「數世諮詢」工業互聯網安全能力指南2022（防護、檢測、審計篇）

工業互聯網安全的落地第一步，是確保環境中的防護能力，之後是檢測/審計能力。數世諮詢本次發佈的《工業互聯網安全能力指南》為報告中的工控防護能力部分，以及工控檢測/審計能力部分。

工業互聯網安全能力指南——工控防護能力

在安全領域，最重要的工作之一是對威脅進行處置，這就需要防護能力。在本報告中，工控防護能力的範圍如下：

在工業互聯網環境中，能夠對OT相關場景中發現的威脅、異常行為，進行包括查殺、阻斷、攔截請求、禁止進程等干涉或處置的技術、產品或解決方案。

工業互聯網環境中的防護能力在整個工業互聯網安全中有着舉足輕重的作用：工業互聯網場景中第一需要保障的是生產可持續性——即威脅不能產生生產事故，同時對威脅的處理不應該過度干涉生產。尤其對於預算非常有限的企業，工控防護產品會是最優先分配的投入領域——只有先確保了生產穩定，然後才有更多餘力去發現環境中潛在的風險，以及過去發生過的異常行為。

本報告中的工控防護能力屬於數字安全能力圖譜中，行業環境下，工業互聯網安全中的工控系統安全部分。由於工控系統安全涵蓋的產品與解決內容較多，故在本報告中分為工控防護能力，以及工業互聯網安全檢測/審計能力。

關鍵發現

• 工控防護能力的主要產品形態為三種：工控防火牆、工控網閘、以及工控終端安全防護/主機衛士。但是根據不同廠商在應對不同需求的情況下，產品形態也會發生一些改變。
• 工控防護能力首先要做到「能運行、不干擾」。關鍵能力在於「深度協議解析」與「白名單」技術。但是，需要注意的是，「深度協議解析」對於不同的廠商，可能代表着不同的意義，企業在選購相關產品時，需要明確廠商能夠解析協議的具體內容。
• 從市場層面來看，儘管工控防護產品的總體收入依然呈上升趨勢，但是其在整個工業互聯網安全中的收入佔比會逐漸下降。

工控防護能力點陣圖

本次參與工控防護能力的廠商共有23家，包括：安帝科技、安恆信息、安盟信息、博智安全、長揚科技、國泰網信、華境安全、惠而特、傑思安全、立思辰安科、六方雲、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰、融安網絡、深信達、聖博潤、天地和興、天融信、威努特、英賽克。

工控防護能力主要產品形態

本次調研中，工控防護能力的主要產品形態為以下三種：工控防火牆、工控網閘、工控終端安全防護/主機衛士。

工控防火牆

工控防火牆部起到工業控制網絡中邊界分離的作用，確保一個分區不會受到來自於另一分區的攻擊。工控防火牆控制着不同網絡之間的指令交互，尤其在上位機遭到攻擊向工業生產機器發出非正常指令時，工控防火牆需要能夠識別，並且採取告警在內的相應措施。因此，工控防火牆事當下的工業互聯網場景中的首要防線。

工控防火牆由於其需要解析工業特有協議的特性，其在工業互聯網安全中的價值是傳統防火牆不可代替的。

工控網閘

工控網閘在工業互聯網中擔任着數據擺渡的作用——尤其是在將OT環境中的數據安全傳輸到相對開放的IT環境的時候。

工業互聯網相比傳統工業生產的一大變化，在於為了更好地提升生產效率，把握生產環境狀態，需要將數據傳輸到IT環境——比如工業互聯網平台。這就會增大針對工業數據的攻擊面。

工控網閘最重要的工作，是確保工業數據只傳輸給可信、被授權的接收方，從而不造成工業數據信息泄露。

工控終端安全防護/主機衛士

工控終端安全防護，又被許多廠商稱為「主機衛士」，是對工業互聯網場景中的相關主機進行防護的安全能力。工控終端安全防護/主機衛士由於其所處位置，是工業互聯網生產環境中的最後一道防線。

工控終端安全防護/主機衛士主要採取的防護手段為白名單機制，只允許工業互聯網環境中的正常、被認可的系統運行，禁止非正常程序的運行。

其他產品能力

以上三種是當下工業互聯網安全中與OT場景相關的主要產品形態。另一方面，在實際調研中發現，各個廠商會根據自身能力以及客戶的不同需求，會有一些不同的產品形態：比如部分安全廠商會基於客戶的環境以及需求，提供工控IPS產品；有些廠商也會在銷售過程中，將USB管理等外接設備防護能力作為單獨產品，而非工控終端安全防護/主機衛士產品的一部分；甚至有部分廠商也會針對外接設備，做包括額外的外接設備管理與監控設備的一整套工控外接設備安全管理解決方案。

因此，客戶在選購工控防護產品的時候，需要基於自身的安全需求，與廠商進行產品具體能力的確認，確保選購的產品能完全覆蓋自己的防護面。

同時，在本次調研中發現，未來的工業生產場景安全能力的一個方向，是網絡設備和安全設備的結合。在本次調研中，發現已經有部分廠商開始將自己的安全能力與工業生產環境中的網絡設備（如路由器）開始融合，成為「帶有安全能力的工業網絡設備」。

工控防護能力落地要點

對於工控防護能力產品，有以下關鍵能力需要考慮：

工業環境可用

工業場景中，首先需要設備可用。設備可用不僅僅是指軟件層面，能夠理論上實現工業環境中的要求，最關鍵的前提，是硬件本身能夠在工業生產環境中可用。

在工業生產環境中，會遇到很多極端環境，如高溫、低溫、多塵等會對電子設備產生極大影響的惡劣因素。對於生產環境嚴苛的工業廠商，在挑選工控防護產品的時候，一定要考慮到設備的硬件防護本身能否抵禦惡劣的生產環境。如果設備自身因硬件防護缺失導致無法正常運作，那麼即使有再強的信息防護能力，都不能對工業互聯網起到真正的保護作用。

生產無影響

工控防護能力是整個工業互聯網安全中，最需要在安全與業務之間尋求平衡的一塊領域。從工控防護能力的功能來看，需要能夠攔截請求、阻斷可疑來源、禁止某些應用運行。但是，這些行為都有可能會導致生產的中斷，甚至終止。

因此，工業互聯網安全產品能否在對生產無影響的前提下確保安全就尤為重要。即使在工業互聯網場景中，為了生產的可持續性，需要允許一些微小威脅的存在，但是對於可能會造成事故的威脅，就需要當斷則斷。同時，工控防護產品本身的操作，也不應對整個生產環境產生不良的影響。

