工業互聯網安全方案火力聚焦點揭秘

不少人說：“沒有物質基礎的愛情不會長久”。講真，這句話宅宅是信的，因為這里的“物質”遠不止指車子、票子、房子。

試想，一對情侶凈身出戶，或許身上的錢夠買整月的飯，住一周的小旅館，喝20箱水，那么之后呢？

so，所謂“物質基礎”映射出的是人對于基礎能源的穩定需求，而當這一需求面臨危機時也就命不久矣，何談愛情？

如此擴大，一個國家亦是如此，而工業互聯網安全的重要性正是由此體現。

近幾年，工控網絡安全事件頻發，無論是烏克蘭電力系統遭破壞導致大規模停電，還是澳大利亞馬盧奇污水處理廠遭非法入侵導致大量海洋生物死亡......無疑都是對人們的“物質基礎”發起挑戰。

隨著各企業對工業互聯網安全重視程度的提高，2019年工業互聯網安全生態的構建明顯加速。在這里，雷鋒網根據中國信息通信研究院印發的《中國網絡安全產業白皮書》進行了詳細整理：

2019年的工業互聯網安全

隨著工業互聯網、物聯網、云計算、移動互聯網等技術的深入發展，IT72與 OT 加速融合，工業體系逐漸由封閉走向開放，網絡安全威脅開始向工業環境滲透，工業互聯網安全問題日益凸顯，市場需求隨之攀升。

工業互聯網安全產品形態與傳統網絡安全產品相近，但在具體技術實現上具有工業領域的特殊性，包括需要支持多種工業協議、滿足業務生產的高可靠低時延要求等。

工控系統（OT 網絡）方面——邊界和終端安全防護仍是主要手段。OT 邊界安全通常由部署在 OT網絡和 IT 網絡之間控制區內的防火墻、入侵檢測、單向網關等設備或采用軟件定義的方式實現，終端安全與 IT 領域類似。

國外，大多企業通過軟件定義網絡架構提供包括安全級模型構建、授權網絡設備管理、安全域管理、通信授權、可視化驗證、安全策略管理等功能。

反觀國內，各廠商工業互聯網安全相關產品線日益完備，部分企業的工業防火墻支持 Modbus/TCP74、PROFINET75、Siemens S776、FINS77等 10 余種工控協議，可有效抑制病毒、木馬威脅在工控網安全區域間的傳播和擴散。

也有廠商基于對工業控制協議的深度解析（DPI78），結合“白名單+智能學習”機制，對各類工控協議進行快速捕獲和指令級解析，并通過對工控系統重要區域內節點間的通信流量檢測，發現工控系統中存在的異常行為和潛在威脅。

工廠 IT 網絡和工業云方面——近些年，工廠 IT 網絡和工業云平臺相對 OT 網絡更為開放，也更容易遭受網絡攻擊。

工業互聯網安全監測與態勢感知能力建設成為趨勢，可基于工業環境，動態、整體地洞悉安全風險的能力，從全局視角對安全威脅進行發現識別、理解分析和響應處置。

工廠 IT 網絡和工業云方面的安全產品，大都能自動發現網絡中設備，識別配置異常，基于深度包檢測技術識別協議每一層中需要分析的特定字段進行 OT 網絡監視，從而提供態勢感知能力。

有的廠商更是通過部署探針、網關等關鍵設備，對工業互聯網平臺、工業互聯網應用設備和系統、企業內外網等的安全運行情況進行監測與感知，同步構建技術手段匯集來自各方的工業互聯網安全態勢信息。

廠商將火力聚焦在哪里？

正如開頭提到，近年來工業領域安全事件頻發，不斷敲響網絡安全警鐘。

2017 年，“永恒之藍”蠕蟲病毒入侵了全球 150 多個國家的信息系統，多家汽車制造商被迫停產，能源與通信等重要行業損失慘重；

2018年，臺積電多個工廠及營運總部遭遇勒索軟件攻擊，導致在臺灣北、中、南三處重要生產基地生產線停擺；

2019 年挪威海德魯鋁業公司遭“LockerGoga”勒索攻擊，多工廠關閉。

隨著高頻次工控安全事件的發生，工業領域網絡安全意識逐步提升。

廠商開始有意識地開展安全評估、防范安全風險、培育工業領域安全人才等。國內部分工業互聯網安全廠商能力介紹如圖所示：

案例詳情如下：

一、三六零：360 工業互聯網安全大腦系統實踐

360 工業互聯網安全“安全大腦”系統，通過感知、決策、響應三個手段形成一套智能安全系統來應對安全威脅。 

建立全天候多維度感知系統——橫向感知，通過 ICS 全網資產掃描，全面探測 工控企業內網資產暴露在互聯網的資產所存在的漏洞，感知內外網攻擊橫向滲透 行為?？v向感知，從 IT 系統到 OT 系統總線感知，監測由于信息安全導致的生 產安全問題。交叉感知，內網數據與外網情報交叉分析可快速溯源，定位威脅。 

