信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”，作者/王劍橋。

隨著工業(yè)化和信息化的發(fā)展，現(xiàn)代工業(yè)企業(yè)的工控安全建設(shè)也在快速發(fā)展中。面對(duì)外部不斷增加的工業(yè)安全風(fēng)險(xiǎn)，以及內(nèi)部安全運(yùn)維的難度提升，大量單點(diǎn)化的工控安全產(chǎn)品部署，不僅難以識(shí)別深層次的安全風(fēng)險(xiǎn)，還帶來了運(yùn)維防護(hù)效率的降低。因此，工業(yè)企業(yè)需要從工業(yè)化安全生產(chǎn)的整體要求出發(fā)，依照工業(yè)系統(tǒng)應(yīng)用層次特點(diǎn)，構(gòu)建新一代縱深安全防御體系。

本文依據(jù)安全牛發(fā)起的《工控安全管理平臺(tái)應(yīng)用指南》報(bào)告調(diào)研發(fā)現(xiàn)，從當(dāng)前工業(yè)企業(yè)工控安全縱深防御能力構(gòu)建的價(jià)值出發(fā)，探討工控安全縱深防御架構(gòu)模型，為工業(yè)企業(yè)新一代工控安全能力建設(shè)提出建議和參考。

工控安全建設(shè)的發(fā)展演進(jìn)

根據(jù)《工控安全管理平臺(tái)應(yīng)用指南》報(bào)告研究發(fā)現(xiàn)，我們認(rèn)為，工控安全建設(shè)主要經(jīng)歷了以下三個(gè)發(fā)展階段：

第一階段：邊界隔離階段。在這一階段，工業(yè)企業(yè)開始關(guān)注工控系統(tǒng)的安全運(yùn)行，但是安全防護(hù)重心主要在網(wǎng)絡(luò)邊界隔離，通過防火墻、安全網(wǎng)關(guān)及專用網(wǎng)閘等安全設(shè)備將生產(chǎn)網(wǎng)、辦公網(wǎng)及互聯(lián)網(wǎng)進(jìn)行有效隔離等。這一階段的工控安全產(chǎn)品和能力建設(shè)還處于早期階段，用戶對(duì)應(yīng)用專業(yè)工控安全產(chǎn)品的意識(shí)也剛剛起步；

第二階段：?jiǎn)吸c(diǎn)防護(hù)階段。在這一階段，工控安全產(chǎn)品應(yīng)用開始成熟，企業(yè)在實(shí)現(xiàn)工控安全邊界隔離的基礎(chǔ)上，開始通過部署單點(diǎn)式工控安全產(chǎn)品來提升安全防護(hù)水平并解決監(jiān)管合規(guī)的要求。單點(diǎn)防護(hù)產(chǎn)品基本技術(shù)架構(gòu)逐漸成型，產(chǎn)品形態(tài)也趨于成熟和完善，能力基本可以覆蓋工控系統(tǒng)的基礎(chǔ)設(shè)施安全、體系結(jié)構(gòu)安全、系統(tǒng)自身安全、安全可信防護(hù)等方面；

第三階段：縱深防護(hù)階段。網(wǎng)絡(luò)安全需要體系化防護(hù)已成行業(yè)共識(shí)，在工控安全領(lǐng)域，從單點(diǎn)安全能力建設(shè)轉(zhuǎn)向體系化縱深防護(hù)也是行業(yè)發(fā)展的必然趨勢(shì)。工業(yè)企業(yè)在業(yè)務(wù)發(fā)展和技術(shù)進(jìn)步的驅(qū)動(dòng)下，在單點(diǎn)防護(hù)逐步完善的基礎(chǔ)上，需要盡快考慮如何以體系化管理、自動(dòng)化運(yùn)維、智能化感知等方式來建立工控安全的縱深防御體系，并考慮如何在工業(yè)互聯(lián)網(wǎng)環(huán)境下應(yīng)對(duì)工控安全的新形態(tài)。

