深度丨工控网络安全新兴理念及发展态势分析

随着工控系统的进一步开放互联、数字化、网络化、无线化甚至全面云化，工控系统自身的网络安全脆弱性和所面临来自自然环境、人为失误、设备故障、恶意软件、工业间谍、犯罪组织、恐怖分子、境外国家力量、地区冲突与战争行为等方面的威胁与日俱增。据卡巴斯基ICS CERT观察报告，2023年上半年全球有34%的工控系统（ICS）计算机探测到并屏蔽了各类恶意对象，2023年第二季度出现了自2019年以来全球最高的季度威胁水平，26.8%的ICS计算机受到影响。

在此背景下，世界主要经济体纷纷出台或修订相关网络安全法律法规，如中国《网络安全法》《关键信息基础设施安全保护条例》，美国《Cybersecurity Act》（网络安全法）、NERC CIP（关键基础设施保护）系列要求，欧盟《Directive on Security of Network and Information Systems》（revised）（网络与信息系统安全指令2，简称“NIS2指令”，该指令已于2023年1月生效，并要求各成员国必须在2024年10月17日之前将该指令转化为国家法律）等。较之第1版NIS，NIS2适用范围大增，所适用的基础服务包括能源（电力、区域供热和供冷、石油、天然气、氢气）、药品及疫苗制造、饮用水和废水、交通、银行、金融市场基础设施、健康、数字基础设施、信息通信技术服务管理、太空工业、中央及区域公共管理等，所适用的重要服务包括邮政与快递服务、废弃物管理、化学品、医疗器械制造、电子/电气/机械/交通设备及产品制造、数字服务提供商等，并要求运营基础服务的组织必需更有效地全链条管理IT（信息技术）和OT（运营技术），以及用于管理、监视、控制、保护工业正常运营的控制系统的网络安全风险。

据MarketsandMarkets报告，工业网络安全市场规模2022年为163亿美元，预计到2028年将达到244亿美元，预计从2023年到2028年的复合年增长率将达到7.7%。推动工业网络安全市场快速增长的要素是国家及社会对工业控制系统的关注度越来越高和其遭受的网络攻击数量持续增多。传统的“封堵查杀”网络安全手段，已基本无法有效应对新形势下系统性高强度的网络攻击，也难以满足更加严格的网络安全相关法律法规的要求。为此，网络安全与功能安全一体化的深度防护、设计安全、默认安全、可信系统、零信任架构等新兴的安全理念不断涌现（限于篇幅，本文重点放在安全一体化深度防护、设计安全、默认安全）。

全球数字技术发展速度之快、辐射范围之广、影响程度之深前所未有，网络化、数字化、智能化是大势所趋，这其中以AI、量子计算等为代表的新一代数字技术会给工控网络安全的发展带来深远的影响，必须提前分析预判、提前谋划应对。

九位一体安全深度防护是指应用多层融合[即人员安全防护层、EPC（设计、采购及建造）防护层、物理安全防护层、网络安全防护层、设备加固防护层、应用及数据安全防护层、事故响应及恢复防护层、过程自动防护层、过程设备防护层等]的系统防护方法，来对被保护对象（如关键工业自动化及控制系统、关键通信网络、关键物理过程设备、安全管理中心等）进行全面、系统的深度防护。九位一体安全深度防护结构示意图如图1所示，从外层至内层各层分布分别为：人员安全防护层+EPC防护层+物理安全防护层+网络安全防护层+设备加固防护层+应用及数据安全防护层+事故响应及恢复防护层+过程自动防护层+过程设备防护层，该九层构成了被防护对象的风险控制手段或风险控制措施。其中的网络安全防护层、设备加固防护层、应用及数据安全防护层等三层属于数字安全控制范畴，物理安全防护层、网络安全防护层、设备加固防护层、应用及数据安全防护层等四层属于常规意义上的网络安全范畴，过程自动防护层、过程设备防护层属于通常所谓的过程安全、功能安全范畴。

