国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

前言

自2010年“震網(wǎng)”事件以來，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全研究進入了持續(xù)的高熱度階段，曝光的漏洞數(shù)量從2010年的55個發(fā)展到當前的1061個（數(shù)據(jù)來源：NVD、CVE、CNVD及CNNVD等主流數(shù)據(jù)庫）；針對工業(yè)控制系統(tǒng)的攻擊事件也一直處于高位，2011年200余起，2012年248起，2013年248起（數(shù)據(jù)來源：美國工控應(yīng)急響應(yīng)中心ICS-CERT）。另一方面，Gartner發(fā)布的《2016年十大信息安全技術(shù)》中指出的工控領(lǐng)域的全新安全模型（Pervasive Trust Services）以及2017 RSA大會上發(fā)布的工控態(tài)勢感知方案，都為技術(shù)、產(chǎn)業(yè)的發(fā)展指出了方向。從產(chǎn)業(yè)方面來看，工控安全領(lǐng)域尚處于市場發(fā)展早期，廠家數(shù)量不斷增長，產(chǎn)品線日益增多且多元化，據(jù)方正證券估計，市場規(guī)模目前為2.25億元，發(fā)展空間較大。

對于我國而言，工業(yè)控制系統(tǒng)安全所面臨的重要問題是自主可控的問題，我國在工控領(lǐng)域?qū)庠O(shè)備和技術(shù)的依賴程度強。據(jù)中國產(chǎn)業(yè)信息研究網(wǎng)調(diào)查統(tǒng)計結(jié)果顯示，全國5000多個重要的工業(yè)控制系統(tǒng)中，95%以上的工控系統(tǒng)操作系統(tǒng)均采用國外產(chǎn)品；在我國的工控系統(tǒng)產(chǎn)品上，國外產(chǎn)品已經(jīng)占領(lǐng)了大部分市場，如PLC國內(nèi)產(chǎn)品的市場占有率不到1%，工業(yè)中用到的邏輯控制器95%是來自施耐德（法國）、西門子（德國）、發(fā)那科（日本）等的國外品牌。以揚州市為例，自2014年1月起，在全市范圍內(nèi)啟動重點行業(yè)重要工業(yè)控制系統(tǒng)基本情況調(diào)查，統(tǒng)計顯示，全市24個企業(yè)共計1213個重點工業(yè)控制系統(tǒng)，主要分屬化工、電力行業(yè)和城市公用事業(yè)服務(wù)領(lǐng)域。德國西門子公司生產(chǎn)的可編程控制器（PLC）和我國浙江浙大中控公司生產(chǎn)的分布式控制系統(tǒng)（DCS）在揚州市工業(yè)企業(yè)應(yīng)用廣泛，其中德國西門子公司生產(chǎn)的可編程控制器占全部調(diào)查企業(yè)工業(yè)控制系統(tǒng)總數(shù)的87%，占全部調(diào)查企業(yè)可編程控制器應(yīng)用總數(shù)的95%以上。

本報告由『網(wǎng)信防務(wù)』顧問團隊，通過調(diào)查國內(nèi)在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全相關(guān)技術(shù)產(chǎn)品上作的較為突出的公司，并結(jié)合當前最新的相關(guān)資料撰寫，從作者個人視角，嘗試分析了我國自2011年發(fā)布451號文件以來，工控網(wǎng)絡(luò)安全的技術(shù)、產(chǎn)品、市場發(fā)展脈絡(luò)，希望可以為相關(guān)從業(yè)者提供有價值的參考。

工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)）是國家基礎(chǔ)設(shè)施的重要組成部分，也是工業(yè)基礎(chǔ)設(shè)施的核心，被廣泛用于煉油、化工、電力、電網(wǎng)、水廠、交通、水利等領(lǐng)域，其可用性和實時性要求高，系統(tǒng)生命周期長，是信息戰(zhàn)的重點攻擊目標。目前，我國在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)研究以及產(chǎn)業(yè)發(fā)展等相關(guān)領(lǐng)域處于快速發(fā)展階段，防護能力和應(yīng)急處置能力相對較低，特別是關(guān)鍵部位工控系統(tǒng)大量使用國外產(chǎn)品，關(guān)鍵系統(tǒng)的安全性受制于人，重要基礎(chǔ)設(shè)施的工控系統(tǒng)成為外界滲透攻擊的目標。

工控系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品可以從不同層面協(xié)助解決關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全問題。這包括：提供審查、測評類產(chǎn)品，幫助監(jiān)管單位對工控系統(tǒng)、工控產(chǎn)品以及工控安全產(chǎn)品進行安全合規(guī)性檢查；提供數(shù)據(jù)采集、態(tài)勢感知類產(chǎn)品，幫助監(jiān)管、決策部門宏觀把握整體工控系統(tǒng)安全形勢，制定相關(guān)策略，分配安全預(yù)算；提供防護類產(chǎn)品，幫助工控系統(tǒng)運營單位提升安全防護、應(yīng)急處置能力；提供教學、演練類產(chǎn)品，幫助已經(jīng)或準備從事相關(guān)行業(yè)人員提高專業(yè)技術(shù)能力和安全防護意識。

工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)應(yīng)視不同行業(yè)、同行業(yè)不同生產(chǎn)階段以及自身確實安全需求分別制定安全建設(shè)方案，不可一概而論。比如，在電力、石油化工、軌道交通等信息化發(fā)展較快行業(yè)，網(wǎng)絡(luò)安全建設(shè)具有比較好的發(fā)展基礎(chǔ)；然而在冶金、煉化等行業(yè)，基本信息化建設(shè)、規(guī)范化制度建設(shè)并未完善，第一步還需要從管理體系建設(shè)入手。

行業(yè)標準及規(guī)范是工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)最好的參考，《工業(yè)控制系統(tǒng)信息安全防護指南》、《發(fā)改委14號令》、《發(fā)改委36號文》、ISA62443、NIST 800-82、NIST 800-53等都是威脅情報行業(yè)最具參考意義的標準規(guī)范。

工控系統(tǒng)網(wǎng)絡(luò)安全涉及行業(yè)眾多、應(yīng)用場景較為復(fù)雜，較難有統(tǒng)一產(chǎn)品可以解決全行業(yè)問題，可能會按照行業(yè)和服務(wù)類型，催生細分解決方案廠商。

工業(yè)控制系統(tǒng)信息安全市場，應(yīng)該算得上是與政策引導(dǎo)走的最近的細分領(lǐng)域之一。追根溯源的話，451號文件便是推動該行業(yè)破土而出的基礎(chǔ)性政策文件。雖然該文件也僅僅論述了“加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性”，但對當時還較為保守的工控系統(tǒng)信息安全政策環(huán)境和產(chǎn)業(yè)市場起到了推動作用。在此之后，發(fā)改委連續(xù)數(shù)年發(fā)布的“信息安全專項-工控子項”；2014年12月成立的“工控系統(tǒng)信息安全技術(shù)國家工程實驗室”；2016年5月公安部首次將工業(yè)控制系統(tǒng)列入國家安全執(zhí)法工作范圍；2016年7月召開首屆中國網(wǎng)絡(luò)安全產(chǎn)業(yè)大會，會上關(guān)鍵信息基礎(chǔ)設(shè)施保護工作委員會成立，宣布在全國范圍內(nèi)展開為期5個月的關(guān)鍵信息基礎(chǔ)設(shè)施的執(zhí)法檢查。至今，各省市已經(jīng)紛紛效應(yīng)國家政策，進行大范圍的檢查，乃是我國首次大范圍高力度的網(wǎng)絡(luò)安全執(zhí)法檢查；2016年10月工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護指南》以及2016年11月通過的《網(wǎng)絡(luò)安全法》的第三章第二節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施運行安全”，更是將工控系統(tǒng)信息安全的要求具體化、法律化。

