工控安全行业报告.pdf

1、硬科技复兴联盟研究报告硬科技复兴联盟研究报告之之工控安全工控安全作者作者:YP/YF创道硬科技研究院创道硬科技研究院欢迎关注欢迎关注“创道硬科技研究院创道硬科技研究院”硬科技领域深度研究、创业和投资交流平台硬科技领域深度研究、创业和投资交流平台产业合作、投融资服务请通过公众号联系产业合作、投融资服务请通过公众号联系2021 年年 6 月月硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院2目录目录1.工控安全介绍.41.1 工控安全定义及作用.41.1.1 工控安全与传统信安行业的区别.51.1.2 工控安全的三个核心.71.1.3 攻击模式.91.1.4 目前防御端可能存在的问

2、题.131.2 产品分类.161.2.1 工控安全产品全景图.161.2.1.1 工控安全主要产品.181.2.2 等保 2.0 框架下产品形态.241.3 工控安全产品应用场景.241.4 工控安全产品应用领域.261.5 工控安全技术理念.262.行业概述.282.1 行业发展情况.282.1.1 国家层面安全事件频发.282.1.2 国内市场概述：政策端高度重视工控安全，安全体系仍面临诸多挑战.292.1.3 国外市场概述：大力推进工控安全建设，技术创新方面保持优势.352.2 产业发展现状及趋势.362.3 行业产品需求不同.372.3.1 培育市场阶段（2016-2019 年）.37

3、2.3.2 政策性驱动阶段（2020-2023 年）.372.2.3 内生发展阶段（2024 年后）.372.4 行业市场规模.382.4.1 市场驱动力.382.4.2 市场规模.383.行业壁垒.403.1 技术层面门槛.403.2 完备的产品体系和整体服务能力门槛.403.3.参与标准制定存在门槛.414.行业竞争情况.414.1 行业竞争格局.414.2 公司分析.424.2.1 上市公司.424.2.2 非上市公司.455.投资可行性分析.49硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院3前言我国工业信息政策体系框架基本完成，安全标准覆盖范围不断扩大，尤其2017

4、 年和 2019 年颁布并实施的等保 1.0 和 2.0 政策更是成为了催化剂；2018年、2019 年和 2020 年工控安全企业融资数量大幅提升；工控安全具有独特、更高标准的安全要求，技术壁垒较高；目前市场为应对政策性驱动的合规产品市场，基础产品同质化较多，但因工业环境、业务、工艺等特殊性，产品具有其差异和独特性；市场竞争主要来自聚焦工控安全企业，网安巨头或投或并的持续参与；因市场起步较晚，目前还未形成市场格局，竞对间还未形成绝对差距，团队经验和资源优势、技术优势及行业进入壁垒成为竞对间差异化竞争点。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院41.工控安全介绍工控安全

5、介绍1.1 工控安全定义及作用工控安全定义及作用工控安全（工业控制系统信息安全），是指保护工业控制系统的专用防护方案，按照保护对象可分为功能安全、物理安全、信息安全三种。资料来源：广证恒生根据工业过程测量、控制和自动化网络与系统信息安全IEC 62443 针对工控安全的定义是：（1）保护系统所采取的措施；（2）由建立和维护保护系统的措施所得到的系统状态；（3）能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；（4）基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；（5）防止对工控系统的非法或有害入侵，或者干扰其

6、正确和计划的操作。其中，工业控制系统即 ICS（也称工业自动化与控制系统），是由计算机设备与工业过程控制部件组成的自动控制系统。根据等保 2.0 附录 G，工业控制系统主要分为 5 个层次：现场设备层、现场控制层、过程监控层、生产管理层以及企业资源层。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院5图片来源：GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求1.1.1 工控安全与传统信安行业的区别首先，在网络系统方面，工控网络与传统 IT 信息网络大体在网络边缘、体系结构和传输内容三大方面有着主要的不同。网络边缘不同工控系统在地域上分布广阔，其边缘部分是智

7、能程度不高的含传感和控制功能的远动装置，而不是 IT 系统边缘的通用计算机，两者之间在物理安全需求上差异很大。体系结构不同工业控制网络的结构纵向高度集成，主站节点和终端节点之间是主从关系。传统 IT 信息网络则是扁平的对等关系，两者之间在脆弱节点分布上差异很大。传输内容不同工业控制网络传输的是工业设备的“四遥信息”，即遥测、遥信、遥控、遥调。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院6两化融合后，IT 系统的信息安全也被融入了工控系统安全中，但在安全防护方面，工控系统与传统信息系统安全防护仍存在本质区别。传统信息系统更多关注信息安全，而工业控制系统通常关注更多的是物理安全