该方法与常规网络安全防护方法不同，它是采用多专业分层理念来对网络安全、过程安全、过程工程及组织的交叉风险进行综合管控，可视为网络安全、功能安全、组织安全等多种安全的系统集成或多种安全的融合一体化。

常规的深度防护（defense in depth）是一种采用分层、冗余的防护机制来保护资产免受网络攻击的网络安全防护方法，其利用组合的网络安全措施而不是单一的网络安全措施来抵御网络攻击[如由两个不同的防火墙所构成的DMZ（demilitarized zone），也称“非军事区”“屏蔽子网”，介于网络之间作为“中立区”的边界网络]，且有时还考虑防护措施的多样性，如某防护层被某种手段攻破后不应导致另一防护层也会被同一种攻击手段所攻破（如配置不同访问控制措施的多个网段）。从表面上看，九位一体安全深度防护似乎与常规深度防护一样，但实质上两者有着本质的不同。常规深度防护只是试图延缓攻击者的攻击时间，所构建的纵深防御体系并未如九位一体安全深度防护一样，设置有系统性的多专业级的网络安全与过程安全（功能安全）一体化的综合防护措施。试想若攻击者攻破深度防护措施后，常规网络安全深度防护是否还有能阻止或抵御攻击者的其它工事？

在九位一体安全深度防护模型中（如图1所示），各个防护层之间是互联互融的。从确保满足综合防护高效能视角看，外层和内层同等关键。

图1 九位一体安全深度防护模型结构示意图

该模型结构详细说明如下：

（1）人员安全防护层。该层至关重要，其取决于所有利益相关方人员的意识、技能和信任。人员是安全防护中最为关键且易忽视的因素。被保护资产整个生命周期涉及到规划人员、设计人员、制造人员、建造人员、管理人员（包括系统管理员、审计管理员和安全管理员等）、运维人员和系统用户等各类人员。若这些参与安全的相关人员的安全意识、业务能力和相互间的沟通信任不能满足要求，则任何一个被保护对象都难以达到真正意义的安全。因此需对主要人员进行身份、安全背景、专业资格或资质等审查，签署安全责任协议，强化安全意识教育和培训，严格进行人员离岗的管理，严控关键区域或关键系统的外部人员访问等。

（2）EPC防护层。众所周知，好产品主要是通过优良的设计和制造而得到，而并非是通过校核和检验而得到。设计、采购和建造对于系统安全也十分重要。在设计过程中，需确保所设计方案（包括设计目标、设计策略、设计技术规范及要求）的合理性、充分性、合规性。可信必须渗透到所有部件及其子部件，如图2所示。在进行可信系统设计时，应基于TCM（Trusted Cryptography Module，可信密码模块）或TPM（Trusted Platform Module，可信平台模块）建立可信根，构建一级度量一级、一级信任一级、将信任关系扩大到整个系统的可信链，如图3所示，从而确保系统可信验证机制满足要求，也可融入零信任设计机制，进一步增强系统的防护能力；在采购过程中，采购技术规范书、采购流程、合格供应商选取、所采购的安全产品均需符合相关要求，且对重要产品还需进行专业测评、专项测试，严格控制外包软件开发的安全性；在建造阶段，应严格进行安全工程的过程管理和工程监理控制，按要求做好测试验收，并把好系统交付前的关口等。

图2 可信工控系统各部分间的可信关系

图3 构成可信对象的可信链示意图

（3）物理安全防护层。从整个安全防护来看，物理访问控制是工业控制系统及关键基础设施等保护对象的安全防护基础。常见的物理访问控制措施有物理位置选择（如满足防震、防风、防雨、防水、防潮等要求）、物理访问控制（如电子门禁）、防盗窃、防破坏、防雷击、防火、防静电、电磁防护（甚至包括防高空电磁脉冲攻击）等措施。

