工業(yè)互聯(lián)網(wǎng)安全風(fēng)險態(tài)勢報告

1、工業(yè)互聯(lián)網(wǎng)安全風(fēng)險態(tài)勢報告（2022）工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室2022.3 可修改 歡迎下載 精品 Word主要觀點² 暴露在外的攻擊面越來越大，工業(yè)互聯(lián)網(wǎng)安全將迎來更高的挑戰(zhàn)。中國暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)聯(lián)網(wǎng)設(shè)備達到6223個，排名全球第五。² 工業(yè)互聯(lián)網(wǎng)安全漏洞數(shù)量快速增長，類型多樣化特性明顯，高危漏洞占比較高，安全形式日益嚴(yán)峻。² 工控漏洞技術(shù)類型多達30種以上，無論攻擊者利用何種漏洞造成生產(chǎn)廠區(qū)的異常運行，均會影響工控系統(tǒng)組件及設(shè)備的靈敏性和可靠性，造成嚴(yán)重的安全問題。² 建立工業(yè)互聯(lián)網(wǎng)安全戰(zhàn)略推進時間表，推進實現(xiàn)近期、中期、遠期的

2、工作目標(biāo)；近期：安全意識培訓(xùn)、資產(chǎn)識別、工業(yè)主機（端點）防護；中期：建立共同的IT/OT安全運營模式、做好網(wǎng)絡(luò)安全控制和實時監(jiān)測、提高OT流程的成熟度；遠期：對工控系統(tǒng)進行定期滲透測試、漏洞掃描、部署新的OT安全工具和技術(shù)、持續(xù)評估IT/OT一體化帶來的安全風(fēng)險。摘要² 全球工控系統(tǒng)聯(lián)網(wǎng)組件總數(shù)量為175632個，主要集中在美洲和歐洲國家，中國聯(lián)網(wǎng)組件總數(shù)量為6223個，超出意大利365個，排名全球第五；² 在所有的工控系統(tǒng)組件中，工控設(shè)備的暴露是最為危險的。工控設(shè)備的暴露意味著攻擊者有可能直接對設(shè)備本身發(fā)動攻擊；² 工業(yè)互聯(lián)網(wǎng)安全漏洞數(shù)量快速增長，安全形式日益嚴(yán)

3、峻；² 類型多樣化特性明顯，且高危漏洞占比較高；² 漏洞涉及行業(yè)廣泛，以制造業(yè)、能源行業(yè)為主；² 漏洞涉及廠商以國際廠商為主；² 很多工業(yè)企業(yè)的信息中心管理OT網(wǎng)絡(luò)和服務(wù)器的連接性和安全性，但往往對于OT網(wǎng)絡(luò)上的生產(chǎn)設(shè)備與控制系統(tǒng)的連接性沒有管轄權(quán)限，安全責(zé)任模糊；² 較多工業(yè)企業(yè)的IT和OT網(wǎng)絡(luò)并沒有進行有效的隔離；部分工業(yè)企業(yè)雖然進行了分隔，并設(shè)置了訪問策略，但總有員工為方便，私自設(shè)置各類雙網(wǎng)卡機器，應(yīng)加強安全意識培訓(xùn)；² 建立工業(yè)互聯(lián)網(wǎng)安全戰(zhàn)略推進時間表，推進實現(xiàn)近期、中期、遠期的工作目標(biāo)。目 錄研究背景1第一章工控系統(tǒng)互聯(lián)網(wǎng)暴

4、露情況2第二章工業(yè)互聯(lián)網(wǎng)安全漏洞分析4一、安全漏洞數(shù)量快速增長，安全形式日益嚴(yán)峻4二、安全漏洞類型多樣化特性明顯5三、高危漏洞占比較高5四、漏洞涉及廠商以國際廠商為主6五、漏洞涉及行業(yè)廣泛，以制造業(yè)、能源行業(yè)為主6第三章工業(yè)互聯(lián)網(wǎng)安全威脅8一、OT安全管理不到位8二、IT和OT安全責(zé)任模糊8三、IT安全控制在OT領(lǐng)域無效8四、缺乏OT資產(chǎn)和漏洞的可見性8五、工業(yè)主機幾乎“裸奔”8六、IT和OT網(wǎng)絡(luò)混雜缺防護9第四章工業(yè)互聯(lián)網(wǎng)安全推進建議10附錄一 工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室11 研究背景在政策與技術(shù)的雙輪驅(qū)動下，工業(yè)控制系統(tǒng)正在越來越多地與企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)相連接，并與新型服務(wù)模式相