8、与功能安全，尤其是功能安全，该系统的安全运行由相关的生产部门负责，信息部门仅处于从属的地位。在信息安全的三个属性（机密性、完整性、可用性）中，传统信息系统的优先顺序是机密性、完整性、可用性，而工业控制系统则是可用性、完整性、机密性。随着信息化与工业化技术的紧密结合以及潜在网络战威胁的影响，工业控制系统也将从传统模式转向更为关注信息安全。从产品形态上来说，工控安全产品同信息安全产品基本一致，均为防火墙、网关网闸、审计、态势感知等，但仍存在较大区别，根据中国电子报的观点，区别如下：1)安全需求不同；2)安全补丁与升级机制存在的区别；3)实时性方面的差异；4)安全保护优先级方面的差异；5)安全防护技

9、术适应性方面的差异。当前已有的各种信息安全工具，能够对控制系统安全给予必要机制，这些单独的机制对于深度防护控制并不够，通过深入理解控制系统与真实物理世界的交互过程，工控安全产品需要做到的是：1)更好地理解攻击的后果：深入研究攻击者获得非授权访问一些控制网络设备后将造成的危害。2)设计全新的攻击检测算法：通过理解物理过程应有的控制行为，并基于过程控制命令和传感器测量，能够识别攻击者是否试图干扰控制或传感器的数据。3)设计新的抗攻击弹性算法和架构：检测到一个工业控制系统攻击行为，能够适时改变控制命令，用于增加控制系统的弹性，减少损失。4)设计适合工业 SCADA 系统现场设备的身份认证与密码技术：

10、硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院7目前一些成熟的、复杂的、健壮的密码技术通常不能在工业控制系统的现场设备中完成访问控制功能，主要原因在于过于复杂的密码机制可能存在着在紧急情况下妨碍应急处理程序快速响应的风险。工业自动控制领域的专家一般认为相对较弱的密码机制（如缺省密码、固定密码，甚至空口令等），比较容易在紧急情况下进行猜测、传送等，进而不会对应急处理程序本身产生额外影响。5)开发硬件兼容能力更强的工业 SCADA 系统安全防护技术：传统 IT 数据网络中安全防护能力较强的技术如身份认证、鉴别、加密、入侵检测和访问控制技术等普遍强调占用更多的网络带宽、处理器性能和

11、内存资源，而这些资源在工业控制系统设备中十分有限，工业控制设备最初的设计目标是完成特定现场作业任务，它们一般是低成本、低处理器效能的设备。而且，在石油、供水等能源工业系统控制装置中仍然在使用一些很陈旧的处理器（如 1978 年出厂的 Intel8088 处理器）。因此，在这类装置中部署主流的信息安全防护技术而又不显著降低工业现场控制装置的性能具有一定难度。6)研制兼容多种操作系统或软件平台的安全防护技术：传统 IT 数据网络中的信息安全技术机制，主要解决 Windows、Linux、Unix 等通用型操作系统平台上的信息安全问题。而在工业 SCADA 系统领域，现场工业 SCADA 系统装置一

12、般使用设备供应商（ABB、西门子、霍尼韦尔等）独立研发的、非公开的操作系统（有时称为固件）、专用软件平台（如 GE 的 iFix 等）完成特定的工业过程控制功能。因此，如何在非通用操作系统及软件平台上开发、部署甚至升级信息安全防护技术，是工业 SCADA 系统信息安全未来需要重点解决的问题。1.1.2 工控安全的三个核心1）保护网络网络是工业自动化的脉络，所有的操作指令和数据均会通过网络进行传输，所以工业企业应确保自身网络设计良好，有着防护周全的边界。企业应按 ISAIEC 62443 标准划分自身网络，保护所有无线应用，部署能快速排除故障的安硬科技复兴联盟研究报告之工控安全创道硬科技研究院创

13、道硬科技研究院8全远程访问解决方案，确保公司网络设计健全，有着可靠地安全防护边界，设立完整的网络监管体系，保障其工业互联网和所属的工业底层设备均能够有效地进行监管，从内部信息层面对安全进行保护。2）保护终端虽然防火墙、专业安防软件、专业协议和物理隔离技术能够抵御传统的数字攻击，但是这仅限于互联网攻击。根据伊朗震网事件等证据表明，雇员、承包商和供应链员工将他们的笔记本电脑或 U 盘带入企业网络时，这些传统的安全防护措施就被绕过了。所以企业必须确保所有终端都是安全的，要防止员工将自己的设备接入公司网络。事实上，黑客可以侵入 OT 环境中基于 PC 的终端。根据业内专业人士的访谈，很多黑客都是通过内

