国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★ 張晉賓 電力規劃設計總院

隨著工控系統的進一步開放互聯、數字化、網絡化、無線化甚至全面云化，工控系統自身的網絡安全脆弱性和所面臨來自自然環境、人為失誤、設備故障、惡意軟件、工業間諜、犯罪組織、恐怖分子、境外國家力量、地區沖突與戰爭行為等方面的威脅與日俱增。據卡巴斯基ICS CERT觀察報告，2023年上半年全球有34%的工控系統（ICS）計算機探測到并屏蔽了各類惡意對象，2023年第二季度出現了自2019年以來全球最高的季度威脅水平，26.8%的ICS計算機受到影響。

在此背景下，世界主要經濟體紛紛出臺或修訂相關網絡安全法律法規，如中國《網絡安全法》《關鍵信息基礎設施安全保護條例》，美國《Cybersecurity Act》（網絡安全法）、NERC CIP（關鍵基礎設施保護）系列要求，歐盟《Directive on Security of Network and Information Systems》（revised）（網絡與信息系統安全指令2，簡稱“NIS2指令”，該指令已于2023年1月生效，并要求各成員國必須在2024年10月17日之前將該指令轉化為國家法律）等。較之第1版NIS，NIS2適用范圍大增，所適用的基礎服務包括能源（電力、區域供熱和供冷、石油、天然氣、氫氣）、藥品及疫苗制造、飲用水和廢水、交通、銀行、金融市場基礎設施、健康、數字基礎設施、信息通信技術服務管理、太空工業、中央及區域公共管理等，所適用的重要服務包括郵政與快遞服務、廢棄物管理、化學品、醫療器械制造、電子/電氣/機械/交通設備及產品制造、數字服務提供商等，并要求運營基礎服務的組織必需更有效地全鏈條管理IT（信息技術）和OT（運營技術），以及用于管理、監視、控制、保護工業正常運營的控制系統的網絡安全風險。

據MarketsandMarkets報告，工業網絡安全市場規模2022年為163億美元，預計到2028年將達到244億美元，預計從2023年到2028年的復合年增長率將達到7.7%。推動工業網絡安全市場快速增長的要素是國家及社會對工業控制系統的關注度越來越高和其遭受的網絡攻擊數量持續增多。傳統的“封堵查殺”網絡安全手段，已基本無法有效應對新形勢下系統性高強度的網絡攻擊，也難以滿足更加嚴格的網絡安全相關法律法規的要求。為此，網絡安全與功能安全一體化的深度防護、設計安全、默認安全、可信系統、零信任架構等新興的安全理念不斷涌現（限于篇幅，本文重點放在安全一體化深度防護、設計安全、默認安全）。

全球數字技術發展速度之快、輻射范圍之廣、影響程度之深前所未有，網絡化、數字化、智能化是大勢所趨，這其中以AI、量子計算等為代表的新一代數字技術會給工控網絡安全的發展帶來深遠的影響，必須提前分析預判、提前謀劃應對。

1　九位一體安全深度防護

1.1　概念

九位一體安全深度防護是指應用多層融合[即人員安全防護層、EPC（設計、采購及建造）防護層、物理安全防護層、網絡安全防護層、設備加固防護層、應用及數據安全防護層、事故響應及恢復防護層、過程自動防護層、過程設備防護層等]的系統防護方法，來對被保護對象（如關鍵工業自動化及控制系統、關鍵通信網絡、關鍵物理過程設備、安全管理中心等）進行全面、系統的深度防護。九位一體安全深度防護結構示意圖如圖1所示，從外層至內層各層分布分別為：人員安全防護層+EPC防護層+物理安全防護層+網絡安全防護層+設備加固防護層+應用及數據安全防護層+事故響應及恢復防護層+過程自動防護層+過程設備防護層，該九層構成了被防護對象的風險控制手段或風險控制措施。其中的網絡安全防護層、設備加固防護層、應用及數據安全防護層等三層屬于數字安全控制范疇，物理安全防護層、網絡安全防護層、設備加固防護層、應用及數據安全防護層等四層屬于常規意義上的網絡安全范疇，過程自動防護層、過程設備防護層屬于通常所謂的過程安全、功能安全范疇。

該方法與常規網絡安全防護方法不同，它是采用多專業分層理念來對網絡安全、過程安全、過程工程及組織的交叉風險進行綜合管控，可視為網絡安全、功能安全、組織安全等多種安全的系統集成或多種安全的融合一體化。

