国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

前言

自2010年“震網”事件以來，工業控制系統網絡安全研究進入了持續的高熱度階段，曝光的漏洞數量從2010年的55個發展到當前的1061個（數據來源：NVD、CVE、CNVD及CNNVD等主流數據庫）；針對工業控制系統的攻擊事件也一直處于高位，2011年200余起，2012年248起，2013年248起（數據來源：美國工控應急響應中心ICS-CERT）。另一方面，Gartner發布的《2016年十大信息安全技術》中指出的工控領域的全新安全模型（Pervasive Trust Services）以及2017 RSA大會上發布的工控態勢感知方案，都為技術、產業的發展指出了方向。從產業方面來看，工控安全領域尚處于市場發展早期，廠家數量不斷增長，產品線日益增多且多元化，據方正證券估計，市場規模目前為2.25億元，發展空間較大。

對于我國而言，工業控制系統安全所面臨的重要問題是自主可控的問題，我國在工控領域對國外設備和技術的依賴程度強。據中國產業信息研究網調查統計結果顯示，全國5000多個重要的工業控制系統中，95%以上的工控系統操作系統均采用國外產品；在我國的工控系統產品上，國外產品已經占領了大部分市場，如PLC國內產品的市場占有率不到1%，工業中用到的邏輯控制器95%是來自施耐德（法國）、西門子（德國）、發那科（日本）等的國外品牌。以揚州市為例，自2014年1月起，在全市范圍內啟動重點行業重要工業控制系統基本情況調查，統計顯示，全市24個企業共計1213個重點工業控制系統，主要分屬化工、電力行業和城市公用事業服務領域。德國西門子公司生產的可編程控制器（PLC）和我國浙江浙大中控公司生產的分布式控制系統（DCS）在揚州市工業企業應用廣泛，其中德國西門子公司生產的可編程控制器占全部調查企業工業控制系統總數的87%，占全部調查企業可編程控制器應用總數的95%以上。

本報告由『網信防務』顧問團隊，通過調查國內在工業控制系統網絡安全相關技術產品上作的較為突出的公司，并結合當前最新的相關資料撰寫，從作者個人視角，嘗試分析了我國自2011年發布451號文件以來，工控網絡安全的技術、產品、市場發展脈絡，希望可以為相關從業者提供有價值的參考。

工業控制系統（以下簡稱工控系統）是國家基礎設施的重要組成部分，也是工業基礎設施的核心，被廣泛用于煉油、化工、電力、電網、水廠、交通、水利等領域，其可用性和實時性要求高，系統生命周期長，是信息戰的重點攻擊目標。目前，我國在工業控制系統網絡安全技術研究以及產業發展等相關領域處于快速發展階段，防護能力和應急處置能力相對較低，特別是關鍵部位工控系統大量使用國外產品，關鍵系統的安全性受制于人，重要基礎設施的工控系統成為外界滲透攻擊的目標。

工控系統網絡安全產品可以從不同層面協助解決關鍵基礎設施網絡安全問題。這包括：提供審查、測評類產品，幫助監管單位對工控系統、工控產品以及工控安全產品進行安全合規性檢查；提供數據采集、態勢感知類產品，幫助監管、決策部門宏觀把握整體工控系統安全形勢，制定相關策略，分配安全預算；提供防護類產品，幫助工控系統運營單位提升安全防護、應急處置能力；提供教學、演練類產品，幫助已經或準備從事相關行業人員提高專業技術能力和安全防護意識。

工控系統網絡安全建設應視不同行業、同行業不同生產階段以及自身確實安全需求分別制定安全建設方案，不可一概而論。比如，在電力、石油化工、軌道交通等信息化發展較快行業，網絡安全建設具有比較好的發展基礎；然而在冶金、煉化等行業，基本信息化建設、規范化制度建設并未完善，第一步還需要從管理體系建設入手。

行業標準及規范是工控系統網絡安全建設最好的參考，《工業控制系統信息安全防護指南》、《發改委14號令》、《發改委36號文》、ISA62443、NIST 800-82、NIST 800-53等都是威脅情報行業最具參考意義的標準規范。

工控系統網絡安全涉及行業眾多、應用場景較為復雜，較難有統一產品可以解決全行業問題，可能會按照行業和服務類型，催生細分解決方案廠商。

工業控制系統信息安全市場，應該算得上是與政策引導走的最近的細分領域之一。追根溯源的話，451號文件便是推動該行業破土而出的基礎性政策文件。雖然該文件也僅僅論述了“加強工業控制系統信息安全管理的重要性和緊迫性”，但對當時還較為保守的工控系統信息安全政策環境和產業市場起到了推動作用。在此之后，發改委連續數年發布的“信息安全專項-工控子項”；2014年12月成立的“工控系統信息安全技術國家工程實驗室”；2016年5月公安部首次將工業控制系統列入國家安全執法工作范圍；2016年7月召開首屆中國網絡安全產業大會，會上關鍵信息基礎設施保護工作委員會成立，宣布在全國范圍內展開為期5個月的關鍵信息基礎設施的執法檢查。至今，各省市已經紛紛效應國家政策，進行大范圍的檢查，乃是我國首次大范圍高力度的網絡安全執法檢查；2016年10月工信部發布的《工業控制系統信息安全防護指南》以及2016年11月通過的《網絡安全法》的第三章第二節“關鍵信息基礎設施運行安全”，更是將工控系統信息安全的要求具體化、法律化。

另一方面，伴隨著政策、法規的逐步健全，國內各行業對工控系統安全的認識達到了一個新的高度，電力、石化、制造、煙草等多個行業，陸續制定了相應的指導性文件，來指導相應行業的安全檢查與整改活動。由全國信息安全標準化技術委員會、電力系統管理及信息交換標準化委員會、電力監管標準化技術委員會以及工業過程測量和控制標準化技術委員會等單位牽頭，編制了系列標準，推動工業控制系統網絡安全工作的進一步具體化、規范化，相關標準如下：

