前言

自2010年“震網(wǎng)”事件以來(lái)，工業(yè)控制系統網(wǎng)絡(luò )安全研究進(jìn)入了持續的高熱度階段，曝光的漏洞數量從2010年的55個(gè)發(fā)展到當前的1061個(gè)（數據來(lái)源：NVD、CVE、CNVD及CNNVD等主流數據庫）；針對工業(yè)控制系統的攻擊事件也一直處于高位，2011年200余起，2012年248起，2013年248起（數據來(lái)源：美國工控應急響應中心ICS-CERT）。另一方面，Gartner發(fā)布的《2016年十大信息安全技術(shù)》中指出的工控領(lǐng)域的全新安全模型（Pervasive Trust Services）以及2017 RSA大會(huì )上發(fā)布的工控態(tài)勢感知方案，都為技術(shù)、產(chǎn)業(yè)的發(fā)展指出了方向。從產(chǎn)業(yè)方面來(lái)看，工控安全領(lǐng)域尚處于市場(chǎng)發(fā)展早期，廠(chǎng)家數量不斷增長(cháng)，產(chǎn)品線(xiàn)日益增多且多元化，據方正證券估計，市場(chǎng)規模目前為2.25億元，發(fā)展空間較大。

對于我國而言，工業(yè)控制系統安全所面臨的重要問(wèn)題是自主可控的問(wèn)題，我國在工控領(lǐng)域對國外設備和技術(shù)的依賴(lài)程度強。據中國產(chǎn)業(yè)信息研究網(wǎng)調查統計結果顯示，全國5000多個(gè)重要的工業(yè)控制系統中，95%以上的工控系統操作系統均采用國外產(chǎn)品；在我國的工控系統產(chǎn)品上，國外產(chǎn)品已經(jīng)占領(lǐng)了大部分市場(chǎng)，如PLC國內產(chǎn)品的市場(chǎng)占有率不到1%，工業(yè)中用到的邏輯控制器95%是來(lái)自施耐德（法國）、西門(mén)子（德國）、發(fā)那科（日本）等的國外品牌。以揚州市為例，自2014年1月起，在全市范圍內啟動(dòng)重點(diǎn)行業(yè)重要工業(yè)控制系統基本情況調查，統計顯示，全市24個(gè)企業(yè)共計1213個(gè)重點(diǎn)工業(yè)控制系統，主要分屬化工、電力行業(yè)和城市公用事業(yè)服務(wù)領(lǐng)域。德國西門(mén)子公司生產(chǎn)的可編程控制器（PLC）和我國浙江浙大中控公司生產(chǎn)的分布式控制系統（DCS）在揚州市工業(yè)企業(yè)應用廣泛，其中德國西門(mén)子公司生產(chǎn)的可編程控制器占全部調查企業(yè)工業(yè)控制系統總數的87%，占全部調查企業(yè)可編程控制器應用總數的95%以上。

本報告由『網(wǎng)信防務(wù)』顧問(wèn)團隊，通過(guò)調查國內在工業(yè)控制系統網(wǎng)絡(luò )安全相關(guān)技術(shù)產(chǎn)品上作的較為突出的公司，并結合當前最新的相關(guān)資料撰寫(xiě)，從作者個(gè)人視角，嘗試分析了我國自2011年發(fā)布451號文件以來(lái)，工控網(wǎng)絡(luò )安全的技術(shù)、產(chǎn)品、市場(chǎng)發(fā)展脈絡(luò )，希望可以為相關(guān)從業(yè)者提供有價(jià)值的參考。