另一方面，伴隨著政策、法規(guī)的逐步健全，國內(nèi)各行業(yè)對工控系統(tǒng)安全的認識達到了一個新的高度，電力、石化、制造、煙草等多個行業(yè)，陸續(xù)制定了相應(yīng)的指導(dǎo)性文件，來指導(dǎo)相應(yīng)行業(yè)的安全檢查與整改活動。由全國信息安全標準化技術(shù)委員會、電力系統(tǒng)管理及信息交換標準化委員會、電力監(jiān)管標準化技術(shù)委員會以及工業(yè)過程測量和控制標準化技術(shù)委員會等單位牽頭，編制了系列標準，推動工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全工作的進一步具體化、規(guī)范化，相關(guān)標準如下：

結(jié)合ICS-CERT以及RISI（工業(yè)安全事件信息庫，Repository of Industrial Security Incidents）統(tǒng)計數(shù)據(jù)的分析結(jié)果可知，近年來，工業(yè)控制系統(tǒng)相關(guān)安全事件呈快速增長勢頭，且這些事件多分布在電力、石化、先進制造、軌道交通等關(guān)鍵基礎(chǔ)行業(yè)。由于此類攻擊曝光程度較低，只能根據(jù)公開信息展示如下：

通過大量工業(yè)控制系統(tǒng)安全事件分析，我們可以看到，針對工業(yè)控制系統(tǒng)的攻擊行為往往危害較大。在技術(shù)層面，攻擊行為開始逐漸由單一攻擊底層通信、硬件系統(tǒng)，向依靠底層攻擊為入口，進一步操縱、篡改、竊聽上層業(yè)務(wù)系統(tǒng)的趨勢發(fā)展。比如，2010年被發(fā)現(xiàn)的針對工業(yè)設(shè)施的Stuxnet病毒會影響到運行于Windows系統(tǒng)之上的SCADA系統(tǒng)；2016年8月，德國OpenSource Security的研究人員發(fā)布了新型PLC蠕蟲—PLC-Blaster，它可以直接感染Simatic S7-1200 PLC并實現(xiàn)病毒式感染；2016年9月，荷蘭特溫特大學的兩位研究人員發(fā)布了一套“無法被檢測到的PLC Rootkit”,它將對PLC更加底層的組件展開攻擊，而不是像PLC-Blaster那樣攻擊PLC中的業(yè)務(wù)邏輯。筆者分析，這也與2010年美國成立網(wǎng)絡(luò)戰(zhàn)司令部以來，多個國家紛紛效仿成立，導(dǎo)致工控領(lǐng)域引入眾多“大玩家”有關(guān)。

工控行業(yè)包含子行業(yè)眾多，如電力、石油、市政等，由于篇幅有限不便展開，筆者將其網(wǎng)絡(luò)結(jié)構(gòu)籠統(tǒng)概括為：現(xiàn)場層、站控層、中心監(jiān)控層，三層機構(gòu)。由于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)行為邏輯比較固定，所以往往依據(jù)白名單思路在上述三層中加以控制。比如應(yīng)用于現(xiàn)場層的工控防火墻、網(wǎng)閘等邏輯隔離類設(shè)備；應(yīng)用于站控層的應(yīng)用白名單產(chǎn)品、工控入侵檢測設(shè)備等產(chǎn)品；應(yīng)用于中心監(jiān)控層的案管平臺等產(chǎn)品；以及用于特殊網(wǎng)絡(luò)環(huán)境（如SCADA遠程無線數(shù)據(jù)采集）的加密通信裝置、用于遠程可靠運維的遠程運維裝置等。另一方面，由于自身經(jīng)濟發(fā)展的需求以及西方工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0等概念的影響，我國某些較為先進的工控巨頭企業(yè)（如電力、石油等）將開始進行工業(yè)互聯(lián)網(wǎng)布局，屆時將會形成一朵或者是多朵工業(yè)行業(yè)云，這從2017年2月2日召開的“2017工業(yè)互聯(lián)網(wǎng)峰會”的參會公司和規(guī)模可以看出。在這個背景下，據(jù)筆者估計，可能會產(chǎn)生幾家專注于“工業(yè)互聯(lián)網(wǎng)風險監(jiān)測”業(yè)務(wù)的創(chuàng)新公司。這也正符合了習主席針對關(guān)鍵信息基礎(chǔ)設(shè)施所提出的“建立全天候、全方位態(tài)勢感知預(yù)警能力”的總要求。

在具體防護技術(shù)方案方面，工信部2016年11月發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護指南》給出了比較明確的指引。要求企業(yè)在堅持主體責任的前提下，聚焦系統(tǒng)防護、安全管理等安全保障重點，提出了10項防護要求，16種防護技術(shù)。具體如下：

上圖以市場成熟度和技術(shù)成熟度兩個維度，將工控防護技術(shù)分為4個階段：A初始階段、B探索階段、C發(fā)展階段、D成熟階段，其中每個階段又按照市場和技術(shù)成熟度的發(fā)展進度分為1區(qū)、2區(qū)，例如A1區(qū)為初始階段中市場發(fā)展較快階段。各區(qū)域定義如下表所示：

? 基本描述：描述該技術(shù)基本應(yīng)用場景及技術(shù)原理

? 技術(shù)定義：詳細描述該技術(shù)原理

? 使用建議：描述該技術(shù)特點及實施過程中可能產(chǎn)生的風險

? 市場滲透率：描述該技術(shù)目前的市場應(yīng)用比例

? 利潤轉(zhuǎn)化率：描述該技術(shù)的利潤率

? 發(fā)展趨勢：描述該技術(shù)的未來發(fā)展趨勢

? 相關(guān)廠商：介紹部分相關(guān)技術(shù)提供商

3.1 工業(yè)主機應(yīng)用程序白名單技術(shù)

? 基本描述：工業(yè)控制系統(tǒng)對系統(tǒng)可用性、實時性要求較高，傳統(tǒng)“應(yīng)用程序黑名單技術(shù)”需要維護較大規(guī)模特征庫，影響主機性能；另一方面，工業(yè)主機如MES服務(wù)器、OPC服務(wù)器、數(shù)據(jù)庫服務(wù)器、工程師站、操作員站等安裝的應(yīng)用以及所執(zhí)行的操作比較明確，適合于“應(yīng)用程序白名單技術(shù)”進行安全防護。

? 技術(shù)定義：一般基于操作系統(tǒng)內(nèi)核態(tài)開發(fā)，對系統(tǒng)進程、線程進行監(jiān)控（有些產(chǎn)品還會對磁盤中的可執(zhí)行文件進行周期性掃描、監(jiān)控）。

? 使用建議：由于該技術(shù)基于操作系統(tǒng)內(nèi)核態(tài)開發(fā)，所以對于CPU指令集、系統(tǒng)版本、固件版本都較為敏感，一定要在生產(chǎn)模擬測試環(huán)境中測試后，才能部署到生產(chǎn)環(huán)境中。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：中

? 發(fā)展趨勢：較為重要的工業(yè)主機系統(tǒng)往往為Unix/Linux ，然而目前多數(shù)廠商提供的產(chǎn)品只針對Windows的應(yīng)用程序監(jiān)控，由于工業(yè)上位機的數(shù)量十分龐大，筆者預(yù)計，廠商將會在針對Unix/Linux各個發(fā)行版本應(yīng)用程序監(jiān)控上持續(xù)發(fā)力，形成穩(wěn)定性、易用性都很強的行業(yè)專版。

? 相關(guān)廠商：匡恩網(wǎng)絡(luò)、威努特、立思辰等

3.2 工業(yè)主機殺毒及接入設(shè)備管理技術(shù)。

? 基本描述：工業(yè)企業(yè)需要建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采用必要的安全預(yù)防措施。安全預(yù)防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時接入設(shè)備（如臨時接入U盤、移動終端等外設(shè)）等。