結合ICS-CERT以及RISI（工業安全事件信息庫，Repository of Industrial Security Incidents）統計數據的分析結果可知，近年來，工業控制系統相關安全事件呈快速增長勢頭，且這些事件多分布在電力、石化、先進制造、軌道交通等關鍵基礎行業。由于此類攻擊曝光程度較低，只能根據公開信息展示如下：

通過大量工業控制系統安全事件分析，我們可以看到，針對工業控制系統的攻擊行為往往危害較大。在技術層面，攻擊行為開始逐漸由單一攻擊底層通信、硬件系統，向依靠底層攻擊為入口，進一步操縱、篡改、竊聽上層業務系統的趨勢發展。比如，2010年被發現的針對工業設施的Stuxnet病毒會影響到運行于Windows系統之上的SCADA系統；2016年8月，德國OpenSource Security的研究人員發布了新型PLC蠕蟲—PLC-Blaster，它可以直接感染Simatic S7-1200 PLC并實現病毒式感染；2016年9月，荷蘭特溫特大學的兩位研究人員發布了一套“無法被檢測到的PLC Rootkit”,它將對PLC更加底層的組件展開攻擊，而不是像PLC-Blaster那樣攻擊PLC中的業務邏輯。筆者分析，這也與2010年美國成立網絡戰司令部以來，多個國家紛紛效仿成立，導致工控領域引入眾多“大玩家”有關。

工控行業包含子行業眾多，如電力、石油、市政等，由于篇幅有限不便展開，筆者將其網絡結構籠統概括為：現場層、站控層、中心監控層，三層機構。由于工業控制系統網絡行為邏輯比較固定，所以往往依據白名單思路在上述三層中加以控制。比如應用于現場層的工控防火墻、網閘等邏輯隔離類設備；應用于站控層的應用白名單產品、工控入侵檢測設備等產品；應用于中心監控層的案管平臺等產品；以及用于特殊網絡環境（如SCADA遠程無線數據采集）的加密通信裝置、用于遠程可靠運維的遠程運維裝置等。另一方面，由于自身經濟發展的需求以及西方工業互聯網、工業4.0等概念的影響，我國某些較為先進的工控巨頭企業（如電力、石油等）將開始進行工業互聯網布局，屆時將會形成一朵或者是多朵工業行業云，這從2017年2月2日召開的“2017工業互聯網峰會”的參會公司和規模可以看出。在這個背景下，據筆者估計，可能會產生幾家專注于“工業互聯網風險監測”業務的創新公司。這也正符合了習主席針對關鍵信息基礎設施所提出的“建立全天候、全方位態勢感知預警能力”的總要求。

在具體防護技術方案方面，工信部2016年11月發布的《工業控制系統信息安全防護指南》給出了比較明確的指引。要求企業在堅持主體責任的前提下，聚焦系統防護、安全管理等安全保障重點，提出了10項防護要求，16種防護技術。具體如下：

上圖以市場成熟度和技術成熟度兩個維度，將工控防護技術分為4個階段：A初始階段、B探索階段、C發展階段、D成熟階段，其中每個階段又按照市場和技術成熟度的發展進度分為1區、2區，例如A1區為初始階段中市場發展較快階段。各區域定義如下表所示：

? 基本描述：描述該技術基本應用場景及技術原理

? 技術定義：詳細描述該技術原理

? 使用建議：描述該技術特點及實施過程中可能產生的風險

? 市場滲透率：描述該技術目前的市場應用比例

? 利潤轉化率：描述該技術的利潤率

? 發展趨勢：描述該技術的未來發展趨勢

? 相關廠商：介紹部分相關技術提供商

3.1 工業主機應用程序白名單技術

? 基本描述：工業控制系統對系統可用性、實時性要求較高，傳統“應用程序黑名單技術”需要維護較大規模特征庫，影響主機性能；另一方面，工業主機如MES服務器、OPC服務器、數據庫服務器、工程師站、操作員站等安裝的應用以及所執行的操作比較明確，適合于“應用程序白名單技術”進行安全防護。

? 技術定義：一般基于操作系統內核態開發，對系統進程、線程進行監控（有些產品還會對磁盤中的可執行文件進行周期性掃描、監控）。

? 使用建議：由于該技術基于操作系統內核態開發，所以對于CPU指令集、系統版本、固件版本都較為敏感，一定要在生產模擬測試環境中測試后，才能部署到生產環境中。

? 市場滲透率：低

? 利潤轉化率：中

? 發展趨勢：較為重要的工業主機系統往往為Unix/Linux ，然而目前多數廠商提供的產品只針對Windows的應用程序監控，由于工業上位機的數量十分龐大，筆者預計，廠商將會在針對Unix/Linux各個發行版本應用程序監控上持續發力，形成穩定性、易用性都很強的行業專版。

? 相關廠商：匡恩網絡、威努特、立思辰等

3.2 工業主機殺毒及接入設備管理技術。

? 基本描述：工業企業需要建立工業控制系統防病毒和惡意軟件入侵管理機制，對工業控制系統及臨時接入的設備采用必要的安全預防措施。安全預防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時接入設備（如臨時接入U盤、移動終端等外設）等。

? 技術定義：通過動態監視工業助劑內存進程中部分程序的一些活動特征，如是否在系統中創建了文件，是否注入了非法進程和是否向外部發送了帶有敏感信息的郵件等來智能判斷病毒、木馬及間諜程序等的存在，并進行處理。

