新一代智能工控系統(tǒng)網(wǎng)絡(luò)安全合規(guī)解決方案

NEWGENERATIONOF

INTELLIGENT

INDUSTRIALCONTROLSYSTEM新一代智能工控系統(tǒng)網(wǎng)絡(luò)安全合規(guī)解決方案NETWORKSECURITYCOMPLIANCESOLUTIONS目

錄

CONTENTS■新一代智能工控系統(tǒng)概述■

新一代工控系統(tǒng)新特性帶來的安全風(fēng)險■國家工控領(lǐng)域網(wǎng)絡(luò)安全法規(guī)■新一代智能工控系統(tǒng)網(wǎng)絡(luò)安全合規(guī)解決方案■

方案總結(jié)與展望工業(yè)發(fā)展歷程人類工業(yè)生產(chǎn)歷經(jīng)四次飛躍：從機械化引領(lǐng)規(guī)模生產(chǎn)，到電氣化注入強勁動力，再至自動化大幅提升效率，直至智能化引領(lǐng)全面革新，網(wǎng)絡(luò)化、柔性化生產(chǎn)快速響應(yīng)市場，推動產(chǎn)業(yè)鏈協(xié)同發(fā)展，共筑新時代工業(yè)輝煌。以智能制造為核心的第四次工業(yè)革命，深度融合了IT、Al、物聯(lián)網(wǎng)、

5G與大數(shù)據(jù)技術(shù)，引領(lǐng)了制造業(yè)

的智能化、網(wǎng)絡(luò)化、信息化轉(zhuǎn)型。

這場革命催生了全新的商業(yè)模式

和服務(wù)模式，為全球經(jīng)濟和社會

發(fā)展注入了新的活力。自20世紀70年代一直到現(xiàn)在，電子與信息技術(shù)的廣泛應(yīng)用，使得

制造過程不斷實現(xiàn)自動化，通過

自動化的產(chǎn)線、裝備實現(xiàn)按計劃

的、規(guī)?；漠a(chǎn)品生產(chǎn)，這是第

三次工業(yè)革命。19世紀后半期至20世紀初，在勞動分工的基礎(chǔ)上，采用電力驅(qū)動

的制造裝備迅速普及，讓工業(yè)生

產(chǎn)以流水線的方式實現(xiàn)產(chǎn)品的規(guī)

?；可a(chǎn)，稱為第二次工業(yè)

革命。/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)概述18世紀60年代，資本主義國家基本上完成了農(nóng)業(yè)革命，1784年，

隨著第一臺蒸汽驅(qū)動的紡織機出

現(xiàn)，標志著工業(yè)革命的開始，工

業(yè)生產(chǎn)正式進入機械化時代。柔性制造與定制化生產(chǎn)：·

柔性制造的需求廣泛，強調(diào)以消費者需求為

導(dǎo)向的定制化生產(chǎn)。這種生產(chǎn)方式與傳統(tǒng)的

大規(guī)模量產(chǎn)模式不同，更能滿足日益多樣化

的客戶需求。未來工業(yè)產(chǎn)線形態(tài)的思考：·

某汽車生產(chǎn)企業(yè)認為未來工業(yè)產(chǎn)線的機器人

和現(xiàn)場控制應(yīng)以資源池形態(tài)存在，工作單元

需全局可配置、可編排。這體現(xiàn)了對生產(chǎn)線靈活性和適應(yīng)性的高度重視。產(chǎn)線控制與計算功能的云化：·

該企業(yè)計劃將產(chǎn)線上95%的控制與計算功能

遷移到園區(qū)私有云，實現(xiàn)工業(yè)軟件和生產(chǎn)裝

備硬件的解耦。這一做法旨在實現(xiàn)不更新終

端及生產(chǎn)設(shè)備情況下的靈活創(chuàng)新，即"BrownInnovation",提升生產(chǎn)線的響應(yīng)速度和創(chuàng)新智能化推動制造業(yè)高質(zhì)量發(fā)展：·

智能化轉(zhuǎn)型實現(xiàn)技術(shù)路徑再造和

競爭優(yōu)勢轉(zhuǎn)換，提高生產(chǎn)效率和

產(chǎn)品品質(zhì)，推動制造業(yè)向高質(zhì)量發(fā)展轉(zhuǎn)變。中國寶武集團的智慧制造實踐：·

通過“四個一律”策略(操作室集

中、機器人化、遠程運維、服務(wù)

上線),打破傳統(tǒng)管理架構(gòu)，實

現(xiàn)高度集約化管理，并在全球率

先實現(xiàn)“一鍵煉鋼出鋼”。新技術(shù)在智能工廠的應(yīng)用：·

人工智能、大數(shù)據(jù)、云計算等新

技術(shù)在智能工廠中廣泛應(yīng)用，推

動技術(shù)工藝流程再造，提高生產(chǎn)

制造精益化柔性化水平，并加快

產(chǎn)品功能迭代升級。/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)概述智能化時代工業(yè)生產(chǎn)系統(tǒng)的三大訴求運營層面：·

打

通

橫

向

數(shù)

據(jù)