? 技術(shù)定義：通過動態(tài)監(jiān)視工業(yè)助劑內(nèi)存進程中部分程序的一些活動特征，如是否在系統(tǒng)中創(chuàng)建了文件，是否注入了非法進程和是否向外部發(fā)送了帶有敏感信息的郵件等來智能判斷病毒、木馬及間諜程序等的存在，并進行處理。

? 使用建議：殺毒軟件由于要維護較大特征庫，往往會影響主機性能，建議對于實時性要求較高的生產(chǎn)環(huán)境進行充分測試后，再使用該技術(shù)產(chǎn)品。

? 市場滲透率：較高

? 利潤轉(zhuǎn)化率：中

? 發(fā)展趨勢：雖然工業(yè)主機的殺毒軟件已經(jīng)有較高安裝率，但工業(yè)環(huán)境專業(yè)病毒庫尚不完善；另一方面，接入設(shè)備管理類產(chǎn)品尚未廣泛部署，筆者預(yù)計，為配合某些關(guān)鍵行業(yè)安全保障應(yīng)急體系建設(shè)，專殺類EDR產(chǎn)品和接入管理產(chǎn)品將會在某些行業(yè)較快速推廣。

? 相關(guān)廠商：360、安天、賽門鐵克等

4.1 工業(yè)控制系統(tǒng)配置基線核查技術(shù)

? 基本描述：工業(yè)企業(yè)應(yīng)做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡(luò)安全配置，遠程控制管理、默認賬戶管理等工業(yè)主機安全配置，口令策略合規(guī)性等工業(yè)控制設(shè)備安全配置，建立相應(yīng)的配置清單，制定責任人定期進行管理和維護，并定期進行配置核查審計。

? 技術(shù)定義：根據(jù)預(yù)先定義的保持信息系統(tǒng)最小安全控制的基本要求，在固定周期內(nèi)，根據(jù)自身要求、部署環(huán)境和承載業(yè)務(wù)要求進行批量化、自動化安全配置檢查，該技術(shù)涵蓋管理和技術(shù)兩個層面。

? 使用建議：該技術(shù)為配置變更風險管理的支撐技術(shù)，往往包括主機、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、業(yè)務(wù)等層面，對于煙草、煉化、制造等離散生產(chǎn)環(huán)境，較容易生成通用性核查清單。然而對于電網(wǎng)、燃氣、油田等SCADA系統(tǒng)，則需要深入業(yè)務(wù)系統(tǒng)調(diào)研，生成針對性核查清單。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：中

? 發(fā)展趨勢：該技術(shù)主要依托技術(shù)手段實現(xiàn)管理要求，比較適合工業(yè)行業(yè)現(xiàn)階段信息安全較為初級的發(fā)展要求。筆者預(yù)計，會根據(jù)行業(yè)業(yè)務(wù)特性，出現(xiàn)行業(yè)專版的配置基線核查產(chǎn)品。

? 相關(guān)廠商：綠盟科技、啟明星辰、天融信、安恒等

4.2 工業(yè)控制系統(tǒng)配置變更技術(shù)

? 基本描述：當發(fā)生重大配置變更時，工業(yè)企業(yè)應(yīng)及時制定變更計劃，明確變更時間、變更內(nèi)容、變更責任人、變更審批、變更驗證等事項。其中，重大配置變更是指重大漏洞補丁更新、安全設(shè)備的新增或減少、安全域的重新劃分等。同時，應(yīng)對變更過程中可能出現(xiàn)的風險進行分析，形成分析報告，并在離線環(huán)境中對配置變更進行安全性驗證。

? 技術(shù)定義：對處于不斷演化、發(fā)展過程中的信息系統(tǒng)的配置管理技術(shù)，通過對信息系統(tǒng)變更的控制、記錄、追蹤、演練，實現(xiàn)目標系統(tǒng)的配置變更的一致性、完整性和可追溯性，該技術(shù)涵蓋技術(shù)與管理兩個方面。

? 使用建議：該技術(shù)為配置變更風險管理的支撐技術(shù)，應(yīng)包含業(yè)務(wù)風險點全景圖，并根據(jù)變更需求生成變更風險，并進行安全性測試。筆者建議，配置變更風險測試，應(yīng)著重評估內(nèi)部風險。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：中

? 發(fā)展趨勢：該技術(shù)主要依托技術(shù)手段實現(xiàn)管理要求，比較適合工業(yè)行業(yè)現(xiàn)階段信息安全較為初級的發(fā)展要求。筆者預(yù)計，會根據(jù)行業(yè)業(yè)務(wù)特性，出現(xiàn)行業(yè)專版的配置變更管理產(chǎn)品。

? 相關(guān)廠商：綠盟科技、啟明星辰、天融信、安恒等

4.3 工業(yè)控制系統(tǒng)補丁升級技術(shù)

? 基本描述：工業(yè)企業(yè)應(yīng)密切關(guān)注CNVD、CNNVD等漏洞庫及設(shè)備廠商發(fā)布的補丁。當重大漏洞及其補丁發(fā)布時，根據(jù)企業(yè)自身情況及變更計劃，在離線環(huán)境中對補丁進行嚴格的安全評估和測試驗證，對通過安全評估和測試驗證的補丁及時升級。

? 技術(shù)定義：針對硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或者破壞系統(tǒng)，使用相關(guān)廠商發(fā)布的修復(fù)程序的升級技術(shù)。

? 使用建議：該技術(shù)為配置變更風險管理的支撐技術(shù)，應(yīng)編制補丁升級風險全景圖，并在同類型業(yè)務(wù)系統(tǒng)中進行修復(fù)程序的安裝操作，根據(jù)操作結(jié)果生成風險分析報告。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：中

? 發(fā)展趨勢：該技術(shù)主要依托技術(shù)手段實現(xiàn)管理要求，比較適合工業(yè)行業(yè)現(xiàn)階段信息安全較為初級的發(fā)展要求。筆者預(yù)計，該技術(shù)會加速推進相關(guān)行業(yè)“模擬仿真測試環(huán)境”類產(chǎn)品的采購、部署。

? 相關(guān)廠商：綠盟科技、啟明星辰、天融信、安恒等

5.1 工業(yè)防火墻技術(shù)

? 基本描述：工業(yè)企業(yè)應(yīng)根據(jù)實際情況，在不同網(wǎng)絡(luò)邊界之間部署邊界安全防護設(shè)備，實現(xiàn)安全訪問控制，阻斷非法網(wǎng)絡(luò)訪問，嚴格禁止沒有防護的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。工業(yè)防火墻應(yīng)包含：學習功能、常用工業(yè)協(xié)議深度檢測功能、訪問控制功能等。

? 技術(shù)定義：位于不同安全級別的網(wǎng)絡(luò)之間的安全網(wǎng)關(guān)，依照特定規(guī)則，允許或限制傳輸?shù)臄?shù)據(jù)包通過。從業(yè)防火墻技術(shù)一般包括：包過濾、應(yīng)用層（工業(yè)協(xié)議）過濾以及自學習等功能。

? 使用建議：由于工業(yè)防火墻為串聯(lián)設(shè)備，有可能會引入故障點，為保障安全穩(wěn)定生產(chǎn)，建議相關(guān)廠商經(jīng)過較為完善測試，再引入相關(guān)產(chǎn)品。

? 市場滲透率：中

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：以防火墻為代表的邏輯隔離設(shè)備應(yīng)該是工業(yè)網(wǎng)絡(luò)安全的一個重要組件，然而由于串聯(lián)進生產(chǎn)網(wǎng)絡(luò)的安全風險，應(yīng)該會在不同行業(yè)經(jīng)過長時間的技術(shù)、業(yè)務(wù)磨合，并產(chǎn)生有行業(yè)場景針對性的工業(yè)防火墻產(chǎn)品。