? 使用建議：殺毒軟件由于要維護較大特征庫，往往會影響主機性能，建議對于實時性要求較高的生產環境進行充分測試后，再使用該技術產品。

? 市場滲透率：較高

? 利潤轉化率：中

? 發展趨勢：雖然工業主機的殺毒軟件已經有較高安裝率，但工業環境專業病毒庫尚不完善；另一方面，接入設備管理類產品尚未廣泛部署，筆者預計，為配合某些關鍵行業安全保障應急體系建設，專殺類EDR產品和接入管理產品將會在某些行業較快速推廣。

? 相關廠商：360、安天、賽門鐵克等

4.1 工業控制系統配置基線核查技術

? 基本描述：工業企業應做好虛擬局域網隔離、端口禁用等工業控制網絡安全配置，遠程控制管理、默認賬戶管理等工業主機安全配置，口令策略合規性等工業控制設備安全配置，建立相應的配置清單，制定責任人定期進行管理和維護，并定期進行配置核查審計。

? 技術定義：根據預先定義的保持信息系統最小安全控制的基本要求，在固定周期內，根據自身要求、部署環境和承載業務要求進行批量化、自動化安全配置檢查，該技術涵蓋管理和技術兩個層面。

? 使用建議：該技術為配置變更風險管理的支撐技術，往往包括主機、網絡、應用、數據、業務等層面，對于煙草、煉化、制造等離散生產環境，較容易生成通用性核查清單。然而對于電網、燃氣、油田等SCADA系統，則需要深入業務系統調研，生成針對性核查清單。

? 市場滲透率：低

? 利潤轉化率：中

? 發展趨勢：該技術主要依托技術手段實現管理要求，比較適合工業行業現階段信息安全較為初級的發展要求。筆者預計，會根據行業業務特性，出現行業專版的配置基線核查產品。

? 相關廠商：綠盟科技、啟明星辰、天融信、安恒等

4.2 工業控制系統配置變更技術

? 基本描述：當發生重大配置變更時，工業企業應及時制定變更計劃，明確變更時間、變更內容、變更責任人、變更審批、變更驗證等事項。其中，重大配置變更是指重大漏洞補丁更新、安全設備的新增或減少、安全域的重新劃分等。同時，應對變更過程中可能出現的風險進行分析，形成分析報告，并在離線環境中對配置變更進行安全性驗證。

? 技術定義：對處于不斷演化、發展過程中的信息系統的配置管理技術，通過對信息系統變更的控制、記錄、追蹤、演練，實現目標系統的配置變更的一致性、完整性和可追溯性，該技術涵蓋技術與管理兩個方面。

? 使用建議：該技術為配置變更風險管理的支撐技術，應包含業務風險點全景圖，并根據變更需求生成變更風險，并進行安全性測試。筆者建議，配置變更風險測試，應著重評估內部風險。

? 市場滲透率：低

? 利潤轉化率：中

? 發展趨勢：該技術主要依托技術手段實現管理要求，比較適合工業行業現階段信息安全較為初級的發展要求。筆者預計，會根據行業業務特性，出現行業專版的配置變更管理產品。

? 相關廠商：綠盟科技、啟明星辰、天融信、安恒等

4.3 工業控制系統補丁升級技術

? 基本描述：工業企業應密切關注CNVD、CNNVD等漏洞庫及設備廠商發布的補丁。當重大漏洞及其補丁發布時，根據企業自身情況及變更計劃，在離線環境中對補丁進行嚴格的安全評估和測試驗證，對通過安全評估和測試驗證的補丁及時升級。

? 技術定義：針對硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或者破壞系統，使用相關廠商發布的修復程序的升級技術。

? 使用建議：該技術為配置變更風險管理的支撐技術，應編制補丁升級風險全景圖，并在同類型業務系統中進行修復程序的安裝操作，根據操作結果生成風險分析報告。

? 市場滲透率：低

? 利潤轉化率：中

? 發展趨勢：該技術主要依托技術手段實現管理要求，比較適合工業行業現階段信息安全較為初級的發展要求。筆者預計，該技術會加速推進相關行業“模擬仿真測試環境”類產品的采購、部署。

? 相關廠商：綠盟科技、啟明星辰、天融信、安恒等

5.1 工業防火墻技術

? 基本描述：工業企業應根據實際情況，在不同網絡邊界之間部署邊界安全防護設備，實現安全訪問控制，阻斷非法網絡訪問，嚴格禁止沒有防護的工業控制網絡與互聯網連接。工業防火墻應包含：學習功能、常用工業協議深度檢測功能、訪問控制功能等。

? 技術定義：位于不同安全級別的網絡之間的安全網關，依照特定規則，允許或限制傳輸的數據包通過。從業防火墻技術一般包括：包過濾、應用層（工業協議）過濾以及自學習等功能。

? 使用建議：由于工業防火墻為串聯設備，有可能會引入故障點，為保障安全穩定生產，建議相關廠商經過較為完善測試，再引入相關產品。

? 市場滲透率：中

? 利潤轉化率：較高

? 發展趨勢：以防火墻為代表的邏輯隔離設備應該是工業網絡安全的一個重要組件，然而由于串聯進生產網絡的安全風險，應該會在不同行業經過長時間的技術、業務磨合，并產生有行業場景針對性的工業防火墻產品。

? 相關廠商：珠海鴻瑞、海天煒業、立思辰、三零衛士、中科網威、匡恩、威努特、衛達科技、網藤科技等

5.2 網閘技術

? 基本描述：工業企業確實有需求將生產網絡與信息網絡相連接的，可以通過單向網閘進行邏輯隔離。生產網絡到信息網絡側可以進行協議轉碼傳輸，信息網絡到生產網絡側原則上只允許文本類文件傳輸，杜絕數據傳輸閉環。工業網閘應包含：一體雙機結構、非TCP報文傳輸、低時延傳輸能力等功能。