14、部员工的 U 盘来渗透企业的终端，因为终端操作系统版本通常较老，且安全防护能力较弱，所以很那抵御类似的公司方式。所以企业还应保护其 IT 终端不受 OT 环境中横向移动的数字攻击侵袭。企业有必要保证每台终端上的配置是安全的，并监视这些终端以防遭到未授权修改。总体上，在攻击层面，IT 和 OT 也开始组合攻击，所以建立一套完整的监控、审计和管理的平台体系逐步成为了企业对于保护终端被侵入的新的方案。3）保护控制器每个工业环境都有其物理系统致动器、校准器、阀门、温度感应器、压力传感器一类机械装置。这些与现实世界交互的物理系统被称为控制器，也就是桥接物理系统控制和网络指令接收行为的特殊计算机（一般有单

15、片机来进行计算）。很多案例中恶意黑客都曾获取过这些设备的控制权，引发设备故障，造成物理破坏，或对公司的损害。不过，如果仅仅是能访问而不能控制，恶意黑客也无法直接造成破坏。通过加强检测能力和对 ICS 修改及威胁的可见性，实现脆弱控制器的安全防护措施，监视可疑访问及控制修改，以及及时检测/控制威胁，企业可有效防止工业控制器遭到数字攻击。这也是之所以要在各个区域建立安全网闸、防火墙和各类审计设备并且工控安全企业必须解析工业协议的原因。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院91.1.3 攻击模式根据公开资料，世界知名的黑客大会，如 BlackHat、DefCon 等，纷纷将

16、工控安全纳入议题；2020 年 1 月世界高水平黑客大赛 Pwn2Own 更首次将工控纳入比赛。可以看出，工业自动化的不断发展已经使得一些别有用心的人关注到这个行业，工控系统的漏洞和攻击面也正随着工业互联网的发展，更多的暴露于攻击者。工业控制系统应用领域 资料来源：互联网资料1）工业控制系统的整体攻击思路工业控制系统的整体攻击思路攻击目标攻击工业系统时候一种强目的性的、针对式的攻击，通常是以破坏工控设备、造成工厂停产、工序异常、次品率增加，甚至火灾爆炸等严重后果为目标。现代工厂中，大部分现场生产设备都是由控制系统（如：PLC-可编程逻辑控制器、数控车床、DCS-分布式控制系统）进行现场操作。因

17、此，攻击者的目标是通过直接或间接攻击或影响控制系统而实现。下文将以工厂 PLC 举例，阐述黑客对工控系统的攻击思路。2）攻击场景攻击场景针对式直接攻击针对式直接攻击直接攻击 PLC，是指利用 PLC 存在的漏洞，或通过口令破解等方式绕过安全认证，成功控制 PLC 并进行指令修改，实现攻击目的。当前较多的 PLC 处于内网，尚不能通过互联网直接访问，在此情景下，直接攻击一般通过物理接硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院10触 PLC，或通过内部办公网络连接到 PLC 等方式而实现。随着工厂智能化的提升，设备实现互联互通，大量 PLC 系统连入互联网，将更易于黑客对 P

18、LC 发起直接攻击。针对式间接攻击针对式间接攻击间接攻击 PLC，是指获取 PLC 上一层监控系统（如 HMI、IPC、SCADA等）的控制权，通过监控系统向 PLC 发送恶意指令，或干扰监控系统与 PLC的正常通讯，实现攻击目的。采用间接攻击场景，通常是由于攻击者无法直接接触到控制系统，或对工厂内部 PLC 系统了解有限，因而转向攻击存在大量攻击者熟悉的 IT 部件的过程与监控层系统。例如，攻击者首先获得 IPC（工业计算机）的控制权，分析 IPC 和 PLC 之间的传输模式，构造恶意指令，通过 IPC传输给 PLC，间接影响 PLC 的正常工作或阻断生产状态的监控和预警。非针对式攻击非针对

19、式攻击非针对式攻击，或称为撒网式攻击，是指恶意程序利用系统或网络的共性漏洞，无差异化感染系统并在内网传播，影响正常生产秩序。此类攻击场景虽然不针对工控系统，但由于目前工控环境的安全措施较为薄弱，使得撒网式攻击在世界范围内屡屡得手。撒网式攻击通常以病毒或恶意程序为主，例如，攻击者利用员工安全意识薄弱，发送钓鱼邮件，感染接收者的电脑，再利用网络环境的脆弱性，在办公网快速传播，再蔓延至生产网，感染具有共性漏洞的系统，如 IPC 等，影响生产或造成破坏。攻击途径攻击途径工控系统的攻击途径大体包含内部发起和外部发起两类。内部发起又可分为自办公网渗透到工厂网以及车间现场发起攻击；外部发起包含针对式攻击（如