流·

結(jié)構(gòu)化提升運營效率

·

提升服務(wù)體驗生產(chǎn)層面：打通縱向數(shù)據(jù)流·

智能化生產(chǎn)流程·

數(shù)據(jù)服務(wù)于生產(chǎn)過程

·

提

升

生

產(chǎn)

效

率以客戶為中心而產(chǎn)生的柔

性制造需求工業(yè)生產(chǎn)者希望能持續(xù)提

升數(shù)字化轉(zhuǎn)型收益制造業(yè)高質(zhì)量發(fā)展對工業(yè)

數(shù)字化/智能化的訴求/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)概述開放化新

一

代的工業(yè)控制體系架構(gòu)需要

一

套標準的、開放的工業(yè)協(xié)議棧，能夠解決當(dāng)前的七國八制、協(xié)議標準碎片化、互通困難

的問題，實現(xiàn)工業(yè)現(xiàn)場的互聯(lián)互通。還需要具備可復(fù)用、可移植、可重構(gòu)及可互操作等特性可復(fù)用系統(tǒng)設(shè)計時，注重定義一系列可重復(fù)使用的模塊化組件，確保每個

模塊都具備高度的靈活性和通用性。同時，通過標準化的接口和協(xié)

議，實現(xiàn)模塊之間的高效集成，從而提升系統(tǒng)的整體性能和可維護

性?？?/p>

移

植在不影響工控系統(tǒng)運行穩(wěn)定性和全面保障安全性的前提下，實現(xiàn)軟

硬件的即插即用功能，使用戶能夠輕松部署和擴展系統(tǒng)，提高系統(tǒng)

的靈活性和可用性。可

移

植工控系統(tǒng)應(yīng)用程序采用先進的跨平臺技術(shù)架構(gòu)，確保能夠在多種工

控系統(tǒng)和設(shè)備上無縫部署和執(zhí)行，無需針對不同平臺進行重復(fù)開發(fā)，

極大地提高了開發(fā)效率和用戶體驗的一致性?？苫ゲ僮魅我夤I(yè)設(shè)備都能實現(xiàn)語義級交互，準確理解彼此的操作指令和狀

態(tài)信息。工業(yè)設(shè)備之間協(xié)同工作，共同執(zhí)行分布式應(yīng)用所需的功能，

提升整個工業(yè)系統(tǒng)的智能化水平和運行效率。/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)概述

網(wǎng)聯(lián)化網(wǎng)聯(lián)化是指將工控系統(tǒng)與網(wǎng)絡(luò)技術(shù)深度融合，實現(xiàn)設(shè)備、系統(tǒng)、數(shù)據(jù)之間的互聯(lián)互通。這種網(wǎng)聯(lián)化趨勢是工業(yè)自動化和信息技術(shù)發(fā)

展的必然結(jié)果，它極大地提升了工控系統(tǒng)的靈活性、可擴展性和智能化水平。提高生產(chǎn)效率：網(wǎng)聯(lián)化工控系統(tǒng)能夠?qū)崿F(xiàn)生產(chǎn)過程的實時監(jiān)控和智能調(diào)度，優(yōu)化生產(chǎn)資源配置，提高生產(chǎn)效率。

>降低運營成本：通過遠程監(jiān)控和管理，企業(yè)可以及時發(fā)現(xiàn)和解決設(shè)備故障，減少停機時間和維修成本。>增強系統(tǒng)靈活性：網(wǎng)聯(lián)化工控系統(tǒng)支持設(shè)備的靈活配置和擴展，可以根據(jù)生產(chǎn)需求快速調(diào)整系統(tǒng)架構(gòu)和功能。

提升安全性：采用先進的網(wǎng)絡(luò)安全技術(shù)和措施，保障工控系統(tǒng)的數(shù)據(jù)安全和穩(wěn)定運行。新一代工控系統(tǒng)的網(wǎng)聯(lián)化是工業(yè)自動化和信息技術(shù)發(fā)展的必然趨勢。通過實現(xiàn)設(shè)備、系統(tǒng)、數(shù)據(jù)之間的互聯(lián)互通，網(wǎng)聯(lián)化工控系

統(tǒng)能夠極大地提升生產(chǎn)效率、降低運營成本、增強系統(tǒng)靈活性和安全性。未來，隨著技術(shù)的不斷進步和應(yīng)用場景的不斷拓展，網(wǎng)

聯(lián)化工控系統(tǒng)將在更多領(lǐng)域發(fā)揮重要作用。/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)概述

協(xié)作化協(xié)作化的工控架構(gòu)是一種通過多控制器、多智能設(shè)備協(xié)作而構(gòu)成的控制系統(tǒng)架構(gòu)。它采用邏輯層面上的網(wǎng)狀協(xié)作管理模式，使得系統(tǒng)中的

各個組件能夠相互通信、協(xié)調(diào)動作，共同完成控制任務(wù)。這種架構(gòu)具有高度的靈活性、可擴展性和可靠性，能夠適應(yīng)復(fù)雜多變的工業(yè)環(huán)境。協(xié)作化的工控架構(gòu)是一種高效、穩(wěn)定和可靠的工業(yè)控制系統(tǒng)架構(gòu)。它通過各個組件之間的協(xié)作和協(xié)調(diào)，實現(xiàn)了復(fù)雜的工業(yè)控制任務(wù)，為工