? 技術定義：是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。

? 使用建議：由于工業網閘為串聯設備，有可能會引入故障點，為保障安全穩定生產，建議相關廠商經過較為完善測試，再引入相關產品。

? 市場滲透率：中

? 利潤轉化率：較高

? 發展趨勢：以網閘為代表的物理隔離設備應該是工業網絡安全的一個重要組件，然而由于串聯進生產網絡的安全風險，應該會在不同行業經過長時間的技術、業務磨合，并產生有行業場景針對性的工業網閘產品。

? 相關廠商：力控華康、啟明星辰、網神、珠海鴻瑞、賽博興安等

6.1 多因素認證技術

? 基本描述：用戶在登錄工業主機、訪問應用服務資源及工業云平臺等過程中，應使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段，必要時可同時采用多種認證手段。

? 技術定義：多因素身份驗證（MFA）是一種安全系統，是為了驗證一項操作的合法性而實行多層身份驗證。其目的是建立一個多層次的防御，使未經授權的人訪問計算機系統或網絡更加困難。

? 使用建議：用戶在部署多因素認證技術類產品時，不只需要考慮維護成本，還要考慮初期建設成本，因為如果是基于已有系統后期集成的相關認證手段，有可能會造成系統運行的穩定性下降，最好在系統建設階段就考慮統一建設。

? 市場滲透率：低

? 利潤轉化率：較高

? 發展趨勢：以PKI技術、智能卡、生物識別技術等為代表的多因素認證技術是高級別網絡安全訪問控制需求的優選解決方案，很適合與工業生產環境的高可靠性要求，工業領域的某些行業也已經進行了這方面產品的部署。

? 相關廠商：上海格爾、吉大正元、衛士通、信安世紀、上訊信息、南京易安聯、北信源、九州云騰、中孚信息、博智軟件、哈爾濱朗威等

6.2 認證證書防護技術

? 基本描述：工業企業可采用USB-key等安全介質存儲身份認證證書信息，建立相關制度對證書的申請、發放、使用、吊銷等過程進行嚴格控制，保證不同系統和網絡環境下禁止使用相同的身份認證證書信息，減小證書暴露后對系統和網絡的影響。

? 技術定義：證書管理機構（CA）依靠非對稱密碼體系給通信實體雙方頒發包含公私鑰對的證書，構建一組可相互進行信任校驗的通信實體，并進行證書頒發、廢除、更新、驗證以及秘鑰管理的服務。

? 使用建議：證書認證技術產品已經在一些重點行業、重點部位開始推廣使用（如國家能源局2015年發布的36號文附件《電力監控系統總體防護方案》就增加了對部署“電力調度數字證書系統”的要求）。用戶在具體產品、技術選型時，不不應只考慮系統的可用性、易用性，還要考察系統對于證書管理（密鑰管理）的具體方法，以防止由于證書（密鑰）管理不嚴格而導致的連帶風險。

? 市場滲透率：低

? 利潤轉化率：較高

? 發展趨勢：認證防護技術作為密碼技術的一種常規應用，已經進行了較長時期的發展，相關技術比較成熟，目前產品主要聚焦在證書（密鑰）的申請、發放、使用、吊銷等的管理環節的技術保障。

? 相關廠商：天誠安信、派拉軟件、神州融信、上海格爾、天威誠信、信安世紀、東軟、吉大正元、安識科技、北京安訊奔、九州云騰、中科曙光、洋蔥安全、極驗驗證、立思辰、江南信安、山東確信等

7.1 遠程安全訪問技術

? 基本描述：工業企業確需進行遠程訪問的，可在網絡邊界使用單向隔離裝置、VPN、撥號認證等方式實現數據單向訪問，并控制訪問時限。采用加標鎖定策略，禁止訪問方在遠程訪問期間實施非法操作。

? 技術定義：通過公網鏈路，依靠非對稱密碼算法建立臨時、安全的私有通信連接（如SSH、IPSEC VPN），提供對遠程訪問者的身份鑒別、授權等功能。

? 使用建議：遠程安全訪問技術已經在一些重點行業、重點部位開始推廣使用（如國家能源局2015年發布的36號文附件《電力監控系統總體防護方案》就增加了對部署“遠程撥號訪問”能力的要求，要求采用專用的鏈路加密設備提供鏈路層保護）。用戶在技術產品選型時，需更多考慮技術與業務環境兼容問題，比如有的工業系統自帶遠程安全訪問模塊，如果沒有的話，則需要考慮第三方遠程訪問方案對系統是否會帶來額外風險（比如定責、維保等）。

? 市場滲透率：低

? 利潤轉化率：較高

? 發展趨勢：隨著工業互聯網的發展，工業生產環境的遠程安全訪問模塊將成為系統建設的重要組成部分。然而，由于工業生產環境往往不具備高速公網鏈路，筆者預計，低功耗、易部署的3-4G網絡等安全訪問技術將會是一個重點發展方向。

? 相關廠商：相關廠商：珠海鴻瑞、天融信、萊克斯、啟明星辰、交大捷普、綠盟科技、藍盾、廣州國邁、軟云神州、任子行、雨人、上海觀安、上海紐盾、360、恒安嘉新、盛世光明、海峽信息、博智軟件、杭州迪普、中科新業等