工控安全發(fā)展現(xiàn)況

由于工業(yè)系統(tǒng)的穩(wěn)定性需求高、信息資產(chǎn)更新迭代慢，很多企業(yè)在工控安全的能力建設(shè)中還有很多困難和挑戰(zhàn)。根據(jù)報(bào)告調(diào)研發(fā)現(xiàn)，受訪企業(yè)在進(jìn)行工控網(wǎng)絡(luò)安全建設(shè)時(shí)，主要面臨如下問題；

工控系統(tǒng)整體防護(hù)能力弱，面臨的安全形勢(shì)嚴(yán)峻：我國(guó)工控系統(tǒng)現(xiàn)代化建設(shè)較晚、工控網(wǎng)絡(luò)應(yīng)用相對(duì)封閉、試錯(cuò)成本大，因此其安全防護(hù)能力較傳統(tǒng)的網(wǎng)絡(luò)安全能力差距較大。但另一方面，我國(guó)工控安全漏洞形勢(shì)卻非常嚴(yán)峻，據(jù)CICSVD統(tǒng)計(jì)，2021年我國(guó)工控系統(tǒng)新增高危及以上漏洞共計(jì)964個(gè)，其中超危漏洞210個(gè)、高危漏洞754個(gè)。

工控安全防護(hù)措施單一，網(wǎng)絡(luò)隔離和訪問控制仍然是目前工控安全的主要實(shí)現(xiàn)手段，以工控防火墻、網(wǎng)閘為代表的工業(yè)網(wǎng)絡(luò)隔離裝置依舊是工業(yè)企業(yè)安全采購(gòu)的熱點(diǎn)；

對(duì)工控安全的重視度仍然不足，企業(yè)工控安全投入與實(shí)際需求存在較大差距：以電力、能源、煙草為代表的工業(yè)企業(yè)，由于強(qiáng)合規(guī)需求推動(dòng)，因此在安全預(yù)算投入上相對(duì)充足。而其他制造業(yè)企業(yè)，特別非國(guó)有的制造業(yè)企業(yè)，對(duì)工控安全重視程度普遍不夠。

工控安全缺乏縱深防御規(guī)劃，缺少統(tǒng)一安全運(yùn)營(yíng)管理平臺(tái)的支撐：除頭部的工業(yè)甲方外，大部分工業(yè)企業(yè)一般只考慮了某些系統(tǒng)的自身安全，而對(duì)基礎(chǔ)設(shè)施安全、體系結(jié)構(gòu)安全、安全可信防護(hù)等考慮甚少。

綜上所述，我國(guó)工業(yè)安全的建設(shè)已具備安全防護(hù)意識(shí)，但整體還處于初步階段。工業(yè)控制系統(tǒng)的安全防護(hù)處于逐步由第二階段向第三階段轉(zhuǎn)型的時(shí)代。從防護(hù)策略上看，當(dāng)前工控安全防護(hù)體系從單點(diǎn)安全建設(shè)向縱深防御安全建設(shè)轉(zhuǎn)型，而落地形態(tài)則表現(xiàn)為工控安全平臺(tái)類、管理類產(chǎn)品的出現(xiàn)。

工控安全縱深防御的建設(shè)實(shí)踐

工業(yè)企業(yè)在進(jìn)行工控安全縱深防御安全建設(shè)時(shí)，需要根據(jù)企業(yè)實(shí)際情況，分層次做好需求分析、規(guī)劃設(shè)計(jì)和實(shí)施落地。

需求分析

企業(yè)可以從工業(yè)體系結(jié)構(gòu)入手，分層次進(jìn)行安全需求分析。企業(yè)在進(jìn)行安全需求分析時(shí)，對(duì)不同層次間安全隔離需求挖掘，而對(duì)同一安全層次內(nèi)的應(yīng)用注重考慮安全管理和分析能力的部署。

