雖然互聯(lián)網(wǎng)的普及推動(dòng)了技術(shù)的進(jìn)步與革新，但也幫助黑客擴(kuò)大了其攻擊范圍，上至工業(yè)控制系統(tǒng)，下至家用攝像頭，都可能成為他們無孔不入的目標(biāo)。

在工業(yè)圈，近期比較引人注目的信息是：工業(yè)電腦廠商研華公司部分服務(wù)器被黑客攻擊，黑客提出750個(gè)比特幣的贖金要求（約合8280萬人民幣），并且支付贖金后才會(huì)移除所有植入該公司網(wǎng)絡(luò)的木馬程序，刪除所盜走的資料。后已逐步復(fù)原。

不管是遭遇勒索還是系統(tǒng)破壞，一旦遭遇網(wǎng)絡(luò)安全問題，企業(yè)都將面臨業(yè)務(wù)中斷及高額損失的風(fēng)險(xiǎn)。類似這種事件在工業(yè)領(lǐng)域不足為奇：美國在2007~2008年初對(duì)伊朗鈾濃縮工廠發(fā)動(dòng)的“震網(wǎng)”攻擊，即便過去多年后仍令人記憶猶新；2014年，有黑客攻擊了德國境內(nèi)的一間鋼廠，入侵造成了物理設(shè)施的損壞，并干擾了工廠的控制系統(tǒng)，使得高爐無法正常關(guān)閉，導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失；2019年3月，委內(nèi)瑞拉國內(nèi)大部分地區(qū)停電，全國交通系統(tǒng)癱瘓，地鐵系統(tǒng)關(guān)閉，通訊大規(guī)模中斷…

為什么會(huì)出現(xiàn)這種情況？因?yàn)楫?dāng)今的工業(yè)控制系統(tǒng)安全不再是“老系統(tǒng)碰上新問題”那么簡(jiǎn)單，而是傳統(tǒng)信息安全問題在工業(yè)控制領(lǐng)域的延伸。以往，傳統(tǒng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)大多采用隔離網(wǎng)關(guān)加殺毒軟件的方式：控制網(wǎng)對(duì)外基本與世隔絕，內(nèi)部被認(rèn)為是完全可靠的安全網(wǎng)絡(luò)，各功能區(qū)域之間很少產(chǎn)生信息傳遞，就像世外桃源；加上各個(gè)主機(jī)由于系統(tǒng)漏洞長(zhǎng)期不打補(bǔ)丁，殺毒軟件病毒特征庫長(zhǎng)期得不到升級(jí)，處于“夜不閉戶”狀態(tài)的工控網(wǎng)絡(luò)內(nèi)憂比比皆是。

為了方便數(shù)據(jù)采集與監(jiān)控系統(tǒng)更好地收集數(shù)據(jù)，確保各組件之間通信的順暢，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)架構(gòu)在不斷更新?lián)Q代中變得開放，因?yàn)檫^多重視開放及兼容程度所帶來的效率和實(shí)時(shí)性，當(dāng)高可用性和業(yè)務(wù)的連續(xù)性成為關(guān)鍵設(shè)計(jì)理念時(shí)，工控系統(tǒng)就不再重視形成有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施。

就像桃源通了公路，“外來人口”大量涌入，使得外患接踵而至，無為而治的防護(hù)方式必須加以改變。

近年來，我國工業(yè)控制安全產(chǎn)業(yè)政策環(huán)境持續(xù)向好，產(chǎn)業(yè)規(guī)模得到快速增長(zhǎng)，技術(shù)體系日益完善，但若要實(shí)現(xiàn)工業(yè)控制系統(tǒng)自主可控的道路卻異常艱難，尤其是在老、新系統(tǒng)都有國外廠商品牌參與其中，關(guān)鍵組件與系統(tǒng)的集成搭建仍由國外廠商實(shí)施，核心系統(tǒng)非自主可控，具有國家背景的攻擊行為不斷增加，這種情況更加令人堪憂。

從市場(chǎng)層面來看，根據(jù)工業(yè)信息安全產(chǎn)業(yè)聯(lián)盟——前瞻研究院分析：2019年，我國工業(yè)信息安全產(chǎn)業(yè)規(guī)模保持了快速上升之勢(shì)，我國工業(yè)信息安全產(chǎn)業(yè)規(guī)模為99.74億元，市場(chǎng)增長(zhǎng)率達(dá)41.84%；其中，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)規(guī)模為38.3億元，較2018年同比增長(zhǎng)51.62%。雖然疫情會(huì)對(duì)產(chǎn)業(yè)造成一定影響，但經(jīng)綜合研判：2020年我國工業(yè)信息安全市場(chǎng)增長(zhǎng)率將達(dá)23.13%，市場(chǎng)整體規(guī)模將增長(zhǎng)至122.81億元。2021年，這個(gè)數(shù)據(jù)將達(dá)到157.01億元。

