创道硬科技-硬科技复兴联盟研究报告——工控安全

1、目录 HYPERLINK l _bookmark0 工控安全介绍 4 HYPERLINK l _bookmark1 工控安全定义及作用 4 HYPERLINK l _bookmark2 工控安全与传统信安行业的区别 5 HYPERLINK l _bookmark3 工控安全的三个核心 7 HYPERLINK l _bookmark4 攻击模式 9 HYPERLINK l _bookmark5 目前防御端可能存在的问题 13 HYPERLINK l _bookmark6 产品分类 16 HYPERLINK l _bookmark7 工控安全产品全景图 16 HYPERLINK l _bookma

2、rk8 工控安全主要产品 18 HYPERLINK l _bookmark9 等保 2.0 框架下产品形态 24 HYPERLINK l _bookmark10 工控安全产品应用场景 24 HYPERLINK l _bookmark11 工控安全产品应用领域 26 HYPERLINK l _bookmark12 工控安全技术理念 26 HYPERLINK l _bookmark13 行业概述 28 HYPERLINK l _bookmark14 行业发展情况 28 HYPERLINK l _bookmark15 国家层面安全事件频发 28 HYPERLINK l _bookmark16 国内市

3、场概述：政策端高度重视工控安全，安全体系仍面临诸多挑战 29 HYPERLINK l _bookmark17 国外市场概述：大力推进工控安全建设，技术创新方面保持优势 35 HYPERLINK l _bookmark18 产业发展现状及趋势 36 HYPERLINK l _bookmark19 行业产品需求不同 37 HYPERLINK l _bookmark20 2.3.1 培育市场阶段（2016-2019 年） 37 HYPERLINK l _bookmark21 2.3.2 政策性驱动阶段（2020-2023 年） 37 HYPERLINK l _bookmark22 2.2.3 内生发

4、展阶段（2024 年后） 37 HYPERLINK l _bookmark23 行业市场规模 38 HYPERLINK l _bookmark24 市场驱动力 38 HYPERLINK l _bookmark25 市场规模 38 HYPERLINK l _bookmark26 行业壁垒 40 HYPERLINK l _bookmark27 技术层面门槛 40 HYPERLINK l _bookmark28 完备的产品体系和整体服务能力门槛 40 HYPERLINK l _bookmark29 3.3. 参与标准制定存在门槛 41 HYPERLINK l _bookmark30 行业竞争情况 4

5、1 HYPERLINK l _bookmark31 行业竞争格局 41 HYPERLINK l _bookmark32 公司分析 42 HYPERLINK l _bookmark33 上市公司 42 HYPERLINK l _bookmark34 非上市公司 45 HYPERLINK l _bookmark35 投资可行性分析 49前言我国工业信息政策体系框架基本完成，安全标准覆盖范围不断扩大，尤其 2017 年和 2019 年颁布并实施的等保 1.0 和 2.0 政策更是成为了催化剂；2018年、2019 年和 2020 年工控安全企业融资数量大幅提升；工控安全具有独特、更高标准的安全要求，

6、技术壁垒较高；目前市场为应对政策性驱动的合规产品市场，基础产品同质化较多，但因工业环境、业务、工艺等特殊性，产品具有其差异和独特性；市场竞争主要来自聚焦工控安全企业，网安巨头或投或并的持续参与；因市场起步较晚，目前还未形成市场格局，竞对间还未形成绝对差距，团队经验和资源优势、技术优势及行业进入壁垒成为竞对间差异化竞争点。工控安全介绍工控安全定义及作用工控安全（工业控制系统信息安全），是指保护工业控制系统的专用防护方案，按照保护对象可分为功能安全、物理安全、信息安全三种。资料来源：广证恒生根据工业过程测量、控制和自动化网络与系统信息安全IEC 62443 针对工控安全的定义是：（1）保护系统所采

7、取的措施；（2）由建立和维护保护系统的措施所得到的系统状态；（3）能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；（4）基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；（5）防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作。其中，工业控制系统即 ICS（也称工业自动化与控制系统），是由计算机设备与工业过程控制部件组成的自动控制系统。根据等保 2.0 附录 G，工业控制系统主要分为 5 个层次：现场设备层、现场控制层、过程监控层、生产管理层以及企业资源层。图片来源：GB/T 22239-2019 信

8、息安全技术 网络安全等级保护基本要求工控安全与传统信安行业的区别网络边缘不同工控系统在地域上分布广阔，其边缘部分是智能程度不高的含传感和控制功能的远动装置，而不是 IT 系统边缘的通用计算机，两者之间在物理安全需求上差异很大。体系结构不同工业控制网络的结构纵向高度集成，主站节点和终端节点之间是主从关系。传统 IT 信息网络则是扁平的对等关系，两者之间在脆弱节点分布上差异很大。传输内容不同工业控制网络传输的是工业设备的 “四遥信息”，即遥测、遥信、遥控、遥调。首先，在网络系统方面，工控网络与传统 IT 信息网络大体在网络边缘、体系结构和传输内容三大方面有着主要的不同。两化融合后，IT 系统的信息

9、安全也被融入了工控系统安全中，但在安全防护方面，工控系统与传统信息系统安全防护仍存在本质区别。传统信息系统更多关注信息安全，而工业控制系统通常关注更多的是物理安全与功能安全，尤其是功能安全，该系统的安全运行由相关的生产部门负责，信息部门仅处于从属的地位。在信息安全的三个属性（机密性、完整性、可用性）中，传统信息系统的优先顺序是机密性、完整性、可用性，而工业控制系统则是可用性、完整性、机密性。随着信息化与工业化技术的紧密结合以及潜在网络战威胁的影响，工业控制系统也将从传统模式转向更为关注信息安全。从产品形态上来说，工控安全产品同信息安全产品基本一致，均为防火墙、网关网闸、审计、态势感知等，但仍存