工業(yè)控制系統（以下簡(jiǎn)稱(chēng)工控系統）是國家基礎設施的重要組成部分，也是工業(yè)基礎設施的核心，被廣泛用于煉油、化工、電力、電網(wǎng)、水廠(chǎng)、交通、水利等領(lǐng)域，其可用性和實(shí)時(shí)性要求高，系統生命周期長(cháng)，是信息戰的重點(diǎn)攻擊目標。目前，我國在工業(yè)控制系統網(wǎng)絡(luò )安全技術(shù)研究以及產(chǎn)業(yè)發(fā)展等相關(guān)領(lǐng)域處于快速發(fā)展階段，防護能力和應急處置能力相對較低，特別是關(guān)鍵部位工控系統大量使用國外產(chǎn)品，關(guān)鍵系統的安全性受制于人，重要基礎設施的工控系統成為外界滲透攻擊的目標。

工控系統網(wǎng)絡(luò )安全產(chǎn)品可以從不同層面協(xié)助解決關(guān)鍵基礎設施網(wǎng)絡(luò )安全問(wèn)題。這包括：提供審查、測評類(lèi)產(chǎn)品，幫助監管單位對工控系統、工控產(chǎn)品以及工控安全產(chǎn)品進(jìn)行安全合規性檢查；提供數據采集、態(tài)勢感知類(lèi)產(chǎn)品，幫助監管、決策部門(mén)宏觀(guān)把握整體工控系統安全形勢，制定相關(guān)策略，分配安全預算；提供防護類(lèi)產(chǎn)品，幫助工控系統運營(yíng)單位提升安全防護、應急處置能力；提供教學(xué)、演練類(lèi)產(chǎn)品，幫助已經(jīng)或準備從事相關(guān)行業(yè)人員提高專(zhuān)業(yè)技術(shù)能力和安全防護意識。

工控系統網(wǎng)絡(luò )安全建設應視不同行業(yè)、同行業(yè)不同生產(chǎn)階段以及自身確實(shí)安全需求分別制定安全建設方案，不可一概而論。比如，在電力、石油化工、軌道交通等信息化發(fā)展較快行業(yè)，網(wǎng)絡(luò )安全建設具有比較好的發(fā)展基礎；然而在冶金、煉化等行業(yè)，基本信息化建設、規范化制度建設并未完善，第一步還需要從管理體系建設入手。

行業(yè)標準及規范是工控系統網(wǎng)絡(luò )安全建設最好的參考，《工業(yè)控制系統信息安全防護指南》、《發(fā)改委14號令》、《發(fā)改委36號文》、ISA62443、NIST 800-82、NIST 800-53等都是威脅情報行業(yè)最具參考意義的標準規范。

工控系統網(wǎng)絡(luò )安全涉及行業(yè)眾多、應用場(chǎng)景較為復雜，較難有統一產(chǎn)品可以解決全行業(yè)問(wèn)題，可能會(huì )按照行業(yè)和服務(wù)類(lèi)型，催生細分解決方案廠(chǎng)商。

工業(yè)控制系統信息安全市場(chǎng)，應該算得上是與政策引導走的最近的細分領(lǐng)域之一。追根溯源的話(huà)，451號文件便是推動(dòng)該行業(yè)破土而出的基礎性政策文件。雖然該文件也僅僅論述了“加強工業(yè)控制系統信息安全管理的重要性和緊迫性”，但對當時(shí)還較為保守的工控系統信息安全政策環(huán)境和產(chǎn)業(yè)市場(chǎng)起到了推動(dòng)作用。在此之后，發(fā)改委連續數年發(fā)布的“信息安全專(zhuān)項-工控子項”；2014年12月成立的“工控系統信息安全技術(shù)國家工程實(shí)驗室”；2016年5月公安部首次將工業(yè)控制系統列入國家安全執法工作范圍；2016年7月召開(kāi)首屆中國網(wǎng)絡(luò )安全產(chǎn)業(yè)大會(huì )，會(huì )上關(guān)鍵信息基礎設施保護工作委員會(huì )成立，宣布在全國范圍內展開(kāi)為期5個(gè)月的關(guān)鍵信息基礎設施的執法檢查。至今，各省市已經(jīng)紛紛效應國家政策，進(jìn)行大范圍的檢查，乃是我國首次大范圍高力度的網(wǎng)絡(luò )安全執法檢查；2016年10月工信部發(fā)布的《工業(yè)控制系統信息安全防護指南》以及2016年11月通過(guò)的《網(wǎng)絡(luò )安全法》的第三章第二節“關(guān)鍵信息基礎設施運行安全”，更是將工控系統信息安全的要求具體化、法律化。

