng)；

（4）在 1 號機 DCS OPC Server 與 PI 接口機之間部署工業(yè)防火墻；

（5）在工業(yè)廢水處理 PLC 與水網(wǎng)核心交換機之間部署工業(yè)防火墻； 

3. 實現(xiàn)全廠安全信息運營

在四區(qū)部署企業(yè)安全感知中心，收集部署在生產(chǎn)大區(qū)及管理大區(qū)安全設(shè)備提 供的安全數(shù)據(jù)，其中生產(chǎn)區(qū)的安全數(shù)據(jù)通過單向隔離裝置導出，保障生產(chǎn)大區(qū)的 物理隔離。

企業(yè)安全感知中心為本方案中的工業(yè)控制系統(tǒng)信息安全的中央管理與控制 平臺，實現(xiàn)對工業(yè)控制系統(tǒng)及設(shè)備、安全設(shè)備等的監(jiān)控。

十二、杭州迪普：智能工業(yè)交換機助力工業(yè)互聯(lián)網(wǎng)高可靠通訊的實踐

迪普科技基于白名單分析的安全通訊體系包含了智能工業(yè)交換機、物聯(lián)網(wǎng)應(yīng) 用安全控制系統(tǒng)等產(chǎn)品，是為滿足靈活多變的工業(yè)應(yīng)用需求而提供的一種工業(yè)以 太網(wǎng)通訊解決方案，解決用戶網(wǎng)絡(luò)的環(huán)境適應(yīng)性、通信實時性、網(wǎng)絡(luò)安全性等問 題。

（1）適應(yīng)惡劣環(huán)境

智能工業(yè)交換機嚴格遵守工業(yè)規(guī)范要求而開發(fā)，整機采用工業(yè)級元器件，無 風扇散熱電路設(shè)計，經(jīng)過嚴苛的環(huán)境測試，設(shè)備能夠在-40~85℃寬溫環(huán)境下穩(wěn)定 工作。提供了耐振動 、耐沖擊、耐高/低溫、耐腐蝕、防塵、脈沖磁場抗擾等卓 越的工業(yè)級品質(zhì)，確保在各類惡劣環(huán)境下可持續(xù)可靠運行。

（2）整機掉電告警機制

智能工業(yè)交換機的整機掉電告警機制，使網(wǎng)絡(luò)運維人員可實時通過網(wǎng)管界面 有效了解工業(yè)交換機的供電狀態(tài)。當設(shè)備運行過程中出現(xiàn)掉電，交換機將用其內(nèi) 部的儲能電路向網(wǎng)管界面及時發(fā)送掉電告警提示信息，使工作人員能遠程了解交 換機的供電狀況，及時做出相應(yīng)的處理。有效縮短故障恢復(fù)時間、節(jié)省運維成本、 提高資產(chǎn)在線率。

（3）視頻數(shù)據(jù)探測安全防護技術(shù)

智能工業(yè)交換機使用視頻數(shù)據(jù)探測安全防護技術(shù)，可實現(xiàn)不同廠商的攝像頭 接入到交換機時，交換機能夠自動識別攝像機廠商的型號以及 TCP 端口、攝像 機 IP、MAC 等信息，對正確識別到的攝像機信息進行端口數(shù)據(jù)綁定操作，只放 通綁定的攝像頭流量，保證數(shù)據(jù)正常轉(zhuǎn)發(fā)，當非綁定設(shè)備接入交換機時，會對其 接入端口進行隔離，防止黑客通過 PC 進入視頻傳輸網(wǎng)進行一系列違規(guī)操作，對 網(wǎng)絡(luò)進行安全防護。

（4）白名單防護機制

智能工業(yè)交換機可與物聯(lián)網(wǎng)應(yīng)用安全控制系統(tǒng) DAC 進行聯(lián)動，信息監(jiān)控平 臺將兩者收集到的接入終端信息形成資產(chǎn)庫白名單，配合 DAC 設(shè)備內(nèi)置的協(xié)議 白名單，實時識別非法設(shè)備及非法業(yè)務(wù)流量，并將日志發(fā)送到信息監(jiān)控平臺，平 臺將通知交換機，交換機可溯源到終端接入端口并對其進行阻斷，將安全防線前 移。

十三、奇安信：工業(yè)主機安全防護系統(tǒng)應(yīng)用實踐

面對工業(yè)主機補丁打不了、漏洞防不了、資產(chǎn)查不了等安全問題，奇安信集 團自主研發(fā)了一款面向工控環(huán)境專用的工業(yè)主機安全防護系統(tǒng)。該系統(tǒng)能夠防范 惡意程序運行、集中安全風險分析和配置管理，實現(xiàn)對工業(yè)主機全面的安全防護。

（1）白名單管控

工業(yè)主機安全防護系統(tǒng)采用“白名單”防護技術(shù)并結(jié)合外設(shè)管控技術(shù)，全方 位地保護主機的資源使用。根據(jù)白名單策略，工業(yè)主機安全防護系統(tǒng)會禁止非法 進程的運行，并通過基于單個 ID 的 USB 移動存儲外設(shè)管控，禁止非法 USB 設(shè) 備的接入以及合法 USB 設(shè)備的權(quán)限管控。

