電力、水務、燃氣、交通……工業(yè)設施猶如城市的中樞神經和毛細血管，嵌入在我們生產生活的方方面面，面對日益升級的網絡威脅和對抗，如何有效保障其安全運行，成為保證社會穩(wěn)定運行和經濟發(fā)展命脈的關鍵之一。

　　為了幫助厘清工業(yè)設施面臨的真實安全威脅以及剛性合規(guī)要求，安全419推出《工業(yè)網絡安全解決方案》系列訪談，希望為工業(yè)企業(yè)運營者提升安全保障能力提供參考借鑒。本期，我們走進浙江木鏈物聯網科技有限公司（以下簡稱 木鏈科技），一睹他們在該領域的思考和積累。

　　木鏈科技受益于陳純院士技術指導，于2017年在杭州成立，目前擁有“5+2”產品線，涵蓋工控網絡安全實驗室、工業(yè)互聯網安全運營平臺以及5大類20余款標準化產品。擅長以創(chuàng)新技術為關鍵信息基礎設施和工業(yè)企業(yè)提供安全保護，提升安全韌性，構建高質量發(fā)展安全屏障。

　　工業(yè)領域的攻防對抗

　　是一場沒有硝煙的戰(zhàn)爭

　　如果翻看近十年的全球網絡安全大事記，能夠被層層篩選記錄在冊的受攻擊目標，總是不乏能源、水務、交通等等舉足輕重的工業(yè)設施。木鏈科技解決方案高級經理胡鏢對此表示，自從2010年伊朗核電站遭受“震網”病毒襲擊開始，針對工業(yè)領域的攻擊就再也沒有停止過。演變至今，甚至成為網絡空間對抗的一個高地，首先是因為大部分的工業(yè)設施都屬于一個國家的關鍵信息基礎設施，承載著億萬民眾的生產生活，一旦遭到功能破壞或者數據泄露，就可能嚴重危害國計民生、公共利益和國家安全，工業(yè)行業(yè)大國重器一般的功能使命，讓其成為大國博弈的一個衍生點，工業(yè)網絡成為繼海陸空天之外的第五戰(zhàn)場。

　　除了外部環(huán)境的日益惡劣，工業(yè)領域自身的發(fā)展也導致了更加復雜的安全形勢。在“震網”病毒問世之前，人們相信封閉的工業(yè)環(huán)境不可能遭受網絡層面的攻擊，物理隔離就足夠無敵。隨著信息化及數字化技術向工業(yè)領域延展，兩化融合、工業(yè)互聯網等進程的積極推進，帶動了工業(yè)行業(yè)的革新與高質量發(fā)展，也引入了原本只存在于IT環(huán)境中的網絡安全風險。加之OT層面還會面臨的漏洞、缺陷等風險，針對工業(yè)領域的整個攻擊鏈被極度擴大。

　　工業(yè)化起步晚

　　導致我國工業(yè)安全建設滯后

　　在這樣普遍而嚴峻的安全形勢之下，我國的工業(yè)行業(yè)自然也無法獨善其身，據胡鏢介紹，受制于安全意識與安全能力的局限，國內大部分工業(yè)企業(yè)面臨的安全挑戰(zhàn)，甚至比國際形勢還要更加不容樂觀。

　　整體上，相比于西方國家，我國的工業(yè)化建設起步較晚，許多核心的工業(yè)控制系統、工業(yè)生產設備采用的都是國外產品，對于其設計邏輯、工業(yè)協議的理解并不全面，距離自主可控仍有較大挑戰(zhàn)。這就導致我國整體的工業(yè)安全基礎比較薄弱，無論法規(guī)政策的頂層設計，還是關鍵技術的創(chuàng)新突破，都仍在逐步地建立健全過程中。

　　與之對應的，工業(yè)發(fā)展尚處于追趕階段，安全意識不到位的情況在工業(yè)領域尤為普遍。一些企業(yè)注重生產與質量，而安全作為一種偏隱性價值的投入，并不在管理者的首要考慮范圍內，其對于推行工業(yè)互聯網建設可能帶來的安全隱患認識不足，目前仍然需要監(jiān)管部門的大力宣貫和長期的市場培育去形成影響和共識。