20、APT）和撒网式攻击。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院11工控环境攻击路径3）内部发起攻击内部发起攻击办公网为起点办公网为起点在办公网环境内，使用 nmap 等工具扫描和获取网段和资产信息，特别是常规工控系统和 IT 系统端口，Siemens 102，modbus 502，EthernetIP 44818、445、3389 等；成功获取系统控制权后，尝试以该主机为跳板，使用 Pass the Hash 等方式渗透其他系统，找寻工控相关系统 PLC、IPC 和 SCADA 等，以实现攻击目的；若均未成功，转向采用社会工程等方式进一步获取相关信息（如高权限账号等）；

21、同时，考虑设法进入工厂车间内部，转为现场攻击方式；一些集成控制系统的中控平台，或者内网的一些类 SCADA 等组态控制系统的 web 应用端或者 dll、dat 容易被劫持后形成工程师站的提权。车间现场为起点车间现场为起点在车间内发起攻击工控系统是最为直接的方法，手段和选择同样是多样化的：进入车间后，仔细观察车间内的情况，寻找 IPC 或者控制系统的位置，为后续攻击尝试做准备。攻击尝试一：首选目标为控制系统（如 PLC），寻找是否存在未上锁，或者网线接口暴露在外的设备；硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院12尝试了解相关的控制系统基本信息，例如所使用的品牌，版本等；

22、尝试使用电脑在现场连接控制系统，利用弱口令等脆弱性，尝试恶意指令注入、权限绕过、重放攻击等。攻击尝试二：尝试对现场运行的 IPC 或者 HMI 进行攻击，例如对运行的 IPC 插入恶意 U盘植入恶意程序；针对未设置权限的 IPC 或者 HMI 直接操作，如修改控制系统的指令等恶意操作。4）外部发起外部发起针对式攻击针对式攻击APT 攻击是典型的外部发起的针对式攻击，攻击过程包含对目标企业进行信息收集以初步了解该企业的基本情况；利用 Google、Baidu 等搜索引擎寻找暴露在互联网上的域名或服务器；利用爬虫技术尽可能获取网站所有链接、子域名、C 段等；尝试对网站应用进行高危漏洞利用，例如恶意

23、文件上传、命令执行、SQL注入、跨站脚本、账户越权等；尝试获取网站 webshell，再提升至服务器权限；以该服务器为跳板打入内网环境，转变为内部攻击的模式；通过从互联网搜索外网邮箱的用户名，根据企业的特点，针对式地给这些用户发送钓鱼邮件，以中招的电脑为跳板打入内部环境，转变为内部攻击的模式；利用伪造门禁卡，或者伪装参观、面试人员或者尾随内部员工的方式物理进入企业内部，转变成为内部攻击的模式。撒网式攻击撒网式攻击利用 Google 和 Baidu 等搜索引擎找出暴露在互联网上企业的域名，若发现可以利用的漏洞则转为针对式攻击；利用社工，尽可能多收集企业的员工的邮箱，大批量发送钓鱼邮件；使用 Sh

24、odan 搜索引擎，针对暴露在互联网上的工控系统发起攻击，成功后转为内部攻击。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院13黑客攻击链（Cyber Kill Chain）一般来说，攻击者通常以低成本、撒网式的攻击手段，如发送钓鱼邮件等社工式，开始攻击尝试。当受害者点开附在钓鱼邮件内的恶意链接或恶意程序时，“潘多拉之盒”就此打开，攻击者将尝试攻陷受害者的设备，并以此设备为跳板，打入企业内网。如果工控网络未能做到与办公网络的有效隔离，攻击者可以在进入办公网络后扫描并分析发现相关工控资产。当前许多工厂工控环境抵御网络攻击的能力较弱，大多存在弱口令，权限设置不当，共享账号和密码，

25、补丁和脆弱性管理缺失，网络隔离和防护不充分等高危漏洞，使得攻击者利用这些漏洞，在企业工控网内大范围、无阻拦、跨领域的对工控资产进行攻击，最终导致工业数据泄露、设备破坏、工序异常、次品率增加、火灾爆炸甚至威胁员工安全等严重后果，形成完整的黑客攻击链。1.1.4 目前防御端可能存在的问题从组织与人员方面来看：1）未落实安全责任管理层重视不足，部门间安全职责不清晰，无明确安全部门或岗位。2）安全意识薄弱员工对工控系统的安全意识相对薄弱，特别是生产或一线员工。传统型企业的“隐匿式安全”（security by obscurity），认为严格物理安全和访问管理即可确保安全，认为未发生安全事件即是安全，这