協議解析能力

對於工控防護能力，尤其是工控防火牆而言，協議解析能力尤為關鍵。深度協議解析能力不只是對工業協議有所識別，更需要能夠在信息傳輸過程中，對工業協議中的具體內容進行解析。

協議的解析能力能夠從兩方面來看，一個是「深度協議解析能力」。但是，不同安全廠商對「深度協議解析」的定義並不完全相同。深度協議解析包含的內容，能夠包括協議指令碼、數據地址、數據數值的識別。在對工控防火牆進行選型的時候，需要明確安全廠商所謂的「深度協議解析」具體的解析內容。協議指令層面可以發現異常的指令通信，但是數據數值級別能夠識別出正常指令中的異常數值——避免因參數不當導致事故發生。

協議解析的另一個值得注意的能力是「自定義協議解析能力」。在工業互聯網環境中，有一部分私有協議，並不作為主流協議出現，因此不存在於安全廠商原有的協議能力中。這個情況下，就需要工控防護產品有對未知協議的學習能力，從而實現對未知協議的解析能力。

彈性白名單

白名單是工控終端安全防護/主機衛士的主要防護手段。通過僅讓被許可的程序運行，達到確保工控主機安全的目的。

然而，白名單同樣需要基於企業的業務環境進行學習，從而制定出符合環境需求的白名單。從發展角度來看，工業互聯網會基於工業數據的分析，以及企業的業務需求，更為靈活地分配生產力。因此，對於一些數字化轉型較快的企業，工業生產環境本身也會有相比之前更為頻繁的變化。這就需要白名單有同樣的彈性。

白名單的彈性可以從兩方面來看。一方面是白名單的學習速度，是否能夠快速學習並建立準確的工農業互聯網環境白名單；另一方面是白名單的部署效率是否高效。儘管說功能上，可以通過工業互聯網安全管理平台實現一鍵下發，但是在具體實踐環境中，經常需要對每個終端進行逐台更新，這個時候白名單的部署速率就決定了生產恢復的速度。

部分廠商會使用一些黑名單或者灰名單機制，來增加白名單的彈性。但是，這一類機制同樣也是犧牲了一定的安全性來追求效率——這並不代表這類機制不會安全，只是相對純粹的白名單機制而言，安全保障會相對降低。企業在這個過程中，也需要平衡自己的需求：是追求純粹的安全性選擇完全的白名單機制，還是降低一點安全性，來確保業務轉換時的效率。

已知威脅防護能力

儘管敵對勢力極有可能會對我們國家的關鍵基礎設施發動攻擊，但是這一類APT攻擊依然是少數。工業企業面臨的更多還是來自日常的已知攻擊，或者因人員違規操作產生的病毒感染（比如移動存儲設備的違規使用）。這一類威脅往往是已知病毒攻擊，或者利用已知漏洞進行攻擊，因此防病毒能力能夠抵禦絕大部分此類攻擊。

針對已知威脅的防護，一方面依賴於安全廠商自身對工業系統的漏洞研究能力以及病毒庫更新能力。這可以從廠商的工業互聯網相關漏洞提交數量，以及安全研究團隊能力上體現。另一方面，有強大攻擊特徵庫能力的廠商可以通過已知的攻擊行為模式，更精準快速地發現攻擊行為，進行響應。

工控防護能力市場情況

• 工控系統安全（本報告中「工控防護能力」與「工控檢測/審計」部分）在數世諮詢定義的市場成熟度，概念市場、新興市場、發展市場與成熟市場四個階段中，位於發展市場階段。

• 根據本次調研的方向，2019年我國工控防護能力收入總體約為6.3億元，2020年總體收入約為10.3億元，預計2021年收入為14.1億元，2022年有望達到17.5億元。工控防護產品作為整個工業互聯網安全的關鍵，其收入佔比在整個工業互聯網安全中當前最高。但是，隨着客戶的防護能力日漸成熟，以及工業互聯網安全產品數量增多，會將投入逐漸轉向工業互聯網安全管理平台能力。工控防護類產品的總體收入佔比將會逐步下降。
• 工控防護類產品當前還是以單一標準化產品交付為主，佔72%。定製化產品及運營佔17%；作為單一功能交付、訂閱模式及其他模式共佔11%。
• 從銷售方式來看，廠商直接銷售和通過渠道銷售佔比差距不大。直銷（46%）比渠道（44%）佔比略高。
• 當前來看，工控防護能力的主要落地行業為電力，佔31%。電力在整個工業互聯網領域起步較早，因此安全能力落地更多。其餘佔比超過10%的行業為軌道交通（16%）、燃氣/熱力/供水/電網（13%）、以及石油石化（11%）。從未來發展來看，石油石化將會成為下一個安全廠商爭奪的領域。

案例一：某水電站工控安全防護項目案例（本案例由天融信提供）

場景介紹

某水電站作為國內首座大型水利樞紐，電力信息化集成越來越高，對電力系統的穩定性、安全性、可用性均提出較高考驗。為提升水電站控制系統網絡安全防護能力，以水電站實際應用需求為出發點，結合電力行業相關標準，從工控終端安全、工控網絡安全、運維管理安全等方面，設計出水電站工控安全防護方案，並得到實際的應用，幫助水電站建立全方位多技術的防護手段。

安全隱患

• 生產控制區系統老舊，安全漏洞較多，易被攻擊者利用
• 操作站應用和移動介質缺少管控，無法辨別應用來源，可能引入惡意程序
• 業務調度和操作行為不規範，可能存在違規操作或誤操作
• 生產控制區域之間未執行嚴格的訪問控制，可能存在跨域訪問

客戶需求

通過對水電站控制I和II區業務運行和日常管理進行現場溝通與調研，明確如下需求：

• 技術人員操作不規範，管理難
• 難以對重要通信建立行之有效的審計監測機制
• 工業控制系統漏洞較多，難以形成集識別和管理措施
• 常規安全檢測手段無法應對新型工業安全威脅
• 缺少基於全網的威脅態勢分析
• 網絡設備繁多，分佈較遠，定期維護較為困難

解決方案

（圖片來源：天融信）

為更好地解決水電站當前面臨的安全問題，首先需要對水電站的網絡結構和資產信息進行梳理：以「安全分區、網絡專用、橫向隔離、縱向認證」為建設原則，細化生產控制區（I區）業務系統，強化對數據網邊界、重要資產或系統的安全防護與審計，增強漏洞威脅識別與發現能力，建立基於全廠的安全信息匯總與展示，以及全網威脅態勢感知與分析。

結合水電站業務特點與網絡結構，安全專家提出了整體安全建設框架，基於安全防護體系和安全運維感知體系，構建對水電站生產控制區中的安全防護、安全檢測、安全審計、安全運維、威脅識別、安全場景分析能力，形成基於工業控制系統的縱向防禦架構。