10、在较大区别，根据中国电子报的观点，区别如下：安全需求不同；安全补丁与升级机制存在的区别；实时性方面的差异；安全保护优先级方面的差异；安全防护技术适应性方面的差异。当前已有的各种信息安全工具，能够对控制系统安全给予必要机制，这些单独的机制对于深度防护控制并不够，通过深入理解控制系统与真实物理世界的交互过程，工控安全产品需要做到的是：更好地理解攻击的后果：深入研究攻击者获得非授权访问一些控制网络设备后将造成的危害。设计全新的攻击检测算法：通过理解物理过程应有的控制行为，并基于过程控制命令和传感器测量，能够识别攻击者是否试图干扰控制或传感器的数据。设计新的抗攻击弹性算法和架构：检测到一个工业控制系统

11、攻击行为，能够适时改变控制命令，用于增加控制系统的弹性，减少损失。设计适合工业 SCADA 系统现场设备的身份认证与密码技术：目前一些成熟的、复杂的、健壮的密码技术通常不能在工业控制系统的现场设备中完成访问控制功能，主要原因在于过于复杂的密码机制可能存在着在紧急情况下妨碍应急处理程序快速响应的风险。工业自动控制领域的专家一般认为相对较弱的密码机制（如缺省密码、固定密码，甚至空口令等），比较容易在紧急情况下进行猜测、传送等，进而不会对应急处理程序本身产生额外影响。开发硬件兼容能力更强的工业 SCADA 系统安全防护技术：传统 IT 数据网络中安全防护能力较强的技术如身份认证、鉴别、加密、入侵检测

12、和访问控制技术等普遍强调占用更多的网络带宽、处理器性能和内存资源，而这些资源在工业控制系统设备中十分有限，工业控制设备最初的设计目标是完成特定现场作业任务，它们一般是低成本、低处理器效能的设备。而且，在石油、供水等能源工业系统控制装置中仍然在使用一些很陈旧的处理器（如 1978 年出厂的 Intel8088 处理器）。因此，在这类装置中部署主流的信息安全防护技术而又不显著降低工业现场控制装置的性能具有一定难度。研制兼容多种操作系统或软件平台的安全防护技术：传统 IT 数据网络中的信息安全技术机制，主要解决 Windows、Linux、 Unix 等通用型操作系统平台上的信息安全问题。而在工业

13、SCADA 系统领域，现场工业 SCADA 系统装置一般使用设备供应商（ABB、西门子、霍尼韦尔等）独立研发的、非公开的操作系统（有时称为固件）、专用软件平台（如 GE 的 iFix 等）完成特定的工业过程控制功能。因此，如何在非通用操作系统及软件平台上开发、部署甚至升级信息安全防护技术，是工业 SCADA 系统信息安全未来需要重点解决的问题。工控安全的三个核心保护网络网络是工业自动化的脉络，所有的操作指令和数据均会通过网络进行传输，所以工业企业应确保自身网络设计良好，有着防护周全的边界。企业应按 ISA IEC 62443 标准划分自身网络，保护所有无线应用，部署能快速排除故障的安全远程访问

14、解决方案，确保公司网络设计健全，有着可靠地安全防护边界，设立完整的网络监管体系，保障其工业互联网和所属的工业底层设备均能够有效地进行监管，从内部信息层面对安全进行保护。保护终端虽然防火墙、专业安防软件、专业协议和物理隔离技术能够抵御传统的数字攻击，但是这仅限于互联网攻击。根据伊朗震网事件等证据表明，雇员、承包商和供应链员工将他们的笔记本电脑或 U 盘带入企业网络时，这些传统的安全防护措施就被绕过了。所以企业必须确保所有终端都是安全的，要防止员工将自己的设备接入公司网络。事实上，黑客可以侵入 OT 环境中基于 PC 的终端。根据业内专业人士的访谈，很多黑客都是通过内部员工的 U 盘来渗透企业的终

15、端，因为终端操作系统版本通常较老，且安全防护能力较弱，所以很那抵御类似的公司方式。所以企业还应保护其 IT 终端不受 OT 环境中横向移动的数字攻击侵袭。企业有必要保证每台终端上的配置是安全的，并监视这些终端以防遭到未授权修改。总体上，在攻击层面，IT 和 OT 也开始组合攻击，所以建立一套完整的监控、审计和管理的平台体系逐步成为了企业对于保护终端被侵入的新的方案。保护控制器每个工业环境都有其物理系统致动器、校准器、阀门、温度感应器、压力传感器一类机械装置。这些与现实世界交互的物理系统被称为控制器，也就是桥接物理系统控制和网络指令接收行为的特殊计算机（一般有单片机来进行计算）。很多案例中恶意黑

16、客都曾获取过这些设备的控制权，引发设备故障，造成物理破坏，或对公司的损害。不过，如果仅仅是能访问而不能控制，恶意黑客也无法直接造成破坏。通过加强检测能力和对 ICS 修改及威胁的可见性，实现脆弱控制器的安全防护措施，监视可疑访问及控制修改，以及及时检测/控制威胁，企业可有效防止工业控制器遭到数字攻击。这也是之所以要在各个区域建立安全网闸、防火墙和各类审计设备并且工控安全企业必须解析工业协议的原因。攻击模式根据公开资料，世界知名的黑客大会，如 BlackHat、DefCon 等，纷纷将工控安全纳入议题；2020 年 1 月世界高水平黑客大赛 Pwn2Own 更首次将工控纳入比赛。可以看出，工业自