7.2 遠程訪問審計技術

? 基本描述：工業企業應保留工業控制系統設備、應用等訪問日志，并定期進行備份，通過審計人員賬戶、訪問時間、操作內容等日志信息，追蹤定位非授權訪問行為。

? 技術定義：根據遠程訪問者的權限級別，進行相應權限分發，并對其行為進行細粒度記錄、審計。

? 使用建議：遠程訪問審計技術已經在一些重點行業、重點部位開始推廣使用（如國家能源局2015年發布的36號文附件《電力監控系統總體防護方案》就增加了對部署“遠程撥號訪問”能力的要求，要求對于遠程用戶登錄到本地系統的操作行為進行安全審計）。用戶在技術產品選型時，需更多考慮技術與業務環境兼容問題，比如有的工業系統自帶遠程訪問審計模塊，如果沒有的話，則需要考慮第三方遠程訪問方案對系統是否會帶來額外風險（比如定責、維保等）。

? 市場滲透率：低

? 利潤轉化率：較高

? 發展趨勢：隨著工業互聯網的發展，工業生產環境的遠程訪問審計模塊將成為系統建設的重要組成部分。然而，由于工業應用種類較多、規格也并不統一，所以該技術對于業務的緊密耦合性將成為核心競爭力。

? 相關廠商：珠海鴻瑞、天融信、萊克斯、啟明星辰、交大捷普、綠盟科技、藍盾、廣州國邁、軟云神州、任子行、雨人、上海觀安、上海紐盾、360、恒安嘉新、盛世光明、海峽信息、博智軟件、杭州迪普、中科新業等

8.1 工業網絡安全監測技術

? 基本描述：工業企業應在工業控制網絡部署可對網絡攻擊和異常行為進行識別、報警、記錄的網絡安全監測設備，及時發現、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業控制系統協議包偽造等網絡攻擊或異常行為。

? 技術定義：以帶外分光的形式，根據自有的惡意行為特征庫（比如協議惡意特征庫、行為惡意特征庫、惡意指令庫等）將數據流進行實時、非實時對比、分析，并形成可讀性較強的報告。

? 使用建議：由于工業生產環境較為敏感，不建議引入第三方串聯設備（除非經過相關認證單位風險評估），網絡安全監測技術產品則較為試用。另一方面，考慮到工業環境較為分散，基于成本原因建議將該類技術產品部署于場站中心以及重要生產系統現場。

? 市場滲透率：低

? 利潤轉化率：較高

? 發展趨勢：網絡安全監測技術產品將成為工業生產網絡的重要組件，它將為用戶提供十分直觀的生產網絡安全狀況分析結果，為事前加固、事中處置、事后溯源提供重要支撐。

? 相關廠商：威努特、天地和興、匡恩網絡、珠海鴻瑞、網藤科技、斗象科技/漏洞盒子/網藤風險感知、安點科技、博智軟件、安恒信息、知道創宇、中科網威等

8.2 工業網絡協議深度解析技術

? 基本描述：在工業企業生產核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業控制系統協議進行深度分析和過濾的防護設備，阻斷不符合協議標準結構的數據包、不符合業務要求的數據內容。

? 技術定義：使用Libpcap、pfring或者dpdk等技術對流量進行獲取，并依據相應協議棧規格，進行報文分析。

? 使用建議：由于對工業私有協議支持程度不足，目前市場上支持此類技術產品還比較少，作用也比較有限。建議用戶可以在部署審計類產品的基礎上購買此類產品，可以作為一類有益的補充。

? 市場滲透率：低

? 利潤轉化率：較高

? 發展趨勢：協議分析類技術產品市場定位為，安全審計的有益補充以及網絡運維、巡檢工具。隨著工業互聯網的發展，該技術產品應該會發展成為生產網絡運維基本組件。

? 相關廠商：科來、匡恩網絡、威努特、珠海鴻瑞、力控華康、三零衛士等

9.1 數據加密技術

? 基本描述：工業企業應對靜態存儲的重要工業數據進行加密存儲，設置訪問控制功能，對動態傳輸的重要工業數據進行加密傳輸，使用VPN等方式進行隔離保護，并根據風險評估結果，建立和完善數據信息的分級分類管理制度。

? 技術定義：依靠通信雙方約定的密碼套件，將一組信息經過密鑰及加密函數轉換，變成不可讀密文，而接收方則將此密文經過解密函數、解密密鑰還原成明文。

? 使用建議：如果生產網絡需要與外部低安全等級網絡通信，或者生產網絡業務數據本地存儲于可外部訪問的網絡，都建議使用數據加密技術（如國家能源局2015年發布的36號文附件《電力監控系統總體防護方案》就增加了對部署“線路加密措施”能力的要求，要求“遠方終端裝置、繼電保護裝置、安全自動裝置、負荷控制管理系統等基于專線通道與調度主站進行的數據通信，應采用必要的身份認證或加解密措施進行防護”）。

? 市場滲透率：中

? 利潤轉化率：較高

? 發展趨勢：隨著工業互聯網的發展，生產數據防篡改、防竊聽需求成為剛性需求，數據加密技術是解決此類問題的主要手段。

? 相關廠商： 珠海鴻瑞、深信服、天融信、藍盾、360、華為、綠盟科技、衛士通、信安世紀、奧聯科技、啟明星辰、南京易安聯、華清信安、上海紐盾、東軟、海峽信息、博智軟件、H3C、江南信安、弘積科技、山東確信等

9.2 數據備份技術

? 基本描述：工業企業應對關鍵業務數據，如工藝參數、配置文件、設備運行數據、生產數據、控制指令等進行定期備份。

? 技術定義：數據備份技術是容災的基礎，是指為防止系統出現失誤或系統故障導致數據丟失，而將全部或部分數據集合從應用主機的硬盤或陣列復制到其他的存儲介質的過程。

? 使用建議：建議用戶根據自己的數據規模、恢復時效性要求（RTO）、經費預算等指標綜合考慮。

? 市場滲透率：中

? 利潤轉化率：較高

? 發展趨勢：傳統數據備份主要采用內置或者外置的磁帶機進行冷備份，但這種方式只能防止操作失誤等認為故障，而且恢復時間較長。隨著技術不斷發展和數據量不斷增加，網絡備份依靠速度快、管理方便等優勢成為較為用戶的一種重要選擇。