• 安全防護體系

安全防護體系包含網絡中的安全防護設備、檢測設備、審計設備、終端管理、漏洞識別等，防護範圍覆蓋生產控制區；在生產監控區建立安全防護中心作為數據探知，將基於各個節點的安全數據、異常數據等上送至集中管理平台，用作安全環境、基線的分析，並執行分析的結果。

• 安全運維感知體系

安全運維感知體系作為水電站生產控制大區安全防護的「大腦」，承擔安全信息分析的作用，利用大數據手段，基於用戶的安全基線進行安全建模，通過模型間的組合進行流式分析，分析網絡中安全威脅及主機、應用脆弱性，後依據分析結果下發策略至安全防護設備、安全審計設備，形成基於用戶行為的縱向安全防護體系。

域間隔離

生產控制大區與非控制區域部署天融信工控防火牆，實現域間隔離控制。天融信工控防火牆基於白名單的工業指令級「四維一體」深度防護技術，可對工控協議的「完整性」、「功能碼」、「地址範圍」和「工藝參數範圍」進行深度解析和過濾，可對水電站生產控制區內的S7、Modbus、EIP、IEC104協議進行深度解析；同時，基於水電站業務實時特性，採用工控系統業務連續性保障技術，可在不影響工控業務連續性的基礎上阻斷異常指令、告警可疑操作、隔離威脅數據，保證電力生產數據安全上傳。

「四維一體」深度防護技術在傳統防火牆五元組安全檢測的基礎上，對應用層工控協議及數據進行四重深度安全檢測，以Modbus協議為例：

• 第一步對協議的完整性進行校驗。
• 第二步結合工控業務對功能碼進行分析，檢查協議功能碼是否合法、合規。
• 第三步檢查數據讀取地址範圍是否在業務允許範圍內，同時對源操作者的讀寫權限進行檢查。
• 第四步對工藝參數進行分析，如轉速、壓力、溫度等是否符合目標設備正常業務範圍。

（天融信工控防火牆協議解析模型）

通過對工控協議、數據的四層安全檢測，可有效保證工控協議與數據的安全性，從而保障工控網絡、工控設備的安全穩定運行。

基於業務的行為建模分析

天融信工控安全監測系統部署應用結合水電站業務的特性，採用工控業務規則模型，可有效對業務系統的攻擊行為、違規操作、誤操作、非法通訊等異常行為進行監測，並對數據進行深度解析、分析、記錄、統計、彙報，通過關聯分析結果給出相應的防禦策略和事件溯源的報文源碼，加強內外部網絡行為監測，便於快速了解網絡基本情況的同時獲知網絡告警分佈，輕鬆掌握網絡運行狀況。採用旁路部署，對業務生產過程「零」影響；具備完善的日誌存儲、統計、審計與備份功能，針對安全事件便於篩選與回溯，有效保障了日誌數據可靠性。

基於白名單的防護

天融信工控主機衛士部署在工控上位機和服務器上，能夠防範惡意程序的運行、控制USB移動存儲介質的濫用、管理非法外聯、為受信任的程序提供完整性保護等，具備完善的終端安全風險監控和分析能力；同時支持新建、追加白名單，可通過自動掃描、自定義添加、軟件跟蹤等方式自動生成應用、腳本白名單庫，同時可根據文件表、HASH表對庫內白名單進行查看，並可配置白名單防護策略，禁止並審計白名單之外的進程、鏡像的啟動加載行為；滿足工控網絡中終端安全管理需求，實現對工控主機全面的安全防護。

（天融信工控主機衛士功能架構）

工業漏洞識別與發現

天融信脆弱性掃描與管理系統可對國內外常見的SCADA、組態軟件、HMI、PLC、DCS、應用系統等多種類型的系統或設備進行針對性掃描，採用智能遍歷規則庫和多種掃描選項的組合手段，深入檢測出系統中存在的漏洞和弱點，準確定位其脆弱點和潛在威脅。根據掃描結果，系統可以提供測試用例來輔助驗證漏洞的準確性，同時提供整改方法和建議，幫助技術人員修補漏洞，全面提升整體安全性。

同時，系統櫃可將掃描的結果生成在線或離線報表，也可以根據不同的用戶角色生成報表，並對掃描結果進行細緻、全面的分析，並以圖、表、文字說明等多種形式進行展現，支持以HTML、PDF、Word、Excel、Xml等格式進行導出，便於對現場資產與威脅匯總分析。

（天融信工控漏洞掃描系統功能架構）

外部入侵檢測

天融信工控入侵檢測與審計系統內置專業的工控入侵規則庫，可根據業務功能需求制定白名單策略，滿足水電站關鍵節點防護需求，採用攻擊規則檢測+業務白名單兩種方式，對工業控制網絡上捕獲的數據包進行相應的行為匹配，及時發現來自生產網內外部攻擊威脅，為客戶提供直觀、落地的安全防護建議，保障生產網絡安全運行。實現了對水電站Modbus、S7、IEC104、EIP協議的深度解析，可根據業務系統的安全需求，制定符合應用場景的安全策略，可對安全事件詳情進行記錄和報文留存，為安全事件調查提供基礎依據，真正做到事前預警、事中監控和事後追溯。

（天融信工控入侵檢測與審計系統架構圖）

客戶價值

通過在客戶的環境中部署天融信工控安全產品，最終實現：

• 終端管控：在重要服務器和操作站安裝天融信工控主機衛士，實現終端主機的安全管控，避免人員惡意操控應用程序，減小惡意代碼和病毒木馬對生產控制造成影響。
• 安全隔離：在控制區和非控制區部署工業級防火牆，實現區域邊界安全隔離，通過實時過濾網絡中的非法誤操作和惡意攻擊行為，阻斷蠕蟲、病毒域間傳播，提升控制區防護能力。
• 安全審計與入侵檢測能力：在關鍵開關站、調度數據網接口處、非控制區（II區）部署工控安全監測和入侵防護系統，增加重要資產的防護能力，提升外部威脅攻擊入侵檢測與安全審計能力。
• 漏洞識別與修復能力：通過在控制區域非控制區部署工控漏洞掃描系統，可多維度檢測多種形式的系統，快速定位漏洞威脅，並提供完整的修復指導。