2019年，我國工業(yè)信息安全管理類產(chǎn)品市場(chǎng)規(guī)模約為20.178億元，占市場(chǎng)總額的53%；工業(yè)信息安防護(hù)類產(chǎn)品市場(chǎng)規(guī)模達(dá)10.125億元，占市場(chǎng)總額的26%，防護(hù)類產(chǎn)品市場(chǎng)增速有所放緩；工業(yè)信息安全服務(wù)類產(chǎn)品繼續(xù)快速增長(zhǎng)，市場(chǎng)規(guī)模近7.997億元，占市場(chǎng)總額的21%。

從技術(shù)層面來看，工控系統(tǒng)存在服務(wù)層、網(wǎng)絡(luò)層、設(shè)備層的問題，由于網(wǎng)絡(luò)控制高度自動(dòng)化，每一層都面臨潛在被攻擊的風(fēng)險(xiǎn)。目前工控系統(tǒng)的安全防護(hù)措施主要是構(gòu)建區(qū)域化、網(wǎng)格化的邊界防護(hù)，建立安全可信的上位控制白環(huán)境，并通過基于策略的邊界安全防護(hù)、流量的實(shí)時(shí)監(jiān)測(cè)，能AI關(guān)聯(lián)分析，挖掘隱藏的工控現(xiàn)場(chǎng)威脅，來構(gòu)建分層、分域、分層次的縱深安全防護(hù)體系。

這里面涉及的熱門的技術(shù)有：

白名單——依據(jù)工控系統(tǒng)程序特征建立操作系統(tǒng)運(yùn)行的安全白環(huán)境，并且禁止非授信程序運(yùn)行，不依賴于特征庫，不用頻繁升級(jí)，完美適配工控環(huán)境需求。

深度報(bào)解析——通過對(duì)工業(yè)通信協(xié)議的深度解析，阻止控制指令中的不合規(guī)的控制參數(shù)，并進(jìn)一步解析到工控網(wǎng)絡(luò)包的應(yīng)用層，對(duì)工控協(xié)議進(jìn)行深度分析，防止應(yīng)用層協(xié)議被篡改或破壞。

工業(yè)網(wǎng)絡(luò)流量安全檢測(cè)——針對(duì)工業(yè)生產(chǎn)網(wǎng)絡(luò)中的過程流量進(jìn)行解析、檢測(cè)，惡意代碼、病毒、攻擊行為等。

動(dòng)態(tài)端口防護(hù)——深度解析協(xié)議到指令級(jí)別，可以跟蹤服務(wù)器和客戶端之間協(xié)商的動(dòng)態(tài)端口，最小化開放生產(chǎn)控制網(wǎng)的端口。

網(wǎng)絡(luò)隔離——通過隔離單元擺渡、單向傳輸?shù)葘?shí)現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)安全交換，隔離網(wǎng)絡(luò)攻擊。

通信數(shù)據(jù)加密——通過密碼算法及芯片，對(duì)關(guān)鍵通信數(shù)據(jù)和鏈路建立加密通信數(shù)據(jù)通道。增強(qiáng)的工控協(xié)議的認(rèn)證和加密傳輸功能無需改變底層傳輸協(xié)議，即可實(shí)現(xiàn)系統(tǒng)的傳輸安全。

工業(yè)蜜罐主動(dòng)防御——對(duì)系統(tǒng)中所有的操作和行為進(jìn)行監(jiān)視和記錄，通過對(duì)系統(tǒng)進(jìn)行偽裝，使得攻擊者在進(jìn)入到蜜罐系統(tǒng)后并不會(huì)知曉其行為已經(jīng)處于系統(tǒng)的監(jiān)視中。

惡意代碼沙箱——通過了解ICS協(xié)議，設(shè)備和應(yīng)用程序，在云端創(chuàng)建虛擬ICS環(huán)境（基于云的沙箱），用于執(zhí)行可疑ICS惡意軟件并觀察其行為。

監(jiān)測(cè)分析預(yù)警——通對(duì)工控協(xié)議的內(nèi)容進(jìn)行解析，實(shí)時(shí)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的異常行為和對(duì)重要工業(yè)控制系統(tǒng)的攻擊事件后產(chǎn)生告警，為安全防護(hù)策略的配置提供參考依據(jù)。