業(yè)自動化和信息化的發(fā)展提供了有力支持。/NDUSTRIALCONTROLCOMPREHENSIVE

CYBERSECUR/TY

SOLUTIONS新一代智能工控系統(tǒng)概述

智能化工控系統(tǒng)的智能化是工業(yè)自動化發(fā)展的高級階段，它強調(diào)系統(tǒng)的自主學(xué)習(xí)、自我決策和自我優(yōu)化能力。通過集成多種先進技術(shù)，工控系

統(tǒng)能夠?qū)崿F(xiàn)對生產(chǎn)過程的實時監(jiān)控、精確控制和優(yōu)化調(diào)度，從而顯著提高生產(chǎn)效率、降低運營成本并提升產(chǎn)品質(zhì)量。實時監(jiān)控：通過集成物聯(lián)網(wǎng)技術(shù)，工控系統(tǒng)能夠?qū)崿F(xiàn)對生產(chǎn)現(xiàn)場的實時監(jiān)控，包括設(shè)備狀態(tài)、生產(chǎn)進度、質(zhì)量數(shù)據(jù)等。這有助于及

時發(fā)現(xiàn)潛在問題并采取相應(yīng)措施。精確控制：利用先進的控制算法和傳感器技術(shù)，工控系統(tǒng)能夠?qū)崿F(xiàn)對生產(chǎn)過程的精確控制，包括溫度、壓力、速度等參數(shù)的精確調(diào)

節(jié)。這有助于提高產(chǎn)品質(zhì)量和生產(chǎn)效率。優(yōu)化調(diào)度：通過大數(shù)據(jù)分析和人工智能技術(shù)，工控系統(tǒng)能夠?qū)崿F(xiàn)對生產(chǎn)資源的優(yōu)化調(diào)度，包括設(shè)備排產(chǎn)、物料配送等。這有助于降

低運營成本并提高資源利用率。故障預(yù)警與診斷：利用機器學(xué)習(xí)算法對歷史數(shù)據(jù)進行分析，工控系統(tǒng)能夠預(yù)測設(shè)備故障的發(fā)生概率并提前發(fā)出預(yù)警。同時，系統(tǒng)還

能夠?qū)收线M行快速診斷并提供相應(yīng)的解決方案。2022年，國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與監(jiān)測預(yù)警平臺累計監(jiān)測發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊7975.4萬次，同比增長超過23.9%;遭受網(wǎng)絡(luò)攻擊企業(yè)累計超1.8萬家，同比增長50.9%。從網(wǎng)絡(luò)攻擊類型分析，

2022年以僵尸網(wǎng)絡(luò)感染、非法外聯(lián)通信、木馬后門感染等為主，占比分別為41.1%、20.5%、

15%,合計占網(wǎng)絡(luò)攻擊總數(shù)的76.6%,是當(dāng)前工業(yè)控制網(wǎng)絡(luò)側(cè)面臨的主要安全威脅。/NDUSTRIALCONTROLCOMPREHENSIVECYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)安全風(fēng)險全球的工業(yè)控制系統(tǒng)遭受網(wǎng)絡(luò)攻擊的事件頻頻發(fā)生，攻擊呈現(xiàn)手段復(fù)雜化、工具專業(yè)化、分工精細化等特征；如震網(wǎng)類病毒、新型勒索病毒、供應(yīng)鏈攻擊、

物聯(lián)網(wǎng)

(loT)

設(shè)備攻擊、無文件攻擊等隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，工控系統(tǒng)面臨的攻擊威脅日益嚴峻，攻擊造成的危害也越來越大。這些危害不僅包括直接的生產(chǎn)停滯，攻擊還可能引發(fā)安全

事故，數(shù)據(jù)被攻擊者竊取或篡改，還可能影響整個供應(yīng)鏈的安全性和穩(wěn)定性。眾多工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件表明，工控網(wǎng)絡(luò)攻擊威脅呈現(xiàn)組織、大規(guī)模、高隱蔽、強持續(xù)的趨勢，具有國家、組織背景的攻擊行為不斷增加。國家安

全、經(jīng)濟發(fā)展、社會穩(wěn)定面臨巨大威脅。近年來針對工控系統(tǒng)攻擊增長了20%,其中境外IP攻擊占62.3%,主要來自美、加、德等國，美國攻擊最多占10.7%。電子信息、汽車、原材料等行業(yè)受攻擊

嚴重，涉及漏洞利用、僵尸網(wǎng)絡(luò)、非法外聯(lián)通信、木馬后門等威脅。大名鼎鼎的震網(wǎng)病毒就是一款專門針對西門子工業(yè)控制系統(tǒng)的惡意軟件，攻擊者通過感染工程師的U

盤，從面實現(xiàn)從內(nèi)部網(wǎng)絡(luò)將病毒植入到工業(yè)控制系

統(tǒng)中，給工控系統(tǒng)造成了巨大的破壞。INDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)安全風(fēng)險攻擊的