　　另一個普遍存在的挑戰(zhàn)在于專業(yè)人才的缺失。因為工業(yè)環(huán)境的特殊性，要求其安全建設既需要掌握信息安全專業(yè)技能，又需要掌握自動化等業(yè)務場景及流程，因為擔心安全部署影響業(yè)務的連續(xù)性，許多企業(yè)的安全實施非常淺顯，僅僅只在IT與OT之間加一道防護隔離，沒有匹配業(yè)務的針對性防護方案，難以達成有效的安全目標。

　　那么，工業(yè)領域到底會面臨哪些安全威脅？胡鏢為大家總結了以下三方面：

　　首當其沖的就是勒索攻擊，這已成為黑客團伙最直觀也能帶來最大利益的一種方式。Group-IB近期發(fā)布的一份報告顯示，過去三年，勒索攻擊在全球網絡威脅領域內保持著穩(wěn)固的領先地位，初始訪問代理（IAB）和勒索軟件即服務（RaaS）的擴張讓勒索業(yè)務持續(xù)增長。2021年的平均贖金要求提高了45%，達到24.7萬美元，受害者的宕機時間從2020年的18天增加到2021年的22天。可以看出，勒索攻擊的演化越來越復雜。

　　第二類是針對不同工業(yè)設施的定向攻擊。比如：針對水廠工業(yè)控制設備的入侵，通過調整水中化學物質的含量，試圖給飲用水“投毒”；針對風電廠的惡意破壞，篡改設備的運行狀態(tài)，突然觸發(fā)制動以損壞渦輪機等核心設備……這類攻擊以破壞工業(yè)設施的功能為目標，可以輻射影響一定區(qū)域內居民的公共利益，多為具有政治訴求的專業(yè)集團進行的國家級對抗，因此其往往擁有較為豐厚的資源和高超的能力，識別與防御都比較艱巨。

　　還有一類是目前越來越頻發(fā)的數據泄露。隨著數據在各行各業(yè)都成為重要的生產要素，競爭對手或者以獲利為主的黑客團伙會緊盯工業(yè)組織的生產數據或業(yè)務數據，通過雙重勒索、APT攻擊、社會工程學攻擊等多種手段盜取這些高價值數據。這對工業(yè)企業(yè)的影響是非常深遠的，相關調研顯示，數據泄露造成的成本，包括財務成本和負面聲譽，可能在一年后都還會持續(xù)地產生。

　　三重安全水平遞增的定制化方案

　　匹配不同安全成熟度的市場需求

　　工業(yè)領域的安全現狀迫在眉睫，作為專門為工業(yè)企業(yè)提供安全防護方案與服務的企業(yè)，公開資料顯示，木鏈科技目前已經打造了包括防護、監(jiān)測、管理、檢測、攻防在內的5大類20余款標準化產品和覆蓋主流工業(yè)行業(yè)的安全解決方案。

　　而胡鏢立足于用戶需求的視角，為我們介紹了木鏈科技三類安全能力水平依次遞增的建設思路和方案體系。

　　一、建設基礎安全防護架構

　　對于沒有安全基礎或安全建設比較薄弱的工業(yè)企業(yè)，首先需要滿足網安法、等保2.0、關基保護條例等國家及行業(yè)層面要求的、最基本的安全保障義務。木鏈科技提出了“三位一體”的安全體系整體架構——

　　安全技術體系，以企業(yè)安全現狀為切入點，從結構安全、行為安全、主機安全和集中管控四個層面形成縱深防御的防護體系，構造企業(yè)工控安全的技術屏障；

　　安全服務體系，以企業(yè)實際需求為出發(fā)點，從風險評估、合規(guī)咨詢、滲透測試、漏洞掃描、攻防演練、安全運維、教育培訓和應急響應八個維度實現安全產品與安全服務的有機結合，提高企業(yè)安全威脅感知能力；

