全球工業領域網絡安全技術演進及思考

作者：中國信息通信研究院 曹詩南 劉曉曼 責任編輯：王鶴迦 2022.06.07 12:54 來源：通信世界全媒體

通信世界網消息（CWW）網絡與信息安全技術在工業領域的合理有效應用可以抵御來自內外部的網絡攻擊，保障工業設備、控制、網絡、應用以及數據的安全。在工業領域，傳統工業控制系統處于相對封閉可信的環境中，隨著信息技術和運營技術加速融合，安全邊界趨于模糊，互聯網的安全威脅逐步向工控系統滲透擴散，網絡攻擊可從物理世界直抵現實世界。因此，需借助網絡與信息安全技術應對更加復雜多樣的網絡攻擊，確保工業領域信息安全、物理安全與功能安全，護航制造業數字化轉型，維護國民經濟與社會穩定。

工業領域網絡安全技術體系已初步形成，主要包括安全防護、安全監測和安全檢測三大技術方向。工業邊界控制、工業主機防護、工業安全監測與態勢感知、漏洞掃描等安全防護、監測與檢測技術，可覆蓋設備、控制、網絡、應用、數據等全要素，通過在工業領域不斷融合應用，對應形成工業防火墻、工業主機安全防護、工業安全監測與態勢感知等具體技術產品。

全球工業領域網絡安全細分方向技術分析

工業網絡邊界安全防護技術能匹配復雜的工業環境，有效確保工業網絡邊界安全

工業防火墻是典型的工業網絡邊界安全防護產品，在軟件層面，融合白名單、身份認證、訪問控制等多種技術；在硬件層面，具有全封閉、無風扇、硬件加密等匹配工業環境的特點。針對部署的位置不同，工業防火墻可以大致分為機架式和導軌式兩種：前者一般部署于工廠機房，用于隔離工廠與管理網或其他工廠的網絡；后者大部分部署在生產現場，主要采用導軌式架構設計，內部組件之間都采用嵌入式計算主板，其內部設計更加封閉與嚴實。

傳統防火墻技術經歷了4次迭代更新。第一代包過濾防火墻涉及包過濾和代理兩種不同技術類型，實現了根據數據包頭信息的靜態包過濾。第二代動態包過濾防火墻通過采用動態設置包過濾規則，避免了靜態包過濾帶來的問題。第三代全狀態檢測防火墻采用狀態檢測技術，在包過濾的同時檢查數據包之間的關聯性。第四代深度包檢測防火墻內嵌入侵檢測和攻擊防范功能，能深入檢查信息包流。工業防火墻基于傳統防火墻，在硬件架構和解析能力上有所改進，功能更加匹配工業屬性，滿足工業級防塵、抗電磁、抗震、無風扇、全封閉等設計要求，能夠實現工業協議深度解析、包過濾、端口掃描防護、安全審計、惡意代碼防護、漏洞防護、訪問權限限定等功能。

工業主機安全防護以主機加固技術為基礎、防病毒技術為重要補充，確保工業主機處于安全可靠環境中

目前，工業主機防護主要包含單機版和網絡版兩種，單機版針對隔離情況下孤立的工業主機進行安全防護，網絡版針對聯網情況下工業主機進行安全防護和集中安全風險分析及配置管理。工業主機安全防護具備以下6個特點：一是工業主機生命周期長且硬件資源受限，二是工業主機不會隨意增加應用軟件，三是病毒庫不能定期升級，四是普通殺毒軟件誤殺關鍵進程，五是查毒、殺毒造成工業軟件處理延時，六是病毒極易通過移動存儲介質進行傳播。

目前，國外工業主機安全防護產品主要分為傳統殺毒軟件、網絡安全防護以及新興終端安全防護3類。傳統殺毒軟件依然占據較大市場，新興終端安全防護類產品基于白名單、AI等技術已經得到市場認可并快速占領市場。國內主要有病毒查殺、終端防護平臺、終端檢測與響應、工業衛士4種方案。病毒查殺利用防病毒軟件的掃描引擎調用病毒特征庫；終端防護平臺部署在終端上，檢測并阻止來自應用程序的惡意活動；終端檢測與響應通過云端威脅情報、機器學習、異常行為分析、攻擊指示器等方式，主動發現來自外部或內部的安全威脅；工業白名單主要采用白名單技術，專注于防護層面。