危害越來越大工業(yè)控制系統(tǒng)攻擊頻發(fā)內(nèi)部網(wǎng)絡(luò)攻擊破壞力大群體攻擊工業(yè)系統(tǒng)頻發(fā)工控系統(tǒng)攻擊手段多樣外部攻擊風(fēng)險增加：

由于工控網(wǎng)絡(luò)的開放化和網(wǎng)聯(lián)化，系統(tǒng)需要與其他網(wǎng)絡(luò)(如互聯(lián)網(wǎng))相連。這使得它們?nèi)菀资艿絹碜酝獠康墓?。攻擊者可?/p>

利用系統(tǒng)漏洞或不當(dāng)配置，對工控網(wǎng)絡(luò)進行滲透和破壞。內(nèi)部威脅不容忽視：

在開放化的網(wǎng)絡(luò)環(huán)境中，內(nèi)部人員可能通過非法手段獲取敏感信息，導(dǎo)致企業(yè)機密泄露。此外，內(nèi)部人員也可能因誤操作或惡

意行為，對工控網(wǎng)絡(luò)造成損害。數(shù)據(jù)傳輸安全風(fēng)險：工控網(wǎng)絡(luò)通常包含大量的實時控制系統(tǒng)和設(shè)備，這些設(shè)備和系統(tǒng)之間需要進行高速、實時、穩(wěn)定的數(shù)據(jù)傳輸。然而，在傳輸過

程中，數(shù)據(jù)可能面臨被竊取、篡改或偽造的風(fēng)險，從而影響系統(tǒng)的正常運行和安全性。數(shù)據(jù)泄露風(fēng)險：隨著工控系統(tǒng)的智能化和網(wǎng)聯(lián)化，大量敏感數(shù)據(jù)被存儲在系統(tǒng)中。這些數(shù)據(jù)一旦泄露，可能對企業(yè)造成重大經(jīng)濟損失，甚至威脅國

家安全。數(shù)據(jù)完整性受損：在數(shù)據(jù)傳輸和存儲過程中，由于網(wǎng)絡(luò)攻擊、硬件故障或人為錯誤等原因，可能導(dǎo)致數(shù)據(jù)完整性受損。這會影響系統(tǒng)的準確性和可

靠性，進而影響生產(chǎn)效率和產(chǎn)品質(zhì)量。數(shù)據(jù)隱私保護問題：

在協(xié)作化的工控系統(tǒng)中，多個參與方可能需要共享數(shù)據(jù)。然而，數(shù)據(jù)隱私保護成為了一個重要問題。如果數(shù)據(jù)保護措施不到位，

可能導(dǎo)致個人隱私泄露或企業(yè)機密被竊取。密碼技術(shù)適配性問題：

由于工控系統(tǒng)的實時性和可靠性要求極高，傳統(tǒng)的密碼技術(shù)可能難以滿足這些要求。此外，密碼技術(shù)需要與工控系統(tǒng)進行深

度適配，以確保其有效性和安全性。然而，目前能夠嵌入工業(yè)控制系統(tǒng)的密碼設(shè)備較少，且密碼技術(shù)難以滿足工業(yè)控制系統(tǒng)實時性要求。密碼管理不善：

在工控系統(tǒng)中，密碼管理是一個重要環(huán)節(jié)。然而，由于管理不善或疏忽大意，可能導(dǎo)致密碼泄露或被破解。這會使系統(tǒng)面臨被非法

訪問和破壞的風(fēng)險。/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)安全風(fēng)險工控數(shù)據(jù)的風(fēng)險工控網(wǎng)絡(luò)的風(fēng)險工控系統(tǒng)密碼應(yīng)用的風(fēng)險1

.終端設(shè)備暴露在互聯(lián)網(wǎng)上，易受攻擊和入侵。2.攻擊者可利用漏洞和惡意軟件控制終端設(shè)備，獲取用戶控制權(quán)和數(shù)據(jù)資源。3

.數(shù)據(jù)交互頻繁復(fù)雜，增加數(shù)據(jù)泄露風(fēng)險。4.

網(wǎng)絡(luò)嗅探、攔截等技術(shù)手段可獲取敏感信息和機密數(shù)據(jù)。5.終端設(shè)備維護和管理困難，增加故障和異常情況可能性。6.未經(jīng)適當(dāng)安全管理和控制的設(shè)備成為攻擊者入口點。1

.工業(yè)控制系統(tǒng)設(shè)計以優(yōu)化I/O

實時性為主，缺乏加強的網(wǎng)絡(luò)連接安全防護能力

。2.

嵌入式操作系統(tǒng)終端面臨網(wǎng)絡(luò)攻擊和物理性故障雙重威脅。3

.