17、动化的不断发展已经使得一些别有用心的人关注到这个行业，工控系统的漏洞和攻击面也正随着工业互联网的发展，更多的暴露于攻击者。工业控制系统应用领域 资料来源：互联网资料工业控制系统的整体攻击思路攻击目标攻击工业系统时候一种强目的性的、针对式的攻击，通常是以破坏工控设备、造成工厂停产、工序异常、次品率增加，甚至火灾爆炸等严重后果为目标。现代工厂中，大部分现场生产设备都是由控制系统（如：PLC-可编程逻辑控制器、数控车床、DCS-分布式控制系统）进行现场操作。因此，攻击者的目标是通过直接或间接攻击或影响控制系统而实现。下文将以工厂 PLC 举例，阐述黑客对工控系统的攻击思路。攻击场景 针对式直接攻击直

18、接攻击 PLC，是指利用 PLC 存在的漏洞，或通过口令破解等方式绕过安全认证，成功控制 PLC 并进行指令修改，实现攻击目的。当前较多的 PLC 处于内网，尚不能通过互联网直接访问，在此情景下，直接攻击一般通过物理接触 PLC，或通过内部办公网络连接到 PLC 等方式而实现。随着工厂智能化的提升，设备实现互联互通，大量 PLC 系统连入互联网，将更易于黑客对 PLC 发起直接攻击。针对式间接攻击间接攻击 PLC，是指获取 PLC 上一层监控系统（如 HMI、IPC、SCADA等）的控制权，通过监控系统向 PLC 发送恶意指令，或干扰监控系统与 PLC的正常通讯，实现攻击目的。采用间接攻击场景

19、，通常是由于攻击者无法直接接触到控制系统，或对工厂内部 PLC 系统了解有限，因而转向攻击存在大量攻击者熟悉的 IT 部件的过程与监控层系统。例如，攻击者首先获得 IPC（工业计算机）的控制权，分析 IPC 和 PLC 之间的传输模式，构造恶意指令，通过 IPC传输给 PLC，间接影响 PLC 的正常工作或阻断生产状态的监控和预警。非针对式攻击非针对式攻击，或称为撒网式攻击，是指恶意程序利用系统或网络的共性漏洞，无差异化感染系统并在内网传播，影响正常生产秩序。此类攻击场景虽然不针对工控系统，但由于目前工控环境的安全措施较为薄弱，使得撒网式攻击在世界范围内屡屡得手。撒网式攻击通常以病毒或恶意程序

20、为主，例如，攻击者利用员工安全意识薄弱，发送钓鱼邮件，感染接收者的电脑，再利用网络环境的脆弱性，在办公网快速传播，再蔓延至生产网，感染具有共性漏洞的系统，如 IPC 等，影响生产或造成破坏。攻击途径工控系统的攻击途径大体包含内部发起和外部发起两类。内部发起又可分为自办公网渗透到工厂网以及车间现场发起攻击；外部发起包含针对式攻击（如 APT）和撒网式攻击。工控环境攻击路径内部发起攻击办公网为起点在办公网环境内，使用 nmap 等工具扫描和获取网段和资产信息，特别是常规工控系统和 IT 系统端口，Siemens 102，modbus 502，EthernetIP 44818、445、 3389 等

21、；成功获取系统控制权后，尝试以该主机为跳板，使用Pass the Hash 等方式渗透其他系统，找寻工控相关系统 PLC、IPC 和 SCADA 等，以实现攻击目的；若均未成功，转向采用社会工程等方式进一步获取相关信息（如高权限账号等）；同时，考虑设法进入工厂车间内部，转为现场攻击方式；一些集成控制系统的中控平台，或者内网的一些类 SCADA 等组态控制系统的 web 应用端或者 dll、dat 容易被劫持后形成工程师站的提权。车间现场为起点在车间内发起攻击工控系统是最为直接的方法，手段和选择同样是多样化的：进入车间后，仔细观察车间内的情况，寻找 IPC 或者控制系统的位置，为后续攻击尝试做准

22、备。攻击尝试一：首选目标为控制系统（如 PLC），寻找是否存在未上锁，或者网线接口暴露在外的设备；尝试了解相关的控制系统基本信息，例如所使用的品牌，版本等；尝试使用电脑在现场连接控制系统，利用弱口令等脆弱性，尝试恶意指令注入、权限绕过、重放攻击等。攻击尝试二：尝试对现场运行的IPC 或者 HMI 进行攻击，例如对运行的 IPC 插入恶意 U盘植入恶意程序；针对未设置权限的 IPC 或者 HMI 直接操作，如修改控制系统的指令等恶意操作。外部发起针对式攻击APT 攻击是典型的外部发起的针对式攻击，攻击过程包含对目标企业进行信息收集以初步了解该企业的基本情况；利用 Google、Baidu 等搜索