另一方面，伴隨著(zhù)政策、法規的逐步健全，國內各行業(yè)對工控系統安全的認識達到了一個(gè)新的高度，電力、石化、制造、煙草等多個(gè)行業(yè)，陸續制定了相應的指導性文件，來(lái)指導相應行業(yè)的安全檢查與整改活動(dòng)。由全國信息安全標準化技術(shù)委員會(huì )、電力系統管理及信息交換標準化委員會(huì )、電力監管標準化技術(shù)委員會(huì )以及工業(yè)過(guò)程測量和控制標準化技術(shù)委員會(huì )等單位牽頭，編制了系列標準，推動(dòng)工業(yè)控制系統網(wǎng)絡(luò )安全工作的進(jìn)一步具體化、規范化，相關(guān)標準如下：

結合ICS-CERT以及RISI（工業(yè)安全事件信息庫，Repository of Industrial Security Incidents）統計數據的分析結果可知，近年來(lái)，工業(yè)控制系統相關(guān)安全事件呈快速增長(cháng)勢頭，且這些事件多分布在電力、石化、先進(jìn)制造、軌道交通等關(guān)鍵基礎行業(yè)。由于此類(lèi)攻擊曝光程度較低，只能根據公開(kāi)信息展示如下：

通過(guò)大量工業(yè)控制系統安全事件分析，我們可以看到，針對工業(yè)控制系統的攻擊行為往往危害較大。在技術(shù)層面，攻擊行為開(kāi)始逐漸由單一攻擊底層通信、硬件系統，向依靠底層攻擊為入口，進(jìn)一步操縱、篡改、竊聽(tīng)上層業(yè)務(wù)系統的趨勢發(fā)展。比如，2010年被發(fā)現的針對工業(yè)設施的Stuxnet病毒會(huì )影響到運行于Windows系統之上的SCADA系統；2016年8月，德國OpenSource Security的研究人員發(fā)布了新型PLC蠕蟲(chóng)—PLC-Blaster，它可以直接感染Simatic S7-1200 PLC并實(shí)現病毒式感染；2016年9月，荷蘭特溫特大學(xué)的兩位研究人員發(fā)布了一套“無(wú)法被檢測到的PLC Rootkit”,它將對PLC更加底層的組件展開(kāi)攻擊，而不是像PLC-Blaster那樣攻擊PLC中的業(yè)務(wù)邏輯。筆者分析，這也與2010年美國成立網(wǎng)絡(luò )戰司令部以來(lái)，多個(gè)國家紛紛效仿成立，導致工控領(lǐng)域引入眾多“大玩家”有關(guān)。

工控行業(yè)包含子行業(yè)眾多，如電力、石油、市政等，由于篇幅有限不便展開(kāi)，筆者將其網(wǎng)絡(luò )結構籠統概括為：現場(chǎng)層、站控層、中心監控層，三層機構。由于工業(yè)控制系統網(wǎng)絡(luò )行為邏輯比較固定，所以往往依據白名單思路在上述三層中加以控制。比如應用于現場(chǎng)層的工控防火墻、網(wǎng)閘等邏輯隔離類(lèi)設備；應用于站控層的應用白名單產(chǎn)品、工控入侵檢測設備等產(chǎn)品；應用于中心監控層的案管平臺等產(chǎn)品；以及用于特殊網(wǎng)絡(luò )環(huán)境（如SCADA遠程無(wú)線(xiàn)數據采集）的加密通信裝置、用于遠程可靠運維的遠程運維裝置等。另一方面，由于自身經(jīng)濟發(fā)展的需求以及西方工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0等概念的影響，我國某些較為先進(jìn)的工控巨頭企業(yè)（如電力、石油等）將開(kāi)始進(jìn)行工業(yè)互聯(lián)網(wǎng)布局，屆時(shí)將會(huì )形成一朵或者是多朵工業(yè)行業(yè)云，這從2017年2月2日召開(kāi)的“2017工業(yè)互聯(lián)網(wǎng)峰會(huì )”的參會(huì )公司和規?？梢钥闯?。在這個(gè)背景下，據筆者估計，可能會(huì )產(chǎn)生幾家專(zhuān)注于“工業(yè)互聯(lián)網(wǎng)風(fēng)險監測”業(yè)務(wù)的創(chuàng )新公司。這也正符合了習主席針對關(guān)鍵信息基礎設施所提出的“建立全天候、全方位態(tài)勢感知預警能力”的總要求。