專用計算機系統(tǒng)(如VxWorks、Linux)

種類繁多，通信網(wǎng)絡(luò)環(huán)境和協(xié)議各異。

4.系統(tǒng)補丁升級不頻繁，導(dǎo)致工控計算機系統(tǒng)高脆弱性。/NDUSTRIALCONTROLCOMPREHENSIVECYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)安全風(fēng)險工控安全

挑戰(zhàn)

一網(wǎng)聯(lián)化導(dǎo)致工控終端的安全問題越來越凸顯工控終端漏洞多、風(fēng)險高工控系統(tǒng)網(wǎng)聯(lián)化帶來的風(fēng)險/NDUSTRIALCONTROLCOMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)安全風(fēng)險·

網(wǎng)聯(lián)化、聯(lián)接IP化及網(wǎng)絡(luò)智能化應(yīng)用加速發(fā)展?！?/p>

傳統(tǒng)網(wǎng)絡(luò)邊界逐漸模糊，基于邊界的安全防護體系失效?！?/p>

新的安全威脅不斷涌現(xiàn)，需要更靈活、更智能的安全防護策略。·

存在“七國八制”現(xiàn)象，即多種品牌、設(shè)備和工控協(xié)議并存?！?/p>

在建設(shè)過程中、確保不同元素間的安全通信成為關(guān)鍵挑戰(zhàn)?！?/p>

業(yè)務(wù)類型多樣，網(wǎng)絡(luò)架構(gòu)復(fù)雜?！?/p>

業(yè)務(wù)對網(wǎng)絡(luò)的需求日益復(fù)雜，要求更高的靈活性和可靠性。傳統(tǒng)的安全防護手段難以應(yīng)對新架構(gòu)下的安全問題工控安全

挑戰(zhàn)二網(wǎng)絡(luò)變化與安全挑戰(zhàn)工業(yè)控制網(wǎng)絡(luò)現(xiàn)狀工業(yè)制造領(lǐng)域特點漏

洞

公

開增多大量工控系統(tǒng)軟硬件設(shè)備漏洞及

利用方式可通過公開或半公開的渠道獲得；黑客大會、開源論壇

和白帽社區(qū)公開了眾多工業(yè)控制網(wǎng)絡(luò)入侵案例細節(jié)。攻

擊

目

標易鎖定隨著工業(yè)生產(chǎn)的“數(shù)據(jù)孤島”現(xiàn)象

的改變，工業(yè)控制網(wǎng)絡(luò)日益成為

黑客的攻擊目標。黑客有目的地

探測并鎖定攻擊目標變得更加容

易。安

全

人

才短缺企業(yè)安全運營人員短缺，無法及時有效地進行工業(yè)控制網(wǎng)絡(luò)安全防護，加大了防護難度。/NDUSTRIAL

CONTROL

COMPREHENSIVECYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)安全風(fēng)險攻擊手段多樣化、智能化、防護難工控

安全

挑戰(zhàn)三法規(guī)遵守和合規(guī)性困難工業(yè)網(wǎng)絡(luò)需要遵守各種法規(guī)和標準，如GDPR、ISO

27001等。然而，這些法

規(guī)和標準的遵守需要大量的人力和時間來理解和執(zhí)行，而且隨著法規(guī)的更新

和變化，需要不斷進行合規(guī)性檢查和調(diào)整實時監(jiān)控和響應(yīng)困難工業(yè)網(wǎng)絡(luò)需要實時監(jiān)控和響應(yīng)安全事件，但人工監(jiān)控和響應(yīng)往往難以滿足要求。未知漏洞修復(fù)困難傳統(tǒng)的網(wǎng)絡(luò)安全措施通常難以檢測復(fù)雜的威脅，包括利用以前未知漏洞的

0-DAY漏洞。數(shù)據(jù)分析困難工業(yè)網(wǎng)絡(luò)中產(chǎn)生的安全日志和告警信息非常龐大，依靠人工分析難以快速、準確地識別出真正的威脅。ICSSecurity/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代智能工控系統(tǒng)安全風(fēng)險海量、多維度的安全數(shù)據(jù)實時處理難工控安全

挑戰(zhàn)四/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TY

SOLUTIONS工控網(wǎng)絡(luò)安全現(xiàn)狀及威脅2023年典型工控安全事件Typical

industrialcontrolsecurity

incidents

in2023ABB2023年5月7日，據(jù)美國

網(wǎng)

絡(luò)

安

全

媒

體

BLEEPINGCOMPUTER報道，電力和自動化技

術(shù)巨頭ABB遭受了

BlackBasta勒

索

軟

件

團

伙發(fā)起的網(wǎng)絡(luò)攻擊。勒

索軟件攻擊影響了公司

的Windows-Active-Directory,

影響了數(shù)百

臺設(shè)備的正常工作GE

Digital的服務(wù)器被

發(fā)現(xiàn)存在5個可利用的

漏洞。威脅行為者可以

利用安全漏洞訪問歷史

記錄、使設(shè)備崩潰或遠

程執(zhí)行代碼。這些漏洞

的存在與ICS

和操作技

術(shù)(OT)

環(huán)境有關(guān)，從而

為攻擊者從IT

網(wǎng)

絡(luò)

跳

轉(zhuǎn)

到OT

系統(tǒng)創(chuàng)造了一個有

吸引力的支點。GhostSec

黑

客

組

織

對

白俄羅斯的工業(yè)遠程終

端單元進行攻擊。攻擊

者加密了設(shè)備TELEOFIS

RTU968V2上的文件，

并且將加密文件后綴修

改為

.fuckPutin

。

該

設(shè)