23、引擎寻找暴露在互联网上的域名或服务器；利用爬虫技术尽可能获取网站所有链接、子域名、C 段等；尝试对网站应用进行高危漏洞利用，例如恶意文件上传、命令执行、SQL注入、跨站脚本、账户越权等；尝试获取网站 webshell，再提升至服务器权限；以该服务器为跳板打入内网环境，转变为内部攻击的模式；通过从互联网搜索外网邮箱的用户名，根据企业的特点，针对式地给这些用户发送钓鱼邮件，以中招的电脑为跳板打入内部环境，转变为内部攻击的模式；利用伪造门禁卡，或者伪装参观、面试人员或者尾随内部员工的方式物理进入企业内部，转变成为内部攻击的模式。撒网式攻击利用 Google 和 Baidu 等搜索引擎找出暴露在互联网

24、上企业的域名，若发现可以利用的漏洞则转为针对式攻击；利用社工，尽可能多收集企业的员工的邮箱，大批量发送钓鱼邮件；使用 Shodan 搜索引擎，针对暴露在互联网上的工控系统发起攻击，成功后转为内部攻击。黑客攻击链（Cyber Kill Chain）一般来说，攻击者通常以低成本、撒网式的攻击手段，如发送钓鱼邮件等社工式，开始攻击尝试。当受害者点开附在钓鱼邮件内的恶意链接或恶意程序时，“潘多拉之盒”就此打开，攻击者将尝试攻陷受害者的设备，并以此设备为跳板，打入企业内网。如果工控网络未能做到与办公网络的有效隔离，攻击者可以在进入办公网络后扫描并分析发现相关工控资产。当前许多工厂工控环境抵御网络攻击的能

25、力较弱，大多存在弱口令，权限设置不当，共享账号和密码，补丁和脆弱性管理缺失，网络隔离和防护不充分等高危漏洞，使得攻击者利用这些漏洞，在企业工控网内大范围、无阻拦、跨领域的对工控资产进行攻击，最终导致工业数据泄露、设备破坏、工序异常、次品率增加、火灾爆炸甚至威胁员工安全等严重后果，形成完整的黑客攻击链。目前防御端可能存在的问题从组织与人员方面来看：未落实安全责任管理层重视不足，部门间安全职责不清晰，无明确安全部门或岗位。安全意识薄弱员工对工控系统的安全意识相对薄弱，特别是生产或一线员工。传统型企业的“隐匿式安全”（security by obscurity），认为严格物理安全和访问管理即可确保安

26、全，认为未发生安全事件即是安全，这往往使得企业忽略对网络安全的建设，未能及时补救隐患。从管理与监督层面来看“经验式”管理的缺陷工控系统自身缺乏安全设计与考量，是很多企业存在的普遍现象，通过实施适当安全保障措施，可以有效弥补。但很多企业并没有建立有效的安全策略和措施，仅依靠个人经验和历史经验进行管理。应急响应机制缺失缺少应急响应机制，出现突发事件时无法快速组织人力和部署应对措施来控制事件进一步蔓延，并在最短时间内解决问题和恢复生产。缺少恰当的口令策略未设置恰当的口令策略和管理，如弱口令，共享口令，多台主机或设备共用一个口令，以及口令共享给第三方供应商等情形，增加密码泄露风险。缺乏安全审计日志系统

27、出现安全事件后，无法追踪和分析事件源头和原因，以避免类似情形的再次发生。从网络与架构方面分析：“防君子式”网络隔离内部办公网络和工厂网络缺乏有效隔离，未划分安全域进行防护，导致办公网络的攻击或病毒蔓延至工厂网络，造成生产影响。不安全的通讯协议工业控制协议非标准化，且大多存在安全隐患，例如 CAN、DNP3.0、Modbus、 IEC60870-5-101。不安全的远程访问为方便维修工程师和供应商的远程调试，未对远程访问部署安全措施和监控，此类远程访问功能可能是攻击者利用率最高的漏洞之一。复杂的结构工控系统的结构相对于 IT 环境而言更为复杂，攻击面较多。典型的工控环境一般会有以下组成部件：控制

28、器（PLC、数控车床、DCS）、SCADA 系统、工业计算机、工业软件、HMI、网络、交换机、路由器、工业数据库等，其中任意一个环节或者部件出现问题就有可能导致整个工控系统被攻击。从主机与设备来分析：认证与授权为了日常使用方便，重要控制系统未设置密码、设置弱密码或共用密码，将密码贴在现场机器上，这些“便利”往往也为攻击者的入侵提供了极大的便利。防病毒软件未安装病毒防护软件，未及时更新病毒库，非正版软件等。操作系统陈旧性现在的工厂环境中，使用越来越多的计算机系统，然而由于工业控制系统的更新迭代的时间相比于 IT 系统要长很多，使得工业控制系统中存在大量陈旧的计算机系统，如 windows xp、

29、windows 2003 等操作系统，存在大量可被攻击利用的高危漏洞。默认配置许多工厂在安装设备时，使用了默认口令、默认路径，开启不必要且不安全的端口和服务等默认配置。离线设备管理对于离线设备，往往认为是安全的，忽视网络安全保护措施。但随着企业数字化的推进或在业务需要时进行网络连接时，此类设备可能会成为安全体系的短板和缺口。从物理防护方面分析：硬件调试接口重要控制系统的机架未上锁，或暴露在外的调试接口未有效防护。物理端口未对 IPC 等通用接口进行有效管理或禁用，如 USB、PS/2 等外部接口，可能存在设备未授权接入风险，导致病毒感染或者程序非法修改。外部人员访问人员进出车间管控不严，特别是