在具體防護技術(shù)方案方面，工信部2016年11月發(fā)布的《工業(yè)控制系統信息安全防護指南》給出了比較明確的指引。要求企業(yè)在堅持主體責任的前提下，聚焦系統防護、安全管理等安全保障重點(diǎn)，提出了10項防護要求，16種防護技術(shù)。具體如下：

上圖以市場(chǎng)成熟度和技術(shù)成熟度兩個(gè)維度，將工控防護技術(shù)分為4個(gè)階段：A初始階段、B探索階段、C發(fā)展階段、D成熟階段，其中每個(gè)階段又按照市場(chǎng)和技術(shù)成熟度的發(fā)展進(jìn)度分為1區、2區，例如A1區為初始階段中市場(chǎng)發(fā)展較快階段。各區域定義如下表所示：

? 基本描述：描述該技術(shù)基本應用場(chǎng)景及技術(shù)原理

? 技術(shù)定義：詳細描述該技術(shù)原理

? 使用建議：描述該技術(shù)特點(diǎn)及實(shí)施過(guò)程中可能產(chǎn)生的風(fēng)險

? 市場(chǎng)滲透率：描述該技術(shù)目前的市場(chǎng)應用比例

? 利潤轉化率：描述該技術(shù)的利潤率

? 發(fā)展趨勢：描述該技術(shù)的未來(lái)發(fā)展趨勢

? 相關(guān)廠(chǎng)商：介紹部分相關(guān)技術(shù)提供商

3.1 工業(yè)主機應用程序白名單技術(shù)

? 基本描述：工業(yè)控制系統對系統可用性、實(shí)時(shí)性要求較高，傳統“應用程序黑名單技術(shù)”需要維護較大規模特征庫，影響主機性能；另一方面，工業(yè)主機如MES服務(wù)器、OPC服務(wù)器、數據庫服務(wù)器、工程師站、操作員站等安裝的應用以及所執行的操作比較明確，適合于“應用程序白名單技術(shù)”進(jìn)行安全防護。

? 技術(shù)定義：一般基于操作系統內核態(tài)開(kāi)發(fā)，對系統進(jìn)程、線(xiàn)程進(jìn)行監控（有些產(chǎn)品還會(huì )對磁盤(pán)中的可執行文件進(jìn)行周期性?huà)呙?、監控）。

? 使用建議：由于該技術(shù)基于操作系統內核態(tài)開(kāi)發(fā)，所以對于CPU指令集、系統版本、固件版本都較為敏感，一定要在生產(chǎn)模擬測試環(huán)境中測試后，才能部署到生產(chǎn)環(huán)境中。

? 市場(chǎng)滲透率：低

? 利潤轉化率：中

? 發(fā)展趨勢：較為重要的工業(yè)主機系統往往為Unix/Linux ，然而目前多數廠(chǎng)商提供的產(chǎn)品只針對Windows的應用程序監控，由于工業(yè)上位機的數量十分龐大，筆者預計，廠(chǎng)商將會(huì )在針對Unix/Linux各個(gè)發(fā)行版本應用程序監控上持續發(fā)力，形成穩定性、易用性都很強的行業(yè)專(zhuān)版。