26、往往使得企业忽略对网络安全的建设，未能及时补救隐患。从管理与监督层面来看1）“经验式”管理的缺陷工控系统自身缺乏安全设计与考量，是很多企业存在的普遍现象，通过实施适当安全保障措施，可以有效弥补。但很多企业并没有建立有效的安全策略和措施，仅依靠个人经验和历史经验进行管理。2）应急响应机制缺失硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院14缺少应急响应机制，出现突发事件时无法快速组织人力和部署应对措施来控制事件进一步蔓延，并在最短时间内解决问题和恢复生产。3）缺少恰当的口令策略未设置恰当的口令策略和管理，如弱口令，共享口令，多台主机或设备共用一个口令，以及口令共享给第三方供应商

27、等情形，增加密码泄露风险。4）缺乏安全审计日志系统出现安全事件后，无法追踪和分析事件源头和原因，以避免类似情形的再次发生。从网络与架构方面分析：1）“防君子式”网络隔离内部办公网络和工厂网络缺乏有效隔离，未划分安全域进行防护，导致办公网络的攻击或病毒蔓延至工厂网络，造成生产影响。2）不安全的通讯协议工业控制协议非标准化，且大多存在安全隐患，例如 CAN、DNP3.0、Modbus、IEC60870-5-101。3）不安全的远程访问为方便维修工程师和供应商的远程调试，未对远程访问部署安全措施和监控，此类远程访问功能可能是攻击者利用率最高的漏洞之一。4）复杂的结构工控系统的结构相对于 IT 环境而

28、言更为复杂，攻击面较多。典型的工控环境一般会有以下组成部件：控制器（PLC、数控车床、DCS）、SCADA 系统、工业计算机、工业软件、HMI、网络、交换机、路由器、工业数据库等，其中任意一个环节或者部件出现问题就有可能导致整个工控系统被攻击。从主机与设备来分析：1）认证与授权为了日常使用方便，重要控制系统未设置密码、设置弱密码或共用密码，将密码贴在现场机器上，这些“便利”往往也为攻击者的入侵提供了极大的便利。2）防病毒软件未安装病毒防护软件，未及时更新病毒库，非正版软件等。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院153）操作系统陈旧性现在的工厂环境中，使用越来越多的计

29、算机系统，然而由于工业控制系统的更新迭代的时间相比于 IT 系统要长很多，使得工业控制系统中存在大量陈旧的计算机系统，如 windows xp、windows 2003 等操作系统，存在大量可被攻击利用的高危漏洞。4）默认配置许多工厂在安装设备时，使用了默认口令、默认路径，开启不必要且不安全的端口和服务等默认配置。5）离线设备管理对于离线设备，往往认为是安全的，忽视网络安全保护措施。但随着企业数字化的推进或在业务需要时进行网络连接时，此类设备可能会成为安全体系的短板和缺口。从物理防护方面分析：1）硬件调试接口重要控制系统的机架未上锁，或暴露在外的调试接口未有效防护。2）物理端口未对 IPC 等

30、通用接口进行有效管理或禁用，如 USB、PS/2 等外部接口，可能存在设备未授权接入风险，导致病毒感染或者程序非法修改。3）外部人员访问人员进出车间管控不严，特别是外部人员，如供应商等。我国进入工业转型的快速发展期，智能制造推动着信息化与工业化的不断融合，同时新的攻击形式层出不穷，导致工业控制系统的安全问题更加突出。工业控制系统安全问题是内外交加导致，作为国家关键基础设施的重要组成部分，其安全关系到国家安全。面对企业工控安全的薄弱基础，可因地制宜地逐步消除企业自身工控系统的安全漏洞，如从弱口令密码整改开始，逐步推进漏洞补丁升级、部署安全防护设备、完善安全管理制度、建立安全管理体系。在消除薄弱基

31、础的前提下，可以充分利用物联网技术、人工智能技术、大数据技术，扩展企业工控安全范围，提高安全监测、预警、分析判断能力，提升安全硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院16态势感知能力，从静态防护走向动态防御。1.2 产品分类产品分类1.2.1 工控安全产品全景图工控安全产品全景图总体来说，工控安全需要建立事前事中事后防护系统。为实现功能安全前提下的工业控制系统信息安全，需要构筑工业控制系统信息安全事前、事中和事后的全面管理、整体安全的防护技术体系。工业控制系统信息安全内涵、需求和目标特性，决定了需要一些特殊的信息安全技术和措施，在工业生产过程中的 IED、PLC、RTU