? 相關(guān)廠商：珠海鴻瑞、海天煒業(yè)、立思辰、三零衛(wèi)士、中科網(wǎng)威、匡恩、威努特、衛(wèi)達科技、網(wǎng)藤科技等

5.2 網(wǎng)閘技術(shù)

? 基本描述：工業(yè)企業(yè)確實有需求將生產(chǎn)網(wǎng)絡(luò)與信息網(wǎng)絡(luò)相連接的，可以通過單向網(wǎng)閘進行邏輯隔離。生產(chǎn)網(wǎng)絡(luò)到信息網(wǎng)絡(luò)側(cè)可以進行協(xié)議轉(zhuǎn)碼傳輸，信息網(wǎng)絡(luò)到生產(chǎn)網(wǎng)絡(luò)側(cè)原則上只允許文本類文件傳輸，杜絕數(shù)據(jù)傳輸閉環(huán)。工業(yè)網(wǎng)閘應(yīng)包含：一體雙機結(jié)構(gòu)、非TCP報文傳輸、低時延傳輸能力等功能。

? 技術(shù)定義：是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。

? 使用建議：由于工業(yè)網(wǎng)閘為串聯(lián)設(shè)備，有可能會引入故障點，為保障安全穩(wěn)定生產(chǎn)，建議相關(guān)廠商經(jīng)過較為完善測試，再引入相關(guān)產(chǎn)品。

? 市場滲透率：中

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：以網(wǎng)閘為代表的物理隔離設(shè)備應(yīng)該是工業(yè)網(wǎng)絡(luò)安全的一個重要組件，然而由于串聯(lián)進生產(chǎn)網(wǎng)絡(luò)的安全風險，應(yīng)該會在不同行業(yè)經(jīng)過長時間的技術(shù)、業(yè)務(wù)磨合，并產(chǎn)生有行業(yè)場景針對性的工業(yè)網(wǎng)閘產(chǎn)品。

? 相關(guān)廠商：力控華康、啟明星辰、網(wǎng)神、珠海鴻瑞、賽博興安等

6.1 多因素認證技術(shù)

? 基本描述：用戶在登錄工業(yè)主機、訪問應(yīng)用服務(wù)資源及工業(yè)云平臺等過程中，應(yīng)使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段，必要時可同時采用多種認證手段。

? 技術(shù)定義：多因素身份驗證（MFA）是一種安全系統(tǒng)，是為了驗證一項操作的合法性而實行多層身份驗證。其目的是建立一個多層次的防御，使未經(jīng)授權(quán)的人訪問計算機系統(tǒng)或網(wǎng)絡(luò)更加困難。

? 使用建議：用戶在部署多因素認證技術(shù)類產(chǎn)品時，不只需要考慮維護成本，還要考慮初期建設(shè)成本，因為如果是基于已有系統(tǒng)后期集成的相關(guān)認證手段，有可能會造成系統(tǒng)運行的穩(wěn)定性下降，最好在系統(tǒng)建設(shè)階段就考慮統(tǒng)一建設(shè)。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：以PKI技術(shù)、智能卡、生物識別技術(shù)等為代表的多因素認證技術(shù)是高級別網(wǎng)絡(luò)安全訪問控制需求的優(yōu)選解決方案，很適合與工業(yè)生產(chǎn)環(huán)境的高可靠性要求，工業(yè)領(lǐng)域的某些行業(yè)也已經(jīng)進行了這方面產(chǎn)品的部署。

? 相關(guān)廠商：上海格爾、吉大正元、衛(wèi)士通、信安世紀、上訊信息、南京易安聯(lián)、北信源、九州云騰、中孚信息、博智軟件、哈爾濱朗威等

6.2 認證證書防護技術(shù)

? 基本描述：工業(yè)企業(yè)可采用USB-key等安全介質(zhì)存儲身份認證證書信息，建立相關(guān)制度對證書的申請、發(fā)放、使用、吊銷等過程進行嚴格控制，保證不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下禁止使用相同的身份認證證書信息，減小證書暴露后對系統(tǒng)和網(wǎng)絡(luò)的影響。

? 技術(shù)定義：證書管理機構(gòu)（CA）依靠非對稱密碼體系給通信實體雙方頒發(fā)包含公私鑰對的證書，構(gòu)建一組可相互進行信任校驗的通信實體，并進行證書頒發(fā)、廢除、更新、驗證以及秘鑰管理的服務(wù)。

? 使用建議：證書認證技術(shù)產(chǎn)品已經(jīng)在一些重點行業(yè)、重點部位開始推廣使用（如國家能源局2015年發(fā)布的36號文附件《電力監(jiān)控系統(tǒng)總體防護方案》就增加了對部署“電力調(diào)度數(shù)字證書系統(tǒng)”的要求）。用戶在具體產(chǎn)品、技術(shù)選型時，不不應(yīng)只考慮系統(tǒng)的可用性、易用性，還要考察系統(tǒng)對于證書管理（密鑰管理）的具體方法，以防止由于證書（密鑰）管理不嚴格而導(dǎo)致的連帶風險。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：認證防護技術(shù)作為密碼技術(shù)的一種常規(guī)應(yīng)用，已經(jīng)進行了較長時期的發(fā)展，相關(guān)技術(shù)比較成熟，目前產(chǎn)品主要聚焦在證書（密鑰）的申請、發(fā)放、使用、吊銷等的管理環(huán)節(jié)的技術(shù)保障。

? 相關(guān)廠商：天誠安信、派拉軟件、神州融信、上海格爾、天威誠信、信安世紀、東軟、吉大正元、安識科技、北京安訊奔、九州云騰、中科曙光、洋蔥安全、極驗驗證、立思辰、江南信安、山東確信等

7.1 遠程安全訪問技術(shù)

? 基本描述：工業(yè)企業(yè)確需進行遠程訪問的，可在網(wǎng)絡(luò)邊界使用單向隔離裝置、VPN、撥號認證等方式實現(xiàn)數(shù)據(jù)單向訪問，并控制訪問時限。采用加標鎖定策略，禁止訪問方在遠程訪問期間實施非法操作。

? 技術(shù)定義：通過公網(wǎng)鏈路，依靠非對稱密碼算法建立臨時、安全的私有通信連接（如SSH、IPSEC VPN），提供對遠程訪問者的身份鑒別、授權(quán)等功能。

? 使用建議：遠程安全訪問技術(shù)已經(jīng)在一些重點行業(yè)、重點部位開始推廣使用（如國家能源局2015年發(fā)布的36號文附件《電力監(jiān)控系統(tǒng)總體防護方案》就增加了對部署“遠程撥號訪問”能力的要求，要求采用專用的鏈路加密設(shè)備提供鏈路層保護）。用戶在技術(shù)產(chǎn)品選型時，需更多考慮技術(shù)與業(yè)務(wù)環(huán)境兼容問題，比如有的工業(yè)系統(tǒng)自帶遠程安全訪問模塊，如果沒有的話，則需要考慮第三方遠程訪問方案對系統(tǒng)是否會帶來額外風險（比如定責、維保等）。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)生產(chǎn)環(huán)境的遠程安全訪問模塊將成為系統(tǒng)建設(shè)的重要組成部分。然而，由于工業(yè)生產(chǎn)環(huán)境往往不具備高速公網(wǎng)鏈路，筆者預(yù)計，低功耗、易部署的3-4G網(wǎng)絡(luò)等安全訪問技術(shù)將會是一個重點發(fā)展方向。

? 相關(guān)廠商：相關(guān)廠商：珠海鴻瑞、天融信、萊克斯、啟明星辰、交大捷普、綠盟科技、藍盾、廣州國邁、軟云神州、任子行、雨人、上海觀安、上海紐盾、360、恒安嘉新、盛世光明、海峽信息、博智軟件、杭州迪普、中科新業(yè)等