工業互聯網安全大腦

基于數據分析及算法建立安全引擎。通過感知獲取數據，并對網絡行為和數 據進行記錄，依托海量的安全大數據及安全檢測規則。以此為基礎，利用深度檢測、智能分析和安全專家，對大數據進行分析、挖掘和關聯，從而快速 發現高級威脅。

同時通過人工智能算法結合外圍威脅情報，安全編排等技術組成 工業互聯網安全引擎。 形成“一體兩翼”安全響應。360 工業互聯網安全大腦以打造安全生態模式 和大多數工業信息安全廠商進行深度合作，實現“360 工業互聯網安全大腦形成 決策——>下發策略更新到工業信息安全設備——>實現實時數據上報和動態策 略部署——>阻斷攻擊行為并反饋”。

同時 360 設立應急響應中心及安全服務團 隊，為工業互聯網突發事件形成一體兩翼的響應體系。

二、上海觀安：基于設備行為分析的網絡態勢感知系統實踐

基于設備行為分析的電力監控網絡態勢感知系統能夠對電力系統各種通信 協議、流量信息，電力報文進行深度解析，對電力設備行為進行全面分析，平臺 在技術架構上采用“采集終端+大數據平臺”的分布式部署方式，采集終端以旁 路部署在電力網絡的各區域和交換機側，通過交換機鏡像口獲取網絡流量，通過 網絡發送至大數據監控平臺；大數據監控平臺接收來自采集終端的報文，進行設 備行為分析，主動感知安全威脅，并且對智能電力系統面臨的風險進行量化分析， 以可視化方式把分析結果展現給電力監控人員進行及時應對處理，確保電力網絡 的安全運行。關鍵技術包括： 

1、基于設備行為分析的異常檢測方法 基于設備行為分析的異常檢測方法基于深度解析引擎對數據包進行解析處 理，把解析后的數據發送到基線學習模塊處理產生設備行為基線；后續來自解碼 的設備行為數據與自學習模塊的設備行為基線進行比對分析，發現其中是否存在 不符合通信關系基線的通信行為及非法的新增資產，對異常通信或者異常資產進 行告警。能夠實時檢測針對電力網絡的攻擊、用戶誤操作、用戶違規操作、非法 設備接入以及蠕蟲、病毒的傳播等。

2、電力網絡二次設備指紋學習及分層拓撲動態識別 通過分析不同電力報文的特性，對設備進行特征值分析提取，分別通過監督 式的分類算法和無監督式的聚類算法對電力網絡中各電力設備的拓撲進行識別， 用“分類指導聚類，聚類驗證分類”的思想進行優化迭代，最終可以做到電力網 絡動態拓撲的識別。在平臺上可以提示用戶對新接入設備進行確認，規避非法設 備的接入風險。

3、 基于事件特征匹配的設備間流量異常檢測方法 基于電力報文的特性，在流量異常檢測模型中引入各種特征，通過分析特征 值，形成異常流量檢測模型，用于后續的流量異常檢測。

4、電力設備間異常指令檢測方法

電力設備間指令異常檢測場景包括：

（1）設備間高風險指令；

（2）設備間異 常指令異常。通過引入規則引擎，可以實時檢測電力網絡中的高風險指令操作， 給出告警提示，用戶可以進行相應的規則增減。根據采集到電力網絡流量，用機 器學習模型來進行設備異常指令的檢測，觸發異常指令告警事件。對于異常指令 事件，通過大數據展示平臺向用戶展示異常結果，提醒用戶排查原因，避免后續 風險發生。

 三、中國網安：基于工控信息安全管理服務的實踐

項目以工控安全管理服務模式，整體化平臺化服務保障的方式支撐落實工控 安全管理職責，通過對地區工業信息安全管理需求的深入分析，涵蓋地區工業控 制信息安全管理工作全生命周期，以安全管理服務平臺為基礎，融合安全服務工 具、安全服務團隊、培訓演練環境、系列服務管理流程和相關政策制度標準為一體的，全面支撐指導、監測、通報、處置、響應的一體化監管體系及軟硬件結合 的整體保障服務。