備

可以被視為遠程終端單

元(RTU)。

此次攻擊活動

使得受害設(shè)備上的文件

均被加密2023年6月25日，加拿

大最大的合成原油生產(chǎn)

商之

一

的SuncorEnergy遭受了網(wǎng)絡(luò)攻擊，其子

公司Petro-Canada

遍

布

加拿大的加油站已經(jīng)無

法支持客戶使用信用卡

或獎勵積分付款，甚至

其官網(wǎng)的賬戶登錄也已

經(jīng)癱瘓2

0

2

3

年

3

月

1

7日

，

加

密

ATM制造

商

General

Bytes發(fā)生了

一

起安全事件，導(dǎo)致至少

150萬美元被盜，迫使

其關(guān)閉大部分位于美國

的自動取款機，GeneralBytes

將其描述為“最高”

級別的違規(guī)行為。2023年2月3日，半導(dǎo)體

設(shè)備制造商MKSIn-struments

遭受勒索軟件

的攻擊。該事件影響了

某些業(yè)務(wù)系統(tǒng)，包括與

生產(chǎn)相關(guān)的系統(tǒng)，,作

為遏制措施的一

部分，

公司已決定暫時停止某

些設(shè)施的運營。工控領(lǐng)域網(wǎng)絡(luò)安

全法規(guī)NETWORKSECURITY

REGULATONSINTHEFIELDOFINDUSTRIAL

CONTROL《網(wǎng)絡(luò)安全法》定義了關(guān)鍵信息基礎(chǔ)設(shè)施所在行業(yè)，并明確要求在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，對關(guān)鍵信息基礎(chǔ)設(shè)施實施重點保護。由于工控系統(tǒng)

在關(guān)鍵信息基礎(chǔ)設(shè)施中的重要性，由此將工控系統(tǒng)安全提升到前所未有的重

視程度從法律層面強調(diào)了網(wǎng)絡(luò)安全同國土安全、經(jīng)濟安全等一樣成為國家安全的一個重要組成部分；網(wǎng)絡(luò)安全法規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運

營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行網(wǎng)絡(luò)安全安全保護義務(wù)INDUSTRIAL

CONTROL

COMPREHENS/VE

CYBERSECUR/TY

SOLUTIONS工控領(lǐng)域網(wǎng)絡(luò)安全法規(guī)網(wǎng)

絡(luò)

安

全

法(Cybersecurity

Law)2017年實施首部全面規(guī)范網(wǎng)絡(luò)

空間安全的法律工控安全

相關(guān)內(nèi)容密碼法為工控安全領(lǐng)域中密碼技術(shù)的應(yīng)用提供了重要的法律支持和管理框架。通過規(guī)范密碼的應(yīng)用和管理，密碼法有助于提升工控系統(tǒng)的安全性，保護工

業(yè)控制系統(tǒng)的穩(wěn)定、可靠和安全運行。首部關(guān)于密碼領(lǐng)域的綜合性、基礎(chǔ)性法律，旨在規(guī)范密碼應(yīng)用和管理，促進密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，維護國家安全和社會公共利益，保護

公民、法人和其他組織的合法權(quán)益/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS工控領(lǐng)域網(wǎng)絡(luò)安全法規(guī)密

碼

法(Cryptography

Law)2020年維護國家密碼安全提升密碼工作法治化水平工控安全

相關(guān)內(nèi)容《數(shù)據(jù)安全法》提及工業(yè)領(lǐng)域是當(dāng)前強化數(shù)據(jù)安全保障的重要領(lǐng)域，其中工業(yè)主管部門承擔(dān)工業(yè)領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。確保工控系統(tǒng)中的數(shù)據(jù)得到充

分保護，以維護工業(yè)控制系統(tǒng)的穩(wěn)定和安全。數(shù)據(jù)安全法在規(guī)范數(shù)據(jù)處理活動、保障數(shù)據(jù)安全、促進數(shù)據(jù)開發(fā)利用等方面做出了規(guī)定，為我國建立健全數(shù)據(jù)安全治理體系指明了發(fā)展方向。數(shù)據(jù)安全

法將成為數(shù)據(jù)安全保障和數(shù)字經(jīng)濟發(fā)展的重要基石。/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS工控領(lǐng)域網(wǎng)絡(luò)安全法規(guī)數(shù)據(jù)安全法(Data

Security

Law)2021年我國數(shù)據(jù)安全領(lǐng)域的基

礎(chǔ)性法律工控安全

相關(guān)內(nèi)容明確“主體”責(zé)任《條例》規(guī)定安全保護措施應(yīng)當(dāng)與

關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步

建設(shè)、同步使用?！叭健钡拿鞔_

提出，對后期工業(yè)控制系統(tǒng)安全建

設(shè)有著重大指導(dǎo)意義，并且明確指

出運營者對網(wǎng)絡(luò)安全保護責(zé)任，強

調(diào)組織的意義和領(lǐng)導(dǎo)責(zé)任制，工業(yè)