5、結(jié)合，逐步形成了工業(yè)互聯(lián)網(wǎng)架構(gòu)。工業(yè)互聯(lián)網(wǎng)是數(shù)字浪潮下，工業(yè)體系和互聯(lián)網(wǎng)體系的深度融合的產(chǎn)物，是新一輪工業(yè)革命的關(guān)鍵支撐。工業(yè)互聯(lián)網(wǎng)的發(fā)展一方面極大的促進了生產(chǎn)效率和服務(wù)水平的提高，另一方面也使原本封閉的系統(tǒng)變得越來越開放，致使系統(tǒng)安全風(fēng)險和入侵威脅不斷增加，網(wǎng)絡(luò)安全問題日益突出。工業(yè)互聯(lián)網(wǎng)目前已經(jīng)廣泛應(yīng)用于電力、交通、石油、取暖、制造業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，一旦發(fā)生安全事件，往往會造成巨大的損失和廣泛的影響。但是，由于工業(yè)互聯(lián)網(wǎng)環(huán)境的特殊性，傳統(tǒng)的IT信息安全技術(shù)并不能完全有效的保護工業(yè)系統(tǒng)的安全，甚至很多常用的安全技術(shù)都不能直接應(yīng)用于工業(yè)網(wǎng)絡(luò)的安全防護。對于工業(yè)互聯(lián)網(wǎng)安全的分析與防護，需

6、要使用一些專門的方法和專用的技術(shù)。工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室（以下簡稱“聯(lián)合實驗室”）于2017年發(fā)布IT/OT一體化工業(yè)信息安全態(tài)勢報告，總結(jié)分析IT/OT融合帶來的新挑戰(zhàn)，給出工業(yè)信息安全建議和展望。為給政府部門、科研機構(gòu)和工業(yè)企業(yè)提供參考和借鑒，工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室（以下簡稱聯(lián)合實驗室）編撰了工業(yè)互聯(lián)網(wǎng)安全風(fēng)險態(tài)勢報告（2022）。本報告對工業(yè)互聯(lián)網(wǎng)安全漏洞的分析，采用了一種新型漏洞評分系統(tǒng)，將可見性、可控性、漏洞利用目標(biāo)服役情況等體現(xiàn)工控安全特性的指標(biāo)納入量化評估范圍。報告以聯(lián)合實驗室漏洞庫收錄的工業(yè)控制系統(tǒng)相關(guān)的漏洞信息為基礎(chǔ)，綜合參考CVE、NVD、C

7、NVD、CNNVD四大公開漏洞平臺發(fā)布的漏洞信息，分析工業(yè)互聯(lián)網(wǎng)安全風(fēng)險態(tài)勢，編撰了工業(yè)互聯(lián)網(wǎng)安全風(fēng)險態(tài)勢報告（2022）。此外，本報告分析暴露在互聯(lián)網(wǎng)上的工控組件和安全威脅，最后提出工業(yè)互聯(lián)網(wǎng)安全推進建議。工業(yè)互聯(lián)網(wǎng)安全風(fēng)險態(tài)勢報告內(nèi)容被綜合收錄到 IT/OT一體化工業(yè)信息安全態(tài)勢報告（2022）年度報告中。IT/OT一體化工業(yè)信息安全態(tài)勢報告（2022）是續(xù)2022年發(fā)布IT/OT一體化工業(yè)信息安全態(tài)勢報告（2017）后，總結(jié)分析2022年工業(yè)互聯(lián)網(wǎng)IT/OT融合帶來的新挑戰(zhàn)，安全現(xiàn)狀、產(chǎn)業(yè)發(fā)展趨勢、重大應(yīng)用案例等，給出2022年工業(yè)信息安全建議和展望。最后，希望本報告能夠幫助讀者對工業(yè)互