30、外部人员，如供应商等。我国进入工业转型的快速发展期，智能制造推动着信息化与工业化的不断融合，同时新的攻击形式层出不穷，导致工业控制系统的安全问题更加突出。工业控制系统安全问题是内外交加导致，作为国家关键基础设施的重要组成部分，其安全关系到国家安全。面对企业工控安全的薄弱基础，可因地制宜地逐步消除企业自身工控系统的安全漏洞，如从弱口令密码整改开始，逐步推进漏洞补丁升级、部署安全防护设备、完善安全管理制度、建立安全管理体系。在消除薄弱基础的前提下，可以充分利用物联网技术、人工智能技术、大数据技术，扩展企业工控安全范围，提高安全监测、预警、分析判断能力，提升安全态势感知能力，从静态防护走向动态防御。

31、产品分类工控安全产品全景图总体来说，工控安全需要建立事前事中事后防护系统。为实现功能安全前提下的工业控制系统信息安全，需要构筑工业控制系统信息安全事前、事中和事后的全面管理、整体安全的防护技术体系。工业控制系统信息安全内涵、需求和目标特性，决定了需要一些特殊的信息安全技术和措施，在工业生产过程中的 IED、PLC、RTU、控制器、通信处理机、SCADA 系统和各种实际的、各种类型的可编程数字化设备中使用或配置，达到保障工业控制系统生产、控制与管理的安全功能目标。所有自动控制系统信息安全的基础技术是访问控制和用户身份认证，在此基础上发展了一些通过探针、信道加密、数据包核查和认证等手段保护通信数据

32、报文安全的技术。为实现功能安全前提下的工业控制系统信息安全，需要构筑工业控制系统信息安全事前、事中和事后的全面管理、整体安全的防护技术体系。事前防御技术事前防御技术是工业控制信息安全防护技术体系中较为重要的部分，目前有很多成熟的基础技术可以利用：访问控制/工业控制专用防火墙、身份认证、 ID 设备、基于生物特征的鉴别技术、安全的调制解调器、加密技术、公共密钥基础设施（PKI）、虚拟局域网（VPN）。事中响应技术入侵检测（IDS）技术对于识别内部的错误操作和外部攻击者尝试获得内部访问权限的攻击行为是非常有效的。它能够检测和识别出内部或外部用户破坏网络的意图。IDS 有两种常见的形式：数字签名检测

33、系统和不规则检测系统。入侵者常常通过攻击数字签名，从而获得进入系统的权限或破坏网络的完整性。数字签名检测系统通过将现在的攻击特性与已知攻击特性数据库进行比对，根据选择的灵敏程度，最终确定比对结果。然后，根据比对结果，确定攻击行为的发生，从而阻断攻击行为并且通报系统管理员当前系统正在遭受攻击。不规则检测技术通过对比正在运行的系统行为和正常系统行为之间的差异，确定入侵行为的发生且向系统管理员报警。例如，IDS 能够检测在午夜时分系统不正常的活跃性或者外部网络大量访问某 I/O 端口等。当不正常的活动发生时，IDS能够阻断攻击并且提醒系统管理员。以上两种 IDS 系统都有其优点和缺点，但是，它们都有

34、一个相同的问题如何设置检测灵敏度。高灵敏度会造成错误的入侵报警，IDS 会对每个入侵警报作相应的系统动作，因此，过多的错误入侵警报，不仅会破坏正常系统的某些必须的功能，而且还会对系统造成大量额外的负担。而低灵敏度会使 IDS不能检测到某些入侵行为的发生，因此 IDS 会对一些入侵行为视而不见，从而使入侵者成功进入系统，造成不可预期的损失。事后取证技术审计日志机制是对合法的和非合法的用户的认证信息和其他特征信息进行记录的文件，是工业控制系统信息安全主要的事后取证技术之一。因此，每个对系统的访问及其相关操作均需要记录在案。当诊断和审核网络电子入侵是否发生时，审计日记是必不可少的判断标准之一。此外，

35、系统行为记录也是工业 SCADA 系统信息安全的常用技术。资料来源：CSDN工控安全主要产品工控防火墙信息安全技术 工业控制系统专用防火墙技术要求指出，工业防火墙是可应用于工业控制环境，专门为工业控制系统设计、开发、制造的工控安全状态检测防火墙产品，可对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护。工业防火墙与 IT 防火墙的主要差异体现在以下三点：工业防火墙与 IT 防火墙数据过滤能力要求不同，工业防火墙除了具有 IT 防火墙的通用协议过滤能力外，还应具有对工业控制协议的过滤能力；工业防火墙比 IT 防火墙具有更高的环境适应能力；工业防火墙比 IT 防火墙具有更高的可靠性、

36、稳定性、实时性等要求。同样的，工业防火墙也分为基础级和增强级，同时还根据工控系统层次情况，分部署域间和部署现场控制层。工控安全监测审计系统工控安全监测审计系统专为工业控制网络研制的业务可视化安全检测和威胁监测的审计平台。基于行黑名单、白名单、自定义规则等多种安全策略，通过内置的工控协议深度解析引擎，实时监测和发现各种异常数据报文、异常的网络行为、非法入侵等，从而实现工业网络安全风险事前预防、事中发现、事后响应和追溯提供全息审计记录。漏洞扫描/挖掘工控漏洞扫描系统是采用已知漏洞检测和未知漏洞挖掘相结合的方式对工业控制设备、工业控制系统、工业控制网络安全保护设备以及工控软件进行全面自动化检测和漏洞