　　安全管理體系，以企業(yè)具體業(yè)務為落腳點，以綜合管理平臺為支撐，采用微服務架構、靈活的定制化組合，建設一體化管理技術平臺。通過內置制度管理、人員管理、建設管理、運維管理和管理機構模塊，實現等級保護基本要求中安全管理部分的切實落地，建立安全技術與安全管理相結合的雙輪驅動機制。

　　木鏈科技三位一體安全體系架構

　　總體而言，依托安全技術體系為基礎，大幅提升企業(yè)檢測審計與動態(tài)防御能力，實現對網絡各層級威脅全面感知與協同防御的目的；依靠安全管理體系為支撐，加強企業(yè)運維管理與安全保障能力，滿足技術手段與管理措施相結合的立體化防護要求；依賴安全服務體系為保障，提高企業(yè)風險管控與應急響應能力，達到了對系統威脅與安全事件的精準定位并迅速掌控的效果。

　　三大體系彼此補充、相互支撐、協同運作，可以滿足等保2.0建設需求以及關鍵信息基礎設施安全建設標準。

　　二、提升風險感知、應對能力

　　在滿足基礎合規(guī)安全防護要求之后，下一階段，側重于為工業(yè)企業(yè)打造主動防御能力，從被動響應的層次進階到能夠主動地、有針對性地發(fā)現識別生產環(huán)境和辦公環(huán)境中的脆弱環(huán)節(jié)、入侵行為等安全隱患。通過部署控網絡攻擊誘捕系統（俗稱“蜜罐”）及工業(yè)互聯網安全運營平臺（俗稱“工業(yè)態(tài)勢感知”）來提升風險感知、應對能力。

　　工控網絡攻擊誘捕系統：基于欺騙偽裝技術，通過在攻擊者入侵的關鍵路徑上部署誘餌，誘導攻擊者進入與真實網絡隔離帶蜜網，可識別并捕獲利用新型 0day 漏洞的高級 APT 攻擊，全面感知威脅。

　　據胡鏢介紹，木鏈團隊基于多年網絡攻防經驗打造的這款工控蜜罐全面支持工控協議解析與仿真，支持高度自定義蜜罐數據，使蜜罐蜜網環(huán)境和真實環(huán)境更加契合，具備極強偽裝性和欺騙性，系統可自動化記錄攻擊者的全部入侵過程和遺留文件，精準識別攻擊意圖，自動化完整取證溯源。

　　工業(yè)互聯網安全運營平臺：集安全可視化、監(jiān)測、預警和響應處置于一體，通過集中收集、分析客戶工控環(huán)境的資產、日志、流量等安全相關的數據，借助大數據、機器學習、智能分析等技術，對網絡內部的違規(guī)資產、風險行為進行實時監(jiān)測，網絡外部攻擊事件的預警及研判，實現網絡風險的主動探知。

　　木鏈科技結合用戶實際需求，基于星期五實驗室（專注于工控安全前沿技術研究的安全團隊）工控協議語義級解析、工控漏洞深度挖掘分析能力，參照行業(yè)特性定制化開發(fā)工業(yè)互聯網安全運營平臺，從識別認定、安全防護、檢測評估、監(jiān)測預警、應急處置環(huán)節(jié)實現業(yè)務信息系統的統一安全保障和閉環(huán)，同時基于可視化技術對現場安全數據進行實時分析展示，為管理層、執(zhí)行層提供輔助決策和運維指導。

　　三、構建一體化安全管理體系

　　當企業(yè)具備了基礎安全防護能力以及針對安全威脅的主動應對能力后，木鏈科技將結合工控網絡安全靶場構建企業(yè)的仿真驗證體系。其中安全防護體系負責對安全風險事件進行處置、防護，安全監(jiān)測體系用于感知網絡安全風險、同時聯動安全產品對風險進行處置，仿真驗證體系負責對安全處置策略進行驗證、對安全防護體系的有效性進行推演，三者形成一套閉環(huán)的、可定制的工業(yè)企業(yè)安全管理體系。