? 相關(guān)廠(chǎng)商：匡恩網(wǎng)絡(luò )、威努特、立思辰等

3.2 工業(yè)主機殺毒及接入設備管理技術(shù)。

? 基本描述：工業(yè)企業(yè)需要建立工業(yè)控制系統防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統及臨時(shí)接入的設備采用必要的安全預防措施。安全預防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時(shí)接入設備（如臨時(shí)接入U盤(pán)、移動(dòng)終端等外設）等。

? 技術(shù)定義：通過(guò)動(dòng)態(tài)監視工業(yè)助劑內存進(jìn)程中部分程序的一些活動(dòng)特征，如是否在系統中創(chuàng )建了文件，是否注入了非法進(jìn)程和是否向外部發(fā)送了帶有敏感信息的郵件等來(lái)智能判斷病毒、木馬及間諜程序等的存在，并進(jìn)行處理。

? 使用建議：殺毒軟件由于要維護較大特征庫，往往會(huì )影響主機性能，建議對于實(shí)時(shí)性要求較高的生產(chǎn)環(huán)境進(jìn)行充分測試后，再使用該技術(shù)產(chǎn)品。

? 市場(chǎng)滲透率：較高

? 利潤轉化率：中

? 發(fā)展趨勢：雖然工業(yè)主機的殺毒軟件已經(jīng)有較高安裝率，但工業(yè)環(huán)境專(zhuān)業(yè)病毒庫尚不完善；另一方面，接入設備管理類(lèi)產(chǎn)品尚未廣泛部署，筆者預計，為配合某些關(guān)鍵行業(yè)安全保障應急體系建設，專(zhuān)殺類(lèi)EDR產(chǎn)品和接入管理產(chǎn)品將會(huì )在某些行業(yè)較快速推廣。

? 相關(guān)廠(chǎng)商：360、安天、賽門(mén)鐵克等

4.1 工業(yè)控制系統配置基線(xiàn)核查技術(shù)

? 基本描述：工業(yè)企業(yè)應做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡(luò )安全配置，遠程控制管理、默認賬戶(hù)管理等工業(yè)主機安全配置，口令策略合規性等工業(yè)控制設備安全配置，建立相應的配置清單，制定責任人定期進(jìn)行管理和維護，并定期進(jìn)行配置核查審計。

? 技術(shù)定義：根據預先定義的保持信息系統最小安全控制的基本要求，在固定周期內，根據自身要求、部署環(huán)境和承載業(yè)務(wù)要求進(jìn)行批量化、自動(dòng)化安全配置檢查，該技術(shù)涵蓋管理和技術(shù)兩個(gè)層面。

? 使用建議：該技術(shù)為配置變更風(fēng)險管理的支撐技術(shù)，往往包括主機、網(wǎng)絡(luò )、應用、數據、業(yè)務(wù)等層面，對于煙草、煉化、制造等離散生產(chǎn)環(huán)境，較容易生成通用性核查清單。然而對于電網(wǎng)、燃氣、油田等SCADA系統，則需要深入業(yè)務(wù)系統調研，生成針對性核查清單。

? 市場(chǎng)滲透率：低

? 利潤轉化率：中

? 發(fā)展趨勢：該技術(shù)主要依托技術(shù)手段實(shí)現管理要求，比較適合工業(yè)行業(yè)現階段信息安全較為初級的發(fā)展要求。筆者預計，會(huì )根據行業(yè)業(yè)務(wù)特性，出現行業(yè)專(zhuān)版的配置基線(xiàn)核查產(chǎn)品。

? 相關(guān)廠(chǎng)商：綠盟科技、啟明星辰、天融信、安恒等

4.2 工業(yè)控制系統配置變更技術(shù)