8、聯(lián)網(wǎng)安全有一個更加全面、前沿的認(rèn)識。第一章 工控系統(tǒng)互聯(lián)網(wǎng)暴露情況工控系統(tǒng)在互聯(lián)網(wǎng)上的暴露問題是工業(yè)互聯(lián)網(wǎng)安全的一個基本問題。所謂“暴露，是指我們可以通過互聯(lián)網(wǎng)直接對某些與工控系統(tǒng)相關(guān)的工業(yè)組件，如工控設(shè)備、協(xié)議、軟件、系統(tǒng)等，進行遠程訪問或查詢。造成工控系統(tǒng)暴露的主要原因之一是“商業(yè)網(wǎng)絡(luò)（IT）”與“工業(yè)網(wǎng)絡(luò)（OT）”的不斷融合。IT與OT網(wǎng)絡(luò)的連通在拓展了工業(yè)控制系統(tǒng)發(fā)展空間的同時，也帶來了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。近年來，企業(yè)為了管理與控制的一體化，實現(xiàn)生產(chǎn)和管理的高效率、高效益，普遍推進生產(chǎn)執(zhí)行系統(tǒng)，實現(xiàn)管理信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換，實現(xiàn)工業(yè)控制系統(tǒng)和管理信息系統(tǒng)的集成。如此一

9、來，如果未能做好必要的分隔管控工作，就會導(dǎo)致原本封閉的OT系統(tǒng)，通過管理系統(tǒng)與互聯(lián)網(wǎng)互通、互聯(lián)后，面臨從互聯(lián)網(wǎng)側(cè)傳播進來的各類網(wǎng)絡(luò)攻擊風(fēng)險。工控系統(tǒng)的直接連接到互聯(lián)網(wǎng)，也稱為“暴露”在互聯(lián)網(wǎng)上，這個問題要一分為二的來看待：一方面，某地區(qū)工控系統(tǒng)在互聯(lián)網(wǎng)上暴露的越多，往往說明該地區(qū)工業(yè)系統(tǒng)的信息化程度越高，工業(yè)互聯(lián)網(wǎng)越發(fā)達；而另一方面，因為絕大多數(shù)的工業(yè)組件其實并不需要通過互聯(lián)網(wǎng)進行遠程操作，因此，暴露的比例越大，也往往意味著工業(yè)系統(tǒng)在信息化的同時，沒有充分的做好必要的隔離工作，系統(tǒng)遭遇攻擊和入侵的風(fēng)險也越大。美國安全公司Positive technologies的監(jiān)測數(shù)據(jù)較好的反映了全球范圍內(nèi)

10、，工業(yè)組件在互聯(lián)網(wǎng)上的暴露情況。為了收集在互聯(lián)網(wǎng)上具有可訪問性的工業(yè)控制系統(tǒng)站點及組件， Positive technologies采用被動方式，使用可公開訪問的引擎：Google、Shodan（shodan. io）、 Censys（censys. io）對全球工業(yè)系統(tǒng)進行了搜索。其中，Shodan 和Censys可搜索工業(yè)服務(wù)器、路由器、專用攝像頭等設(shè)備的聯(lián)網(wǎng)情況。根據(jù)Positive Technologies2022研究數(shù)據(jù)顯示：當(dāng)前全球工控系統(tǒng)聯(lián)網(wǎng)暴露組件總數(shù)量約為17.6萬個。從這些工業(yè)組件的國家和地域分布來看，聯(lián)網(wǎng)的工控組件主要集中在美洲和歐洲國家，其中美洲占比達到40%以上。這也

11、是為什么工業(yè)互聯(lián)網(wǎng)安全事件多集中在歐洲和美洲等發(fā)達國家的主要原因。從具體國家來看，美國的工控系統(tǒng)組件聯(lián)網(wǎng)暴露情況最為嚴(yán)重，達到64287個；其次是德國， 13242個；法國排名第三，7759個。中國排名全球第五，位列加拿大之后，為6223個。全球各國工控系統(tǒng)聯(lián)網(wǎng)組件暴露數(shù)量及分布情況如下圖。在所有的工控系統(tǒng)組件中，工控設(shè)備的暴露是最為危險的。工控設(shè)備的暴露意味著攻擊者有可能直接對設(shè)備本身發(fā)動攻擊。基于全國全球的主動探測，360工業(yè)互聯(lián)網(wǎng)安全大數(shù)據(jù)分析平臺 哈勃平臺收錄了2022國內(nèi)以及全球范圍內(nèi)，暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)設(shè)備數(shù)量。該平臺統(tǒng)計的工控設(shè)備主要包括PLC、DCS、DTU、SCAD