　　其自主研發(fā)的工控網絡安全靶場是集仿真、實訓、競賽、演練、測試等功能為一體的安全實戰(zhàn)演練平臺，通過虛擬化、虛實結合組網等技術，能夠低成本、高效率地仿真出接近真實的工控網絡環(huán)境和企業(yè)網絡環(huán)境，并具備可視化拓撲組網引擎，豐富靶標資源，第三方接入支撐，多樣化賽事支持，定制化教學課程，創(chuàng)新性高階安全工具等功能，方便企業(yè)進行網絡體系規(guī)劃驗證、人才教學培訓、能力測試評估、安全攻防演練、安全賽事承建、產品研發(fā)試驗、產品安全性測試、前沿技術評估等任務。

　　木鏈科技工控網絡安全靶場核心功能

　　胡鏢介紹，該工控網絡安全靶場構建了專業(yè)的、高并發(fā)的、高可靠的底層平臺和架構，可滿足用戶大規(guī)模應用需求，具備高開放性和靈活性，強自主性和拓展性等特點，可不斷融合云計算、數字孿生、固件分析等新型技術。且聚焦工控網絡安全結合傳統網絡安全，行業(yè)屬性突出，亦可針對軍工、電力能源、鋼鐵、智能制造等細分行業(yè)用戶的個性化訴求提供專業(yè)定制化開發(fā)。

　　夯實技術研究 以定制化服務、

　　多樣化技術和工程實施提升行業(yè)安全水平

　　在木鏈科技的整體方案思路中，與市場中大部分工業(yè)安全企業(yè)提供標準化產品的方式大相徑庭，胡鏢表示，其聚焦于從底層與源頭解決工業(yè)安全難題，全線產品均采用松耦合技術架構，與用戶深度綁定，完全貼近實際業(yè)務場景和個性化需求，提供靈活的產品定制服務。

　　這種規(guī)劃策略源于木鏈科技的企業(yè)基因、自身定位與市場判斷。胡鏢表示，工業(yè)互聯網持續(xù)深化推進的過程中，產生的市場安全需求必然是更加復雜多元的，不同規(guī)模與領域的客戶的業(yè)務場景不一致，安全成熟度不一致，安全訴求也不一致，基于木鏈科技的技術優(yōu)勢與基因——具備深度協議解析、高效數據處理等底層研究能力，其響應市場需求、提升自身競爭力的解法是與客戶達成深層次的綁定，更加側重于與行業(yè)頭部企業(yè)、科研機構等一起探索、打磨一些前沿的、創(chuàng)新的，甚至是目前暫時沒有市場化但具有行業(yè)發(fā)展指向意義的項目與課題，將其技術實力、研究能力應用到更廣泛的生產現場和辦公場景，推動工業(yè)領域整體安全水平的提升。而木鏈科技自身，也逐漸從一家工控安全企業(yè)，晉升為工業(yè)互聯網安全領域多樣化技術和工程建設的卓越者。

　　“我們相信，工業(yè)安全行業(yè)的發(fā)展形勢是一路向好的，行業(yè)共建需要不同的角色，市場需要側重于提供標準化產品的企業(yè)，也需要有我們這樣更擅長基礎性的技術研究、解決復雜安全問題的企業(yè)，大家各自把自己的專業(yè)和優(yōu)勢發(fā)揮價值最大化，相互協同協作，整個行業(yè)生態(tài)才會更加健康長久?！焙S說道。

　　寫在最后

　　《工業(yè)網絡安全解決方案》系列訪談意在探討分析我國工業(yè)企業(yè)面臨的重重安全挑戰(zhàn)，通過分享展示不同的安全解決方案的差異和優(yōu)勢，為工業(yè)企業(yè)開展網絡安全建設工作提供一定的參考。本系列選題將持續(xù)更新，歡迎更多有相關思考探索、技術能力的安全廠商和企業(yè)用戶跟大家分享自己的實踐經驗，幫助更多企業(yè)用戶在波譎云詭的網絡空間和日益嚴苛的監(jiān)管下安全發(fā)展。

更多信息可以來這里獲取==>>電子技術應用-AET<<