常規的深度防護（defense in depth）是一種采用分層、冗余的防護機制來保護資產免受網絡攻擊的網絡安全防護方法，其利用組合的網絡安全措施而不是單一的網絡安全措施來抵御網絡攻擊[如由兩個不同的防火墻所構成的DMZ（demilitarized zone），也稱“非軍事區”“屏蔽子網”，介于網絡之間作為“中立區”的邊界網絡]，且有時還考慮防護措施的多樣性，如某防護層被某種手段攻破后不應導致另一防護層也會被同一種攻擊手段所攻破（如配置不同訪問控制措施的多個網段）。從表面上看，九位一體安全深度防護似乎與常規深度防護一樣，但實質上兩者有著本質的不同。常規深度防護只是試圖延緩攻擊者的攻擊時間，所構建的縱深防御體系并未如九位一體安全深度防護一樣，設置有系統性的多專業級的網絡安全與過程安全（功能安全）一體化的綜合防護措施。試想若攻擊者攻破深度防護措施后，常規網絡安全深度防護是否還有能阻止或抵御攻擊者的其它工事？

1.2　九位一體安全深度防護模型結構

在九位一體安全深度防護模型中（如圖1所示），各個防護層之間是互聯互融的。從確保滿足綜合防護高效能視角看，外層和內層同等關鍵。

圖1 九位一體安全深度防護模型結構示意圖

該模型結構詳細說明如下：

（1）人員安全防護層。該層至關重要，其取決于所有利益相關方人員的意識、技能和信任。人員是安全防護中最為關鍵且易忽視的因素。被保護資產整個生命周期涉及到規劃人員、設計人員、制造人員、建造人員、管理人員（包括系統管理員、審計管理員和安全管理員等）、運維人員和系統用戶等各類人員。若這些參與安全的相關人員的安全意識、業務能力和相互間的溝通信任不能滿足要求，則任何一個被保護對象都難以達到真正意義的安全。因此需對主要人員進行身份、安全背景、專業資格或資質等審查，簽署安全責任協議，強化安全意識教育和培訓，嚴格進行人員離崗的管理，嚴控關鍵區域或關鍵系統的外部人員訪問等。

（2）EPC防護層。眾所周知，好產品主要是通過優良的設計和制造而得到，而并非是通過校核和檢驗而得到。設計、采購和建造對于系統安全也十分重要。在設計過程中，需確保所設計方案（包括設計目標、設計策略、設計技術規范及要求）的合理性、充分性、合規性。可信必須滲透到所有部件及其子部件，如圖2所示。在進行可信系統設計時，應基于TCM（Trusted Cryptography Module，可信密碼模塊）或TPM（Trusted Platform Module，可信平臺模塊）建立可信根，構建一級度量一級、一級信任一級、將信任關系擴大到整個系統的可信鏈，如圖3所示，從而確保系統可信驗證機制滿足要求，也可融入零信任設計機制，進一步增強系統的防護能力；在采購過程中，采購技術規范書、采購流程、合格供應商選取、所采購的安全產品均需符合相關要求，且對重要產品還需進行專業測評、專項測試，嚴格控制外包軟件開發的安全性；在建造階段，應嚴格進行安全工程的過程管理和工程監理控制，按要求做好測試驗收，并把好系統交付前的關口等。

圖2 可信工控系統各部分間的可信關系

圖3 構成可信對象的可信鏈示意圖

（3）物理安全防護層。從整個安全防護來看，物理訪問控制是工業控制系統及關鍵基礎設施等保護對象的安全防護基礎。常見的物理訪問控制措施有物理位置選擇（如滿足防震、防風、防雨、防水、防潮等要求）、物理訪問控制（如電子門禁）、防盜竊、防破壞、防雷擊、防火、防靜電、電磁防護（甚至包括防高空電磁脈沖攻擊）等措施。

（4）網絡安全防護層、設備加固防護層、應用及數據安全防護層。這三層屬平常所謂的網絡安全防護范疇，是網絡安全等級保護的核心。對于工業自動化與控制系統而言，常見的網絡安全防護措施有：邊界防護、網絡分段，訪問控制（如多因子、雙重控制、基于角色等），安全分區或安全域，入侵防范、惡意代碼和垃圾郵件防范，保護報文完整性、網絡性能監控；最小化所暴露的攻擊面、按時軟件更新；權限最小化，維持軟件完整性、控制可操作性、可觀察性及實時性能、安全組態（如讀/寫訪問、雙重控制等）；保護數據的完整性、可信性和可用性，安全審計等。