（2）工業(yè)主機“永恒之藍”防御，關(guān)卡式病毒攔截

針對 “永恒之藍”勒索病毒，白名單在防護模式下會放行正常的操作系統(tǒng) 進程及專用工業(yè)軟件，主動阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運 行，同時結(jié)合漏洞防御進行永恒之藍的超前防御，可以形成從“病毒入口-病毒運 行-病毒擴散”三個環(huán)節(jié)的層層設(shè)防，步步攔截，從而做到病毒進不來、啟不動、 擴散不了，實現(xiàn)主機安全無死角病毒防護。

（3）工業(yè)資產(chǎn)全方位梳理

工業(yè)主機安全防護系統(tǒng)通過定義網(wǎng)絡(luò) IP 段分組，對指定的網(wǎng)絡(luò)分組進行周 期性地發(fā)現(xiàn)并統(tǒng)計網(wǎng)絡(luò)中的終端數(shù)量及類型，自動獲取工業(yè)主機 CPU、內(nèi)存、硬 盤等基礎(chǔ)信息，形成資產(chǎn)清單，為企業(yè)進行工業(yè)主機管理和安全運維提供有效的 參考。

（4）集中管理，統(tǒng)一運維

工業(yè)主機安全防護系統(tǒng)控制中心采用軟件化方式安裝在客戶的服務(wù)器以及 虛擬機上，方便系統(tǒng)管理員通過控制中心對網(wǎng)內(nèi)所有工業(yè)主機進行安全策略管理、 配置下發(fā)等，實現(xiàn)統(tǒng)一管控和安全風險分析，集中管理會顯著降低運維成本。

工業(yè)主機安全防護系統(tǒng)創(chuàng)新性地采用“漏洞利用分析-流量解析比對-可疑攻 擊阻斷”的超前防御模式，通過白名單智能匹配、“入口-運行-擴散”三重關(guān)卡攔 截技術(shù)及“永恒之藍”專殺技術(shù)，保護工業(yè)主機不受病毒等惡意軟件侵害。工業(yè)主機安全防護系統(tǒng)部署如圖附 10 所示。

工業(yè)主機安全防護系統(tǒng)部署

未來展望

根據(jù) Gartner 統(tǒng)計，2018 年，10%以資產(chǎn)為中心的企業(yè)采用將傳統(tǒng)安全與專業(yè) OT 安全技術(shù)混合部署模式來保護 OT 環(huán)境，這一比例將在 2022 年達到 30%。

由此可見，日趨頻繁的網(wǎng)絡(luò)攻擊事件和持續(xù)加碼的政策要求為提升工業(yè)企業(yè)安全意識、推動工業(yè)互聯(lián)網(wǎng)安全能力建設(shè)提供良好契機。

第一，工業(yè)互聯(lián)網(wǎng)安全政策導向增強，形成對網(wǎng)絡(luò)安全市場的帶動力。2019 年 7 月，工業(yè)和信息化部等十部門聯(lián)合印發(fā)《關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見的通知》，提出“加強工業(yè)生產(chǎn)、主機、智能終端等設(shè)備安全接入和防護，強化控制網(wǎng)絡(luò)協(xié)議、裝置裝備、工業(yè)軟件等安全保障”、“工業(yè)互聯(lián)網(wǎng)平臺的建設(shè)、運營單位按照相關(guān)標準開展平臺建設(shè)，在平臺上線前進行安全評估”、“建立健全工業(yè) APP 應(yīng)用前安全檢測機制，強化應(yīng)用過程中的用戶信息和數(shù)據(jù)安全保護”等系列要求，為工業(yè)互聯(lián)網(wǎng)安全能力建設(shè)指明方向。

第二，以 IT 視角為主的安全產(chǎn)品和服務(wù)難以滿足工業(yè)互聯(lián)網(wǎng)的實際需求，工業(yè)互聯(lián)網(wǎng)安全仍 需突破瓶頸，面向 OT 縱深發(fā)展。

第三，工業(yè)領(lǐng)域網(wǎng)絡(luò)安全宣傳教育亟需加強。人是安全的尺度，通過培訓提升 OT 人員的安全意識和技能是最快最有效的網(wǎng)絡(luò)安全風險規(guī)避方式。

在特殊性能需求方面，工業(yè)互聯(lián)網(wǎng)需要保障生產(chǎn)的連續(xù)性和可靠性，IT 網(wǎng)絡(luò)中常見的影響網(wǎng)絡(luò)時延或開銷的操作在 OT 網(wǎng)絡(luò)中可能無法適用，提供平衡安全風險和業(yè)務(wù)影響的方案將成為工業(yè)互聯(lián)網(wǎng)安全廠商追求的目標。

更多詳細信息請關(guān)注雷鋒網(wǎng)旗下微信公眾號宅客頻道以及雷鋒網(wǎng)官網(wǎng)網(wǎng)絡(luò)安全頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。