7.2 遠程訪問審計技術(shù)

? 基本描述：工業(yè)企業(yè)應(yīng)保留工業(yè)控制系統(tǒng)設(shè)備、應(yīng)用等訪問日志，并定期進行備份，通過審計人員賬戶、訪問時間、操作內(nèi)容等日志信息，追蹤定位非授權(quán)訪問行為。

? 技術(shù)定義：根據(jù)遠程訪問者的權(quán)限級別，進行相應(yīng)權(quán)限分發(fā)，并對其行為進行細粒度記錄、審計。

? 使用建議：遠程訪問審計技術(shù)已經(jīng)在一些重點行業(yè)、重點部位開始推廣使用（如國家能源局2015年發(fā)布的36號文附件《電力監(jiān)控系統(tǒng)總體防護方案》就增加了對部署“遠程撥號訪問”能力的要求，要求對于遠程用戶登錄到本地系統(tǒng)的操作行為進行安全審計）。用戶在技術(shù)產(chǎn)品選型時，需更多考慮技術(shù)與業(yè)務(wù)環(huán)境兼容問題，比如有的工業(yè)系統(tǒng)自帶遠程訪問審計模塊，如果沒有的話，則需要考慮第三方遠程訪問方案對系統(tǒng)是否會帶來額外風險（比如定責、維保等）。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)生產(chǎn)環(huán)境的遠程訪問審計模塊將成為系統(tǒng)建設(shè)的重要組成部分。然而，由于工業(yè)應(yīng)用種類較多、規(guī)格也并不統(tǒng)一，所以該技術(shù)對于業(yè)務(wù)的緊密耦合性將成為核心競爭力。

? 相關(guān)廠商：珠海鴻瑞、天融信、萊克斯、啟明星辰、交大捷普、綠盟科技、藍盾、廣州國邁、軟云神州、任子行、雨人、上海觀安、上海紐盾、360、恒安嘉新、盛世光明、海峽信息、博智軟件、杭州迪普、中科新業(yè)等

8.1 工業(yè)網(wǎng)絡(luò)安全監(jiān)測技術(shù)

? 基本描述：工業(yè)企業(yè)應(yīng)在工業(yè)控制網(wǎng)絡(luò)部署可對網(wǎng)絡(luò)攻擊和異常行為進行識別、報警、記錄的網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業(yè)控制系統(tǒng)協(xié)議包偽造等網(wǎng)絡(luò)攻擊或異常行為。

? 技術(shù)定義：以帶外分光的形式，根據(jù)自有的惡意行為特征庫（比如協(xié)議惡意特征庫、行為惡意特征庫、惡意指令庫等）將數(shù)據(jù)流進行實時、非實時對比、分析，并形成可讀性較強的報告。

? 使用建議：由于工業(yè)生產(chǎn)環(huán)境較為敏感，不建議引入第三方串聯(lián)設(shè)備（除非經(jīng)過相關(guān)認證單位風險評估），網(wǎng)絡(luò)安全監(jiān)測技術(shù)產(chǎn)品則較為試用。另一方面，考慮到工業(yè)環(huán)境較為分散，基于成本原因建議將該類技術(shù)產(chǎn)品部署于場站中心以及重要生產(chǎn)系統(tǒng)現(xiàn)場。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：網(wǎng)絡(luò)安全監(jiān)測技術(shù)產(chǎn)品將成為工業(yè)生產(chǎn)網(wǎng)絡(luò)的重要組件，它將為用戶提供十分直觀的生產(chǎn)網(wǎng)絡(luò)安全狀況分析結(jié)果，為事前加固、事中處置、事后溯源提供重要支撐。

? 相關(guān)廠商：威努特、天地和興、匡恩網(wǎng)絡(luò)、珠海鴻瑞、網(wǎng)藤科技、斗象科技/漏洞盒子/網(wǎng)藤風險感知、安點科技、博智軟件、安恒信息、知道創(chuàng)宇、中科網(wǎng)威等

8.2 工業(yè)網(wǎng)絡(luò)協(xié)議深度解析技術(shù)

? 基本描述：在工業(yè)企業(yè)生產(chǎn)核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進行深度分析和過濾的防護設(shè)備，阻斷不符合協(xié)議標準結(jié)構(gòu)的數(shù)據(jù)包、不符合業(yè)務(wù)要求的數(shù)據(jù)內(nèi)容。

? 技術(shù)定義：使用Libpcap、pfring或者dpdk等技術(shù)對流量進行獲取，并依據(jù)相應(yīng)協(xié)議棧規(guī)格，進行報文分析。

? 使用建議：由于對工業(yè)私有協(xié)議支持程度不足，目前市場上支持此類技術(shù)產(chǎn)品還比較少，作用也比較有限。建議用戶可以在部署審計類產(chǎn)品的基礎(chǔ)上購買此類產(chǎn)品，可以作為一類有益的補充。

? 市場滲透率：低

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：協(xié)議分析類技術(shù)產(chǎn)品市場定位為，安全審計的有益補充以及網(wǎng)絡(luò)運維、巡檢工具。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，該技術(shù)產(chǎn)品應(yīng)該會發(fā)展成為生產(chǎn)網(wǎng)絡(luò)運維基本組件。

? 相關(guān)廠商：科來、匡恩網(wǎng)絡(luò)、威努特、珠海鴻瑞、力控華康、三零衛(wèi)士等

9.1 數(shù)據(jù)加密技術(shù)

? 基本描述：工業(yè)企業(yè)應(yīng)對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行加密存儲，設(shè)置訪問控制功能，對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行加密傳輸，使用VPN等方式進行隔離保護，并根據(jù)風險評估結(jié)果，建立和完善數(shù)據(jù)信息的分級分類管理制度。

? 技術(shù)定義：依靠通信雙方約定的密碼套件，將一組信息經(jīng)過密鑰及加密函數(shù)轉(zhuǎn)換，變成不可讀密文，而接收方則將此密文經(jīng)過解密函數(shù)、解密密鑰還原成明文。

? 使用建議：如果生產(chǎn)網(wǎng)絡(luò)需要與外部低安全等級網(wǎng)絡(luò)通信，或者生產(chǎn)網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)本地存儲于可外部訪問的網(wǎng)絡(luò)，都建議使用數(shù)據(jù)加密技術(shù)（如國家能源局2015年發(fā)布的36號文附件《電力監(jiān)控系統(tǒng)總體防護方案》就增加了對部署“線路加密措施”能力的要求，要求“遠方終端裝置、繼電保護裝置、安全自動裝置、負荷控制管理系統(tǒng)等基于專線通道與調(diào)度主站進行的數(shù)據(jù)通信，應(yīng)采用必要的身份認證或加解密措施進行防護”）。

? 市場滲透率：中

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，生產(chǎn)數(shù)據(jù)防篡改、防竊聽需求成為剛性需求，數(shù)據(jù)加密技術(shù)是解決此類問題的主要手段。

? 相關(guān)廠商： 珠海鴻瑞、深信服、天融信、藍盾、360、華為、綠盟科技、衛(wèi)士通、信安世紀、奧聯(lián)科技、啟明星辰、南京易安聯(lián)、華清信安、上海紐盾、東軟、海峽信息、博智軟件、H3C、江南信安、弘積科技、山東確信等

9.2 數(shù)據(jù)備份技術(shù)

? 基本描述：工業(yè)企業(yè)應(yīng)對關(guān)鍵業(yè)務(wù)數(shù)據(jù)，如工藝參數(shù)、配置文件、設(shè)備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等進行定期備份。