（4）网络安全防护层、设备加固防护层、应用及数据安全防护层。这三层属平常所谓的网络安全防护范畴，是网络安全等级保护的核心。对于工业自动化与控制系统而言，常见的网络安全防护措施有：边界防护、网络分段，访问控制（如多因子、双重控制、基于角色等），安全分区或安全域，入侵防范、恶意代码和垃圾邮件防范，保护报文完整性、网络性能监控；最小化所暴露的攻击面、按时软件更新；权限最小化，维持软件完整性、控制可操作性、可观察性及实时性能、安全组态（如读/写访问、双重控制等）；保护数据的完整性、可信性和可用性，安全审计等。

（5）事故响应及恢复防护层。本层需具有以下响应及恢复能力：①及时识别、定位、标识和遏制网络攻击；②根除故障及隐患：识别根原因、受损系统，恢复软件完整性，消除脆弱性；确保移除恶意代码、后门和根工具包，限制、关闭未经授权的访问点；③恢复：数据恢复和灾难恢复，灾难恢复包括ICS（工业自动化及控制系统）数据恢复重构和过程恢复重构等。

（6）过程自动防护层。本层用于①保护运行监视完整性、过程报警完整性、逻辑完整性、功能/顺序完整性、过程稳定性等；②保护控制逻辑、控制功能、控制流程，如保护系统的触发条件、联锁、顺序控制等；③保护过程安全功能，防止对控制独立性和功能安全的不利影响；④分立过程控制、保护，将过程控制与主要保护分开设置，将关键、基础控制与一般、常规控制分开设置，确保主要保护、基础控制的独立性和分散性；⑤实施职责分离原则，关键对象或关键功能采用冗余、多样性手段，如动力源采用电源、气源、液压源等。

（7）过程设备防护层。本层常用防护手段有：①采用独立的保护驱动装置等；②应用分隔、隔离、分离、分散、冗余、多样性等手段；③应用本质安全设计方法，强化过程（如分布式发电、微电网、微反应堆、减少危险品库存等），衰减或抑制风险（如通过降低运行温度、快速散热、降低热失控几率，提前预警不安全工况、探测可燃气体、及时火灾报警及灭火、防爆设计等来抑制锂离子电池储能系统运行风险等）；④多样化动力源、部署由网络安全等危急工况触发的ESD（紧急跳闸或紧急停车系统）等。

在应用该模型时，需注意风险和安全是两个交织在一起的概念。一方面为了实现所期望的安全，首先需识别、评估所面临的风险，通过识别和分析潜在的威胁和脆弱性，提出更有效的安全策略，所实施的安全措施对所识别的风险应具有针对性、有效性；另一方面也应谨记绝对的安全常常是难以达到的，过度严格的安全措施或手段不仅成本高昂而且也常常不现实或带来副作用。因此，应基于法律法规、监管机构的要求，结合基于过程安全分析方法[如过程安全HAZOP（危险与可操作性分析）、LOPA（保护层分析）、BIA（商业影响分析）]的分析结果与基于物理攻击场景和网络攻击场景的风险评估，识别出潜在后果及损失，来确立合适的风险准则，以使所采用的安全防护措施或手段（预防、探测、减轻）与组织可接受的风险等级相平衡、相匹配。

长期以来，IT（信息技术）界一直循着供应商供应产品—用户部署产品后发现脆弱性（漏洞）—用户自行打补丁修复漏洞的恶性循环。为了打破该恶性循环，美国CISA（网络安全和基础设施安全局）、NSA（国家安全局）、FBI（联邦调查局）与澳大利亚、加拿大、英国、德国、荷兰、新西兰等国家网络安全相关管理部门，于2023年4月联合提出了在产品设计和开发过程中，产品供应商宜遵循“设计安全”（security-by-design）和“默认安全”（securityby-default）的原则和方法，来确保产品在整个生命周期的高安全性及用户维护工作量的最小化，以防止将易受攻击的产品投入市场。