12、A等設(shè)備。統(tǒng)計顯示，2022年全年，中國和全球的工控設(shè)備暴露數(shù)量基本處于穩(wěn)定狀態(tài)，2022年末比2022年初有稍微增長，在2022年4月份中國和全球的工控設(shè)備有稍微增長趨勢。暴露的工控設(shè)備數(shù)量折線圖如下所示。第二章 工業(yè)互聯(lián)網(wǎng)安全漏洞分析安全漏洞問題是工業(yè)互聯(lián)網(wǎng)面臨的又一個頑疾。特別的，與一般的IT系統(tǒng)不同，受到生產(chǎn)環(huán)境的約束，很多的工業(yè)系統(tǒng)安全漏洞即便已知，也未必能有條件進行修復(fù)。本節(jié)主要以聯(lián)合實驗室漏洞庫收錄的工業(yè)控制系統(tǒng)相關(guān)的漏洞信息為基礎(chǔ)，綜合參考了Common Vulnerabilities & Exposures（CVE）、National Vulnerability Da

13、tabase（NVD）、中國國家信息安全漏洞共享平臺（CNVD）及國家信息安全漏洞庫（CNNVD）所發(fā)布的漏洞信息，從工控漏洞的年度變化趨勢、等級危害、漏洞類型、漏洞涉及行業(yè)、漏洞設(shè)備類型等方面分析工業(yè)控制系統(tǒng)的安全威脅態(tài)勢及脆弱性。本報告中的工控漏洞風(fēng)險評估方法，基于通用漏洞評分系統(tǒng)，將可見性、可控性、漏洞利用目標(biāo)服役情況等體現(xiàn)工控安全特性的指標(biāo)納入量化評估范圍。該方法使用改進的工控漏洞風(fēng)險評估算法，既可以生成工控漏洞的基礎(chǔ)評分、生命周期評分，也可以用于安全人員結(jié)合實際工控安全場景的具體需求以生成環(huán)境評分。一、 安全漏洞數(shù)量快速增長，安全形式日益嚴(yán)峻根據(jù)中國國家信息安全漏洞共享平臺（CNVD

14、）統(tǒng)計數(shù)據(jù)顯示，自2000年-2009年， CNVD每年收錄的工控系統(tǒng)漏洞數(shù)量一直保持在個位數(shù)。但到了2022年，該數(shù)字一下子攀升到32個，次年又躍升到190個。這和情況的發(fā)生與2022年發(fā)現(xiàn)的Stuxnet蠕蟲病毒（震網(wǎng)病毒）有直接關(guān)系。Stuxnet病毒是世界上第一個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒，自此業(yè)界對工業(yè)控制系統(tǒng)的安全性普遍關(guān)注，工業(yè)控制系統(tǒng)的安全漏洞數(shù)量增長迅速。不過，從2022年-2022年，CNVD收錄的工控系統(tǒng)漏洞數(shù)量，又呈現(xiàn)了一個持續(xù)的穩(wěn)中有降的態(tài)勢。直到2022年底至2022年初的烏克蘭大停電事件之后，工控系統(tǒng)漏洞的發(fā)現(xiàn)再次進入高速增長期：2022年191個；20

15、22年351個；而到了2022年，增長到了442個。二、 安全漏洞類型多樣化特性明顯在2022年四大漏洞平臺收錄的工業(yè)控系統(tǒng)漏洞中，漏洞成因多樣化特征明顯，技術(shù)類型多達30種以上。其中，拒絕服務(wù)漏洞（103）、緩沖區(qū)溢出漏洞（54）和訪問控制漏洞(32)數(shù)量最多，最為常見。攻擊者可以利用多樣化的漏洞獲取非法控制權(quán)、通過遍歷的方式繞過驗證機制、發(fā)送大量請求造成資源過載等安全事故。實際上，無論攻擊者無論利用何種漏洞造成生產(chǎn)廠區(qū)的異常運行，均會影響工控系統(tǒng)組件及設(shè)備的靈敏性和可靠性，造成嚴(yán)重的安全問題。三、 高危漏洞占比較高在2022年四大漏洞平臺收錄的工業(yè)控系統(tǒng)漏洞中，高危漏洞占比53.6%，中危

