電力、水務、燃氣、交通……工業設施猶如城市的中樞神經和毛細血管，嵌入在我們生產生活的方方面面，面對日益升級的網絡威脅和對抗，如何有效保障其安全運行，成為保證社會穩定運行和經濟發展命脈的關鍵之一。

　　為了幫助厘清工業設施面臨的真實安全威脅以及剛性合規要求，安全419推出《工業網絡安全解決方案》系列訪談選題，希望為工業企業運營者提升安全保障能力提供參考借鑒。本期，我們走進杭州中電安科現代科技有限公司（以下簡稱“中電安科”），邀請到其總經理趙峰，為大家介紹他們在該領域的積累和實踐。

　　中電安科聚焦工控網絡安全產品的自主研發，覆蓋安全審計、邊界防護、安全管理、終端防護、云安全等全域工業網絡安全產品體系，深耕電力、石油石化、軌道交通、智能制造、礦業開采、港口碼頭、軍隊軍工等關鍵信息基礎設施行業，公司自2021年起相繼獲中國電科、中國中車、國家電網等央企旗下產業基金戰略投資，正式進入網絡安全“國家隊”。

　　關基設施安全防護三大難：

　　底子薄 對手強 影響大

　　近年來，全球針對關鍵信息基礎設施的網絡攻擊從未間斷，委內瑞拉全國大停電、美國天然氣管道商遭網絡攻擊、烏克蘭核電廠發生嚴重網絡安全事故等事件歷歷在目。2022年以來，臺達電子遭受勒索軟件攻擊、豐田日本受網絡襲擊生產停產、意大利鐵路系統遭黑客攻擊致多地車站受影響、伊朗國家鐵路遭網絡攻擊……越來越多的網絡安全事件凸顯出工業網絡威脅的嚴重性。

　　在我國，同樣也面臨著嚴峻的工控安全挑戰，2016年某油田感染conficker蠕蟲病毒，2017年某電廠PLC系統出現藍屏重啟，2018年臺積電遭勒索病毒入侵……黑客的攻擊手段、入侵方式層出不窮，給整個工業領域帶來了不可估量的損失和影響。

　　縱觀愈演愈烈的工業網絡安全威脅，中電安科總經理趙峰對此表示，工業網絡信息安全防護有其特殊性：

　　01 其防護的受攻擊主體特殊，與以謀財、牟利為目的的網絡詐騙、網絡入侵等傳統攻擊不同，工業企業的入侵者不會是一般意義上的“黑客”，而很可能是恐怖組織甚至是敵對國家力量支撐的組織；

　　02 遭受攻擊破壞后果嚴重，關鍵信息基礎設施覆蓋到我們日常生活的方方面面，是一國之“命脈”，大型工業裝置的關鍵設施一旦遭受攻擊，帶來的可能不只是金錢的損失，影響到的可能是幾億人民的生活，會直接威脅到國民經濟的發展和社會安定，因此針對關鍵信息基礎設施的攻擊還涉及到了社會政治問題。

　　03 從網絡安全防護措施來看，關鍵信息基礎設施可謂非常脆弱。在工業互聯網還不太發達的時候，大家的安全意識十分薄弱，安全措施不到位，埋下了很多隱患。由于這些設施是用來保障民生的，不能輕易停止運行，導致關鍵信息基礎設施成為國家級黑客組織的“靶子”，漏洞及遭遇的網絡攻擊一直在持續增加。近些年，危害極大的勒索病毒也成為了工業領域面臨的典型威脅之一。

　　合規與內控持續增強

　　工業安全建設任重道遠

　　為了有效避免嚴峻復雜的網絡威脅，工業企業需要按照國家等保2.0、關鍵信息基礎設施保護要求、密碼法以及相關行業要求進行工控網絡安全建設，重點加強網絡邊界隔離、主機防護加固、網絡監測預警與審計、安全運維管理等技術措施，并結合管理制度全面提升工業企業的網絡安全防護能力。