 1. 安全服務體系

項目服務體系架構按照 ITSM 理念，參照 ITIL/ITSS 等國際國內標準，實現 安全服務過程中“服務工具”、“服務團隊”和“服務流程”的有機整合。 

2. 服務平臺

服務平臺對聯網工業控制系統主動感知、及時預警，對重點區域、重點行業 相關工控系統和設備重點監測，對相關信息開展綜合分析和可視化呈現。同時， 根據制定的預警策略將感知到的安全威脅和安全事件等進行預警通報和應急響 應。平臺對收集到的數據進行集中存儲，對數據進行脫敏脫密處理后根據要求開 放給用戶指定的其他分析平臺。工業控制信息安全“全域采集、多源匯總、分析 研判、風險感知、態勢呈現、預警通報、應急響應和相關安全服務管理”為一體 的監測服務平臺，全面實現工業控制系統信息安全“自動化監測發現、流程化事 件處置、任務化預警通報和規范化安全監管”，為工業控制系統信息安全管理服 務提供信息化、流程化、規范化和體系化的服務保障。工業控制系統信息安全服 務平臺整體架構如圖附 2 所示。

工業控制系統信息安全服務平臺整體架構 

3. 安全服務 

項目主要服務內容包括態勢感知服務、在線監測服務、安全檢查服務、應急 響應服務和安全咨詢服務等六大類服務。 

四、天地和興：集控模式下風電工控安全集中感知平臺實踐

針對集控模式下風電工控安全的實際問題，通過風場安全防護、匯總關聯分 析、中心集中展示的方式實現風電工控安全動態防御。

 1. 分布式技術架構，周到防護、全面采集、態勢展示平臺整體采用三層分布式技術架構，由數據采集層、匯聚處理層和分析展示

（1）分析展示層 功能定位：工控安全態勢展示。作為支撐開展工控安全監督、考核、管理等 工作業務的窗口和抓手，實現工控安全的合規監管和客觀量化考核管理。集中保 存全網網絡安全監測信息，通過機器學習和關聯分析完成各業務板塊網絡安全態 勢可視化展示。第一級視圖：整體安全態勢展示；第二級視圖：基于物理位置的 網絡防護拓撲結構展示；第三級視圖：下屬電廠詳細風險信息展示。

（2）匯聚處理層 功能定位：平臺數據采集的前置終端。集中收集數據采集層獲取的生產控制 區工控網絡異常行為和事件、工控網絡違規內外聯、工控網絡威脅事件、工控主 機異常操作和違規 U 盤操作等工控網絡安全信息，并完成所采集安全監測數據 信息的歸一、整形、壓縮和轉發等數據預處理功能。

（3）數據采集層 功能定位：工控安全數據信息采集。一是計算環境數據采集，包括非法程序 啟動監測、主機非法內外聯監測、違規 U 盤操作等；二是網絡通信數據采集，包 括設備資產發現、設備運行狀態監測；三是區域邊界數據采集，包括安全合規監 測、異常攻擊監測、非法外聯監測、非法內聯監測、內網異常訪問監測、非法 Web 服務監測等數據信息。

 2. 動態化體系支撐，牢固基礎、強化應對、落地運營

本項目在風電集控基礎上應用了基于工業控制系統的防護手段，構建了安全 可控為目標、監控審計為特征的風電廠控制系統新一代主動防御體系，提高工業 控制系統在于工業互聯網對接過程中的整體安全性。項目的成功實施，為發電企 業工業控制系統網絡安全防護體系建設開創行之有效的安全建設模式，提高發電 廠一體化安全防護的能力。平臺功能體系如圖附 3 所示。

 平臺功能體系

平臺結合生產控制系統實際設計，整體具有集中監測控制的特點，底層為各 風場機組設備層，上層為區域監控層，分監測模塊、審計模塊、運維管理模塊、 主機防護模塊、集中管控模塊、預警模塊等多個功能模塊，在現場實現全方位的 縱深防御及基礎數據采集，在體系架構及運營管理的支撐運行下，達到多級聯動、 態勢分析的效果。 

五、天融信：基于行為基線分析的安全技術防護體系

天融信基于行為基線分析的安全技術防護體系涵蓋了安全防護設備、檢測設 備等體系化的安全產品，解決生產網絡信息系統安全問題。整體安全防護部署拓 撲圖如圖附 4 所示。

整體安全防護部署拓撲圖 

（1）訪問控制 

在 IT 至 OT 網絡間部署工業網閘，實現網絡邊界訪問控制，滿足等保 2.0 中 控制區與非控制區邊界實現單項隔離即協議剝離要求。 在生產網 OT 網絡區域邊界部署訪問控制手段，對接入訪問行為進行管控。 同時通過基于用戶端的認證手段，實現接入目標的認證。關鍵節點采用工業防火 墻+VPN 的應用方式，實現通信數據保密性和完整性防護。