? 基本描述：當發(fā)生重大配置變更時(shí)，工業(yè)企業(yè)應及時(shí)制定變更計劃，明確變更時(shí)間、變更內容、變更責任人、變更審批、變更驗證等事項。其中，重大配置變更是指重大漏洞補丁更新、安全設備的新增或減少、安全域的重新劃分等。同時(shí)，應對變更過(guò)程中可能出現的風(fēng)險進(jìn)行分析，形成分析報告，并在離線(xiàn)環(huán)境中對配置變更進(jìn)行安全性驗證。

? 技術(shù)定義：對處于不斷演化、發(fā)展過(guò)程中的信息系統的配置管理技術(shù)，通過(guò)對信息系統變更的控制、記錄、追蹤、演練，實(shí)現目標系統的配置變更的一致性、完整性和可追溯性，該技術(shù)涵蓋技術(shù)與管理兩個(gè)方面。

? 使用建議：該技術(shù)為配置變更風(fēng)險管理的支撐技術(shù)，應包含業(yè)務(wù)風(fēng)險點(diǎn)全景圖，并根據變更需求生成變更風(fēng)險，并進(jìn)行安全性測試。筆者建議，配置變更風(fēng)險測試，應著(zhù)重評估內部風(fēng)險。

? 市場(chǎng)滲透率：低

? 利潤轉化率：中

? 發(fā)展趨勢：該技術(shù)主要依托技術(shù)手段實(shí)現管理要求，比較適合工業(yè)行業(yè)現階段信息安全較為初級的發(fā)展要求。筆者預計，會(huì )根據行業(yè)業(yè)務(wù)特性，出現行業(yè)專(zhuān)版的配置變更管理產(chǎn)品。

? 相關(guān)廠(chǎng)商：綠盟科技、啟明星辰、天融信、安恒等

4.3 工業(yè)控制系統補丁升級技術(shù)

? 基本描述：工業(yè)企業(yè)應密切關(guān)注CNVD、CNNVD等漏洞庫及設備廠(chǎng)商發(fā)布的補丁。當重大漏洞及其補丁發(fā)布時(shí)，根據企業(yè)自身情況及變更計劃，在離線(xiàn)環(huán)境中對補丁進(jìn)行嚴格的安全評估和測試驗證，對通過(guò)安全評估和測試驗證的補丁及時(shí)升級。

? 技術(shù)定義：針對硬件、軟件、協(xié)議的具體實(shí)現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪(fǎng)問(wèn)或者破壞系統，使用相關(guān)廠(chǎng)商發(fā)布的修復程序的升級技術(shù)。

? 使用建議：該技術(shù)為配置變更風(fēng)險管理的支撐技術(shù)，應編制補丁升級風(fēng)險全景圖，并在同類(lèi)型業(yè)務(wù)系統中進(jìn)行修復程序的安裝操作，根據操作結果生成風(fēng)險分析報告。

? 市場(chǎng)滲透率：低

? 利潤轉化率：中

? 發(fā)展趨勢：該技術(shù)主要依托技術(shù)手段實(shí)現管理要求，比較適合工業(yè)行業(yè)現階段信息安全較為初級的發(fā)展要求。筆者預計，該技術(shù)會(huì )加速推進(jìn)相關(guān)行業(yè)“模擬仿真測試環(huán)境”類(lèi)產(chǎn)品的采購、部署。

? 相關(guān)廠(chǎng)商：綠盟科技、啟明星辰、天融信、安恒等

5.1 工業(yè)防火墻技術(shù)

? 基本描述：工業(yè)企業(yè)應根據實(shí)際情況，在不同網(wǎng)絡(luò )邊界之間部署邊界安全防護設備，實(shí)現安全訪(fǎng)問(wèn)控制，阻斷非法網(wǎng)絡(luò )訪(fǎng)問(wèn)，嚴格禁止沒(méi)有防護的工業(yè)控制網(wǎng)絡(luò )與互聯(lián)網(wǎng)連接。工業(yè)防火墻應包含：學(xué)習功能、常用工業(yè)協(xié)議深度檢測功能、訪(fǎng)問(wèn)控制功能等。