工業安全監測與態勢感知可及時有效發現安全隱患與問題，防患于未然

工業領域的安全監測與態勢感知技術是針對工業互聯網終端設備、工業控制系統、網絡、云平臺、工業APP等核心要素，采用深度包解析技術，逐層解析還原網絡及應用層協議，包括工控專用協議和通用協議，最終實現訪問日志合成、工業設備資產檢測、工控漏洞及安全事件的識別，對核心要素的數量變化、網絡安全事件、威脅等級、威脅源分布等進行綜合分析，實現安全要素信息的集中獲取、分析挖掘和綜合呈現。

工業安全監測與態勢感知技術是由傳統的態勢感知技術結合工業領域特征發展而來的，態勢感知技術的概念最早在軍事領域提出，覆蓋感知、理解和預測3個層次，隨著網絡的興起而升級為“網絡態勢感知”。工業安全態勢感知技術在網絡空間搜索引擎的基礎上，加入工業控制系統及設備的資產特征，利用軟件代碼來模擬常見的工業控制系統服務或工控專用協議；采用深度包解析技術，逐層解析還原網絡及應用層協議，最終實現訪問日志合成、工控設備資產檢測、工控漏洞及安全事件的識別。

工業領域網絡安全技術發展思考

安全防護理念將從被動式防護向主動前瞻式防護加速轉變

隨著工業控制系統逐漸開放，雖引入新的安全設備，但同時攻擊手段也日益增多，被動防御具有局限性，而主動防御是在入侵行為對信息系統產生影響之前，就利用技術手段避免、降低或轉移風險，實現“一對多”防御。與此同時，結合主動探測、流量分析、被動誘捕等技術，可以實現工業領域安全態勢感知和風險預警，更快、更準、更及時地發現安全隱患，及時采取必要的安全防護措施，提升工業領域安全防護能力，安全防護理念將從被動防護轉向主動前瞻式防護。

安全技術從傳統“低速”分析向智能“快速”感知發展

早期的態勢感知技術是通過對海量安全數據的采集，利用數據分析技術識別其中有價值的信息，并形成可理解的報告和圖表，以此發現并分析安全威脅。隨著大數據、人工智能等新技術的出現及應用，安全技術加速與新興技術融合，增強了安全檢測和分析能力，推動安全態勢感知的發展，主要表現在高級可持續攻擊截獲、威脅感知和威脅情報共享等。通過機器學習、大數據分析等技術，實現基于邏輯和知識的推理結果，從已知威脅推演未知威脅，實現對安全威脅事件的預測和判斷。借助人工智能、大數據分析等新興技術，助力安全風險精確預警與準確處置水平不斷提升，實現網絡攻擊和重大網絡威脅可知化、可視化、可控化。

聚焦內生安全技術從本質上提升工業領域安全防護水平

傳統局部與外掛的安全防護能力已不能滿足安全需求，亟需提升工業領域內生安全能力，實現網絡安全能力和工業信息化環境的融合。在工業系統規劃、建設和運維的過程中，同步考慮安全能力的建設；網絡安全企業與系統設備提供商、工業頭部企業強強聯合，打造具備內嵌安全功能的設備產品，實現工業生產系統與安全系統的聚合；企業針對業務特性，立足于安全需求開展安全能力建設，實現工業領域安全的自適應與自成長，動態提升工業領域安全防護能力。

（備注：青蛙工業云平臺目標是幫助黑龍江工業企業、哈爾濱工業企業的數字化轉型貢獻出自己的一份力量，嚴把數字轉型方案的質量關，結合黑龍江工業云的政策以及哈爾濱智能制造等相關的產業政策，為龍江工業企業數字化轉型開辟一條新出路，提供一個快速有效的提產增量的解決方案，助力黑龍江工廠企業實現快速升級改造。）