16、漏洞占比為36.4%，中高危漏洞占比達到90%。漏洞危害等級分布如下：四、 漏洞涉及廠商以國際廠商為主在2022年四大平臺新收錄的工業(yè)控制系統(tǒng)漏洞中，涉及到的前八大工控廠商中有七個為國際廠商，一個為中國臺灣廠商。這些廠商分別為西門子（Siemens）、施耐德（Schneider）、研華（Advantech）、羅克韋爾（Rockwell）、歐姆龍（Omron）、摩莎（Moxa）、富士電機（Fuji Electric）和思科（Cisco）。漏洞涉及主要廠商情況如下圖所示：需要說明的事，雖然安全漏洞在一定程度上反映了工控系統(tǒng)的脆弱性，但不能僅通過被報告的廠商安全漏洞數(shù)量來片面判斷比較廠商產(chǎn)品的安全性

17、。因為一般來說，一個廠商的產(chǎn)品越是使用廣泛，越會受到更多安全研究者的關(guān)注，因此被發(fā)現(xiàn)安全漏洞的可能性也越大。某種程度上來說，安全漏洞報告的廠商分布，更多程度上反映的是研究者的關(guān)注度。五、 漏洞涉及行業(yè)廣泛，以制造業(yè)、能源行業(yè)為主在2022年四大平臺新收錄工業(yè)控制系統(tǒng)安全漏洞中，多數(shù)分布在制造業(yè)、能源、水務(wù)、醫(yī)療、食品、石化、軌道交通、冶金、市政、信息技術(shù)等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。制造業(yè)占比最高，涉及的相關(guān)漏洞數(shù)量占比達到30.6%，打破了近幾年能源行業(yè)穩(wěn)居第一的局面，能源行業(yè)涉及的相關(guān)洞數(shù)量為23.9%。漏洞行業(yè)分布圖如下：第三章 工業(yè)互聯(lián)網(wǎng)安全威脅聯(lián)合實驗室在對工業(yè)企業(yè)進行廣泛、深入的研究的過程中

18、，總結(jié)出了當(dāng)前國內(nèi)工業(yè)企業(yè)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域面臨的六大主要安全威脅。一、 OT安全管理不到位在很多大中型工業(yè)企業(yè)中，IT安全管理一般措施比較到位，但OT安全管理措施卻有顯著疏失。盡管企業(yè)大小不同，但一般IT安全由企業(yè)的信息中心或?qū)ｉT團隊管理。其中，制造業(yè)、石油石化、天然氣，公用事業(yè)等行業(yè)的IT安全管理比其他行業(yè)更成熟。但一般來說，這些工業(yè)企業(yè)的安全管理和策略沒有為OT做針對性定制，OT網(wǎng)絡(luò)和資產(chǎn)及其網(wǎng)絡(luò)安全多年未被覆蓋和管理。二、 IT和OT安全責(zé)任模糊很多工業(yè)企業(yè)的信息中心管理OT網(wǎng)絡(luò)和服務(wù)器的連接性和安全性，但往往對于OT網(wǎng)絡(luò)上的生產(chǎn)設(shè)備與控制系統(tǒng)的連接性沒有管轄權(quán)限；而這些設(shè)備、控制系統(tǒng)也

19、是互聯(lián)的，有些就是基于IT技術(shù)實現(xiàn)的，如：操作員站、工程師站等。因此，常見的IT威脅對OT系統(tǒng)也有影響。OT的運維團隊一般會對生產(chǎn)有效性負(fù)責(zé)，但往往并不對網(wǎng)絡(luò)安全負(fù)責(zé)。對于很多工業(yè)企業(yè)來說，生產(chǎn)有效性通常都比網(wǎng)絡(luò)安全性更重要。三、 IT安全控制在OT領(lǐng)域無效較多工業(yè)企業(yè)在OT設(shè)置中使用IT安全控制，但沒有考慮其對OT的影響。 例如，國內(nèi)某汽車企業(yè)，IT安全團隊按照IT安全要求主動掃描OT網(wǎng)絡(luò)，結(jié)果導(dǎo)致汽車生產(chǎn)線PLC出現(xiàn)故障，引起停產(chǎn)。從實踐來看，較多工業(yè)企業(yè)基本不做OT安全評估，即使做OT安全評估，也是由IT安全服務(wù)商執(zhí)行。而IT安全評估通常不包括OT網(wǎng)絡(luò)的過程層和控制層，即使對這兩層進行評