客戶反饋

簡化了運維管理工作，在面臨廠區較大，可以通過實現集中式運維管理，便於日常發現工控威脅，同時，針對威脅事件能夠快速響應處理。

終端防護能力升級，通過工控主機衛士能夠設定有效的白名單程序，從系統層面封堵外設，有效應對外設違規使用以及操作不規範問題。

可視化運維操作，對一線操作行為能夠直觀顯示，方便安全管理人員分析操作行為。

規範生產區域之間行為，在不同生產區域間，通過工控防火牆能夠細粒度控制通信行為，杜絕跨區操作。

漏洞排查快速定位，面對全廠上萬套設備，能夠定期排查漏洞信息，同時給出修復意見，減少廠區工控設備脆弱性、

案例二：某油氣管道生產調控中心網絡安全防護案例（本案例由天地和興提供）

涉及領域：工業互聯網防護能力、工業互聯網檢測/審計能力

場景介紹

近年來，能源行業層出不窮的網絡安全事件表明油氣管道SCADA系統已經成為國內外黑客的攻擊目標，面臨愈發嚴峻的威脅。

物聯網、大數據、雲平台等新技術的應用，形成了油氣管道生產網絡的互聯互通，來自辦公管理層網絡的入侵、病毒等風險容易向生產網蔓延。同時攻擊者偽造身份從外部或內部網絡節點對生產系統進行滲透，不僅僅可以拿到工藝數據，甚至可以造成重大安全事故。管道SCADA系統一旦受攻擊容易發生惡意操控甚至生產事故，直接影響到管道輸送的正常生產運營，導致火災、爆炸、中毒事件的發生，造成重大經濟損失、人員傷亡和環境污染，直接威脅到國家能源安全和社會穩定。因此保護油氣管道SCADA系統的安全，對我國能源安全具有重要的現實意義。

客戶需求

該油氣管道客戶有以下工業互聯網安全需求

• 安全通信網絡安全需求：在通信過程中採用密碼技術保證通信過程中數據的保密性，在通信過程中採用校驗技術保證數據的完整性，通過應用工控防火牆搭載可信模塊的形式，實現可信驗證。
• 安全區域邊界安全需求：監控網絡中存在的各類入侵風險、網絡病毒、非法訪問等行為並進行審計與阻斷，保障生產網絡的可用性與安全性。
• 安全計算環境安全需求：對各系統工程師站、操作員站、歷史站、接口站、服務器等實施定期巡檢式的安全掃描，進行針對性的安全加固，以白名單的方式限制可以執行的程序，綜合提升主機系統的抗攻擊能力，保護分佈廣泛的站控系統主機不被作為跳板入侵上級系統。
• 安全管理中心安全需求：建立安全教育與培訓、安全保密、應急響應機制，使安全管理成體系，安全管理常態化，管理與技防相結合，形成企業的綜合網絡安全防護體系。

解決方案

方案設計

本方案針對油氣管道SCADA系統實際需求，通過設計建設一套穩定、高效、可靠的工控安全監測防護體系，集中展現油氣管道SCADA系統的整體工控安全態勢，提升整體工控安全監管水平和防禦能力。針對SCADA系統的特點進行設計，以國家等級保護的「一個中心、三重防護」為整體防護思想，構建油氣管道SCADA系統網絡安全防護的技術體系，並完善安全管理體系，形成「技術+管理」的綜合安全防護體系，滿足實際安全防護需求，達到等保三級建設標準。

方案從實際出發，以油氣管道SCADA系統為等級保護對象，以控制中心系統為主體，結合站控系統、現場設備等邊緣應用分佈廣泛的特點，從安全通信網絡、安全區域邊界、安全計算環境、安全管理中心和安全管理要求等幾個維度來構建綜合安全防護體系：

• 安全通信網絡：對油氣管道SCADA系統的訪問邏輯進行梳理，優化網絡結構，按照網絡資產的屬性與訪問邏輯，合理劃分網絡安全域。在油氣管道工控系統網絡的邊界部署安全隔離與訪問控制措施，實現必要的邊界安全防護，同時按照業務組網應用特點，酌情增加鏈路加密措施，保障鏈路通信的數據安全性。
• 安全區域邊界：在重要的安全域邊界設計部署安全隔離與訪問控制措施，對重要安全域進行必要的安全防護。在油氣管道工控系統網絡中，重點對首站、中間站和末站等所在的安全域進行安全隔離與訪問控制，保證油氣管道工控系統的運行安全。
• 安全計算環境：對全網的服務器、操作員站、工程師站等主機系統設計安裝必要的安全管控措施，實現對主機系統必要的安全管控，保障主機系統運行安全。主機安全管控措施包括主機進程管控、主機USB口外界管理等，實現主機防病毒、防第三方軟件非授權安裝使用、防USB設備非法連接與數據拷貝等功能，提升人機交互界面必要的安全防控與主機系統的安全性。同時，藉助於在安全管理域內部署的主機系統脆弱性掃描工具，實現對主機系統弱口令、漏洞的安全管理，通過主機加固措施，提升主機系統自身的抗攻擊能力。
• 安全管理中心：在油氣管道工控網絡中新建安全管理域，部署集中安全管理手段，實現對全網用戶集中認證、權限管理與操作行為審計。同時，部署綜合日誌審計與安全管理技術手段，建立全網安全風險的集中管理、分析、可視化與聯動處置機制，部署安全威脅掃描與管理工具，實現全網風險的集中管理與處置，保證風險的快速感知與處置，提升安全風險的管理與應對能力。
• 安全管理體系：基於油氣管道企業現有的安全管理組織結構與管理措施，由我方專業的安全服務人員以安全諮詢服務的形式，按照相關標準規範要求，為用戶梳理安全管理體系內容，幫助用戶健全與完善安全管理體系相關內容，從管理上完善安全管理的體系化建設，包括日常管理以及應急保障等相關內容，以構建綜合的安全防護體系，保障油氣管道工控系統的安全穩定運行。

部署拓撲圖如下：

（天地和興工控安全防護系統部署拓撲示意圖）

產品部署

• 安全通信網絡建設：對油氣管道工控網絡進行優化，劃分安全域，並對油氣管道工控網絡與辦公網互聯的網絡邊界部署工控防火牆進行邊界隔離與安全防護，保護油氣管道工控網絡免受來自上層辦公網及互聯網的入侵攻擊風險。
• 安全區域邊界建設：在油氣管道工控網絡中劃分不同的安全域，按照安全域的安全權重，有針對性進行安全域的隔離與訪問控制、安全審計、入侵檢測等必要的安全防護措施，保護個安全域的運行的安全。本方案中主要是在調控中心SCADA系統網絡中部署工控安全審計系統、入侵檢測系統，以及在各個站控系統的生產數據匯聚到調度中心的網絡入口處部署工控防火牆。
• 安全計算環境的建設：在油氣管道工控網絡中的安全計算環境是指人機交互界面上的各主機系統，包括各種相關的應用服務器（如SCADA歷史服務器、OPC服務器等）、操作員站、工程師站和歷史站等。主機系統要通過檢查工具對其安全漏洞與脆弱性進行發現和管理，對可修復的漏洞進行可行性驗證與修復，關閉不需要的默認賬號、服務，進行主機系統必要的安全加固，提升主機系統抗攻擊能力。本次設計將考慮部署主機安全防護系統技術措施來對主機系統進行必要的安全防護。