機(jī)器學(xué)習(xí)建模——通過機(jī)器學(xué)習(xí)對(duì)數(shù)據(jù)的處理能力，實(shí)時(shí)監(jiān)測(cè)潛在威脅模式，實(shí)時(shí)更新模型。

從廠商而言，在安全領(lǐng)域，新玩家及跨界選手層出不窮。尤其是在深耕內(nèi)循環(huán)的時(shí)代，核心技術(shù)被“卡脖子”，自主可控技術(shù)的重要性顯得越發(fā)重要，國內(nèi)工控系統(tǒng)廠商、傳統(tǒng)信息安全廠商及系統(tǒng)集成商都基于自身在工業(yè)領(lǐng)域深耕多年的基因和骨血，力爭(zhēng)在工業(yè)信息安全領(lǐng)域取得先發(fā)優(yōu)勢(shì)。

但是，每個(gè)廠商的側(cè)重點(diǎn)都有所不同，拿幾個(gè)有代表性的專門做工控安全廠商來舉例：威努特“白環(huán)境”方案只讓可信任的軟件才允許被執(zhí)行；天地和興擅長(zhǎng)于DPI技術(shù)、OT和可信融合技術(shù)、ICS威脅檢測(cè)、ICS威脅情報(bào)和獵殺等技術(shù)；木鏈科技提出的“流立方大數(shù)據(jù)引擎”利用23種通訊協(xié)議/13種工控協(xié)議的深度語義級(jí)別解析，具備了行業(yè)領(lǐng)先的協(xié)議解析能力；閃藤科技的特色安全保護(hù)模型、工業(yè)協(xié)議和設(shè)備的指紋識(shí)別技術(shù)可內(nèi)外結(jié)合的主機(jī)防護(hù)模式等...

當(dāng)然，這個(gè)領(lǐng)域里也有從一些綜合性玩家，比如浙大中控、啟明星辰、東土科技等等。

之前我們提到的技術(shù)中，可信計(jì)算與白名單加固，是解決安全問題的重要思路之一。工控系統(tǒng)中設(shè)備、系統(tǒng)、應(yīng)用、業(yè)務(wù)、單一、穩(wěn)定，需要相對(duì)穩(wěn)定的工控軟件環(huán)境，與各類復(fù)雜的智能算法相比，可信計(jì)算技術(shù)算法簡(jiǎn)單、運(yùn)行效率高，可更好地滿足工控系統(tǒng)對(duì)實(shí)時(shí)性的要求。

舉個(gè)例子，東土科技的完整產(chǎn)品線，在芯片、操作系統(tǒng)、工業(yè)應(yīng)用軟件、通信/控制設(shè)備，已完全做到自主可控國產(chǎn)化。比如：旗下的工業(yè)網(wǎng)絡(luò)芯片產(chǎn)品內(nèi)置安全監(jiān)測(cè)能力及高性能數(shù)據(jù)流加密，利用收發(fā)方的共享秘鑰進(jìn)行數(shù)據(jù)流加密安全傳輸，保障通過數(shù)據(jù)均為可信數(shù)據(jù)；自主研發(fā)的細(xì)粒度內(nèi)容解析引擎功能，對(duì)工控協(xié)議特征進(jìn)行實(shí)時(shí)解析和精準(zhǔn)的識(shí)別，實(shí)現(xiàn)指令級(jí)甚至值域級(jí)精細(xì)控制粒度；通過芯片級(jí)策略構(gòu)筑信任網(wǎng)絡(luò)白環(huán)境和工控軟件白名單理念，為工控系統(tǒng)構(gòu)筑“安全白環(huán)境”整體防護(hù)體系，保護(hù)基礎(chǔ)設(shè)施安全。

在操作系統(tǒng)層，INTEWELL工業(yè)級(jí)網(wǎng)絡(luò)操作系統(tǒng)可提供獨(dú)立的運(yùn)行環(huán)境，運(yùn)行可信基和自身完整性管理，完成安全檢查、入侵防護(hù)、身份鑒權(quán)、日志與補(bǔ)丁服務(wù)與安全加固能力，并在可信基的基礎(chǔ)上通過智能調(diào)度、報(bào)文解析加速等手段，實(shí)現(xiàn)報(bào)文的全面安全過濾，達(dá)到指令級(jí)甚至值域級(jí)精細(xì)控制粒度，尤其適合工業(yè)領(lǐng)域應(yīng)用。

總體來看，工控安全行業(yè)還有很長(zhǎng)的路要走，任重而道遠(yuǎn)。但沒有網(wǎng)絡(luò)安全，就沒有國家安全，在發(fā)展自主可控工業(yè)安全技術(shù)的路上，相信有很多廠商會(huì)一直堅(jiān)持下去。