20、估，也只能采用問卷方式而不能使用工具。執(zhí)行這些評估的人員通常是IT安全專家，對OT領(lǐng)域也不甚了解。四、 缺乏OT資產(chǎn)和漏洞的可見性工業(yè)企業(yè)的IT團隊一般不負(fù)責(zé)OT的資產(chǎn)，而是由OT團隊負(fù)責(zé)OT資產(chǎn)。但因為生產(chǎn)線系統(tǒng)是歷經(jīng)多年由多個自動化集成商持續(xù)建設(shè)的，因此OT團隊對OT資產(chǎn)的可見性十分有限，甚至沒有完整的OT資產(chǎn)清單，關(guān)于OT資產(chǎn)的漏洞基本上無人負(fù)責(zé)和收集。五、 工業(yè)主機幾乎“裸奔”工業(yè)企業(yè)的OT網(wǎng)絡(luò)中存在著大量工業(yè)主機，如：操作員站、工程師站、歷史數(shù)據(jù)服務(wù)器、備份服務(wù)器等。這些PC或服務(wù)器上運行的實時數(shù)據(jù)庫、監(jiān)視系統(tǒng)、操作編程系統(tǒng)等，向上對IT網(wǎng)絡(luò)提供數(shù)據(jù)，向下對OT中的控制設(shè)備及執(zhí)行器進

21、行監(jiān)視和控制，它們是連接信息世界和物理世界的“關(guān)鍵之門”。但在實際系統(tǒng)中，這些工業(yè)主機上面基本沒有任何安全防護措施，即使有一部分有防護措施，但因沒有進行更新已經(jīng)失效，工業(yè)主機幾乎處在“裸奔”狀態(tài)。近年來不斷發(fā)生的各類工業(yè)安全事件中，首先遭到攻擊或受影響往往都是工業(yè)主機。六、 IT和OT網(wǎng)絡(luò)混雜缺防護很多工業(yè)企業(yè)的IT和OT網(wǎng)絡(luò)并沒有進行有效的隔離，部分工業(yè)企業(yè)雖然進行了分隔，并設(shè)置了訪問策略，但總有員工為方便，私自設(shè)置各類雙網(wǎng)卡機器，使得IT、OT網(wǎng)絡(luò)中存在許多不安全、也不被掌握的通信通道。OT系統(tǒng)往往由不同集成商在不同時間建設(shè)，使用不同的安全標(biāo)準(zhǔn)。因此，當(dāng)需要集成商進行維修維護時，工作人員經(jīng)

22、常會開放遠程維護端口，而且這些端口往往不采用任何安全防護措施，甚至有將常見端口打開后忘記關(guān)閉的情況發(fā)生，從而增加工業(yè)互聯(lián)網(wǎng)的攻擊剖面。第四章 工業(yè)互聯(lián)網(wǎng)安全推進建議安全治理是一個長期且復(fù)雜的過程，難以一蹴而就，需要循序漸進。結(jié)合工業(yè)互聯(lián)網(wǎng)安全風(fēng)險和威脅，總結(jié)工業(yè)互聯(lián)網(wǎng)安全推進建議。整體來看，可以分為三個目標(biāo)階段：近期、中期、遠期的工作目標(biāo)。工業(yè)互聯(lián)網(wǎng)安全戰(zhàn)略推進時間表如下所示。近期目標(biāo)強調(diào)對團隊成員的安全意識培訓(xùn)；同時對OT資產(chǎn)進行充分管理，包括清點、分類、跟蹤記錄等。OT資產(chǎn)一般包括設(shè)備、過程、軟件、網(wǎng)絡(luò)資源、人員等。根據(jù)OT資產(chǎn)相對應(yīng)的風(fēng)險等級，制定安全應(yīng)對方案，提高OT資產(chǎn)的可見性和可控性；工業(yè)主機是連接信息世界、物理世界的門戶，實施工業(yè)主機（端點）防護。中期目標(biāo)是統(tǒng)一IT/OT安全治理工作正式化；建立共同的IT/OT安全運營模式；修訂現(xiàn)有的安全策略框架；使用工業(yè)防火墻、流量監(jiān)測實施IT/OT網(wǎng)絡(luò)安全控制和實時監(jiān)測；提高OT安全流程的成熟度。遠期目