　　結合中電安科多年的實踐經驗，趙峰表示，工控系統的業務特點決定了基于傳統信息安全防護技術（如防火墻、入侵、殺毒軟件等）無法有效地保護工控網絡的安全，大多工業企業在建設工控網絡安全過程中都會面臨以下幾個難點：

　　互聯網和工業的深度融合，打破了傳統工業領域相對封閉可信的環境，將互聯網的安全威脅滲透進工業領域，僅依賴邊界設備無法有效抵御風險，網絡攻擊可以直達生產一線；

　　工業環境最大的威脅是專有的靶向類惡意代碼，如震網、火焰等病毒，它們的攻擊對象是工業控制系統中的工程師站、操作員站、服務器等主機以及DCS、PLC等控制器，需要有專業的技術發現工控類攻擊；

　　工控系統由各種自動化控制組件構成，大量的工控系統采用私有協議通信，缺少安全設計和論證，多數情況是犧牲安全性以換取穩定性，安全更新維護不及時，不能實現自主可控，需要對工業安全與工業生產取得平衡。

　　隨著國家等級保護制度實施力度和各行業內控與合規要求的不斷增強，工業企業對工控網絡安全衍生了更多需求，例如工業資產分級分類管理需求、風險可視化需求、能力聚合需求、運營能力提升及效率提升需求、攻防實戰演習的需求，這些都成為了工業安全建設的下一個里程。

　　以軌道交通行業為例

　　看如何實現關基設施可知、可管、可控

　　公開資料顯示，中電安科自2016年起推出“大安全”“可知可管可控”的工控安全防護理念，長期深耕行業并積累經驗，目前針對工業企業場景業務特點以及行業屬性推出30+行業解決方案。趙峰以軌道交通行業為例，為我們介紹了中電安科的防護策略和落地實踐。

　　地鐵綜合監控系統（ISCS）作為軌道交通信息化系統中子系統，承載了對PSCADA、BAS、FAS、UPS電源系統等進行實時集中監視和控制的基本功能，一旦系統被攻擊入侵，將給地鐵的正常運營、運行帶來巨大的影響。為了避免我國城市軌道交通行業在數字化網絡化發展過程中出現信息安全和網絡安全問題，各城市軌道交通行業建立常態化、覆蓋事前、事中、事后的全方位信息安全服務體系，形成動態防護、監測預警、響應處置的網絡安全工作機制，覆蓋智慧城軌全生命周期和運營全過程。

　　對于客戶來說，擺在眼前的實際需求在于：

　　工控協議識別種類廣泛

　　ISCS屬于多系統深度集成的系統，在控制網絡中存在多家自動化廠商PLC控制器，需要對多協議進行識別和分析及策略阻斷能力；

　　工控入侵行為檢測能力的精確性

　　需要工控監測審計系統精準地識別基于工控協議的入侵行為，對異常的通信行為能夠進行分析、告警的能力，實現風險、威脅“可知、可管”；

　　基于ISCS系統業務特性實現網絡隔離

　　通過與外部系統如PIS、SIG、AFC等與ISCS系統邊界部署工控防火墻進行有效隔離，實現網絡隔離、訪問控制、邊界完整性檢查等功能。

　　趙峰介紹，ISCS由控制中心系統、各車站級控制系統、車輛段控制系統、培訓管理系統、設備維護及網絡管理系統等組成，各系統通過冗余環網連接。建設綜合監控系統安全防護體系，主要集中在控制中心、各車站、車輛段、停車場以及主所/區間所等系統防護。

　　區域邊界安全：

　　對線路級、車站級ISCS系統進行安全區域劃分，在ISCS系統與PIS、SIG、AFC等外部系統互聯邊界處采用冗余模式部署工控防火墻，防范中央ISCS系統與集成、互聯接口系統之間進行互連時違規訪問現象的發生，以及防范外部惡意攻擊和入侵。可識別多種工控協議如Modbus、IEC61850、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-U等，實現指令級的訪問控制，同時可為系統內部的私有協議實現定制化功能。