層間隔離：在L3.5層工業(yè)隔離區(qū)，考慮企業(yè)辦公網(wǎng)與工業(yè)控制網(wǎng)絡(luò)的安全隔離需求，構(gòu)建安全的數(shù)據(jù)交換途徑。在現(xiàn)場(chǎng)設(shè)備控制層和過程監(jiān)控層之間，考慮對(duì)物理設(shè)備的隔離性保護(hù)，確保指令下發(fā)安全。

層內(nèi)管理：在過程監(jiān)控層和生產(chǎn)管理層內(nèi)部，注重對(duì)工控主機(jī)的接入狀態(tài)進(jìn)行安全防護(hù)，例如外設(shè)管控，以及對(duì)安全防護(hù)分析能力的支持，例如工業(yè)主機(jī)行為審計(jì)等。在工業(yè)隔離區(qū)，注重工業(yè)安全分析能力、工控安全管理能力的集中部署架構(gòu)。

規(guī)劃設(shè)計(jì)

參考美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）推出的企業(yè)安全能力框架IPDRR模型，工業(yè)企業(yè)可以按照以下層次邏輯來規(guī)劃工控安全防護(hù)體系的建設(shè)。

I：從集團(tuán)層面構(gòu)建安全運(yùn)營(yíng)防護(hù)體系，統(tǒng)籌工控安全系統(tǒng)的建設(shè)、工業(yè)安全產(chǎn)品的部署，并綜合評(píng)定內(nèi)外部的合規(guī)需求、安全風(fēng)險(xiǎn)、實(shí)施狀態(tài)，進(jìn)行行之有效的建設(shè)規(guī)劃。

P：在IT網(wǎng)和OT網(wǎng)中間，部署安全防御工作。在IT網(wǎng)內(nèi)部署主動(dòng)防御技術(shù)，在OT網(wǎng)內(nèi)部則以基于規(guī)則的防御技術(shù)為主。做好兩網(wǎng)間的隔離保護(hù)工作，從人員訪問控制、權(quán)限管理、安全運(yùn)維管理等方面加強(qiáng)工控網(wǎng)絡(luò)邊界處的防護(hù)能力。

D：構(gòu)建集中管理中心，持續(xù)監(jiān)測(cè)、審計(jì)OT網(wǎng)絡(luò)內(nèi)的安全事件。匯聚OT網(wǎng)邊緣處的網(wǎng)絡(luò)接入行為審計(jì)和OT網(wǎng)內(nèi)部的工業(yè)主機(jī)安全產(chǎn)品的日志，結(jié)合集團(tuán)層面的威脅情報(bào)，形成立體化分析。部署統(tǒng)一安全分析中心，以工業(yè)安全管理平臺(tái)為聯(lián)通，串聯(lián)IT網(wǎng)和OT網(wǎng)的防御能力。

R：部署具備執(zhí)行能力的安全處置設(shè)備，在發(fā)生安全事件時(shí)能夠及時(shí)進(jìn)行行為阻斷、策略執(zhí)行、事件留痕等工作。

R：以備機(jī)、備份、遠(yuǎn)程運(yùn)維等多種方式，做好在工控安全事件發(fā)生后的系統(tǒng)快速運(yùn)營(yíng)恢復(fù)工作。

實(shí)施落地

工控安全縱深防御體系在建設(shè)實(shí)施時(shí)，應(yīng)該以自上至下規(guī)劃，自下而上建設(shè)的方式逐步推進(jìn)落地。在規(guī)劃時(shí)，需要明確并落實(shí)統(tǒng)一數(shù)據(jù)分析中的數(shù)據(jù)需求和能力需求、集中管理中的實(shí)施需求和聯(lián)動(dòng)需求、執(zhí)行處置中的功能需求和位置需求。在建設(shè)時(shí)，應(yīng)該以執(zhí)行處置設(shè)備為基礎(chǔ)，向上推動(dòng)管理類設(shè)備的建設(shè)，并構(gòu)建統(tǒng)一工控安全運(yùn)營(yíng)分析中心。

工控安全縱深防御的挑戰(zhàn)