? 技術(shù)定義：數(shù)據(jù)備份技術(shù)是容災(zāi)的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分數(shù)據(jù)集合從應(yīng)用主機的硬盤或陣列復(fù)制到其他的存儲介質(zhì)的過程。

? 使用建議：建議用戶根據(jù)自己的數(shù)據(jù)規(guī)模、恢復(fù)時效性要求（RTO）、經(jīng)費預(yù)算等指標綜合考慮。

? 市場滲透率：中

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：傳統(tǒng)數(shù)據(jù)備份主要采用內(nèi)置或者外置的磁帶機進行冷備份，但這種方式只能防止操作失誤等認為故障，而且恢復(fù)時間較長。隨著技術(shù)不斷發(fā)展和數(shù)據(jù)量不斷增加，網(wǎng)絡(luò)備份依靠速度快、管理方便等優(yōu)勢成為較為用戶的一種重要選擇。

? 相關(guān)廠商：上海愛數(shù)、杭州美創(chuàng)、火星高科、亞細亞智業(yè)、蘇州美天網(wǎng)絡(luò)、信核數(shù)據(jù)、上訊信息、英方股份、上海聯(lián)鼎、億備、廣州鼎鼎、和力記易、廣州鼎甲、安碼科技、南京壹進制等

? 基本描述：由于安全研究和防護策略測試的需要，各大高校、科研院所基本都有采購模擬仿真環(huán)境的需求，然而目前該技術(shù)還屬于發(fā)展階段，只能實現(xiàn)較為明確的業(yè)務(wù)模擬，靈活性和真實性還有提升空間。

? 技術(shù)定義：結(jié)合控制技術(shù)、計算機技術(shù)、通信技術(shù)以及仿真技術(shù)，具備對象特征模擬、網(wǎng)絡(luò)負載模擬、I/O模擬、過程控制模擬以及故障模擬等功能于一體的綜合技術(shù)。

? 使用建議：據(jù)筆者了解，目前該類技術(shù)產(chǎn)品供應(yīng)商大多專注于工控安全，對具體工業(yè)行業(yè)業(yè)務(wù)邏輯深度有限，較適用于對通用性工業(yè)控制環(huán)境安全分析的環(huán)境搭建，對于行業(yè)業(yè)務(wù)仿真要求很高的需求可能適用性較低。

? 市場滲透率：中

? 利潤轉(zhuǎn)化率：較高

? 發(fā)展趨勢：傳統(tǒng)仿真技術(shù)還是利用真實上位機、下位機進行業(yè)務(wù)模擬，依靠matlab等軟件對物理過程進行仿真。隨著仿真技術(shù)的發(fā)展，相信會出現(xiàn)對于下位機（PLC、RTU、SCADA）等的模擬仿真技術(shù)。

? 相關(guān)廠商：匡恩網(wǎng)絡(luò)、威努特、珠海鴻瑞、力控華康、三零衛(wèi)士等

1. 廠商介紹

1.2 自動化背景廠商  

這類廠商原來從事自動化相關(guān)的業(yè)務(wù)，后來看好工控安全的市場機遇，成立工控安全部門或子公司進入工控安全領(lǐng)域。典型廠商包括：青島海天煒業(yè)自動化控制系統(tǒng)有限公司、北京力控華康科技有限公司、珠海市鴻瑞軟件技術(shù)有限公司、中京天?？萍迹ū本┯邢薰?。這類公司對工控系統(tǒng)有比較深刻的理解，有現(xiàn)成的客戶資源，比如，目前青島海天煒業(yè)自動化控制系統(tǒng)有限公司、北京力控華康科技有限公司在石油化工行業(yè)市場上有較大的影響力，珠海市鴻瑞軟件技術(shù)有限公司在電力行業(yè)市場上有較大的影響力。其他自動化廠商，如和利時集團、浙江中控技術(shù)股份有限公司、北京四方繼保自動化股份有限公司等，主要是OEM第三方的產(chǎn)品，不作為主要的工控安全廠商進行分析。  

2.2 傳統(tǒng)IT安全廠商  

這類廠商原來從事IT信息安全的業(yè)務(wù)，工控安全作為信息安全市場的一個新興的細分市場得到關(guān)注，成立工控安全部門進入工控安全領(lǐng)域。典型廠商包括：啟明星辰信息技術(shù)有限公司/北京網(wǎng)御星云信息技術(shù)有限公司、北京神州綠盟信息安全科技股份有限公司、北京中科網(wǎng)威信息技術(shù)有限公司、上海三零衛(wèi)士信息安全有限公司。這類公司的特點是信息安全技術(shù)積累較多，但對工控系統(tǒng)缺乏深刻的理解，并且由于當前業(yè)績的壓力，在工控安全方面的投入較小。目前啟明星辰信息技術(shù)有限公司、北京神州綠盟信息安全科技股份有限公司在工控安全市場上有一定的影響力。  

3.2 專業(yè)工控安全廠商  

這類廠商基本屬于近兩年成立的創(chuàng)業(yè)公司，整合了信息安全與自動化方面的人才，100%專注于工控安全領(lǐng)域。典型廠商包括：北京匡恩網(wǎng)絡(luò)科技有限公司、北京威努特技術(shù)有限公司、谷神星網(wǎng)絡(luò)科技（北京）有限公司、燈塔實驗室。這類公司的特點是專注，他們100%的業(yè)務(wù)都是工控安全，工控安全業(yè)務(wù)的成敗決定了公司的生死存亡，因此能夠全力投入。

2. 獲得銷售許可證產(chǎn)品介紹

工控防護主要是在不改變工控系統(tǒng)基礎(chǔ)架構(gòu)的前提下，通過增加與工控系統(tǒng)高度集成的信息安全組件達到工控系統(tǒng)的信息安全目標。產(chǎn)品主要包括防護類產(chǎn)品、檢測類產(chǎn)品以及管理服務(wù)平臺三大類。目前主要以隔離網(wǎng)關(guān)（裝置）和防火墻類等硬件產(chǎn)品為主，兩者的市場份額共達到整體ICS信息安全市場的71%，占主導(dǎo)地位；安全管理平臺、安全審計、安全監(jiān)測等出現(xiàn)一定提升；安全培訓(xùn)和服務(wù)被越來越多機構(gòu)和用戶接受。

工控系統(tǒng)網(wǎng)絡(luò)安全市場屬于政策性需求牽引的新興市場，由于我國大力發(fā)展“互聯(lián)網(wǎng)+”、“中國制造2025”等國家戰(zhàn)略，會持續(xù)加速推進工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)的融合進程，這也從側(cè)面推動了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的產(chǎn)業(yè)發(fā)展，市場規(guī)模將會有較大的上升空間。然而從另一個方面來看，我國從2010年左右剛剛開始進行工控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)研究，相關(guān)解決方案的可用性、差異性、互補性都還有一定的不足，這也就造成了目前的市場規(guī)模還比較有限。

1. 市場容量較小但處于爆發(fā)臨界階段

從全球范圍來看，工控系統(tǒng)領(lǐng)域的信息安全尚處于初步發(fā)展階段，ICS信息安全防護、認證、標準等體系仍在完善中；因此，近幾年中國正在抓緊對于ICS信息安全標準、認證、防護等級及評估實驗室等頂層設(shè)計的建設(shè)中。在這種背景下，ICS信息安全市場產(chǎn)品參差不齊，用戶對于傳統(tǒng)信息安全和ICS信息安全的區(qū)別缺乏認知和重視程度有限，直接導(dǎo)致ICS信息安全市場的發(fā)展和應(yīng)用水平有限，市場規(guī)模小。