　　通信網絡安全：

　　對線路級、車站級ISCS系統部署工控監測審計系統，全面滿足工控協議兼容性要求，通過集成工控漏洞庫和工控級入侵特征庫，智能識別利用協議漏洞發起的攻擊并提供策略阻斷。在控制中心部署工控終端防護系統（管理端軟件），進行統一的安全策略下發和基線管理，并對客戶端的狀態進行統一監控和管理。采用自動學習生產工控網絡流量白名單、形成白名單規則并進行策略一鍵部署，通過白名單規則匹配判斷工控協議數據包是否有異常，生成告警信息，對工控協議流量實現指令級訪問控制。

　　計算環境安全：

　　對線路級、車站級ISCS系統中的操作員站、工程師站上部署終端防護客戶端，實現對操作站、工程師站進行安全加固，進程白名單管控和USB移動存儲介質管控，切斷病毒入口，能夠有效地防止惡意代碼感染。

　　安全管理中心：

　　通過在控制中心部署的安全管理平臺、運維堡壘機對所有安全設備進行統一管理，可有效地防止非法入侵、工業數據篡改、非法指令下裝等安全威脅，實現態勢感知能力。全面提升ISCS系統網絡的安全性，確保設備、系統、網絡的可靠性和穩定性以及網絡安全防護管理的合規性。

　　基于此，中電安科是從“技”、“管”兩個維度來建立全面防護體系，從安全計算環境、安全通信網絡、安全區域邊界等多個維度實現安全防護建設，同時結合ISCS系統特性，構建符合國家等保監管要求的安全防護體系。能夠有效識別和阻斷ISCS系統網絡中的非法訪問、入侵等行為，通過與工控安全平臺進行聯動，快速定位風險入侵路徑、風險階段、風險源頭，形成閉環動態的ISCS系統安全防御體系，為軌道交通ISCS系統的穩定運行、安全運行提供有效的安全保障支撐。

　　自主可控是工業網絡安全市場的未來方向

　　隨著“工業4.0”時代的到來、“互聯網+”的步伐加速、以及“兩化融合”的深度融合，工業控制網絡也向著分布式、智能化的方向迅速發展。趙峰認為，工業企業下一步還需不斷完善縱深防御體系的建設，從邊界防護、監測預警方面入手，建立起涵蓋邊界、終端、監測、管理、運營為一體的綜合防御體系，持續提高工業企業的安全防護能力，保障企業的工控網絡安全。

　　談及工業網絡安全市場的發展趨勢，趙峰表示，在當前的國際形勢下，科技自立自強已經不可逆轉，信創的邏輯一再被強化，國產化將是未來一段時間內的大勢所趨。工業高質量發展離不開“安全”，工業網絡安全市場的未來發展趨勢之一也將會是自主可控。據了解，中電安科自提出“工控+國產化”、“工控安全+信創”等概念后，目前正加快腳步從CPU、數據庫到操作系統的整個產品線實現國產化，并已在多個研究院進行相關試點工作。“未來三年，我們將繼續明確主攻方向和核心技術突破口，專注工控安全領域，不斷探索創新網絡安全防護技術，并將持續應用于電力、石油石化、軌道交通、智能制造、礦業開采、港口碼頭、軍隊軍工、水利水務等關鍵信息基礎設施行業，為用戶提供具有核心競爭力的工控網絡安全解決方案及服務。”趙峰說道。

　　寫在最后：

　　《工業網絡安全解決方案》系列訪談意在探討分析我國工業企業面臨的重重安全挑戰，通過分享展示不同的安全解決方案的差異和優勢，為工業企業開展網絡安全建設工作提供一定的參考。本系列選題將持續更新，歡迎更多有相關思考探索、技術能力的安全廠商和企業用戶跟大家分享自己的實踐經驗，幫助更多企業用戶在波譎云詭的網絡空間和日益嚴苛的監管下安全發展。

更多信息可以來這里獲取==>>電子技術應用-AET<<