37、挖掘的强大工具平台，能够精准检测信息系统中的各种脆弱性问题，在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议。图片来源：国网浙江省电力公司科学研究院工控安全评估系统工控安全评估系统以相关的国际及行业规范为依据，对国家关键基础设施进行合规性检查，对企业资产进行漏洞扫描及管理，对工控网络进行旁路审计并对异常行为实时告警，并根据检查结果生成专业检测报告，提供整改建议，帮助企业用户弥补漏洞。主机安全防护主机安全防护系统只允许系统操作或运行受信任的对象可以很好地适应工控环境、相对固定的运行环境，并将非法程序隔离在可信运行环境外。通过签名证书的白名单，能确保经过签名的可信应用程序正常升级、

38、加载和拓展，避免因软件升级导致应用无法运行的情况发生，并能为工控上机位（工程师站、操作员站等）与工控服务器（应用服务器、实时数据服务器、历史数据服务器、 OPC 服务器）提供全面的安全管理、检测、防御和安全加固。入侵检测入侵检测是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它能实时监测工控网络状态，检测包括溢出攻击、RPC 攻击、WebCGI 攻击、拒绝服务攻击、木马、蠕虫、漏洞利用等网络攻击行为。产品检测网络上的所有数据信息，根据指定的保护目标及检测策略对网络中可疑流量或攻击行为进行实时报警。它通常由 4 个组件构成：事件产生器（Event Gen

39、erator）、事件分析器（Event Analyzer）、响应单元（Response Unit）、事件数据库（Event Database）。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供此事件的原始数据。事件分析器分析采集到的原始数据，并产生分析结果。响应单元是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等反制手段，也可以只是简单的报警。事件数据库是存放各种中间数据和最终数据的存储资源，它可以是复杂的数据库，也可以是简单的文本文件。入侵防御系统入侵防御可应用于工业控制网络环境，能检测入侵行为的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，保护

40、信息系统不受实质性的攻击。它可以直接串联到网络链路中对常规网络通信恶意数据包进行检测，阻止入侵活动，预先对攻击性的数据包进行自动拦截，使它们无法造成损失。入侵防御系统使得入侵检测系统和防火墙走向了统一。网闸网闸全称安全隔离网闸，是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过，帮助用户防护来自网络的病毒传播、黑客攻击等行为，避免其对控制网络的影响和对生产流程的破坏。图片来源：天融信网关工业安全隔离网关是专门

41、为工业网络应用设计的安全隔离设备，用于解决控制网络如何安全接入信息网络的问题以及控制网络内部不同安全区域之间安全防护的问题。它具备 ARP 防护、病毒防护等插件以应对网络攻击、工控病毒、特种木马等多种安全威胁，为工业控制系统提供纵深防御，是快速、高效、全面的工业控制系统安全解决方案。PC 安全卫士工控主机安全卫士系统是一套对操作员站、工程师站和服务器等工控系统主机进行安全加固的软件产品。产品颠覆了传统防病毒软件的“黑名单”思想，采用与其相反的轻量级“ 白名单” 方式， 可以快速有效阻止如震网病毒、 BlackEnergy 等工控恶意代码在主机上的执行、感染和扩散。在此基础上，对 U盘等移动存储

42、介质也做了安全防护和管理，防止病毒木马通过移动存储介质在内网主机上交叉感染。产品有单机版和网络版两种形态，网络版本可以对部署在主机上的主机安全卫士进行集中管控，包括策略统一下发、软件统一管理、日志统一查看、外设统一管控等。USB 安全隔离装置USB 安全隔离系统是一种专门针对不可信 USB 存储设备与可信计算机之间进行安全文件传输，过滤 USB 存储设备上的文件，防范病毒而设计的工控安全产品。USB 安全隔离系统通过网络接口与内部网络连接，采用外设杀毒技术，对 USB 存储设备上的文件进行病毒查杀；采用先进的软件“白名单”防护机制，对 USB 存储设备上的文件进行过滤；有效防范已知恶意病毒，阻

43、止各类未知恶意软件对可信计算机带来的威胁。保证 USB 存储设备上的数据安全、完整、快速的传输到可信计算机。蜜罐蜜罐好比情报收集系统，本质上是一种对攻击方进行欺骗的技术。它通过布置一些作为诱饵的智能设备、主机、网络服务，诱使敌方对它们实施攻击，从而对攻击行为进行捕获、分析，了解攻击方所使用的工具和方法，推测攻击意图和动机 HYPERLINK /s?_biz=MjM5OTk4MDE2MA%3D%3D&mid=2655116674&idx=2&sn=e6750aa56741d4002ca9e92a2b0bd22b&chksm=bc86406d8bf1c97bdbad2d435c133c1b79e4

44、b2b5684becafe659a3d773d87f721c2f086baf6b&scene=21 。蜜罐技术能够让防御方清晰地了解其所面临的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。探针工控安全探针能够针对异构数据源进行适配采集，通过深度学习、远程校准，实时侦测工业场景中各种异常行为。主要分布式部署于生产调度区各层汇聚交换机上，通过镜像流量实现对各层链路利用率、业务分部情况、服务带宽占用等进行监测，通过构建攻击知识库实现对工控网络恶意行为的诱捕、存储、分析，对不正当行为进行关键工控事件检测，最后由工控安全监测评估系统汇总、分析后给出监测报告。攻防安全室/工控安全移动实验室移

45、动实验箱以小型工业控制系统为基础，模拟典型工业现场环境，融合工控安全防护和审计解决方案，通过自动化系统实验、工控网络攻击实验、工控网络攻击防护实验、工控网络监测和异常行为分析四大典型实验内容，将理论教学和实践应用高度融合，实现工控网络安全攻防演练功能。分为双页和单页试验箱。图片来源：公众号安全管理平台工控安全管理平台明确定位为一个集成解决方案，利用丰富的、强大的安全软件，结合同意管理系统，对网络环境进行监测和感知潜在威胁。产品的核心工作在于负责收集和关联各种安全信息，发现网络中资产的脆弱性和对发生的攻击行为进行报警，对即将发生的攻击行为进行预测。工控安全态势感知系统工控安全态势感知平台通过采集