（5）事故響應及恢復防護層。本層需具有以下響應及恢復能力：①及時識別、定位、標識和遏制網絡攻擊；②根除故障及隱患：識別根原因、受損系統，恢復軟件完整性，消除脆弱性；確保移除惡意代碼、后門和根工具包，限制、關閉未經授權的訪問點；③恢復：數據恢復和災難恢復，災難恢復包括ICS（工業自動化及控制系統）數據恢復重構和過程恢復重構等。

（6）過程自動防護層。本層用于①保護運行監視完整性、過程報警完整性、邏輯完整性、功能/順序完整性、過程穩定性等；②保護控制邏輯、控制功能、控制流程，如保護系統的觸發條件、聯鎖、順序控制等；③保護過程安全功能，防止對控制獨立性和功能安全的不利影響；④分立過程控制、保護，將過程控制與主要保護分開設置，將關鍵、基礎控制與一般、常規控制分開設置，確保主要保護、基礎控制的獨立性和分散性；⑤實施職責分離原則，關鍵對象或關鍵功能采用冗余、多樣性手段，如動力源采用電源、氣源、液壓源等。

（7）過程設備防護層。本層常用防護手段有：①采用獨立的保護驅動裝置等；②應用分隔、隔離、分離、分散、冗余、多樣性等手段；③應用本質安全設計方法，強化過程（如分布式發電、微電網、微反應堆、減少危險品庫存等），衰減或抑制風險（如通過降低運行溫度、快速散熱、降低熱失控幾率，提前預警不安全工況、探測可燃氣體、及時火災報警及滅火、防爆設計等來抑制鋰離子電池儲能系統運行風險等）；④多樣化動力源、部署由網絡安全等危急工況觸發的ESD（緊急跳閘或緊急停車系統）等。

在應用該模型時，需注意風險和安全是兩個交織在一起的概念。一方面為了實現所期望的安全，首先需識別、評估所面臨的風險，通過識別和分析潛在的威脅和脆弱性，提出更有效的安全策略，所實施的安全措施對所識別的風險應具有針對性、有效性；另一方面也應謹記絕對的安全常常是難以達到的，過度嚴格的安全措施或手段不僅成本高昂而且也常常不現實或帶來副作用。因此，應基于法律法規、監管機構的要求，結合基于過程安全分析方法[如過程安全HAZOP（危險與可操作性分析）、LOPA（保護層分析）、BIA（商業影響分析）]的分析結果與基于物理攻擊場景和網絡攻擊場景的風險評估，識別出潛在后果及損失，來確立合適的風險準則，以使所采用的安全防護措施或手段（預防、探測、減輕）與組織可接受的風險等級相平衡、相匹配。

2　設計安全及默認安全

2.1　概念

長期以來，IT（信息技術）界一直循著供應商供應產品—用戶部署產品后發現脆弱性（漏洞）—用戶自行打補丁修復漏洞的惡性循環。為了打破該惡性循環，美國CISA（網絡安全和基礎設施安全局）、NSA（國家安全局）、FBI（聯邦調查局）與澳大利亞、加拿大、英國、德國、荷蘭、新西蘭等國家網絡安全相關管理部門，于2023年4月聯合提出了在產品設計和開發過程中，產品供應商宜遵循“設計安全”（security-by-design）和“默認安全”（securityby-default）的原則和方法，來確保產品在整個生命周期的高安全性及用戶維護工作量的最小化，以防止將易受攻擊的產品投入市場。

所謂“設計安全”是指供應商應將用戶的產品網絡安全作為其核心業務目標要求，而不僅僅是只考慮實現產品的單純技術功能。在產品全生命周期的設計開發階段，供應商就應實施secure-by-design（通過設計確保網絡安全）設計安全原則，在產品被投入市場廣泛使用或消費之前，就應大幅減少產品自身網絡安全缺陷的數量，并采取合理的防護措施來防止惡意網絡行為者成功獲得對設備、數據和連接的基礎設施的訪問權限。例如，軟件開發商在軟件設計開發階段，先進行網絡安全風險評估，以識別和枚舉對關鍵系統存在的普遍網絡威脅和漏洞，在設計方案中就納入應對不斷演變的網絡威脅形勢的相應保護措施。