針對油氣管道工控網絡中的相關服務器、工程師站、操作員站等主機系統，設計安裝部署主機安全防護軟件系統，實現對人機交互界面的主機系統必要的安全管控。

白名單的主動防禦機制可佔用更小的系統計算資源，實現最大的防護效能，可有效實現主機防病毒、防第三方軟件的非授權安裝與使用、對主機系統外接口管控、對USB外接存儲設備的認證管控、防病毒與操作行為審計，為主機系統安全運行提供必要的安全保障。

本方案使用的主機安全防護系統，是工控主機系統專用的安全防護系統，系統運用白名單為主，灰名單、黑名單為輔的創新技術方式，監控主機的進程狀態、網絡端口狀態、USB端口狀態，嚴格對主機應用進程進行管控，外接端口管控，USB設備認證與使用管理，以及操作行為管理，強化工控主機的安全管理，提升主機系統抗攻擊能力。

客戶價值

通過部署一系列的工業互聯網安全產品，為客戶提供了如下價值：

• 先進安全防護技術提升企業工控安全防護能力：本方案採用工業協議深度解析技術、智能學習技術、白名單主動防禦技術和威脅管理無損技術，並結合公司自有的工業漏洞庫、設備指紋庫，通過制定有效的安全策略和安全集中分析管控手段，在保證穩定運行的前提下，對工控系統運行提供必要的網絡安全保障。
• 完善組織OT內控體系，滿足合規需求：本方案在設計時，參照了國家等級保護相關規範要求，並按照企業當前的工控系統信息化建設程度來提出符合實際需求的解決方案，實現了從OT應用控制、OT一般控制、OT審計等三個維度來打造合規的OT控制體系。
• 工控安全產品性能達到國內領先水平：包括獨有的專利技術的全機櫃一體化解決方案、松耦合的安全框架設計具有極好的設備兼容性、一體化安全產品管理機制。網絡接入支持IPv6、ipsecVPN、可視化監控、自定義協議規則、接口聯動、熱備機制、bypass、低延時等高可用性設計，真正做到了對工業網絡零影響。
• 自主可控的上送信息的數據對接：與同類別方案相比，增加的相關設備所採集的信息更加全面，也更具合規性，能完全適應工控系統安全防護在穩定性與機密性的共同需求。方案中所有信息安全產品均為國產自主產品，可控性強，安全產品聯動安全性更高，並可提供定製化的功能開發，方便支撐不斷迭代升級。
• 可信計算的融合技術：採用設備上加裝PCI可信控制卡的方式，實現可信功能。主要包括基於可信根對設備的bootloader、操作系統和應用程序等進行可信驗證；基於SM3 HASH對設備的bootloader、操作系統和應用程序等進行可信驗證；對系統中斷、關鍵內存區域等執行資源進行可信驗證；對設備的網絡通信進行可信動態度量，監測異常通信行為；將可信驗證結果形成審計記錄並發送至安管平台；安管平台處理所有安全設備上報的可信狀態值，並呈現整個安全防護系統的可信狀況。

客戶反饋

本方案以油氣管道工控系統應用為場景，構建了安全可控為目標，監控審計、威脅分析、入侵檢測、主機防護為特徵的油氣管道企業工業控制系統新一代主動防禦體系，提高了工控系統整體安全性。將為企業工業控制系統網絡安全防護體系建設開創行之有效的安全建設模式，提高管控一體化安全防護的能力。

通過本方案中的主動安全防禦建設，提高了工控安全防禦能力。按照每年平均防禦網絡攻擊1次，每次攻擊平均造成的停運損失500萬元計算，項目2020年11月份投運至2021年4月份，折算減少停運損失約200萬。由於該項目的建設，提高了運維效率，每年還可以降低工業控制系統的運維費用約30萬。

本方案具有很強的推廣價值，也適合在石油石化行業其它場景的工控系統中進行推廣應用。

工業互聯網安全能力指南 —— 工控檢測/審計部分

關鍵發現

• 傳統IT環境中安全優先級要求：CIA，工控環境中安全優先級要求正好相反：AIC。因此工控檢測/審計類產品——特別是主動掃描類檢測產品——首要要求是對業務連續性不能有影響；
• 對主流工業協議的識別與解析數量是該類產品的主要衡量標準，除此以外，也應考慮檢測結果可視化、與業務的相關性等軟性指標；
• 工控檢測/審計類產品仍然以合規需求為主要驅動力，但隨着關基類用戶的投入逐漸加大，實戰化高級威脅檢測的需求驅動正在逐漸增強；
• 隨着客戶的檢測能力日漸成熟，以及工業互聯網安全產品數量增多，會將投入逐漸轉向工業互聯網安全管理平台能力。工業互聯網安全檢測類產品的總體收入佔比將會逐步下降。

工控檢測/審計能力點陣圖

本次參與工控防護能力的廠商共有18家，包括：安恆信息、博智安全、烽台科技、國泰網信、惠而特、立思辰安科、六方雲、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰、融安網絡、聖博潤、天地和興、天融信、威努特、英賽克。

工控檢測/審計能力主要產品形態

在本次工業互聯網安全系列報告中，檢測是最重要的組成部分之一，「看見」是一切安全管理與安全服務的前提。經過近幾年的發展，工業互聯網安全檢測產品形態主要有以下幾大類：

• 工業資產發現與管理

在工業生產環境中，以安全視角對包括控制器、控制系統、上位機等工控設備，以及辦公網中的網絡設備、安全設備、主機設備等在內的各類資產進行主動/被動資產發現以及資產管理的安全產品。

• 工業合規檢查工具箱（等保工具箱、基線核查系統等）

以合規檢查為主要目的，內置工控系統等級保護檢查標準，支持漏洞檢測、流量分析、配置核查等自動化評估工具的便攜設備產品，一般這類產品還支持自動生成信息安全等級保護檢查報告以及整改通知書。主要用戶為測評機構與現場執法檢查的單位（例如各級測評中心、公安、國安、網信、保密等）以及集團類客戶對下屬單位檢查使用。