46、工业生产相关网络的关键资产数据、威胁数据和脆弱性数据等，利用统计分析和数据挖掘等方法，根据不同行业特点建立风险模型，依据模型对所采集的数据进行关联和融合分析，识别能引起工控网络安全态势变化的安全要素，展示网络当前的安全状态，并预测未来发展趋势。工控网络安全态势感知技术架构主要包括安全数据采集、数据预处理、态势评估分析、态势预测、态势展示、态势告警与响应等 6 部分。等保 2.0 框架下产品形态在等保 2.0 的基础上，立足于“一个中心、三重防护”对工控安全产品进行分类。其中，一个中心是安全管理中心，三重防护分别为安全通信网络、安全区域边界、安全计算环境，对应的产品分别为工业审计类产品、工业防火

47、墙/网关、入侵检测类产品、主机防护类产品。工控安全产品应用场景基于工业控制系统 5 个层次划分，可以进一步对工控网络进行分区管理，主要包括企业管理区和生产调度区，工控安全监测防护部署示意图如下：图片来源：公众号企业管理区内分外网和内网两部分，外网应当设立安全控制策略，进行边界数据包过滤、恶意代码防范、非法外联和入侵行为探测，加强网络边界的审计和防护；内网管理应当设立安全管理中心，对内网的系统(例如 OA 系统、邮件系统、门户网站等)进行统一认证、安全存储、漏洞检测、病毒查杀等。生产调度区主要包括生产管理层、过程控制层、现场控制层、设备层。生产管理层负责生产任务的数据管理、计划安排、设计存储等；

48、过程控制层、现场控制层是对现场设备进行过程控制和实时控制。生产调度区各层都应做好对应的漏洞检测、入侵检测、病毒防护，保护好相关工控数据流，防止网络攻击行为的发生，以及对反常行为进行预警报告。为保证工控网络系统正常生产、稳定运行，工控网络各分区间应部署网络隔离装置，以保证分区的交互安全，同时部署增加工控网络安全监测系统，以对整体网络行为进行全生命周期监测、存储和分析，形成网络安全实时态势感知，以有效应对隐蔽性威胁。工控安全产品应用领域工控安全产品可广泛应用于油气、石化、市政、环保、交通、烟草、智能制造、能源（电力）、冶金等各行业领域，其中电力与石油化工行业占据了工控安全 60%市场份额。为行业客

49、户的工控系统提供适当防护、安全监测与记录等功能，并提升奇工控网络的安全防范能力。其它行业如关键制造、通信等同样面临工控安全风险，根据中国产业信息网的数据，工控安全事件所属行业中，关键制造与通信行业分别以 22%、21%居于第一、第二。图片来源：网藤科技工控安全技术理念目前市场上工控安全技术理念主要以监、评、防、融四大核心功能为主：监测预警：对接入互联网的工业控制系统面临的威胁态势进行监视，并对工业控制网内部进行全时段、全流量及多业务分析，构建早期异常行为和攻击前兆特征发现预警能力，提供工控信息安全事件的追溯能力。攻防评估：以高逼真度工业控制系统攻防演示仿真环境为基础，分析工控设备、网络、协议、

50、系统、应用、软件及工艺流程等方面存在的漏洞，同时评估其存在的风险，并开展合规性检查，并利用演示环境评估安全方案的可行性、稳定性等。体系防御：以工业控制安全生产为前提，通过安全分域、边界防护、密码保护、流量监控等手段，提供工控信息安全解决方案和服务，强化工控信息安全管理能力，保障工控信息系统的运行安全。融安于用：以围绕军工、核工业、石油石化、轨交、烟草、冶金等行业的安全需求，促进信息安全与行业应用的深度融合，确保工控系统应用安全，提升工控安全产品的可靠性，满足客户定制化需求，增强用户“敢用”、“会用”、 “管用”的最佳实践图片来源：CETC根据行业内企业的访谈，现阶段工控安全的企业主要还是在体系

51、防御方面发力，主要满足企业对于等保 2.0 的检查需求，因为我国自动化起步较晚，但是发展迅速，导致了安全方面并没有跟上自动化的发展，大部分企业并未部署工控安全设施，所以公安部、工信部、保密局等都出台了相关工控安全的相关法规、建议等；其次就是检测系统部署，监测预警系统主要产品形态为态势感知平台、工业安全审计相关产品（日志审计等），根据同中能融合的沟通，其正在发电系统部署的能源互联网中的态势感知平台是监测预警相关的方案；而市场中也有专门做攻防测试的机构。行业概述行业发展情况工业领域安全事件频发，驱使各国出台相应政策加以应对，进而带动工控安全市场发展。由于我国工控安全行业起步较晚，尚处于行业追赶期，

52、目前国外工控安全市场在体系建设、政策标准、产品自主可控等方面均较国内具有显著优势。但随着我国数字化转型进程的稳健推进、顶层建设的日益完善以及充足资金的持续流入，我国工控安全市场将迎来爆发式增长。国家层面安全事件频发伊朗“震网”病毒事件 2010 年伊朗核设施受到Stuxnet病毒攻击，导致20000台离心机被摧毁，浓缩铀被毁。乌克兰电网遭受网络袭击 2015 年 12 月乌克兰电网遭黑客攻击，约 70 万户家庭供电被迫中断。我国部分医疗电力系统遭勒索软件攻击 2019 年 8 月湖北、山东等地的医疗、电力系统的电脑遭遇 uroboros 勒索病毒攻击。经分析发现，该病毒的破坏仅在部分有限的情况