所謂“默認安全”是指產品無需額外收費，開箱即可安全使用，一經投運即具備能夠抵御盛行的脆弱性和威脅利用技術。也就是說，安全配置是默認基線，如所有車輛標配安全帶一樣，所設計的“默認安全”產品可抵御最普遍的威脅和漏洞，用戶無需采取其它額外措施，“默認安全”產品投運后即自動啟用，保護用戶免受惡意網絡行為者攻擊所需的最重要的安全控制措施，并具備使用和進一步配置增強安全控制手段的能力。用戶需意識到，當應用中偏離安全默認時，除非施加額外的補償控制措施，否則會增加產品脆弱性。通過應用設計安全和默認安全原則，可一定程度上實現產品的網絡安全，提高可靠性和韌性。

2.2　應用

產品供應商應遵循以下3個核心原則，在產品研發、設計、制造階段，在產品配置組態、發貨前，將產品網絡安全特性融入產品設計過程中。

（1）網絡安全責任不應只落在用戶肩膀上。產品供應商也應承擔所供應產品的網絡安全責任，并相應提升其產品的網絡安全防護水平。

（2）積極提高透明度和問責制。產品供應商需承諾為用戶提供滿足通常網絡安全要求的產品，默認情況下使用強大的身份鑒別機制，以能為用戶提供安全可靠的產品而自豪，并分享所掌握的網絡安全信息（如脆弱性咨詢、通用漏洞披露等）。

（3）建立實現“設計安全”和“默認安全”目標的組織機構和領導力。不僅掌握專業技術知識的技術人員對產品安全至關重要，而且高級管理人員是組織實施變革的主要決策者，其作用力也不容小覷。

以安全軟件開發為例，在設計過程中需始終貫徹“設計安全”原則，參考SSDF（安全軟件開發架構）要求，至少遵循以下最佳實踐，以確保軟件按照程序員的意圖運行，而不是按照攻擊者的欺騙方式運行：

·內存安全編程語言。內存處于網絡倒金字塔的最底層，如圖4所示，是網絡安全的基礎，應盡可能優先使用內存安全編程語言。

圖4 網絡金字塔

·安全硬件基礎。采用具備細顆粒度內存保護功能的體系架構，如CHERI（能力硬件增強RISC指令）。

·安全軟件組件。采購已驗證的且具有良好安全性能的軟件組件（如軟件庫、模塊、中間件、框架等）并保持其處于最佳狀態。

·Web模板框架。采用具備用戶輸入自動轉義功能的Web模板框架，以避免如跨站點腳本等Web攻擊。

·參數化查詢。使用參數化查詢，而不是在查詢中包含用戶輸入，以避免SQL注入攻擊。

·靜態和動態應用程序安全測試（SAST/DAST）。使用SAST/DAST工具來分析產品源代碼和應用程序行為，以檢測出錯誤。

·代碼評審。通過開發人員的同行評審，以確保代碼的高質量。

·軟件材料清單（SBOM）。創建SBOM，以納入產品的軟件集。

·漏洞披露計劃。建立漏洞披露計劃，采取必要的措施識別安全漏洞和隱患。

·CVE完整性。確保發布的CVE（通用漏洞披露）包括根原因或通用弱點枚舉（CWE），以實現軟件安全根原因的行業分析。

·深度防御。設計深度防御基礎架構，以使單個安全控制措施的損壞不會導致整個系統遭受破壞。

·網絡性能目標。設計符合基本安全實踐的產品。

此外，在貫徹“默認安全”原則時，可執行根除默認密碼、特權用戶強制采用多因子鑒別、單點登錄（SSO）、安全日志記錄（包括審計日志）、軟件授權配置文件、向前安全優于向后兼容、考慮安全設置對用戶體驗的影響等良好實踐。

3　網絡安全發展分析

隨著數字化轉型的不斷推進，數字技術已深入到工業過程的各個點線面。邊緣計算、去中心化的安全管理、AI（人工智能）、量子計算、分布式賬簿等不斷涌現的數字技術，對工控網絡安全的發展產生了深遠的影響。

3.1　邊緣計算

隨著微處理器、存儲器密度、分布式計算、通信等技術/經濟層面的快速進步，加之智慧城市、智能工廠等新基建建設進程的快速推進，邊緣計算的應用逐漸增多。嵌入工業微服務的邊緣設備可進行高效的自主決策，現場測量感知、采集的信息不需要傳輸到集中管理層，即可通過邊緣計算智能功能做出快速處理和響應。隨著邊緣計算能力的增強，可在現場設備中直接集成增強的網絡安全功能，進行更加有效實時的工控網絡安全管理。