32、、控制器、通信处理机、SCADA 系统和各种实际的、各种类型的可编程数字化设备中使用或配置，达到保障工业控制系统生产、控制与管理的安全功能目标。所有自动控制系统信息安全的基础技术是访问控制和用户身份认证，在此基础上发展了一些通过探针、信道加密、数据包核查和认证等手段保护通信数据报文安全的技术。为实现功能安全前提下的工业控制系统信息安全，需要构筑工业控制系统信息安全事前、事中和事后的全面管理、整体安全的防护技术体系。1)事前防御技术事前防御技术是工业控制信息安全防护技术体系中较为重要的部分，目前有很多成熟的基础技术可以利用：访问控制/工业控制专用防火墙、身份认证、ID 设备、基于生物特征的鉴别技

33、术、安全的调制解调器、加密技术、公共密钥基础设施（PKI）、虚拟局域网（VPN）。2)事中响应技术入侵检测（IDS）技术对于识别内部的错误操作和外部攻击者尝试获得内部访问权限的攻击行为是非常有效的。它能够检测和识别出内部或外部用户破坏网络的意图。IDS 有两种常见的形式：数字签名检测系统和不规则检测系统。入侵者常常通过攻击数字签名，从而获得进入系统的权限或破坏网络的完整性。数字签名检测系统通过将现在的攻击特性与已知攻击特性数据库进行比对，根据选择的灵敏程度，最终确定比对结果。然后，根据比对结果，确定攻击行为的发生，从而阻断攻击行为并且通报系统管理员当前系统正在遭受攻击。不规硬科技复兴联盟研究报

34、告之工控安全创道硬科技研究院创道硬科技研究院17则检测技术通过对比正在运行的系统行为和正常系统行为之间的差异，确定入侵行为的发生且向系统管理员报警。例如，IDS 能够检测在午夜时分系统不正常的活跃性或者外部网络大量访问某 I/O 端口等。当不正常的活动发生时，IDS能够阻断攻击并且提醒系统管理员。以上两种 IDS 系统都有其优点和缺点，但是，它们都有一个相同的问题如何设置检测灵敏度。高灵敏度会造成错误的入侵报警，IDS 会对每个入侵警报作相应的系统动作，因此，过多的错误入侵警报，不仅会破坏正常系统的某些必须的功能，而且还会对系统造成大量额外的负担。而低灵敏度会使 IDS不能检测到某些入侵行为的

35、发生，因此 IDS 会对一些入侵行为视而不见，从而使入侵者成功进入系统，造成不可预期的损失。3)事后取证技术审计日志机制是对合法的和非合法的用户的认证信息和其他特征信息进行记录的文件，是工业控制系统信息安全主要的事后取证技术之一。因此，每个对系统的访问及其相关操作均需要记录在案。当诊断和审核网络电子入侵是否发生时，审计日记是必不可少的判断标准之一。此外，系统行为记录也是工业SCADA 系统信息安全的常用技术。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院18资料来源：CSDN1.2.1.1 工控安全主要产品工控安全主要产品 工控防火墙信息安全技术 工业控制系统专用防火墙技术要

36、求指出，工业防火墙是可应用于工业控制环境，专门为工业控制系统设计、开发、制造的工控安全状态检测防火墙产品，可对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护。工业防火墙与 IT 防火墙的主要差异体现在以下三点：（1）工业防火墙与 IT 防火墙数据过滤能力要求不同，工业防火墙除了具有 IT 防火墙的通用协议过滤能力外，还应具有对工业控制协议的过滤能力；（2）工业防火墙比 IT 防火墙具有更高的环境适应能力；（3）工业防火墙比 IT 防火墙具有更高的可靠性、稳定性、实时性等要求。同样的，工业防火墙也分为基础级和增强级，同时还根据工控系统层次情况，分部署域间和部署现场控制层。硬科技复

37、兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院19 工控安全监测审计系统工控安全监测审计系统专为工业控制网络研制的业务可视化安全检测和威胁监测的审计平台。基于行黑名单、白名单、自定义规则等多种安全策略，通过内置的工控协议深度解析引擎，实时监测和发现各种异常数据报文、异常的网络行为、非法入侵等，从而实现工业网络安全风险事前预防、事中发现、事后响应和追溯提供全息审计记录。漏洞扫描/挖掘工控漏洞扫描系统是采用已知漏洞检测和未知漏洞挖掘相结合的方式对工业控制设备、工业控制系统、工业控制网络安全保护设备以及工控软件进行全面自动化检测和漏洞挖掘的强大工具平台，能够精准检测信息系统中的各种脆弱性问