控制系統(tǒng)安全的主體責(zé)任也將逐步

明確。重點突出工控領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施范圍指出的能源、交通、水利、國防科技工業(yè)等重要行業(yè)和領(lǐng)域，覆蓋了電力、核電、煤炭、油氣、新能源、鐵路、公路、水路、民航、水庫、水電站大壩、農(nóng)村水電等10余個涉及工業(yè)控制系統(tǒng)的場景；尤其提出能源行業(yè)的優(yōu)先保障、重點保障，說明工業(yè)控制系統(tǒng)安全在關(guān)鍵信息基礎(chǔ)設(shè)施保障中的重要程度。強調(diào)工控數(shù)據(jù)安全工業(yè)控制系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要部分，在“一個中心，三重防護”的防御思維上，建立立體、多元、全面的保障體系。強調(diào)在《條例》的指導(dǎo)下，圍繞數(shù)據(jù)分類分級、數(shù)據(jù)脫敏、數(shù)據(jù)代理、數(shù)據(jù)防泄露、數(shù)據(jù)加密等工業(yè)數(shù)據(jù)管理和技術(shù)方法，提升工業(yè)數(shù)據(jù)安全保護能力。以適應(yīng)工業(yè)控制系統(tǒng)的互聯(lián)互通，工業(yè)互聯(lián)網(wǎng)的發(fā)展/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TY

SOLUTIONS工控領(lǐng)域網(wǎng)絡(luò)安全法規(guī)關(guān)鍵信息

基礎(chǔ)設(shè)

施安全保護條例(Critical

Information

Infrastructure

Protection

Regulations)新一代工控系

統(tǒng)網(wǎng)絡(luò)安全合

規(guī)解決方案NEWGENERATIONINTELLIGENTINDUSTRIALCONTROL

SYSTEM

NETWORK

SECURITYCOMPLIANCE

SOLUTON新

一

代工控系統(tǒng)網(wǎng)絡(luò)安全合規(guī)解決方案旨在通過構(gòu)建集工控網(wǎng)絡(luò)安全(包括網(wǎng)絡(luò)架構(gòu)安全、物理安全、邊界安全防護、通信安全、安全協(xié)議應(yīng)用及

漏

洞

管

理

)

、

工

控

數(shù)

據(jù)

安

全(

涉

及

數(shù)

據(jù)

加

密

、

備

份

恢

復(fù)

、

訪

問

控

制

及

數(shù)

據(jù)

審

計

)

與

工

控

商

用

密

碼

安

全(

涵

蓋

密

碼

算

法

選

擇

、

密

鑰

管

理

、

密

碼

設(shè)

備應(yīng)用及合規(guī)性檢查)于

一

體的合規(guī)安全體系，為新

一

代工業(yè)控制系統(tǒng)提供全方位、多層次的保護，確保其穩(wěn)定運行和數(shù)據(jù)安全，降低網(wǎng)絡(luò)安全

風(fēng)

險

。工控網(wǎng)絡(luò)安全是解決方案的核心部分，主要關(guān)注于保護工業(yè)控制系統(tǒng)免受外部攻擊和內(nèi)部威脅。這包括：■

網(wǎng)絡(luò)架構(gòu)安全：設(shè)計合理的網(wǎng)絡(luò)架構(gòu)，實現(xiàn)區(qū)域隔

離、訪問控制、冗余備份等安全措施，降低網(wǎng)絡(luò)攻擊的風(fēng)險。■邊界安全防護：部署防火墻、入侵檢測系統(tǒng)

(IDS)

、入侵防御系統(tǒng)

(IPS)

等

安

全

設(shè)

備

，對進出工控系統(tǒng)的網(wǎng)絡(luò)流量進行監(jiān)控和過濾?！?/p>

安

全協(xié)議應(yīng)用：采用安全的通信協(xié)議和標準，如

HTTPS

、SSH

等，確保數(shù)據(jù)傳輸過程中的機密性和

完整性?！?/p>

漏洞管理：定期進行系統(tǒng)漏洞掃描和修復(fù)，減少被

黑客利用的安全漏洞。工控商用密碼安全是確保工業(yè)控制系統(tǒng)中使用密碼技術(shù)的安全性和合規(guī)性的重要部分。這包括：■密碼算法選擇：采用符合國家或行業(yè)標準的密碼算法，

確保密碼技術(shù)的安全性和可靠性。■密鑰管理：建立密鑰生成、分發(fā)、存儲、更新和銷毀的

完整流程，確保密鑰的安全性和可控性?！雒艽a設(shè)備應(yīng)用：使用經(jīng)過認證的密碼設(shè)備

(如硬件安全

模塊HSM)來存儲和處理密鑰，提高密碼操作的安全性

和效率?！雒艽a合規(guī)性檢查：定期對工控系統(tǒng)中的密碼使用情況進

行合規(guī)性檢查，確保符合相關(guān)法規(guī)和標準的要求。工控數(shù)據(jù)安全側(cè)重于保護工業(yè)控制系統(tǒng)中的數(shù)據(jù)不被非法訪問、篡改或泄露。這包括：■

數(shù)據(jù)加密：對敏感數(shù)據(jù)進行加密存儲和傳輸，確保數(shù)