（2）網絡行為監測 

基于網絡行為監測考慮，在應用層面設置監測審計節點，作為流量回溯分析 及網絡白名單應用。 網絡行為監測可監測網絡中非授權接入行為，實現工業流量解析，還原對控 制器及上位機的訪問行為，同時可針對通訊流量進行監測并統計，可將分析記錄 結果通報大數據分析系統等進行報警、展示。 監測審計網絡白名單功能通過自學習或策略設定方式，對網絡監測節點協議 進行白名單過濾，限定可流通協議，對于限定外協議進行報警，有效保障了控制 系統內流量最小化原則，減少非必要帶寬占用。

（3）工控主機衛士 

工控主機衛士客戶端部署于生產網全部 PC，通過對終端的管控，構成工業安全實質層面最外層的安全防線。工控主機衛士 Server 部署于 IDMZ 區域，作 為對客戶端管控、審計記錄的統一監控及策略統一下發。 工控主機衛士以最小化設定為原則，對主機中應用進行管控，對移動存儲分 級授權。針對目標應用必要進程及服務開放白名單，非限定進程及服務均禁止運 行。該策略在保證生產持續進行條件下有效降低對工控計算資源的占用。

（4）脆弱性檢測 工控漏洞作為一項重要脆弱性指標需有相應的安全防護措施進行應對，建議 采用離線工控系統漏洞掃描和入網檢測方式進行工控系統脆弱性檢測。脆弱性檢 測對目標設備進行掃描，可發現生產系統中存在的工控漏洞等脆弱性。同時可對 生產網中新增設備/系統進行上線前檢測，檢測合格后方能具備入網資格。 

六、安天：智甲終端防御系統的工業部署實踐

安天智甲終端防御系統（簡稱“智甲”）是專為各行業的業務網絡、辦公網 絡、專用網絡、桌面虛擬化辦公網絡、數據中心以研發的終端安全防御產品。

 安天智甲終端防御系統以私有查殺云技術為基石，以黑白雙控檢測為機制， 以可信應用控制和主機安全策略為主線，以靜態鑒定、程序動態安全分析為手段， 以多維度多機制終端安全防護為目的，實現對 APT 高級攻擊、勒索軟件攻擊的 全面防護，實現對終端的有效防護。 

安天智甲終端防御系統由云平臺系統（管理中心）與終端代理軟件（客戶端） 兩部分構成。管理中心采用 B/S 管理架構，管理員可以在網內任意一臺計算機上 通過 Web 方式隨時隨地登錄管理中心實現全網終端安全態勢管控。管理中心具 有定制和分發系統安全策略、對客戶端提交的文件進行安全鑒定響應、收集主機 安全日志、漏洞統一管理、管理員權限分配等功能。

 安天智甲終端防御系統主要包括以下功能：系統管理、威脅展示、可視化展 現、病毒查殺、漏洞檢測與修復、主動防御、高級威脅防護、APT 追溯、虛擬補 丁防護、防勒索、終端管理、檢測加固、網絡保護、安全基線、移動介質管控、 流量控制、威脅報表、日志與審計等功能。安天智甲終端防御系統如圖附 5 所示。

安天智甲終端防御系統 

（1）終端管理 

可查看網內終端信息，包括：計算機名、IP 地址、MAC 地址、CUP 占用率、 內存容量、TCP 連接數、硬盤容量、客戶端版本、操作系統、數據庫、應用軟件 版本等信息?？晒芸嘏渲每蛻舳朔雷o策略，包括：客戶端啟動策略、升級策略、 防護策略、上傳策略、掃描策略等?？蛇M行終端安全狀態評估，對全局終端安全 性進行監控。評估終端安全狀態，可查看終端威脅文件、未知文件、未知文件執 行、系統高危漏洞、終端安全狀態等信息。支持分組管理，可對不同組下終端配 置不同防護策略。

（2）威脅展示

 展示全局安全狀態信息，包括病毒事件統計信息、高級威脅統計信息、系統 高危漏洞統計信息；以未知文件統計信息、文件云鑒定統計信息、威脅可視化等。 還有系統通知信息，安全基線，威脅終端排名。顯示當前分級以及當前分級以下 分級的威脅統計信息，以分級為統計對象，顯示各級的病毒、漏洞統計信息以及 文件鑒定建議統計信息。 

七、綠盟：工業網絡安全智能監控預警平臺實踐

綠盟工業網絡安全監測預警平臺從工業控制系統安全的角度，對工控系統的 各類 IT 和 OT 設備數據進行采集，包括業務設備日志采集、安全設備事件收集、 網絡流量數據采集、安全設備配置采集等功能。平臺對采集得到的結果進行統一 分析與展示，發現工控網絡內部的異常行為，如新增資產、時間異常、新增關系、 負載變更、異常訪問等行為，實現對工控現場安全事件的預警與響應。