38、题，在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议。图片来源：国网浙江省电力公司科学研究院 工控安全评估系统工控安全评估系统以相关的国际及行业规范为依据，对国家关键基础设施进行合规性检查，对企业资产进行漏洞扫描及管理，对工控网络进行旁路审计并对异常行为实时告警，并根据检查结果生成专业检测报告，提供整改建议，帮助企业用户弥补漏洞。主机安全防护主机安全防护系统只允许系统操作或运行受信任的对象可以很好地适应工控环境、相对固定的运行环境，并将非法程序隔离在可信运行环境外。通过签硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院20名证书的白名单，能确保经过签名的可信应用

39、程序正常升级、加载和拓展，避免因软件升级导致应用无法运行的情况发生，并能为工控上机位（工程师站、操作员站等）与工控服务器（应用服务器、实时数据服务器、历史数据服务器、OPC 服务器）提供全面的安全管理、检测、防御和安全加固。入侵检测入侵检测是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它能实时监测工控网络状态，检测包括溢出攻击、RPC 攻击、WebCGI 攻击、拒绝服务攻击、木马、蠕虫、漏洞利用等网络攻击行为。产品检测网络上的所有数据信息，根据指定的保护目标及检测策略对网络中可疑流量或攻击行为进行实时报警。它通常由 4 个组件构成：事件产生器（Eve

40、nt Generator）、事件分析器（EventAnalyzer）、响应单元（Response Unit）、事件数据库（Event Database）。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供此事件的原始数据。事件分析器分析采集到的原始数据，并产生分析结果。响应单元是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等反制手段，也可以只是简单的报警。事件数据库是存放各种中间数据和最终数据的存储资源，它可以是复杂的数据库，也可以是简单的文本文件。入侵防御系统入侵防御可应用于工业控制网络环境，能检测入侵行为的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和

41、发展，保护信息系统不受实质性的攻击。它可以直接串联到网络链路中对常规网络通信恶意数据包进行检测，阻止入侵活动，预先对攻击性的数据包进行自动拦截，使它们无法造成损失。入侵防御系统使得入侵检测系统和防火墙走向了统一。网闸网闸全称安全隔离网闸，是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过，帮助用硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院21户防护来自网络的病毒传播、黑客攻击等行为，避免其

42、对控制网络的影响和对生产流程的破坏。图片来源：天融信 网关工业安全隔离网关是专门为工业网络应用设计的安全隔离设备，用于解决控制网络如何安全接入信息网络的问题以及控制网络内部不同安全区域之间安全防护的问题。它具备 ARP 防护、病毒防护等插件以应对网络攻击、工控病毒、特种木马等多种安全威胁，为工业控制系统提供纵深防御，是快速、高效、全面的工业控制系统安全解决方案。PC 安全卫士工控主机安全卫士系统是一套对操作员站、工程师站和服务器等工控系统主机进行安全加固的软件产品。产品颠覆了传统防病毒软件的“黑名单”思想，采用与其相反的轻量级“白名单”方式，可以快速有效阻止如震网病毒、BlackEnergy

43、等工控恶意代码在主机上的执行、感染和扩散。在此基础上，对 U盘等移动存储介质也做了安全防护和管理，防止病毒木马通过移动存储介质在内网主机上交叉感染。产品有单机版和网络版两种形态，网络版本可以对部署硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院22在主机上的主机安全卫士进行集中管控，包括策略统一下发、软件统一管理、日志统一查看、外设统一管控等。USB 安全隔离装置USB 安全隔离系统是一种专门针对不可信 USB 存储设备与可信计算机之间进行安全文件传输，过滤 USB 存储设备上的文件，防范病毒而设计的工控安全产品。USB 安全隔离系统通过网络接口与内部网络连接，采用外设杀毒技术

44、，对 USB 存储设备上的文件进行病毒查杀；采用先进的软件“白名单”防护机制，对 USB 存储设备上的文件进行过滤；有效防范已知恶意病毒，阻止各类未知恶意软件对可信计算机带来的威胁。保证 USB 存储设备上的数据安全、完整、快速的传输到可信计算机。蜜罐蜜罐好比情报收集系统，本质上是一种对攻击方进行欺骗的技术。它通过布置一些作为诱饵的智能设备、主机、网络服务，诱使敌方对它们实施攻击，从而对攻击行为进行捕获、分析，了解攻击方所使用的工具和方法，推测攻击意图和动机。蜜罐技术能够让防御方清晰地了解其所面临的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。探针工控安全探针能够针对异构数据源进