? 相關廠商：上海愛數、杭州美創、火星高科、亞細亞智業、蘇州美天網絡、信核數據、上訊信息、英方股份、上海聯鼎、億備、廣州鼎鼎、和力記易、廣州鼎甲、安碼科技、南京壹進制等

? 基本描述：由于安全研究和防護策略測試的需要，各大高校、科研院所基本都有采購模擬仿真環境的需求，然而目前該技術還屬于發展階段，只能實現較為明確的業務模擬，靈活性和真實性還有提升空間。

? 技術定義：結合控制技術、計算機技術、通信技術以及仿真技術，具備對象特征模擬、網絡負載模擬、I/O模擬、過程控制模擬以及故障模擬等功能于一體的綜合技術。

? 使用建議：據筆者了解，目前該類技術產品供應商大多專注于工控安全，對具體工業行業業務邏輯深度有限，較適用于對通用性工業控制環境安全分析的環境搭建，對于行業業務仿真要求很高的需求可能適用性較低。

? 市場滲透率：中

? 利潤轉化率：較高

? 發展趨勢：傳統仿真技術還是利用真實上位機、下位機進行業務模擬，依靠matlab等軟件對物理過程進行仿真。隨著仿真技術的發展，相信會出現對于下位機（PLC、RTU、SCADA）等的模擬仿真技術。

? 相關廠商：匡恩網絡、威努特、珠海鴻瑞、力控華康、三零衛士等

1. 廠商介紹

1.2 自動化背景廠商  

這類廠商原來從事自動化相關的業務，后來看好工控安全的市場機遇，成立工控安全部門或子公司進入工控安全領域。典型廠商包括：青島海天煒業自動化控制系統有限公司、北京力控華康科技有限公司、珠海市鴻瑞軟件技術有限公司、中京天?？萍迹ū本┯邢薰?。這類公司對工控系統有比較深刻的理解，有現成的客戶資源，比如，目前青島海天煒業自動化控制系統有限公司、北京力控華康科技有限公司在石油化工行業市場上有較大的影響力，珠海市鴻瑞軟件技術有限公司在電力行業市場上有較大的影響力。其他自動化廠商，如和利時集團、浙江中控技術股份有限公司、北京四方繼保自動化股份有限公司等，主要是OEM第三方的產品，不作為主要的工控安全廠商進行分析。  

2.2 傳統IT安全廠商  

這類廠商原來從事IT信息安全的業務，工控安全作為信息安全市場的一個新興的細分市場得到關注，成立工控安全部門進入工控安全領域。典型廠商包括：啟明星辰信息技術有限公司/北京網御星云信息技術有限公司、北京神州綠盟信息安全科技股份有限公司、北京中科網威信息技術有限公司、上海三零衛士信息安全有限公司。這類公司的特點是信息安全技術積累較多，但對工控系統缺乏深刻的理解，并且由于當前業績的壓力，在工控安全方面的投入較小。目前啟明星辰信息技術有限公司、北京神州綠盟信息安全科技股份有限公司在工控安全市場上有一定的影響力。  

3.2 專業工控安全廠商  

這類廠商基本屬于近兩年成立的創業公司，整合了信息安全與自動化方面的人才，100%專注于工控安全領域。典型廠商包括：北京匡恩網絡科技有限公司、北京威努特技術有限公司、谷神星網絡科技（北京）有限公司、燈塔實驗室。這類公司的特點是專注，他們100%的業務都是工控安全，工控安全業務的成敗決定了公司的生死存亡，因此能夠全力投入。

2. 獲得銷售許可證產品介紹

工控防護主要是在不改變工控系統基礎架構的前提下，通過增加與工控系統高度集成的信息安全組件達到工控系統的信息安全目標。產品主要包括防護類產品、檢測類產品以及管理服務平臺三大類。目前主要以隔離網關（裝置）和防火墻類等硬件產品為主，兩者的市場份額共達到整體ICS信息安全市場的71%，占主導地位；安全管理平臺、安全審計、安全監測等出現一定提升；安全培訓和服務被越來越多機構和用戶接受。

工控系統網絡安全市場屬于政策性需求牽引的新興市場，由于我國大力發展“互聯網+”、“中國制造2025”等國家戰略，會持續加速推進工業控制系統與互聯網的融合進程，這也從側面推動了工業控制系統網絡安全的產業發展，市場規模將會有較大的上升空間。然而從另一個方面來看，我國從2010年左右剛剛開始進行工控系統網絡安全技術研究，相關解決方案的可用性、差異性、互補性都還有一定的不足，這也就造成了目前的市場規模還比較有限。

1. 市場容量較小但處于爆發臨界階段

從全球范圍來看，工控系統領域的信息安全尚處于初步發展階段，ICS信息安全防護、認證、標準等體系仍在完善中；因此，近幾年中國正在抓緊對于ICS信息安全標準、認證、防護等級及評估實驗室等頂層設計的建設中。在這種背景下，ICS信息安全市場產品參差不齊，用戶對于傳統信息安全和ICS信息安全的區別缺乏認知和重視程度有限，直接導致ICS信息安全市場的發展和應用水平有限，市場規模小。

我國工控系統網絡安全市場規模

從上圖可以看出，我國工控系統網絡安全產業截止到2016財年市場規模依然僅有2-3億元人民幣，而且具有比較明顯的行業分布特點（電力行業占據絕對主體）。自2016下半年來，隨著相關政策、法規、指南、標準的密集推出，相信會對石化、煙草、煙草、煤礦、軌交等行業的工控系統網絡安全建設掀起一輪帶動效應，據業內人士估計，會將市場規模推動到15-30億元人民幣的區間。