• 工業監測審計

針對工業生產環境中的網絡流量進行安全監測與行為分析的審計類產品。此類產品的目的在於識別非法操作、越權執行、外部攻擊等安全事件並實時告警，同時全面記錄網絡中的網絡運行狀況及各協議通信行為，生成分析報告，給出合理化建議，為安全事件的調查取證提供依據。由於採用旁路監聽方式進行部署，不影響現有系統的生產運行，審計類產品可以適用於大部分網絡環境,。

• 工業安全評估（包含工業漏掃、防病毒）

此類產品涵蓋了資產發現、漏洞掃描、配置核查、Windows安全加固、等保合規關聯、Wifi安全檢測等模塊，目的是發現工控環境中存在的各種脆弱性問題，包括各種已知安全漏洞、安全配置問題、不合規行為等風險。在信息系統受到實際危害之前為用戶的安全管理人員提供專業、有效的評估報告和修補建議。因此，這類產品一般都會具備直觀的報表功能。部分具備防病毒基因的安全企業，還會在這類產品中內置脫殼引擎、解壓縮引擎、反病毒引擎，結合特徵碼掃描、啟發式掃描等技術檢測各種已、未知病毒威脅。

• 工控漏洞挖掘

此類產品主要用於發現工控設備（PLC、RTU等）、工控系統（DCS、SCADA等）中的未知漏洞，以黑盒測試為主要技術實現方式，產出的測試報告應當能夠清晰定位問題並提供測試報文便於問題回溯，對於安全要求更高且預算較多的關基用戶，這類產品能夠進一步提升工業控制系統的安全性。

• 工業入侵檢測系統

顧名思義，應用於工業互聯網環境的IDS，主要對緩衝區溢出、SQL 注入、暴力破解、DDoS攻擊、掃描探測、蠕蟲病毒、木馬後門、間諜軟件、欺騙劫持、殭屍網絡等各類黑客攻擊和惡意流量進行實時檢測及報警。

工控檢測/審計能力落地要點

不影響用戶的業務為基本準則

傳統IT環境對安全的優先級要求是CIA，工控環境中對安全的要求優先級正好相反——AIC。工控環境中，絕大部分設備和系統都要求7*24小時不間斷運轉，所以主動掃描類檢測產品，首先要注意的就是不能影響用戶業務。如資產發現與漏洞掃描，應當以版本匹配為主，不能poc驗證式掃描。同時，要能夠對掃描策略進行靈活配置，注意產品的佔用進程和資源。很多老舊設備的硬件水平與操作系統都經不起大流量的掃描行為衝擊。如果是流量檢測，則務必採用旁路監聽方式，同時注意產品檢查點的範圍和深度，避免造成迴環等形式的網絡擁塞，影響正常的業務流量。所有的產品部署要便捷，盡量不中斷或是只佔用很短的中斷業務時間。

要能夠適應惡劣的工業環境

安全檢測類產品要具備IP40或以上級別的防護、抗電磁干擾、電源冗餘、無風扇散熱、雙機熱備、端口冗餘、寬溫寬壓等工業級的可靠性、穩定性。對於軍工類用戶，某些便攜檢測類產品還應當具備三防（防塵，防水，防震）能力，自備電源，適合嚴苛環境應用。

白名單與黑名單的平衡使用

白名單是工控環境下安全檢測產品的基本技術實現思路，但單純依靠白名單其局限性，甚至有可能反被利用。比如2018年被發現的針對中東某石油天然氣廠工業控制系統的「海淵」（TRISIS）惡意代碼便是利用社工技巧偽裝成安全儀錶系統的日誌軟件繞過「白環境」機製成功進入目標網絡。除採用社工手段外，直接針對白名單設備、白名單軟件的攻擊行為也愈加頻繁，更有一些複雜攻擊採用哈希碰撞的攻擊方式繞過「白名單」機制，對系統造成威脅。因此，應當在基於白名單的基礎上，增加對已知病毒、已知漏洞庫、威脅情報等特徵數據的檢測能力。而且，目前供應商的產品一般都具備一定程度的智能學習技術，通過自動學習生成白名單庫，並以此為起點按需進行安全檢測，使白名單也具備了一定的靈活性。總之，白、黑之間的平衡點，要根據用戶自身的業務情況按需制定。

工控檢測/審計主要核心能力

針對以上產品形態及落地要點，工業互聯網安全產品的主要核心能力有五個：識別、解析、採集、知識庫、可視化。

1.識別

「檢測」能力的第一個主要核心能力是準確的工控設備指紋識別能力。能力衡量標準是能夠識別的主流協議的數量與準確度，例如西門子、施耐德、羅克韋爾、ABB、艾默生、倍福、歐姆龍、台達、和利時、三菱、霍尼韋爾、英維思等國內外知名廠商的 OPC、Modbus、DNP3.0、S5、S7、Ethernet/IP、MBTP、IEC104、IEC1850、Profinet、BACnet、MMS、FOCAS、 ENIP、Melsec-Q、PCWorx、ProConOs、Crimson 等協議。識別的能力門檻相對較低，對設備協議、設備類型、軟硬件版本、廠商、 開放的端口、服務等信息的綜合判斷，能夠積累較多的協議識別數量，但更高的能力壁壘，就需要有專門的技術團隊，通過逆向分析等手段，分析協議架構、通信流程、報文結構、解析功能碼、敏感報文等信息。目前行業內的主要安全企業，其協議識別能力的數量在數十個不等。用戶可以根據自身情況，對供應商加以考量。

2.解析

不同於「識別」，檢測能力中對「解析」的要求更高、更深入。要能夠對主流協議進行指令級、值域級深度解析，準確解析出協議中的功能碼、值域、操作碼、寄存器地址範圍等等，從而對報文格式、完整性進行檢測，判斷是否存在畸形報文——嘗試偽裝成正常通信協議內容的惡意代碼進入工業控制系統網絡內部或區域內部，聯動防火牆，防止畸形代碼攻擊等多種發生在工控以太網絡內部的攻擊。

有的審計類產品，還會記錄更為詳細的指令變更、負載變更、狀態變更等指令集的操作數據，兼具一些類似業務中斷告警這樣的功能，從安全生產的角度來講，當然這也屬於安全範疇。用戶可以按需選用。受限於工業生產設備的廠商現狀，目前行業內的主要安全企業，其協議解析能力的數量在20-30個之間不等。用戶可以根據自身情況，對供應商加以考量。

3.採集

包括定時採集和實時採集，如資產、環境、漏洞等不會頻繁變化數據，將採用定時採集或者觸髮式採集（管理中心下髮指令），針對如進程、文件、網絡等會頻繁變化數據採用實時監控模式，進行實時採集和上報。