53、可解密恢复。委内瑞拉的全国范围断电事件 2020 年 5 月委内瑞拉国家电网干线遭到严重攻击，除首都加拉加斯之外，11 州府发生大规模停电。美国燃油管道商遭勒索软件攻击停运事件 2021 年 5 月 9 日美国燃油、燃气管道遭攻击，17 州和华盛顿特区进入紧急状态。一系列安全事件表明，工业领域已成为信息安全乃至国家安全的新战场。图片来源：启明星辰国内市场概述：政策端高度重视工控安全，安全体系仍面临诸多挑战时间文件具体政策2015 年 5 月中国制造 2025把信息互联技术与传统工业制造相结合，形成生产智能化，提高资源利用率，以此来推动整个国家竞争力。2016 年 11月全国人大- 中国人民共和

54、国网络安全法进一步界定了关键信息基础设施的范围、对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施等。该法旨在保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。2017 年 11月国务院-关于深化“互联网+ 先进制造业”发展工业 互联网的指导意见提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标，部署 “强化安全保障”的主要任务，为工业互联网安全保障工作制定了时间表和路线图。国家政策方面将工控安全上升到国家战略地位，近年来频密出台政策利好工控安全发展，但整体而言现有标准和安全体系不够完善，有待进一

55、步补充强化。2017 年 11月工信部-关于开展 2017年电信和互联网行业网络安全时点示范工作的通知在网络安全威胁监测预警、态势感知等八个方面引导企业加强技术手段建设，增强企业防范和应对网络安全威胁的能力，拉动网络安全产业发展，提升电信和互联网行业网络安全技术防护水平。2017 年 12月工信部- 工业控制系统信息 安全行动计划（2018-2020 年）到 2020 年，一是建成工控安全管理工作体系，企业主体责任明确，各级政府部门监督管理职责清楚，工作管理机制基本完善。二是全系统、全行业工控安全意识普遍增强，对工控安全危害认识明显提高，将工控安全作为生产安全的重要组成部分。三是态势感知、安全

56、防护、应急处臵能力显著提升，全面加强技术支撑体系建设，建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（一网一库三平台）。四是促进工业信息安全产业发展，提升产业供给能力，培育一批龙头骨干企业，创建 3-5个国家新型工业化产业化产业示范基地（工业信息安全）。2018 年 6 月工信部- 工业互联网发展行 动计划 （ 2018-2020年）2020 年前，安全管理制度机制和标准体系基本完备。企业、地方、国家 三级协同的安全技术保障体系初步形成。2018 年 6 月公安部- 网络安全等级保护条例将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应

57、链安全、效果评价、综治考核等重点措施纳入等级保护制度并实施；将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台、互联网企业等全部纳入等级保护监管。2018 年 9 月公安部- 公安机关互联网安全监督检查规定规定明确，公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况，对互联网服务提供者和联网使用单位开展监督检查，以保障互联网服务提供者和个人合法权益。2018 年 10月市场监管总局、国标委-信息安全技术网络安全威胁信息格式规范对网络安全威胁信息进行结构化、标准化描述，以便实现各组织间网络安全威胁信息的共享和利用，并支持网络安全威胁管理和应用的自

58、动化。2019 年 3 月国务院- 中央企业负责人经营业绩考核办法新版较旧版增加了网络安全事件的考核要求，有助于极大增强相关企业负责人的网络安全意识并增加网络安全相关的投入，为网络安全法的贯彻落实提供支撑。2019 年 3 月市场监管总局、网信办-关于开展 APP 安全认证工作的公告APP 安全认证工作开展，目的在于规范移动互联网应用程序收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护。2019 年 5 月市场监管总局、国标委-信息安全技术网络安全等级保护条例已发布的网络安全等级保护 2.0 的核心标准，明确了网络系统的等保定级标准，尤其明确了云计算、移动互联网、物联网和工业控制系

59、统的安全扩展要求。2019 年 9 月工信部- 关于促进网络安全产业发展的指导意见落实中华人民共和国网络安全法，到 2025 年，培育形成一批年营收超过20 亿的网络安全企业，网络安全产业规模超过 2000 亿。2020 年 4 月工信部、发改委-网络安全审查办法关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照办法进行网络安全审查。2020 年 6 月全国人大- 中华人民共和国数据安全法确立数据分级分类管理以及风险评估，检测预警和应急处置等 数据安全管理各项基本制度；保护组织、个人的数据安全；建 立保障政务数据安全和推动政务数据开放的制度措施；支持促 进数据安全与发

60、展的措施。2021 年 1 月工信部- 工业互联网创新发展行动计划 (20212023 年)统筹工业互联网发展和安全,提升新型基础设施支撑服务能力,拓展融合创新应用,深化商用密码应用,增强安全保障能力,壮大技术产业创新生态,实现工业互联网整体发展阶段性跃升。2021 年 3 月国务院-政府工作报告2021要发展工业互联网，搭建更多共性技术研发平台，提升中小微企业创新能力和专业化水平。此外，等保 2.0 政策重磅来袭，将驱动整个工控安全行业发展态势变革。信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的政策安排，也是我国网络空间安全保障体系的重要支撑。2019 年 5 月 13 日