3.2　去中心化的網絡安全管理

隨著數字設備、智能設備的泛在化，常規集中網絡安全管理系統的實施難度、運營效力和實時效率堪憂。相反，充分利用SDN（軟件定義網絡）、SDP（軟件定義平臺）、端點設備私鑰、分鑰等技術，將網絡安全單獨嵌入到各個現場設備中，并為設備建立做出安全決策所需的安全策略和規則，由智能設備自主做出決策和應對，從而提升通信的安全性、端點的完整性和安全性，已經成為一種更具可擴展性的新方法。

3.3　工業AI

AI在多數工程和技術相關領域已無處不在，在網絡安全領域尤其如此。AI一方面已被防御者用于快速高效分析海量數據，實時探測安全威脅和惡意活動，甚至是預測將發生的威脅和惡意活動，并實時進行自主響應；另一方面也被攻擊者用以進行社會工程攻擊和制造新型惡意軟件等網絡犯罪行為。可運用AI技術來增強工控系統的網絡安全防御能力：

（1）快速高效地分析存儲在數據湖、數據倉庫（包括實時或歷史數據庫）中的感知、測量、執行、控制、通信等海量數據信號，以及結構化和非結構化數據；（2）更高效地管理工控系統的脆弱性；

（3）實時探測或預測安全威脅和惡意活動；

（4）減少與安全相關的人為錯誤；

（5）根據安全策略或規則，快速進行自主響應。

3.4　量子計算

敏感數據（如遠程控制、銀行轉賬、企業間商業秘密等）目前使用公鑰加密技術進行數據保護，這些加密技術是基于常規計算機無法輕易解決的數學問題。量子計算機現仍處于初級階段，但量子計算潛在的強大算力，會使現行的公鑰密碼學“注定失效”，從而使組織無法確保其所依賴的運行、交易及其它敏感數據的機密性、完整性和可用性。

NIST（美國國家標準與技術研究院）從2016年起開始研發能抗量子計算的密碼算法，當前已提出了CRYSTALS-Kyber（擬用于通用的加密，如創建安全網站）、CRYSTALS-Dilithium（擬用于數字簽名）、SPHINCS+（擬用于數字簽名）和FALCON（擬用于數字簽名）等4種后量子時代的密碼算法標準草案，并正在全球密碼界征集對標準草案的反饋。

3.5　分布式賬簿

DLT（分布式賬簿技術）或區塊鏈技術是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新型集成應用模式或范式。工控系統，特別是IIoT（工業物聯網）系統，可用DLT生成不可篡改的網絡安全日志、審計報告，以及與IIoT組件的交互日志或網絡安全供應鏈協議記錄等。使用不同的賬簿數據庫技術、不同的共識算法和不同的合約語言來定義交易的DLT實現會逐漸增多，這使得DLT技術能夠應用于涉及多個參與方的安全用例，如分布式網絡安全通信、分布式安全審計、分布式存儲數據等場合。

4　結語

數字經濟無處不在，新興數字技術層出不窮，隨之而來的網絡安全風險也與日俱增。傳統的網絡安全防護理念、機制等已不能很好地適應新形勢、新環境、新法規的要求。為此，應緊密跟蹤對網絡安全有著潛在較大影響的新技術，并加大對新興網絡安全理念及技術的研究、試驗示范和推廣應用。

作者簡介

張晉賓（1967-），男，山西陽城人，正高級工程師，工學碩士，現就職于電力規劃設計總院，主要從事自動化、信息化工程設計、智庫及管理方面的研究。

參考文獻：

[1] Kaspersky. Attacks on industrial sector hit record in second quarter of 2023[EB/OL]. (2023-09-13) [2023-12-17].

[2] EU. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)[R]. 2022.

[3] Cybersecurity and Infrastructure Security Agency. Shifting the Balance of Cyber-security Risk: Principles and Approaches for Security-by Design and-Default[R]. 2023.

[4] 張晉賓. 可信工業自動化和控制系統研發之探討[J]. 自動化博覽, 2021, 38 (4).

[5] Industrial Internet Consortium. Industrial Internet of Things Security Framework [R]. 2023.

[6] 張晉賓, 張子立, 李云波. 區塊鏈: 概覽、國際標準及在能源領域的應用分析[J]. 華電技術, 2020, 42 (8).

摘自《自動化博覽》2024年1月刊