 綠盟工業網絡安全監測預警平臺可以對工業網絡中各類上位機服務器、工控 終端、網絡交換設備、工控安全設備進行集中化的性能狀態監控、安全事件的集 中展示、安全風險的評估、工控分區分域的健康等級，以及依賴于工控知識庫的 安全響應與處置。綠盟工業網絡安全監測預警平臺如圖附 6 所示。

 綠盟工業網絡安全監測預警平臺

（1）工業網絡數據采集

 綠盟工控預警平臺可以支持代理日志采集方式和多種標準協議。通過數據采 集、數據理解、數據抽取和數據清洗等操作，將各種應用系統和設備的日志進行 預處理，幫助管理員把工業網絡日志進行去噪，提取其中人們事先不知道，但有 潛在有用的信息和知識。

（2）數據強化技術

綠盟工控預警平臺根據綠盟科技對攻防研究的長期積累，提供一套簡潔有效 的日志統一分類，使用獨有的技術將日志快速標準化，并基于安全分析需要進行 數據的過濾和強化，丟棄無法用的噪音信息，提升日志查詢和分析效率。

（3）分析引擎

 平臺中預制關聯分析引擎，預制引擎構成分析平臺的核心功能并且對專項分 析提供基礎能力，如風險分析、脆弱性分析、態勢分析、資產分析、攻擊鏈條分 析等。 分析引擎采用分布式設計能夠進行橫向擴展，面臨工業網絡數據量時能夠實 現按需擴展，將分析引擎分散到其他更多的機器中，實現按需進行計算資源擴展。

（4） 面向業務的插件化設計 

綠盟工控預警平臺采用全新大數據框架，將上層業務模塊插件化處理，使業 務模塊與平臺功能進行一對一設計，業務模塊的改善和增加就不會造成其他模塊 或平臺功能的調整，也就是將業務模塊抽象并與平臺功能實現分離，從而提高研 發效率，降低企業維護成本。

（5）可靠性 

綠盟工控預警平臺采用大數據組件，對數據對象彈性分布存儲 3 個存儲節點 中，并采用線程級監控，一旦發現問題，可迅速恢復并告警，同時 3 備份可以提 供完整的災難恢復功能。

（6） 多地部署

針對大型多組織的企業和機構，采集器可以部署在異地站點或二級單位（保 持網絡可達），分析中心部署在總部節點，異地站點將采集到的數據定時通過 FTP 或 SFTP 上傳到上級分析中心，供本地留存和查詢服務。 

八、威努特：基于無損探測的工業互聯網設備測繪實踐

威努特自主研發的工業互聯網雷達 iRadar 旨在發現暴露在互聯網上的工業 設備、工業系統、物聯網設備等。工業互聯網雷達產品架構圖如圖附 7 所示。

工業互聯網雷達產品架構圖

（1）IoT 設備掃描

工業互聯網雷達 iRadar 采用分布式并行掃描技術，掃描節點動態可擴展，實 現了網絡空間設備快速掃描。工業互聯網雷達采用了流水線作業式探測技術，來 提高探測效率。設備探測過程包括端口存活、服務判別、設備識別、漏洞發現等 多個步驟，每個步驟作為流水線的一個環節，實現了細粒度的掃描任務調度。工 業互聯網雷達引入了無狀態極速掃描技術，使用了 TCP 半連接掃描和異步狀態 統計的相結合的模式，大幅度的提升了單次掃描的速度。

（2）基于指紋的設備類型識別 

工業互聯網雷達引入了多維度的協議識別技術實現了廣泛的協議解析。此外， 平臺采用會話深度交互技術，可獲取工控設備固件的型號、版本等多種信息。 

工業互聯網雷達除可識別 HTTP、HTTPS、FTP、Telnet、SNMP 等通用協議 外，還支持主流工控協議識別，如 Modbus、S7、DNP3、IEC104 等，覆蓋西門 子、施耐德、羅克韋爾等國內外知名廠商的 PLC、DCS、RTU、SCADA、HMI 等工控系統。

（1）基于業務報文的無損漏洞探測 

對于工控系統等重要信息基礎設施，業務的連續性與穩定性是至關重要的。 傳統的有損漏洞探測方式并不適用此類設備。傳統的掃描產品為了保證漏洞識別 的精準度，探測器會向被探測設備發送含有一定攻擊特征的報文，會對目標系統 帶來攻擊性和不穩定性。

工業互聯網雷達采用無損漏洞探測技術，利用正常協議控制命令，獲取設備 漏洞信息，保證探測行為與業務行為的一致，從而實現了在不影響系統正常作業 基礎上的漏洞探測。

九、亞信安全：工業互聯網安全解決方案及應用實踐

針對工業互聯網的安全需求，基于亞信安全目前成熟的解決方案，將工業互 聯網劃分為工業互聯網云平臺、工廠外部網絡和工廠內部網絡來提供安全能力架 構。安全能力架構如圖附 8 所示。