? 技術(shù)定義：位于不同安全級別的網(wǎng)絡(luò )之間的安全網(wǎng)關(guān)，依照特定規則，允許或限制傳輸的數據包通過(guò)。從業(yè)防火墻技術(shù)一般包括：包過(guò)濾、應用層（工業(yè)協(xié)議）過(guò)濾以及自學(xué)習等功能。

? 使用建議：由于工業(yè)防火墻為串聯(lián)設備，有可能會(huì )引入故障點(diǎn)，為保障安全穩定生產(chǎn)，建議相關(guān)廠(chǎng)商經(jīng)過(guò)較為完善測試，再引入相關(guān)產(chǎn)品。

? 市場(chǎng)滲透率：中

? 利潤轉化率：較高

? 發(fā)展趨勢：以防火墻為代表的邏輯隔離設備應該是工業(yè)網(wǎng)絡(luò )安全的一個(gè)重要組件，然而由于串聯(lián)進(jìn)生產(chǎn)網(wǎng)絡(luò )的安全風(fēng)險，應該會(huì )在不同行業(yè)經(jīng)過(guò)長(cháng)時(shí)間的技術(shù)、業(yè)務(wù)磨合，并產(chǎn)生有行業(yè)場(chǎng)景針對性的工業(yè)防火墻產(chǎn)品。

? 相關(guān)廠(chǎng)商：珠海鴻瑞、海天煒業(yè)、立思辰、三零衛士、中科網(wǎng)威、匡恩、威努特、衛達科技、網(wǎng)藤科技等

5.2 網(wǎng)閘技術(shù)

? 基本描述：工業(yè)企業(yè)確實(shí)有需求將生產(chǎn)網(wǎng)絡(luò )與信息網(wǎng)絡(luò )相連接的，可以通過(guò)單向網(wǎng)閘進(jìn)行邏輯隔離。生產(chǎn)網(wǎng)絡(luò )到信息網(wǎng)絡(luò )側可以進(jìn)行協(xié)議轉碼傳輸，信息網(wǎng)絡(luò )到生產(chǎn)網(wǎng)絡(luò )側原則上只允許文本類(lèi)文件傳輸，杜絕數據傳輸閉環(huán)。工業(yè)網(wǎng)閘應包含：一體雙機結構、非TCP報文傳輸、低時(shí)延傳輸能力等功能。

? 技術(shù)定義：是一種由帶有多種控制功能專(zhuān)用硬件在電路上切斷網(wǎng)絡(luò )之間的鏈路層連接，并能夠在網(wǎng)絡(luò )間進(jìn)行安全適度的應用數據交換的網(wǎng)絡(luò )安全設備。

? 使用建議：由于工業(yè)網(wǎng)閘為串聯(lián)設備，有可能會(huì )引入故障點(diǎn)，為保障安全穩定生產(chǎn)，建議相關(guān)廠(chǎng)商經(jīng)過(guò)較為完善測試，再引入相關(guān)產(chǎn)品。

? 市場(chǎng)滲透率：中

? 利潤轉化率：較高

? 發(fā)展趨勢：以網(wǎng)閘為代表的物理隔離設備應該是工業(yè)網(wǎng)絡(luò )安全的一個(gè)重要組件，然而由于串聯(lián)進(jìn)生產(chǎn)網(wǎng)絡(luò )的安全風(fēng)險，應該會(huì )在不同行業(yè)經(jīng)過(guò)長(cháng)時(shí)間的技術(shù)、業(yè)務(wù)磨合，并產(chǎn)生有行業(yè)場(chǎng)景針對性的工業(yè)網(wǎng)閘產(chǎn)品。

? 相關(guān)廠(chǎng)商：力控華康、啟明星辰、網(wǎng)神、珠海鴻瑞、賽博興安等

6.1 多因素認證技術(shù)