在實(shí)際建設(shè)中，工控安全縱深防御體系的落地會(huì)存在很多難點(diǎn)和挑戰(zhàn)。

難點(diǎn)一：?jiǎn)吸c(diǎn)安全設(shè)備能力不足

工控安全縱深防御體系建設(shè)與每個(gè)單點(diǎn)產(chǎn)品的能力密切相關(guān)，然而受限于工業(yè)網(wǎng)絡(luò)的性能和穩(wěn)定性需求的約束，在工業(yè)現(xiàn)場(chǎng)中的單點(diǎn)安全設(shè)備能力表現(xiàn)差異往往較大。從數(shù)據(jù)采集能力上看，工業(yè)網(wǎng)絡(luò)內(nèi)幾乎無法部署探針，這就導(dǎo)致了工控網(wǎng)絡(luò)環(huán)境中獲取數(shù)據(jù)的數(shù)量和實(shí)時(shí)性都會(huì)受到限制。在工控安全縱深防御體系中，安全產(chǎn)品不僅作為執(zhí)行處置的設(shè)備，也作為探針設(shè)備，向上提供數(shù)據(jù)。針對(duì)安全單點(diǎn)設(shè)備能力不足問題，企業(yè)可以優(yōu)先部署單點(diǎn)安全設(shè)備，只有單點(diǎn)設(shè)備數(shù)量足夠，才能為集中分析提供較強(qiáng)的支撐。

難點(diǎn)二：工控安全場(chǎng)景式需求復(fù)雜

工業(yè)內(nèi)部行業(yè)劃分復(fù)雜，場(chǎng)景眾多，各行業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)、拓?fù)浼軜?gòu)不同，所面臨的安全風(fēng)險(xiǎn)不盡相同。工業(yè)行業(yè)的基礎(chǔ)分析能力、可視化能力通用性較高，但工業(yè)協(xié)議的進(jìn)一步分析、處置策略生成、安全基線的建立還依賴于工業(yè)現(xiàn)場(chǎng)的業(yè)務(wù)情況和網(wǎng)絡(luò)情況。在報(bào)告調(diào)研中，我們發(fā)現(xiàn)目前工控安全廠商的業(yè)務(wù)布局有較強(qiáng)的行業(yè)屬性，因此企業(yè)用戶在選擇產(chǎn)品服務(wù)商時(shí)，應(yīng)考察廠商在該工業(yè)領(lǐng)域是否有成熟的已落地方案。

難點(diǎn)三：工業(yè)策略執(zhí)行要求高

工業(yè)企業(yè)用戶非常注重工業(yè)控制系統(tǒng)的穩(wěn)定性問題，通常更依賴于人工決策。因此在工控環(huán)境中，當(dāng)安全風(fēng)險(xiǎn)事件發(fā)生時(shí)，在選擇事件處置方式、事件處置時(shí)間都需要更嚴(yán)謹(jǐn)，同時(shí)這增加了策略流程自動(dòng)化的復(fù)雜程度。而另一方面，由于工業(yè)安全還處于起步階段，甲方用戶的水平參差不齊，面對(duì)工業(yè)現(xiàn)場(chǎng)復(fù)雜的情況，可能存在無法執(zhí)行最優(yōu)策略，或策略執(zhí)行不夠及時(shí)的問題。工業(yè)企業(yè)在構(gòu)建工控安全縱深防御體系時(shí)，應(yīng)該采用風(fēng)險(xiǎn)策略分類分級(jí)方式，根據(jù)風(fēng)險(xiǎn)造成的危害程度進(jìn)行分級(jí)，并對(duì)處置每個(gè)風(fēng)險(xiǎn)的策略進(jìn)行分級(jí)，根據(jù)用戶需求將部分步驟自動(dòng)化處理；工業(yè)策略可依照行業(yè)特點(diǎn)進(jìn)行分類，根據(jù)行業(yè)的特點(diǎn)、需求進(jìn)行有針對(duì)性的策略建設(shè)。