安全能力架構

（1）針對工業互聯網云平臺提供了工業云平臺安全、工業網絡威脅檢測、工 業網絡威脅防護、威脅取證、安全沙箱、郵件威脅防護、安全監測與管 理、工業數據安全、工業移動終端及 APP 安全、身份管理安全等能力；

（2）針對工廠外部網絡提供了協議標識解析、網絡威脅檢測、網絡威脅防護、 安全監測與管理等能力； 

（3）針對工廠內部 OT 網絡提供了工廠控制系統網絡威脅檢測、網絡威脅防 護、惡意軟件清除、軟件運行安全能力；針對工廠內部 IT 網絡提供了云 平臺、主機安全、數據安全、郵件威脅防護、安全沙箱、身份安全、安 全監測與管理等能力。

在汽車制造業中提供了以精密聯動為核心的 APT 防護系統解決方案，作為未知威脅信息采集（郵件網關 IMSA、DDEI）、網關（下一代安全網關 Deep Edge） 及終端處理節點（TMCM\OSCE），并新增未知威脅分析、網絡傳輸已知威脅檢測 及未知威脅采集（TDA）、網絡防毒墻阻斷新威脅 IP/URL/文件/漏洞利用（DE）， 形成威脅源頭捕獲、威脅分析、威脅處理的一個完善流程，通過聯動方式自動完 成，將 APT 威脅得到有效及時的處理。

十、啟明星辰：基于流量自學習的工業互聯網設備深度網絡邏

輯隔離安全防護實踐 天清漢馬工業防火墻可部署在工業網絡每層的邊界位置，或部署設備層的邊 界對不同的工廠進行邏輯隔離。

 1. 工業協議訪問控制

工業防火墻可以對專用的工業協議進行白名單或黑名單的訪問控制：

（1） 預置了百種以上工業協議，可實現工業協議的白名單安全防護；

（2）預置了常用的 PLC 防護模型，可快速實現控制器的白名單防護；

（3）支持基于二層協議號和三層網絡端口號的自定義工業協議白名單安全 防護。

2. 工業協議深度過濾

天清漢馬工業防火墻針對工業協議的安全防護，除了具備白名單訪問控制等 基本功能外，還需要對工業協議有應用層的理解與控制，可以實現對工業指令的 過濾。天清漢馬工業防火墻支持基于 Modbus/TCP、Modbus/RTU、IEC104 等協 議的深度過濾功能。以下以 Modbus/TCP 和 Modbus/RTU 為例進行說明：

（1）MODBUS/TCP 深度解析防護

天清漢馬工業防火墻的 Modbus/TCP 深度解析模塊可以支持應用層細粒度 控制，具體包括：功能碼的訪問控制、設備地址的訪問控制、線圈范圍的讀寫訪 問控制、寄存器范圍的讀寫訪問控制、輸入地址訪問控制等。此外還通過支持阻 斷時 Reset 回復、阻斷時異?；貜秃秃诎酌麊螜C制來保證工業網絡在防護設備阻 斷時不會出現異常。

管理員通過對業務和實際生產網絡的梳理，可以建立起合法業務的 Modbus 指令列表，通過 Modbus 深度解析防護模塊可以建立合法白名單，阻止非法和入 侵的報文通過，極大提高 Modbus 網絡的安全防護能力。

（2）MODBUS/RTU 深度解析防護

雖然工業以太網是發展趨勢，但很多生產線仍是基于串行鏈路進行通信。天 清漢馬工業防火墻支持基于 RS232/440/485 鏈路的數據通信，同時可以支持引用 Modbus/RTU 的深度解析防護策略。

天清漢馬工業防火墻支持串行通信參數配置，可以針對波特率、數據位、奇 偶校驗、停止位、流控參數進行配置。

3. 工業入侵防御

天清漢馬工業防火墻集成特有工業入侵防御引擎，可以對工業系統的私有協 議或者特定攻擊進行防護。其引擎獨創的規則定義語言支持 TCP、UDP、HTTP、 DNS 等 60 多種協議解析；支持 300 多種協議變量的解析，且協議變量名稱遵循 國際標準；提供百余種功能函數專用于規則描述，簡化復雜規則功能的定義；支 持 24 種算術運算符、邏輯運算符和多種數據類型?？梢跃_表達類似自然語言 的豐富的檢測需求，減少誤報的同時可增強發現各種多樣化、復雜化、隱蔽化的 攻擊。