審計類產品，要具備原始數據的採集與存儲能力，有些行業的審計要求數據留存時間不少於六個月。採集方式可以是實時採集，也可以是定時採集。採集方式可以是直接採集工業數據，比如連接485串口收集數據，或是根據工控設備、網絡設備、主機設備、安全設備等目標的不同，分別通過Syslog、SNMP、SNMP Trap、ICMP、SSH、NMAP、流量嗅探等方式進行收集數據。

這裡主要考量數據採集的全面性。例如主機設備包括操作系統層面所有的用戶登錄、操作信息、各類數據庫、中間件的重要運行信息以及外設設備（鍵盤、鼠標以及所有移動存儲設備）的接入信息；網絡設備的配置變更、流量信息、網口狀態等安全事件信息；安全防護設備包括防火牆、縱向加密認證裝置、正向隔離裝置、反向隔離裝置、入侵檢測系統（IDS）、運維操作審計系統、蜜罐、web應用防火牆等安全設備等；日誌則包括系統日誌、配置日誌、流量日誌、攻擊日誌、訪問日誌等。

4.知識庫

構建工控協議解析庫，完善安全事件特徵庫，豐富網絡攻擊知識庫，對多環境、多業務流量進行深度分析、識別、發現、追蹤、評估。（木鏈）

這裡的知識庫，主要指檢測類產品所需要的資產指紋庫、漏洞庫、病毒庫、入侵檢測規則庫、安全攻擊特徵庫等。各家的分類及計數方式各有標準，因此我們並不強調，也不鼓勵單純的比較各家的知識庫數量。不過有兩個能力點要說明，一是不論知識庫數量多或少，檢測還應當考量效率和準確率。二是對私有協議是否提供開發接口或是SDK，方便用戶自行擴展支持私有協議和做定製化開發；

5.可視化

工控環境下，安全的很多狀態不像IT環境下直觀，因此需要更加註重可視化能力。例如資產狀態數據、基於協議的網絡拓撲視圖和網絡流量視圖、帶有時間維度的統計數據、分析結果數據、異常行為告警信息、突出重點的處置建議等。

在初步檢測出威脅並加以確認後，如果能夠具備一定的可視化分析能力就更好，例如將受到威脅風險的資產與業務屬性做關聯， 或是接入用戶的工業生產數據，將安全風險與生產數據結合，顯示其潛在的停機、停產帶來的業務風險。可視化的目的一定不只是美觀，更重要的是體現出安全的價值。

6.創新嘗試

此次調研，我們發現安全企業的檢測能力具有一定的趨同性，差異點主要集中在對協議的識別與解析上，但是部分企業還是嘗試在作出一些創新嘗試，我們列在這裡，供用戶參考：

• 融合零信任理念的自適應工控安全檢測；
• 在工業安全領域研究並應用SOAR、UEBA等先進技術，對工業協議中的生產過程關鍵參數進行趨勢分析與建模，識別正常生產活動與關鍵參數異常變化；
• 初步的追蹤溯源能力：支持流量回溯，追溯攻擊過程，支持關聯分析攻擊路徑，保存攻擊證據；
• 在安全設備上加裝PCI可信控制卡的方式，實現可信功能。實時監測操作系統、應用程序、關鍵內存區域、網絡通信等關鍵點，最終將可信驗證結果形成審計記錄並發送至安管平台；安管平台處理所有安全設備上報的可信狀態值，並呈現整個安全防護系統的可信狀況；
• 對網絡中漏洞、攻擊等進行監測、梳理和分析，並對探測的漏洞與權威漏洞庫進行關聯評測，給出量化評估（風險值），並進行預警與展示；
• 基於資產、事件、威脅、時間、空間、業務行為等多個維度進行關聯分析，全面、多維、系統的統計、分析，以可視化的圖表進行展示；
• 基於AI算法和模型的威脅檢測，不依賴特徵庫升級方式來檢測威脅。

需求變化：實戰化威脅檢測

工業互聯網安全檢測需求的用戶中，有很多關基類用戶，它們面臨的威脅等級在逐步提高。對於電力、石油石化、軌道交通、智能製造、鋼鐵冶金和軍工等多個國家關鍵信息基礎設施行業來說，威脅檢測的場景越來越趨於實戰化，對工業互聯網安全檢測類產品的要求也正在趨於「能力化」。例如對工業協議的深度解析、基於正常通信行為建模後的異常流量監測、對安全事件一定程度的自動化分析、對威脅風險的統一管理與可視化展現、對高級威脅的檢測及防禦、基於資產的風險識別等等。這就要求供應商能夠將以上檢測類產品與本系列報告中的工控蜜罐、安全管理平台、安全服務等內容整合以後，實戰化安全運營，才能發揮出最大的能力效果。

工業互聯網安全檢測/審計能力市場情況

• 根據本次調研的方向，2019年我國工業互聯網安全檢測能力收入總體約為4.11億元，2020年總體收入約為6.89億元，預計2021年收入為10.56億元，2022年有望達到14.2億元。隨着客戶的檢測能力日漸成熟，以及工業互聯網安全產品數量增多，會將投入逐漸轉向工業互聯網安全管理平台能力。工業互聯網安全檢測類產品的總體收入佔比將會逐步下降。
• 工業互聯網安全檢測類產品當前還是以單一標準化產品交付為主，佔57.15%。定製化產品及運營佔24.19%；作為單一功能交付、訂閱模式及其他模式共佔18.66%。
• 從銷售方式來看，廠商直接銷售和通過渠道銷售佔比差距不大。直銷（44.81%）比渠道（38.91%）佔比略高，OEM的佔比為16.29%。
• 當前來看，工業互聯網安全檢測能力的主要落地行業為電力，佔29%。電力在整個工業互聯網領域起步較早，投入也更多，因此安全能力落地更多。其餘佔比超過10%的行業為軌道交通（17%）、石油石化（12%）、以及煙草、教育、軍工等其他行業，匯總後也佔到了15%。從未來發展來看，石油石化將會成為下一個安全廠商爭奪的領域。

案例三：軌道交通-綜合監控系統安全防護建設項目（本案例由立思辰安科提供）

一、場景介紹

當前，世界各國廣泛採用以信息化促進城市軌道交通發展的戰略，信息化已覆蓋城市軌道交通的建設、運營、管理、安全、服務等各個方面，我國強力推進「互聯網+城市軌道交通」戰略。地鐵綜合監控系統（ISCS）作為軌道交通信息化系統中子系統，承載了對電力設備、火災報警、車站環控設備、區間環控設備、環境參數、屏蔽門、防掩門、電扶梯設備、照明設備、門禁設備、自動售檢票設備等進行實時集中監視和控制的基本功能，同時擔負著非運營時間、正常運營時間以及緊急突發事件設備故障情況下的相關係統設備之間協調互動等高級功能，一旦系統被攻擊入侵，將給地鐵的正常運營、運行帶來巨大的影響。為了避免我國城市軌道交通行業在數字化網絡化發展過程中出現信息安全和網絡安全問題，各城市軌道交通行業建立常態化、覆蓋事前、事中、事後的全方位信息安全服務體系，形成動態防護、監測預警、響應處置的網絡安全工作機制，覆蓋智慧城軌全生命周期和運營全過程。