所谓“设计安全”是指供应商应将用户的产品网络安全作为其核心业务目标要求，而不仅仅是只考虑实现产品的单纯技术功能。在产品全生命周期的设计开发阶段，供应商就应实施secure-by-design（通过设计确保网络安全）设计安全原则，在产品被投入市场广泛使用或消费之前，就应大幅减少产品自身网络安全缺陷的数量，并采取合理的防护措施来防止恶意网络行为者成功获得对设备、数据和连接的基础设施的访问权限。例如，软件开发商在软件设计开发阶段，先进行网络安全风险评估，以识别和枚举对关键系统存在的普遍网络威胁和漏洞，在设计方案中就纳入应对不断演变的网络威胁形势的相应保护措施。

所谓“默认安全”是指产品无需额外收费，开箱即可安全使用，一经投运即具备能够抵御盛行的脆弱性和威胁利用技术。也就是说，安全配置是默认基线，如所有车辆标配安全带一样，所设计的“默认安全”产品可抵御最普遍的威胁和漏洞，用户无需采取其它额外措施，“默认安全”产品投运后即自动启用，保护用户免受恶意网络行为者攻击所需的最重要的安全控制措施，并具备使用和进一步配置增强安全控制手段的能力。用户需意识到，当应用中偏离安全默认时，除非施加额外的补偿控制措施，否则会增加产品脆弱性。通过应用设计安全和默认安全原则，可一定程度上实现产品的网络安全，提高可靠性和韧性。

产品供应商应遵循以下3个核心原则，在产品研发、设计、制造阶段，在产品配置组态、发货前，将产品网络安全特性融入产品设计过程中。

（1）网络安全责任不应只落在用户肩膀上。产品供应商也应承担所供应产品的网络安全责任，并相应提升其产品的网络安全防护水平。

（2）积极提高透明度和问责制。产品供应商需承诺为用户提供满足通常网络安全要求的产品，默认情况下使用强大的身份鉴别机制，以能为用户提供安全可靠的产品而自豪，并分享所掌握的网络安全信息（如脆弱性咨询、通用漏洞披露等）。

（3）建立实现“设计安全”和“默认安全”目标的组织机构和领导力。不仅掌握专业技术知识的技术人员对产品安全至关重要，而且高级管理人员是组织实施变革的主要决策者，其作用力也不容小觑。

以安全软件开发为例，在设计过程中需始终贯彻“设计安全”原则，参考SSDF（安全软件开发架构）要求，至少遵循以下最佳实践，以确保软件按照程序员的意图运行，而不是按照攻击者的欺骗方式运行：

· 内存安全编程语言。内存处于网络倒金字塔的最底层，如图4所示，是网络安全的基础，应尽可能优先使用内存安全编程语言。

图4 网络金字塔

· 安全硬件基础。采用具备细颗粒度内存保护功能的体系架构，如CHERI（能力硬件增强RISC指令）。

· 安全软件组件。采购已验证的且具有良好安全性能的软件组件（如软件库、模块、中间件、框架等）并保持其处于最佳状态。

· Web模板框架。采用具备用户输入自动转义功能的Web模板框架，以避免如跨站点脚本等Web攻击。

· 参数化查询。使用参数化查询，而不是在查询中包含用户输入，以避免SQL注入攻击。

· 静态和动态应用程序安全测试（SAST/DAST）。使用SAST/DAST工具来分析产品源代码和应用程序行为，以检测出错误。

· 代码评审。通过开发人员的同行评审，以确保代码的高质量。

· 软件材料清单（SBOM）。创建SBOM，以纳入产品的软件集。

· 漏洞披露计划。建立漏洞披露计划，采取必要的措施识别安全漏洞和隐患。

· CVE完整性。确保发布的CVE（通用漏洞披露）包括根原因或通用弱点枚举（CWE），以实现软件安全根原因的行业分析。

· 深度防御。设计深度防御基础架构，以使单个安全控制措施的损坏不会导致整个系统遭受破坏。

· 网络性能目标。设计符合基本安全实践的产品。

此外，在贯彻“默认安全”原则时，可执行根除默认密码、特权用户强制采用多因子鉴别、单点登录（SSO）、安全日志记录（包括审计日志）、软件授权配置文件、向前安全优于向后兼容、考虑安全设置对用户体验的影响等良好实践。