4. 流量自學習

為了解決現場工程師熟悉業務但對工控網絡協議不太了解的情況，設備支持 在添加防護策略前，在工控環境中進行流量自學習。 設備首先通過自學習獲取工控設備的 IP、MAC 地址、工業協議等信息；然 后對工控設備進行自動命名，以資產和協議的角度更加形象化地梳理并呈現工控 網絡情況，并進行向導式的安全策略推薦。

5. 多工作模式

工業網絡對可用性要求最高，管理員需要完全掌握工業網絡的運行情況后， 才能根據實際情況制定合適和有效的安全策略。天清漢馬工業防火墻支持三種工 作模式，分別是：

（1）全通模式：所有報文都通過，保障網絡暢通。

（2）測試模式：針對要阻斷的報文并不實際丟棄，而是以日志報警的方式告 知管理員，主要用于管理員理解策略的效果是否符合預期。

（3） 防護模式：安全策略經過測試模式的考驗，管理員對效果進行了充分的 評估，并將策略調整到最優，此時可以切換到防護模式，對工業網絡進 行安全防護。

十一、安恒信息：發電廠電力監控系統信息安全防護實踐

電廠工控網絡和信息安全防護體系建設是根據“縱深防御”安全原則。不僅 加固管理大區信息安全防護手段，同時通過對工業控制系統進行安全區域劃分， 建立不同區域之間的數據通訊管道，對管道數據進行全面的分析與管控。中央管 理與控制平臺必須使企業管理者能夠總攬全局，時刻了解工業控制系統網絡安全 的狀況，指導企業建立合理的安全策略，規范安全管理流程，建立工業控制系統 網絡安全的“縱深防御”體系。

在本電廠中建立“縱深防御”體系如圖附 9 所示。

工控及信息系統智能防護解決方案網絡圖

1. 加固管理大區信息安全防護 在信息大區部署安全防護產品，對 Web 攻擊及 APT 攻擊進行過濾和預警， 具體措施如下：

（1）在四區核心交換機上采用旁路接入的方式部署數據庫安全審計系統；

（2）在四區核心交換機上采用旁路接入的方式部署 APT 攻擊預警平臺；

（3）在四區在 IPS 與防火墻之間部署 Web 應用防火墻。

2. 實現生產大區工控安全防護

在生產大區部署工控安全防護產品，提高工控系統在邊界隔離、入侵檢測及 安全審計等方面的防護能力，具體措施如下：

（1）在 1 號 DCS 根交換機上采用旁路接入的方式部署工控威脅感知系統；

（2）在 2 號 DCS 根交換機上采用旁路接入的方式部署工控威脅感知系統；

（3）在輔網核心交換機交換機上采用旁路接入的方式部署工控威脅感知系 統；

（4）在 1 號機 DCS OPC Server 與 PI 接口機之間部署工業防火墻；

（5）在工業廢水處理 PLC 與水網核心交換機之間部署工業防火墻； 

3. 實現全廠安全信息運營

在四區部署企業安全感知中心，收集部署在生產大區及管理大區安全設備提 供的安全數據，其中生產區的安全數據通過單向隔離裝置導出，保障生產大區的 物理隔離。

企業安全感知中心為本方案中的工業控制系統信息安全的中央管理與控制 平臺，實現對工業控制系統及設備、安全設備等的監控。

十二、杭州迪普：智能工業交換機助力工業互聯網高可靠通訊的實踐

迪普科技基于白名單分析的安全通訊體系包含了智能工業交換機、物聯網應 用安全控制系統等產品，是為滿足靈活多變的工業應用需求而提供的一種工業以 太網通訊解決方案，解決用戶網絡的環境適應性、通信實時性、網絡安全性等問 題。

（1）適應惡劣環境

智能工業交換機嚴格遵守工業規范要求而開發，整機采用工業級元器件，無 風扇散熱電路設計，經過嚴苛的環境測試，設備能夠在-40~85℃寬溫環境下穩定 工作。提供了耐振動 、耐沖擊、耐高/低溫、耐腐蝕、防塵、脈沖磁場抗擾等卓 越的工業級品質，確保在各類惡劣環境下可持續可靠運行。

（2）整機掉電告警機制

智能工業交換機的整機掉電告警機制，使網絡運維人員可實時通過網管界面 有效了解工業交換機的供電狀態。當設備運行過程中出現掉電，交換機將用其內 部的儲能電路向網管界面及時發送掉電告警提示信息，使工作人員能遠程了解交 換機的供電狀況，及時做出相應的處理。有效縮短故障恢復時間、節省運維成本、 提高資產在線率。

（3）視頻數據探測安全防護技術

智能工業交換機使用視頻數據探測安全防護技術，可實現不同廠商的攝像頭 接入到交換機時，交換機能夠自動識別攝像機廠商的型號以及 TCP 端口、攝像 機 IP、MAC 等信息，對正確識別到的攝像機信息進行端口數據綁定操作，只放 通綁定的攝像頭流量，保證數據正常轉發，當非綁定設備接入交換機時，會對其 接入端口進行隔離，防止黑客通過 PC 進入視頻傳輸網進行一系列違規操作，對 網絡進行安全防護。