二、客戶需求

工控協議識別種類廣泛：綜合監控系統（ISCS）屬於多系統深度集成的系統，在控制網絡中存在多家自動化廠商PLC控制器，需要對全部進行協議的識別和分析；

工控入侵行為檢測能力精確性：能夠精準的識別基於工控協議的入侵行為，對異常的通信行為進行分析和告警，實現風險、威脅「可知、可管」；

工控協議指令級的異常監控和行為取證：能夠對工控網絡流量基於「位元組和位」的協議分析，能夠對關鍵操作行為、控制命令等進行實時監測和分析；

從「技」、「管」兩個維度建立全面防護體系：從安全計算環境、安全通信網絡、安全區域邊界等多個維度實現安全防護建設，同時結合綜合監控系統特性，構建符合國家「等保」監管要求的安全防護體系；

三、解決方案

地鐵綜合監控系統由控制中心系統、各車站級控制系統、車輛段控制系統、培訓管理系統、設備維護及網絡管理系統等組成，各系統通過冗餘環網連接。針對本項目綜合監控系統安全防護體系建設，主要集中在控制中心、各車站、車輛段、停車場以及主所/區間所等系統防護。

地鐵安全防護總體架構如下圖所示：

依據網絡安全等級保護「三級」系統保護要求，結合地鐵綜合監控系統安全防護面臨的諸多安全問題，我們在本項目安全防護體系建設方面遵循「系統內主機加固和風險監控，互聯繫統間邏輯隔離和防護，審計和告警數據集中管理和統一呈現」的工控系統安全建設原則。具體防護思路如下：

• 在控制中心、車站、車輛段部署工控安全監測與審計系統，實時監測系統內部異常行為，異常流量告警。進行全面的異常行為檢測和深度分析，提供現場設備故障報警和惡意入侵活動報警；
• 基於機器學習及大數據技術，對綜合監控系統運行一段時間的工控網絡數據進行智能分析和自主學習，一鍵自動穿件白名單策略；持續監視網絡流量，自動識別合規數據，及時發現違規行為並實施告警；
• 系統基於網絡通信數據的深度分析繪製獨特的ISCS工控網絡拓撲圖，可直觀展示ISCS系統工控網絡中各個設備節點間的通信連接情況，便於發現工業資產，並提供可視化的異常展示與告警。當存在潛在威脅時，節點間的連線可採用高亮的方式進行展示；
• 內置海量已知工控漏洞庫，當監測到發生工控漏洞入侵行為時自動產生告警並提供系統運營人員，工控監測審計系統與多個SIEM平台進行無縫集成，實現分析網絡數據；
• 基於通訊數據的資產自動發現和自動鏈路繪製，識別國內外主流的IT設備和工控設備，並通過通訊拓撲和報表兩種方式進行展示，同時對工控網絡中的多IP資產提供特殊的管理方式，呈現ISCS系統工控網絡實際情況。
• 對ISCS系統中Modbus、IEC61850、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-UA、MMS等工控協議進行深度的解析和防護，同時可支持特有的工控協議自定義功能。

四、客戶價值

建立ISCS網絡異常監控、行為取證分析的閉環防護措施：通過深度協議分析技術，實時對工控網絡流量進行細粒度（位元組和位）的協議分析，通過黑白名單方式識別異常行為（異常設備接入、異常網絡連接、異常控制命令下發等）並自動報警，支持安全基線和白名單的自動創建。安全系統自身可提供專用取證分析工具，對採集到的工控網絡流量進行分析和調查取證，系統既可對歷史數據也可對實時數據進行取證分析，發現和追蹤工控網絡安全威脅，方便管理人員能夠快速及時的做出應對措施。

實現通信行為、威脅、資產的「可知、可管」：通過自主的網絡流量採集探針，收集ISCS網絡環境中的所有網絡行為進行協議解析和識別，包含源、目的地址，源、目的端口，協議、時間、會話量等，統一上傳給管理平台。平台提供行為分析引擎，利用機器自學習、行為分析模型等分析網絡異常行為，並對網絡行為進行聚類分析。能夠對工控網絡中的各種PLC、操作員站等設備進行自動發現並自動生成設備台賬設備信息包括IP地址、MAC地址和設備類型等。可快速定位和發現接入工控網絡的非法資產，同時可識別殭屍資產，降低工控網絡安全風險。

實現基於流量的可視化「挂圖」作戰：提供完整全面的ISCS系統網絡流量拓撲圖，在拓撲圖中顯示設備位置和設備之間的連接關係，可識別IP連接和串行連接。同時能夠顯示設備之間連接所使用的協議，並對具有潛在安全風險的設備進行高亮顯示。對網絡環境中的流量數據及安全數據，在「安全管理平台」上進行直觀展示，管理員可直觀地看到流量傳輸情況，及系統檢測出的告警情況，識別危險鏈路和危險區域，從而進行適當的防控。

基於工業特性，從「技術」、「管」兩個維度形成全面的ISCS系統防護系統：從網絡、終端、通信、數據、運維、管理等多個層面提供完整的安全防護與管理手段，實現生產網絡全面的安全保護。所有安全組件均採用非侵入式安全監測與防護工作方式，可確保安全防護措施對生產網絡的干擾降到最低，同時安全不是單純的技術問題，在採用安全技術和產品的同時，結合ISCS系統的業務特性，從管理制度、應急預案等維度進行完善全面提高安全管理水平。形成「技」、「管」並重的方式，加強ISCS系統控制網絡的安全。

五、客戶反饋

基於立思辰提供的ISCS系統安全防護技術方案，採用旁路非入侵式防護技術能夠動態識別ISCS工業控制網絡過程風險，對所有資產情況進行監視，及時發現殭屍資產的入侵行為，能夠快速定位風險入侵路徑、風險階段、風險源頭，將安全風險遏制在源頭、遏制在攻擊過程中，形成閉環動態的ISCS系統安全防禦體系，為軌道交通ISCS系統的穩定運行、安全運行提供有效的安全保障支撐。

《工業互聯網安全能力指南》下一次發佈的內容為安全服務部分（包括該領域點陣圖）。