2. 客戶對工控安全產品價值認可度度有待提高

類似于工控防火墻、工控安管平臺等防護類設備，本質上應屬于信息化產品范疇。然而，應用工業控制系統的大型企業（如國家電網、發電集團等）負責信息化產品采購的部門并不能負責生產網絡的安全問題，所以這也造成了客戶對于此類產品無法進行有效價值判斷。當然，目前國家也在通過各種手段（比如組織工控信息安全大檢查、編寫工控安全標準等）來積極解決這個問題。

3. 模擬仿真平臺應逐漸分化為通用型和行業專用型

很多單位都有采購模擬仿真平臺的計劃，然而需求痛點卻不盡相同：有些為了建立實驗平臺，支撐科學研究；有的為了建立實訓基地，培養提升員工技能；有的為了模擬生產環境，測試防護策略效果等；有的僅僅是為了給領導展示本單位的安全研究能力。就目前國內模擬仿真平臺的效果來看，只能較為逼真的模擬反映特定工業控制生產過程，對攻擊流程、防護效果進行說明性演示，對于提高員工意識、進行科學實驗的需求比較適合，但是對于行業級的防護基線研究可能還僅能提供一個參考指標，需要行業專業級別模擬仿真平臺進行支撐。

4. 工業信息安全態勢感知距產業化還有段距離

雖然2017年2月2日我國已經成立了“工業互聯網聯盟”，但是真的讓工控業務系統逐漸上網，并形成“工控產業云”終歸不是一朝一夕的事情。目前，我國暴露在互聯網上的工控巨頭的資產依然主要是一些與生產系統相關性不強的信息系統。使用SHODAN也不難驗證上述想法，其檢索到的全球886種工控設備，涉及182個工控廠商，共包含2,186,971臺工控設備，而其中美國暴露的設備占據了絕大多數，中國（包含臺灣）暴露的工控設備不超過1000臺。這將成為我國開展工控風險監測業務的最大障礙。

5. 工控安全產品對業務場景的融合度有待加強

眾所周知，防火墻、交換機等傳統設備并不具有業務屬性，只是應用于不同業務場景后，才會由客戶自行針對性配置。然而，工控場景差異較大，可能A場景中的“惡意行為”在B場景中被視為“正常行為”，這固然可以通過“學習模式”很大程度得到解決，但是這樣并無法積累針對工控領域的“惡意行為分析能力”，無法給事后的行為分析提供技術支撐。

工控領域的網絡安全防護是勢在必行的趨勢，我想上邊的幾點疑問也終將會被慢慢解決。在這期間，我覺得最重要的還是在于培養工控網絡安全專業人才，讓他們在甲方推動生產部門的網絡安全建設工作，在乙方則會更加貼近用戶單位業務需求。

從全球范圍來看，工控系統領域的信息安全尚處于初步發展階段，ICS信息安全防護、認證、標準等體系仍在完善中；因此，近幾年中國正在抓緊對于ICS信息安全標準、認證、防護等級及評估實驗室等頂層設計的建設中。在這種背景下，ICS信息安全市場產品參差不齊，用戶對于傳統信息安全和ICS信息安全的區別缺乏認知和重視程度有限，直接導致ICS信息安全市場的發展和應用水平有限，市場規模小。近兩年中國ICS信息安全的行業市場格局并沒有明顯的變化，行業景氣程度也是直接影響ICS信息安全行業應用規模的主要因素。電力、石化（油氣）、先進制造等細分市場表現較好，增速高于市場平均。而冶金、煤炭等行業受經濟不景氣影響，ICS信息安全市場有所萎縮。市政、交通、軍工等其他行業的應用項目有逐年增多的跡象，并且也廣泛受到政府主管機構的重視，潛在的業務機會將會在未來逐漸顯現。

信息安全服務于工業行業，因此需首先對工業行業（尤其是電力、石油化工、先進制造等）的需求進行分析。以電力行業為例，電廠、電網的發展日益趨近于數字化、網絡化、智能化，智能儀表/控制設備、無線傳感/控制網絡等的大量采用，電廠/電網內IOT（物聯網）、IOS（服務互聯網）的推廣，對工控安全形成更大的挑戰。由于該行業信息安全規劃有具體文件參考（發改委能源局14號令和36號文），而對于其他行業則需要充分交流、探討、融合，逐步完善相關行業工控的安全防護措施，使安全防護由安全策略的部署向安全能力的部署能力遷移，逐步實現安全技術能力、安全管理能力的全面提升，實現管、控、防一體化。安全能力逐步覆蓋從系統上線、系統運行、系統運維、系統檢修等各個環節，實現工控系統安全的閉環管控。

隨著黑客攻擊越來越平民化，工業控制系統作為關鍵基礎設施的載體，必然會面臨越來越大的安全壓力，電力、石油化工、先進制造等行業對該種情況也高度重視，電力行業在2013年就發布了《電力行業等級保護標準》，能源局、各個標委會也都發布了相應的政策法規，相信信息安全產品的部署情況和信息安全能立的建設情況將成為相關重點行業業務需求的一個重點指標。

工業控制系統由于其硬件選型、網絡結構、應用環境、操作規程等在不同行業（如電力行業與制造行業等），甚至相同行業的不同流程（如發電、配電環節等）中都存在較大的差異。所以，在較短的時間內，很難有一家公司、一款產品或者一類服務形態（如安全檢測、風險評估等）可以適應所有工業行業。筆者認為，較好的發展模式應該可參考珠海鴻瑞、海天煒業、力控華康等的發展歷程：先在一個細分領域耕耘多年，然后將積累的經驗進行行業的橫向復制。