我國工控系統(tǒng)網(wǎng)絡(luò)安全市場規(guī)模

從上圖可以看出，我國工控系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)業(yè)截止到2016財年市場規(guī)模依然僅有2-3億元人民幣，而且具有比較明顯的行業(yè)分布特點（電力行業(yè)占據(jù)絕對主體）。自2016下半年來，隨著相關(guān)政策、法規(guī)、指南、標準的密集推出，相信會對石化、煙草、煙草、煤礦、軌交等行業(yè)的工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)掀起一輪帶動效應(yīng)，據(jù)業(yè)內(nèi)人士估計，會將市場規(guī)模推動到15-30億元人民幣的區(qū)間。

2. 客戶對工控安全產(chǎn)品價值認可度度有待提高

類似于工控防火墻、工控安管平臺等防護類設(shè)備，本質(zhì)上應(yīng)屬于信息化產(chǎn)品范疇。然而，應(yīng)用工業(yè)控制系統(tǒng)的大型企業(yè)（如國家電網(wǎng)、發(fā)電集團等）負責信息化產(chǎn)品采購的部門并不能負責生產(chǎn)網(wǎng)絡(luò)的安全問題，所以這也造成了客戶對于此類產(chǎn)品無法進行有效價值判斷。當然，目前國家也在通過各種手段（比如組織工控信息安全大檢查、編寫工控安全標準等）來積極解決這個問題。

3. 模擬仿真平臺應(yīng)逐漸分化為通用型和行業(yè)專用型

很多單位都有采購模擬仿真平臺的計劃，然而需求痛點卻不盡相同：有些為了建立實驗平臺，支撐科學研究；有的為了建立實訓(xùn)基地，培養(yǎng)提升員工技能；有的為了模擬生產(chǎn)環(huán)境，測試防護策略效果等；有的僅僅是為了給領(lǐng)導(dǎo)展示本單位的安全研究能力。就目前國內(nèi)模擬仿真平臺的效果來看，只能較為逼真的模擬反映特定工業(yè)控制生產(chǎn)過程，對攻擊流程、防護效果進行說明性演示，對于提高員工意識、進行科學實驗的需求比較適合，但是對于行業(yè)級的防護基線研究可能還僅能提供一個參考指標，需要行業(yè)專業(yè)級別模擬仿真平臺進行支撐。

4. 工業(yè)信息安全態(tài)勢感知距產(chǎn)業(yè)化還有段距離

雖然2017年2月2日我國已經(jīng)成立了“工業(yè)互聯(lián)網(wǎng)聯(lián)盟”，但是真的讓工控業(yè)務(wù)系統(tǒng)逐漸上網(wǎng)，并形成“工控產(chǎn)業(yè)云”終歸不是一朝一夕的事情。目前，我國暴露在互聯(lián)網(wǎng)上的工控巨頭的資產(chǎn)依然主要是一些與生產(chǎn)系統(tǒng)相關(guān)性不強的信息系統(tǒng)。使用SHODAN也不難驗證上述想法，其檢索到的全球886種工控設(shè)備，涉及182個工控廠商，共包含2,186,971臺工控設(shè)備，而其中美國暴露的設(shè)備占據(jù)了絕大多數(shù)，中國（包含臺灣）暴露的工控設(shè)備不超過1000臺。這將成為我國開展工控風險監(jiān)測業(yè)務(wù)的最大障礙。

5. 工控安全產(chǎn)品對業(yè)務(wù)場景的融合度有待加強

眾所周知，防火墻、交換機等傳統(tǒng)設(shè)備并不具有業(yè)務(wù)屬性，只是應(yīng)用于不同業(yè)務(wù)場景后，才會由客戶自行針對性配置。然而，工控場景差異較大，可能A場景中的“惡意行為”在B場景中被視為“正常行為”，這固然可以通過“學習模式”很大程度得到解決，但是這樣并無法積累針對工控領(lǐng)域的“惡意行為分析能力”，無法給事后的行為分析提供技術(shù)支撐。

工控領(lǐng)域的網(wǎng)絡(luò)安全防護是勢在必行的趨勢，我想上邊的幾點疑問也終將會被慢慢解決。在這期間，我覺得最重要的還是在于培養(yǎng)工控網(wǎng)絡(luò)安全專業(yè)人才，讓他們在甲方推動生產(chǎn)部門的網(wǎng)絡(luò)安全建設(shè)工作，在乙方則會更加貼近用戶單位業(yè)務(wù)需求。

從全球范圍來看，工控系統(tǒng)領(lǐng)域的信息安全尚處于初步發(fā)展階段，ICS信息安全防護、認證、標準等體系仍在完善中；因此，近幾年中國正在抓緊對于ICS信息安全標準、認證、防護等級及評估實驗室等頂層設(shè)計的建設(shè)中。在這種背景下，ICS信息安全市場產(chǎn)品參差不齊，用戶對于傳統(tǒng)信息安全和ICS信息安全的區(qū)別缺乏認知和重視程度有限，直接導(dǎo)致ICS信息安全市場的發(fā)展和應(yīng)用水平有限，市場規(guī)模小。近兩年中國ICS信息安全的行業(yè)市場格局并沒有明顯的變化，行業(yè)景氣程度也是直接影響ICS信息安全行業(yè)應(yīng)用規(guī)模的主要因素。電力、石化（油氣）、先進制造等細分市場表現(xiàn)較好，增速高于市場平均。而冶金、煤炭等行業(yè)受經(jīng)濟不景氣影響，ICS信息安全市場有所萎縮。市政、交通、軍工等其他行業(yè)的應(yīng)用項目有逐年增多的跡象，并且也廣泛受到政府主管機構(gòu)的重視，潛在的業(yè)務(wù)機會將會在未來逐漸顯現(xiàn)。

信息安全服務(wù)于工業(yè)行業(yè)，因此需首先對工業(yè)行業(yè)（尤其是電力、石油化工、先進制造等）的需求進行分析。以電力行業(yè)為例，電廠、電網(wǎng)的發(fā)展日益趨近于數(shù)字化、網(wǎng)絡(luò)化、智能化，智能儀表/控制設(shè)備、無線傳感/控制網(wǎng)絡(luò)等的大量采用，電廠/電網(wǎng)內(nèi)IOT（物聯(lián)網(wǎng)）、IOS（服務(wù)互聯(lián)網(wǎng)）的推廣，對工控安全形成更大的挑戰(zhàn)。由于該行業(yè)信息安全規(guī)劃有具體文件參考（發(fā)改委能源局14號令和36號文），而對于其他行業(yè)則需要充分交流、探討、融合，逐步完善相關(guān)行業(yè)工控的安全防護措施，使安全防護由安全策略的部署向安全能力的部署能力遷移，逐步實現(xiàn)安全技術(shù)能力、安全管理能力的全面提升，實現(xiàn)管、控、防一體化。安全能力逐步覆蓋從系統(tǒng)上線、系統(tǒng)運行、系統(tǒng)運維、系統(tǒng)檢修等各個環(huán)節(jié)，實現(xiàn)工控系統(tǒng)安全的閉環(huán)管控。

隨著黑客攻擊越來越平民化，工業(yè)控制系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施的載體，必然會面臨越來越大的安全壓力，電力、石油化工、先進制造等行業(yè)對該種情況也高度重視，電力行業(yè)在2013年就發(fā)布了《電力行業(yè)等級保護標準》，能源局、各個標委會也都發(fā)布了相應(yīng)的政策法規(guī)，相信信息安全產(chǎn)品的部署情況和信息安全能立的建設(shè)情況將成為相關(guān)重點行業(yè)業(yè)務(wù)需求的一個重點指標。