随着数字化转型的不断推进，数字技术已深入到工业过程的各个点线面。边缘计算、去中心化的安全管理、AI（人工智能）、量子计算、分布式账簿等不断涌现的数字技术，对工控网络安全的发展产生了深远的影响。

随着微处理器、存储器密度、分布式计算、通信等技术/经济层面的快速进步，加之智慧城市、智能工厂等新基建建设进程的快速推进，边缘计算的应用逐渐增多。嵌入工业微服务的边缘设备可进行高效的自主决策，现场测量感知、采集的信息不需要传输到集中管理层，即可通过边缘计算智能功能做出快速处理和响应。随着边缘计算能力的增强，可在现场设备中直接集成增强的网络安全功能，进行更加有效实时的工控网络安全管理。

随着数字设备、智能设备的泛在化，常规集中网络安全管理系统的实施难度、运营效力和实时效率堪忧。相反，充分利用SDN（软件定义网络）、SDP（软件定义平台）、端点设备私钥、分钥等技术，将网络安全单独嵌入到各个现场设备中，并为设备建立做出安全决策所需的安全策略和规则，由智能设备自主做出决策和应对，从而提升通信的安全性、端点的完整性和安全性，已经成为一种更具可扩展性的新方法。

AI在多数工程和技术相关领域已无处不在，在网络安全领域尤其如此。AI一方面已被防御者用于快速高效分析海量数据，实时探测安全威胁和恶意活动，甚至是预测将发生的威胁和恶意活动，并实时进行自主响应；另一方面也被攻击者用以进行社会工程攻击和制造新型恶意软件等网络犯罪行为。可运用AI技术来增强工控系统的网络安全防御能力：

（1）快速高效地分析存储在数据湖、数据仓库（包括实时或历史数据库）中的感知、测量、执行、控制、通信等海量数据信号，以及结构化和非结构化数据；

（2）更高效地管理工控系统的脆弱性；

（3）实时探测或预测安全威胁和恶意活动；

（4）减少与安全相关的人为错误；

（5）根据安全策略或规则，快速进行自主响应。

敏感数据（如远程控制、银行转账、企业间商业秘密等）目前使用公钥加密技术进行数据保护，这些加密技术是基于常规计算机无法轻易解决的数学问题。量子计算机现仍处于初级阶段，但量子计算潜在的强大算力，会使现行的公钥密码学“注定失效”，从而使组织无法确保其所依赖的运行、交易及其它敏感数据的机密性、完整性和可用性。

NIST（美国国家标准与技术研究院）从2016年起开始研发能抗量子计算的密码算法，当前已提出了CRYSTALS-Kyber（拟用于通用的加密，如创建安全网站）、CRYSTALS-Dilithium（拟用于数字签名）、SPHINCS+（拟用于数字签名）和FALCON（拟用于数字签名）等4种后量子时代的密码算法标准草案，并正在全球密码界征集对标准草案的反馈。

DLT（分布式账簿技术）或区块链技术是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型集成应用模式或范式。工控系统，特别是IIoT（工业物联网）系统，可用DLT生成不可篡改的网络安全日志、审计报告，以及与IIoT组件的交互日志或网络安全供应链协议记录等。使用不同的账簿数据库技术、不同的共识算法和不同的合约语言来定义交易的DLT实现会逐渐增多，这使得DLT技术能够应用于涉及多个参与方的安全用例，如分布式网络安全通信、分布式安全审计、分布式存储数据等场合。

数字经济无处不在，新兴数字技术层出不穷，随之而来的网络安全风险也与日俱增。传统的网络安全防护理念、机制等已不能很好地适应新形势、新环境、新法规的要求。为此，应紧密跟踪对网络安全有着潜在较大影响的新技术，并加大对新兴网络安全理念及技术的研究、试验示范和推广应用。

文章内容来源：工业安全产业联盟 公众号

文章作者：电力规划设计总院 张晋宾