45、行适配采集，通过深度学习、远程校准，实时侦测工业场景中各种异常行为。主要分布式部署于生产调度区各层汇聚交换机上，通过镜像流量实现对各层链路利用率、业务分部情况、服务带宽占用等进行监测，通过构建攻击知识库实现对工控网络恶意行为的诱捕、存储、分析，对不正当行为进行关键工控事件检测，最后由工控安全监测评估系统汇总、分析后给出监测报告。攻防安全室/工控安全移动实验室移动实验箱以小型工业控制系统为基础，模拟典型工业现场环境，融合工控安全防护和审计解决方案，通过自动化系统实验、工控网络攻击实验、工控网络攻击防护实验、工控网络监测和异常行为分析四大典型实验内容，将理论硬科技复兴联盟研究报告之工控安全创道硬科

46、技研究院创道硬科技研究院23教学和实践应用高度融合，实现工控网络安全攻防演练功能。分为双页和单页试验箱。图片来源：公众号 安全管理平台工控安全管理平台明确定位为一个集成解决方案，利用丰富的、强大的安全软件，结合同意管理系统，对网络环境进行监测和感知潜在威胁。产品的核心工作在于负责收集和关联各种安全信息，发现网络中资产的脆弱性和对发生的攻击行为进行报警，对即将发生的攻击行为进行预测。工控安全态势感知系统工控安全态势感知平台通过采集工业生产相关网络的关键资产数据、威胁数据和脆弱性数据等，利用统计分析和数据挖掘等方法，根据不同行业特点建立风险模型，依据模型对所采集的数据进行关联和融合分析，识别能引起

47、工控网络安全态势变化的安全要素，展示网络当前的安全状态，并预测未来发展趋势。工控网络安全态势感知技术架构主要包括安全数据采集、数据预处理、态势评估分析、态势预测、态势展示、态势告警与响应等 6 部分。硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院241.2.2 等保等保 2.0 框架下产品形态框架下产品形态在等保 2.0 的基础上，立足于“一个中心、三重防护”对工控安全产品进行分类。其中，一个中心是安全管理中心，三重防护分别为安全通信网络、安全区域边界、安全计算环境，对应的产品分别为工业审计类产品、工业防火墙/网关、入侵检测类产品、主机防护类产品。1.3 工控安全产品应用场景

48、工控安全产品应用场景基于工业控制系统 5 个层次划分，可以进一步对工控网络进行分区管理，主要包括企业管理区和生产调度区，工控安全监测防护部署示意图如下：硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院25图片来源：公众号企业管理区内分外网和内网两部分，外网应当设立安全控制策略，进行边界数据包过滤、恶意代码防范、非法外联和入侵行为探测，加强网络边界的审计和防护；内网管理应当设立安全管理中心，对内网的系统(例如 OA 系统、邮件系统、门户网站等)进行统一认证、安全存储、漏洞检测、病毒查杀等。生产调度区主要包括生产管理层、过程控制层、现场控制层、设备层。生产管理层负责生产任务的数据管

49、理、计划安排、设计存储等；过程控制层、现场控制层是对现场设备进行过程控制和实时控制。生产调度区各层都应做好对应的漏洞检测、入侵检测、病毒防护，保护好相关工控数据流，防止网络攻击行为的发生，以及对反常行为进行预警报告。为保证工控网络系统正常生产、硬科技复兴联盟研究报告之工控安全创道硬科技研究院创道硬科技研究院26稳定运行，工控网络各分区间应部署网络隔离装置，以保证分区的交互安全，同时部署增加工控网络安全监测系统，以对整体网络行为进行全生命周期监测、存储和分析，形成网络安全实时态势感知，以有效应对隐蔽性威胁。1.4 工控安全产品应用领域工控安全产品应用领域工控安全产品可广泛应用于油气、石化、市政、

50、环保、交通、烟草、智能制造、能源（电力）、冶金等各行业领域，其中电力与石油化工行业占据了工控安全 60%市场份额。为行业客户的工控系统提供适当防护、安全监测与记录等功能，并提升奇工控网络的安全防范能力。其它行业如关键制造、通信等同样面临工控安全风险，根据中国产业信息网的数据，工控安全事件所属行业中，关键制造与通信行业分别以 22%、21%居于第一、第二。图片来源：网藤科技1.5 工控安全技术理念工控安全技术理念目前市场上工控安全技术理念主要以监、评、防、融四大核心功能为主：（1）监测预警：对接入互联网的工业控制系统面临的威胁态势进行监视，并对工业控制网内部进行全时段、全流量及多业务分析，构建早