1. 廣域網工控設備搜索引擎資源

https://www.shodan.io/report/l7VjfVKc

http://ics.zoomeye.org/

http://www.ditecting.com/

2. 相關開發資源

2.1 發現類

https://code.google.com/p/plcscan

https://code.google.com/p/modscan

https://github.com/arnaudsoullie/scan7

https://github.com/atimorin

auxiliary/scanner/modbus/modbus_findunitid

auxiliary/scanner/modbus/modbusdetect

2.2 操縱類

auxiliary/scanner/modbus/modbusclient

auxiliary/admin/scada/modicon_command

auxiliary/admin/scada/igss_exec_17

auxiliary/admin/scada/multi_cip_command

Open ICS protocol libraries

https://www.scadaforce.com/modbus     [python]

https://github.com/bashwork/pymodbus  [python]

https://rubygems.org/gems/modbus-cli  [ruby]

http://libnodave.sourceforge.net      [C,C++,C#,Delphi,Pascal,Perl,VB(A)]

https://code.google.com/p/dnp3        [C++]

2.3 異常分析類

http://blog.snort.org/2012/01/snort-292-scada-preprocessors.html

http://www.digitalbond.com/tools/quickdraw/

4. fuzz類

https://github.com/jseidl/peach-pit/blob/master/modbus/modbus.xml

3. 綜合類資源

https://scadahacker.com

http://www.digitalbond.com

https://ics.sans.org/ics_library

http://plcscan.org/blog/

http://blog.iec61850.com

http://www.modbus.org/

http://scadastrangelove.blogspot.kr

http://www.slideshare.net/phdays/timorinalexander-efanov-dmitry

4. 圖書資源

（1）《工業SCADA系統信息安全技術》（2014.5.1）

講述了工業監視控制與數據采集（SCADA）系統基本概念，系統地分析工業SCADA系統存在的脆弱點和面臨的信息安全威脅，闡述了工業SCADA系統信息安全體系，論述其相應的關鍵技術；介紹了典型電力SCADA系統信息安全實際工程應用案例，并對國內外工業控制系統信息安全的發展趨勢進行了分析。讀者對象：政府、軍隊、高校、科研機構等從事工業控制系統信息安全研究的科研人員，以及相關企業進行工業控制系統信息安全開發、建設和應用的技術人員。

（2）《工業控制系統信息安全》（2015.9.1）

本書簡潔、全面地介紹了工業控制系統信息安全概念和標準體系，系統地介紹了工業控制系統架構和漏洞分析，系統地闡述了工業控制系統信息安全技術與方案部署、風險評估、生命周期、管理體系、項目工程、產品認證、工業控制系統入侵檢測與入侵防護、工業控制系統補丁管理。

（3）《工業控制系統安全等級保護方案與應用》（2015.3.1）

本書分為7章，分別介紹了工業控制系統信息安全概論、工業控制系統安全等級保護定級、工業控制系統安全等級保護要求、工業控制系統等級保護安全設計、工業控制系統安全等級保護實施、工業控制系統安全等級保護測評和工業控制系統安全等級保護方案應用。

（4）《工業網絡安全—智能電網，SCADA和其他工業控制系統等關鍵基礎設施的網絡安全》（2014.6.1）

納普所著的《工業網絡安全》一書向您解釋了作為工業控制系統基礎的特定協議和應用，并且為您提供了對它們進行保護的一些非常容易理解的指南。除了闡述合規指南、攻擊與攻擊面，甚至是一些不斷改進的安全工具外，本書還為您提供了關于SCADA、控制系統協議及其如何運作的一個清晰理解。

（5）《智能電網安全:下一代電網安全》    （2013.1.1）

本書著眼于當前智能電網的安全以及它是如何被開發和部署到全球千萬家庭中的?！吨悄茈娋W安全:下一代電網安全》詳細討論了針對智能儀表和智能設備的直接攻擊以及針對配套網絡和應用程序的攻擊，并給出如何防御這些攻擊的建議?！吨悄茈娋W安全:下一代電網安全》給出了一個針對成長中的系統如何實現安全性的框架，用來指導安全顧問與系統和網絡架構師如何防范大大小小的攻擊者，從而保證智能電網的穩健運行?！吨悄茈娋W安全:下一代電網安全》詳細介紹了如何使用新舊黑客技術來攻擊智能電網以及如何防御它們。討論當前的安全舉措。以及它們達不成所需目標的原因。找出黑客是如何利用新的基礎設施攻擊基礎設施。

（6）《智能電網信息安全指南(第1卷):智能電網信息安全戰略架構和高層要求》（2013.1.1）

本書由美國國家標準和技術研究院所著，提出了美國針對智能電網信息安全的分析框架，供相關組織根據智能電網業務特性、安全風險和漏洞制定有效的信息安全戰略參考使用。主要內容包括信息安全戰略、智能電網的邏輯架構和接口、高層安全要求、密碼和密鑰管理等，可供相關讀者閱讀學習。

（7）《智能電網信息安全指南:美國國家標準和技術研究院7628號報告(第二、第三卷)》（2014.6.1）

本書為《智能電網信息安全指南 美國國家標準和技術研究院7628號報告》第二、第三卷，內容包括隱私和智能電網、脆弱性類別、智能電網的自下而上安全分析、智能電網信息安全的研究與開發主題、標準審閱綜述、關鍵電力系統安全要求用例。該報告提出了美國針對智能電網信息安全的分析框架，供相關組織根據智能電網業務特性、安全風險和漏洞制定有效的信息安全戰略參考使用。

來源：網信防務