（4）白名單防護機制

智能工業交換機可與物聯網應用安全控制系統 DAC 進行聯動，信息監控平 臺將兩者收集到的接入終端信息形成資產庫白名單，配合 DAC 設備內置的協議 白名單，實時識別非法設備及非法業務流量，并將日志發送到信息監控平臺，平 臺將通知交換機，交換機可溯源到終端接入端口并對其進行阻斷，將安全防線前 移。

十三、奇安信：工業主機安全防護系統應用實踐

面對工業主機補丁打不了、漏洞防不了、資產查不了等安全問題，奇安信集 團自主研發了一款面向工控環境專用的工業主機安全防護系統。該系統能夠防范 惡意程序運行、集中安全風險分析和配置管理，實現對工業主機全面的安全防護。

（1）白名單管控

工業主機安全防護系統采用“白名單”防護技術并結合外設管控技術，全方 位地保護主機的資源使用。根據白名單策略，工業主機安全防護系統會禁止非法 進程的運行，并通過基于單個 ID 的 USB 移動存儲外設管控，禁止非法 USB 設 備的接入以及合法 USB 設備的權限管控。

（2）工業主機“永恒之藍”防御，關卡式病毒攔截

針對 “永恒之藍”勒索病毒，白名單在防護模式下會放行正常的操作系統 進程及專用工業軟件，主動阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運 行，同時結合漏洞防御進行永恒之藍的超前防御，可以形成從“病毒入口-病毒運 行-病毒擴散”三個環節的層層設防，步步攔截，從而做到病毒進不來、啟不動、 擴散不了，實現主機安全無死角病毒防護。

（3）工業資產全方位梳理

工業主機安全防護系統通過定義網絡 IP 段分組，對指定的網絡分組進行周 期性地發現并統計網絡中的終端數量及類型，自動獲取工業主機 CPU、內存、硬 盤等基礎信息，形成資產清單，為企業進行工業主機管理和安全運維提供有效的 參考。

（4）集中管理，統一運維

工業主機安全防護系統控制中心采用軟件化方式安裝在客戶的服務器以及 虛擬機上，方便系統管理員通過控制中心對網內所有工業主機進行安全策略管理、 配置下發等，實現統一管控和安全風險分析，集中管理會顯著降低運維成本。

工業主機安全防護系統創新性地采用“漏洞利用分析-流量解析比對-可疑攻 擊阻斷”的超前防御模式，通過白名單智能匹配、“入口-運行-擴散”三重關卡攔 截技術及“永恒之藍”專殺技術，保護工業主機不受病毒等惡意軟件侵害。工業主機安全防護系統部署如圖附 10 所示。

工業主機安全防護系統部署

未來展望

根據 Gartner 統計，2018 年，10%以資產為中心的企業采用將傳統安全與專業 OT 安全技術混合部署模式來保護 OT 環境，這一比例將在 2022 年達到 30%。

由此可見，日趨頻繁的網絡攻擊事件和持續加碼的政策要求為提升工業企業安全意識、推動工業互聯網安全能力建設提供良好契機。

第一，工業互聯網安全政策導向增強，形成對網絡安全市場的帶動力。2019 年 7 月，工業和信息化部等十部門聯合印發《關于印發加強工業互聯網安全工作的指導意見的通知》，提出“加強工業生產、主機、智能終端等設備安全接入和防護，強化控制網絡協議、裝置裝備、工業軟件等安全保障”、“工業互聯網平臺的建設、運營單位按照相關標準開展平臺建設，在平臺上線前進行安全評估”、“建立健全工業 APP 應用前安全檢測機制，強化應用過程中的用戶信息和數據安全保護”等系列要求，為工業互聯網安全能力建設指明方向。

第二，以 IT 視角為主的安全產品和服務難以滿足工業互聯網的實際需求，工業互聯網安全仍 需突破瓶頸，面向 OT 縱深發展。

第三，工業領域網絡安全宣傳教育亟需加強。人是安全的尺度，通過培訓提升 OT 人員的安全意識和技能是最快最有效的網絡安全風險規避方式。

在特殊性能需求方面，工業互聯網需要保障生產的連續性和可靠性，IT 網絡中常見的影響網絡時延或開銷的操作在 OT 網絡中可能無法適用，提供平衡安全風險和業務影響的方案將成為工業互聯網安全廠商追求的目標。

更多詳細信息請關注雷鋒網旗下微信公眾號宅客頻道以及雷鋒網官網網絡安全頻道。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。