據(jù)在存儲和傳輸過程中的安全性?！?/p>

數(shù)據(jù)備份與恢復(fù)：建立數(shù)據(jù)備份機制，確保在數(shù)據(jù)丟失或損壞時能夠迅速恢復(fù)。■數(shù)據(jù)訪問控制：實施嚴格的訪問控制策略，確保只有

授權(quán)用戶能夠訪問和操作數(shù)據(jù)?！?/p>

數(shù)據(jù)審計：

記錄數(shù)據(jù)的訪問和操作日志，以便在發(fā)生安全事件時進行追溯和分析。/NDUSTRIAL

CONTROLCOMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代工控系統(tǒng)網(wǎng)絡(luò)安全合規(guī)解決方案工控數(shù)據(jù)安全工

控

密

碼

安

全工

控

網(wǎng)

絡(luò)

安

全方案概述安

全

通

信

網(wǎng)

絡(luò)

/

網(wǎng)

絡(luò)

和

通

訊

安

全■對需要密碼保護的每一條通信信道進行密

碼應(yīng)用設(shè)計，包括選擇的密碼技術(shù)和標準、

采用的密碼設(shè)備、密碼設(shè)備的部署位置和

方式、密碼設(shè)備的使用和管理等內(nèi)容。需

要接入認證的設(shè)備，根據(jù)具體情況選擇使

用的密碼技術(shù)，確定在設(shè)備端和認證端部

署的密碼設(shè)備和部署位置，給出密碼設(shè)備

的使用和管理內(nèi)容。■在網(wǎng)絡(luò)架構(gòu)方面，應(yīng)注重安全性、可靠性

和擴展性；在通訊傳送方面，應(yīng)使用安全

可靠的通訊協(xié)議和加密技術(shù)，并考慮性能

指標；在可信驗證方面，應(yīng)實施身份驗證、

完整性驗證和審計日志記錄等措施，確保

系統(tǒng)和數(shù)據(jù)的安全性?！鲈谕ㄐ啪W(wǎng)絡(luò)方面，需要確保數(shù)據(jù)傳輸過程

中的安全性，防止數(shù)據(jù)在傳輸過程中被截

獲或篡改。安全區(qū)域邊界■在企業(yè)工控網(wǎng)絡(luò)安全域分區(qū)設(shè)計的基礎(chǔ)上

對各安全域邊界進行隔離保護，對跨安全

域的防護進行監(jiān)控，阻止非合規(guī)訪問流量

通過邊界。■部署專業(yè)的入侵檢測系統(tǒng)，深入分析數(shù)據(jù)

協(xié)議，提供從網(wǎng)絡(luò)層，實時檢測網(wǎng)絡(luò)通信，

并精確識別緩沖區(qū)溢出、掃描攻擊、DoS/DDoS、SQL

注入、蠕蟲病毒、木馬、

間諜軟件等傳統(tǒng)攻擊行為■對邊界網(wǎng)絡(luò)流量進行采集、監(jiān)測和分析，

識別工控網(wǎng)絡(luò)中的安全隱患、惡意攻擊以

及違規(guī)操作等安全風(fēng)險■在安全區(qū)域邊界方面，需要確保數(shù)據(jù)在跨

安全域傳輸時得到充分的保護，防止數(shù)據(jù)

泄露或被篡改。物理和環(huán)境安全■對工控系統(tǒng)所在的機房等重要區(qū)域、電子

門禁記錄數(shù)據(jù)和視頻監(jiān)控記錄數(shù)據(jù)進行密

碼應(yīng)用設(shè)計，包括選擇的密碼技術(shù)和標準、

采用的密碼設(shè)備、密碼設(shè)備的部署位置和

方式、密碼設(shè)備的使用和管理等內(nèi)容。■機房從物理位置選擇、物理訪問控制、防

盜竊防破壞、防雷擊、防火、防水和防潮、

防靜電、溫濕度控制、電力供應(yīng)、電磁防

護等方面對信息系統(tǒng)的物理環(huán)境進行了規(guī)

范■在物理環(huán)境方面，需要確保存儲工控數(shù)據(jù)

的設(shè)備(如服務(wù)器、存儲設(shè)備)放置在安

全的環(huán)境中，防止數(shù)據(jù)因物理損壞或盜竊

而丟失。/NDUSTRIAL

CONTROL

COMPREHENSIVE

CYBERSECUR/TYSOLUTIONS新一代工控系統(tǒng)網(wǎng)絡(luò)安全合規(guī)解決方案解決方案設(shè)計■包括確保工控系統(tǒng)中的應(yīng)用

程序和數(shù)據(jù)得到充分的保護。

防止因應(yīng)用程序漏洞或數(shù)據(jù)

泄露而導(dǎo)致的系統(tǒng)癱瘓或數(shù)

據(jù)丟失。■需要確保應(yīng)用程序的安全性，

防止應(yīng)用程序被惡意攻擊或

利用來竊取數(shù)據(jù)。同時，還

需要對重要數(shù)據(jù)進行加密保

護，確保數(shù)據(jù)的機密性和完

整性。還需要對數(shù)據(jù)進行定

期備份和恢復(fù)測試，以確保

在數(shù)據(jù)丟失或損壞時能夠迅

速恢復(fù)■通