工業(yè)控制系統(tǒng)由于其硬件選型、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用環(huán)境、操作規(guī)程等在不同行業(yè)（如電力行業(yè)與制造行業(yè)等），甚至相同行業(yè)的不同流程（如發(fā)電、配電環(huán)節(jié)等）中都存在較大的差異。所以，在較短的時間內(nèi)，很難有一家公司、一款產(chǎn)品或者一類服務(wù)形態(tài)（如安全檢測、風險評估等）可以適應(yīng)所有工業(yè)行業(yè)。筆者認為，較好的發(fā)展模式應(yīng)該可參考珠海鴻瑞、海天煒業(yè)、力控華康等的發(fā)展歷程：先在一個細分領(lǐng)域耕耘多年，然后將積累的經(jīng)驗進行行業(yè)的橫向復(fù)制。

1. 廣域網(wǎng)工控設(shè)備搜索引擎資源

https://www.shodan.io/report/l7VjfVKc

http://ics.zoomeye.org/

http://www.ditecting.com/

2. 相關(guān)開發(fā)資源

2.1 發(fā)現(xiàn)類

https://code.google.com/p/plcscan

https://code.google.com/p/modscan

https://github.com/arnaudsoullie/scan7

https://github.com/atimorin

auxiliary/scanner/modbus/modbus_findunitid

auxiliary/scanner/modbus/modbusdetect

2.2 操縱類

auxiliary/scanner/modbus/modbusclient

auxiliary/admin/scada/modicon_command

auxiliary/admin/scada/igss_exec_17

auxiliary/admin/scada/multi_cip_command

Open ICS protocol libraries

https://www.scadaforce.com/modbus     [python]

https://github.com/bashwork/pymodbus  [python]

https://rubygems.org/gems/modbus-cli  [ruby]

http://libnodave.sourceforge.net      [C,C++,C#,Delphi,Pascal,Perl,VB(A)]

https://code.google.com/p/dnp3        [C++]

2.3 異常分析類

http://blog.snort.org/2012/01/snort-292-scada-preprocessors.html

http://www.digitalbond.com/tools/quickdraw/

4. fuzz類

https://github.com/jseidl/peach-pit/blob/master/modbus/modbus.xml

3. 綜合類資源

https://scadahacker.com

http://www.digitalbond.com

https://ics.sans.org/ics_library

http://plcscan.org/blog/

http://blog.iec61850.com

http://www.modbus.org/

http://scadastrangelove.blogspot.kr

http://www.slideshare.net/phdays/timorinalexander-efanov-dmitry

4. 圖書資源

（1）《工業(yè)SCADA系統(tǒng)信息安全技術(shù)》（2014.5.1）

講述了工業(yè)監(jiān)視控制與數(shù)據(jù)采集（SCADA）系統(tǒng)基本概念，系統(tǒng)地分析工業(yè)SCADA系統(tǒng)存在的脆弱點和面臨的信息安全威脅，闡述了工業(yè)SCADA系統(tǒng)信息安全體系，論述其相應(yīng)的關(guān)鍵技術(shù)；介紹了典型電力SCADA系統(tǒng)信息安全實際工程應(yīng)用案例，并對國內(nèi)外工業(yè)控制系統(tǒng)信息安全的發(fā)展趨勢進行了分析。讀者對象：政府、軍隊、高校、科研機構(gòu)等從事工業(yè)控制系統(tǒng)信息安全研究的科研人員，以及相關(guān)企業(yè)進行工業(yè)控制系統(tǒng)信息安全開發(fā)、建設(shè)和應(yīng)用的技術(shù)人員。

（2）《工業(yè)控制系統(tǒng)信息安全》（2015.9.1）

本書簡潔、全面地介紹了工業(yè)控制系統(tǒng)信息安全概念和標準體系，系統(tǒng)地介紹了工業(yè)控制系統(tǒng)架構(gòu)和漏洞分析，系統(tǒng)地闡述了工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署、風險評估、生命周期、管理體系、項目工程、產(chǎn)品認證、工業(yè)控制系統(tǒng)入侵檢測與入侵防護、工業(yè)控制系統(tǒng)補丁管理。

（3）《工業(yè)控制系統(tǒng)安全等級保護方案與應(yīng)用》（2015.3.1）

本書分為7章，分別介紹了工業(yè)控制系統(tǒng)信息安全概論、工業(yè)控制系統(tǒng)安全等級保護定級、工業(yè)控制系統(tǒng)安全等級保護要求、工業(yè)控制系統(tǒng)等級保護安全設(shè)計、工業(yè)控制系統(tǒng)安全等級保護實施、工業(yè)控制系統(tǒng)安全等級保護測評和工業(yè)控制系統(tǒng)安全等級保護方案應(yīng)用。

（4）《工業(yè)網(wǎng)絡(luò)安全—智能電網(wǎng)，SCADA和其他工業(yè)控制系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》（2014.6.1）

納普所著的《工業(yè)網(wǎng)絡(luò)安全》一書向您解釋了作為工業(yè)控制系統(tǒng)基礎(chǔ)的特定協(xié)議和應(yīng)用，并且為您提供了對它們進行保護的一些非常容易理解的指南。除了闡述合規(guī)指南、攻擊與攻擊面，甚至是一些不斷改進的安全工具外，本書還為您提供了關(guān)于SCADA、控制系統(tǒng)協(xié)議及其如何運作的一個清晰理解。

（5）《智能電網(wǎng)安全:下一代電網(wǎng)安全》    （2013.1.1）

本書著眼于當前智能電網(wǎng)的安全以及它是如何被開發(fā)和部署到全球千萬家庭中的。《智能電網(wǎng)安全:下一代電網(wǎng)安全》詳細討論了針對智能儀表和智能設(shè)備的直接攻擊以及針對配套網(wǎng)絡(luò)和應(yīng)用程序的攻擊，并給出如何防御這些攻擊的建議?！吨悄茈娋W(wǎng)安全:下一代電網(wǎng)安全》給出了一個針對成長中的系統(tǒng)如何實現(xiàn)安全性的框架，用來指導(dǎo)安全顧問與系統(tǒng)和網(wǎng)絡(luò)架構(gòu)師如何防范大大小小的攻擊者，從而保證智能電網(wǎng)的穩(wěn)健運行?！吨悄茈娋W(wǎng)安全:下一代電網(wǎng)安全》詳細介紹了如何使用新舊黑客技術(shù)來攻擊智能電網(wǎng)以及如何防御它們。討論當前的安全舉措。以及它們達不成所需目標的原因。找出黑客是如何利用新的基礎(chǔ)設(shè)施攻擊基礎(chǔ)設(shè)施。

（6）《智能電網(wǎng)信息安全指南(第1卷):智能電網(wǎng)信息安全戰(zhàn)略架構(gòu)和高層要求》（2013.1.1）

本書由美國國家標準和技術(shù)研究院所著，提出了美國針對智能電網(wǎng)信息安全的分析框架，供相關(guān)組織根據(jù)智能電網(wǎng)業(yè)務(wù)特性、安全風險和漏洞制定有效的信息安全戰(zhàn)略參考使用。主要內(nèi)容包括信息安全戰(zhàn)略、智能電網(wǎng)的邏輯架構(gòu)和接口、高層安全要求、密碼和密鑰管理等，可供相關(guān)讀者閱讀學習。

（7）《智能電網(wǎng)信息安全指南:美國國家標準和技術(shù)研究院7628號報告(第二、第三卷)》（2014.6.1）

本書為《智能電網(wǎng)信息安全指南 美國國家標準和技術(shù)研究院7628號報告》第二、第三卷，內(nèi)容包括隱私和智能電網(wǎng)、脆弱性類別、智能電網(wǎng)的自下而上安全分析、智能電網(wǎng)信息安全的研究與開發(fā)主題、標準審閱綜述、關(guān)鍵電力系統(tǒng)安全要求用例。該報告提出了美國針對智能電網(wǎng)信息安全的分析框架，供相關(guān)組織根據(jù)智能電網(wǎng)業(yè)務(wù)特性、安全風險和漏洞制定有效的信息安全戰(zhàn)略參考使用。

來源：網(wǎng)信防務(wù)