? 基本描述：用戶(hù)在登錄工業(yè)主機、訪(fǎng)問(wèn)應用服務(wù)資源及工業(yè)云平臺等過(guò)程中，應使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段，必要時(shí)可同時(shí)采用多種認證手段。

? 技術(shù)定義：多因素身份驗證（MFA）是一種安全系統，是為了驗證一項操作的合法性而實(shí)行多層身份驗證。其目的是建立一個(gè)多層次的防御，使未經(jīng)授權的人訪(fǎng)問(wèn)計算機系統或網(wǎng)絡(luò )更加困難。

? 使用建議：用戶(hù)在部署多因素認證技術(shù)類(lèi)產(chǎn)品時(shí)，不只需要考慮維護成本，還要考慮初期建設成本，因為如果是基于已有系統后期集成的相關(guān)認證手段，有可能會(huì )造成系統運行的穩定性下降，最好在系統建設階段就考慮統一建設。

? 市場(chǎng)滲透率：低

? 利潤轉化率：較高

? 發(fā)展趨勢：以PKI技術(shù)、智能卡、生物識別技術(shù)等為代表的多因素認證技術(shù)是高級別網(wǎng)絡(luò )安全訪(fǎng)問(wèn)控制需求的優(yōu)選解決方案，很適合與工業(yè)生產(chǎn)環(huán)境的高可靠性要求，工業(yè)領(lǐng)域的某些行業(yè)也已經(jīng)進(jìn)行了這方面產(chǎn)品的部署。

? 相關(guān)廠(chǎng)商：上海格爾、吉大正元、衛士通、信安世紀、上訊信息、南京易安聯(lián)、北信源、九州云騰、中孚信息、博智軟件、哈爾濱朗威等

6.2 認證證書(shū)防護技術(shù)

? 基本描述：工業(yè)企業(yè)可采用USB-key等安全介質(zhì)存儲身份認證證書(shū)信息，建立相關(guān)制度對證書(shū)的申請、發(fā)放、使用、吊銷(xiāo)等過(guò)程進(jìn)行嚴格控制，保證不同系統和網(wǎng)絡(luò )環(huán)境下禁止使用相同的身份認證證書(shū)信息，減小證書(shū)暴露后對系統和網(wǎng)絡(luò )的影響。

? 技術(shù)定義：證書(shū)管理機構（CA）依靠非對稱(chēng)密碼體系給通信實(shí)體雙方頒發(fā)包含公私鑰對的證書(shū)，構建一組可相互進(jìn)行信任校驗的通信實(shí)體，并進(jìn)行證書(shū)頒發(fā)、廢除、更新、驗證以及秘鑰管理的服務(wù)。

? 使用建議：證書(shū)認證技術(shù)產(chǎn)品已經(jīng)在一些重點(diǎn)行業(yè)、重點(diǎn)部位開(kāi)始推廣使用（如國家能源局2015年發(fā)布的36號文附件《電力監控系統總體防護方案》就增加了對部署“電力調度數字證書(shū)系統”的要求）。用戶(hù)在具體產(chǎn)品、技術(shù)選型時(shí)，不不應只考慮系統的可用性、易用性，還要考察系統對于證書(shū)管理（密鑰管理）的具體方法，以防止由于證書(shū)（密鑰）管理不嚴格而導致的連帶風(fēng)險。

? 市場(chǎng)滲透率：低

? 利潤轉化率：較高

? 發(fā)展趨勢：認證防護技術(shù)作為密碼技術(shù)的一種常規應用，已經(jīng)進(jìn)行了較長(cháng)時(shí)期的發(fā)展，相關(guān)技術(shù)比較成熟，目前產(chǎn)品主要聚焦在證書(shū)（密鑰）的申請、發(fā)放、使用、吊銷(xiāo)等的管理環(huán)節的技術(shù)保障。

? 相關(guān)廠(chǎng)商：天誠安信、派拉軟件、神州融信、上海格爾、天威誠信、信安世紀、東軟、吉大正元、安識科技、北京安訊奔、九州云騰、中科曙光、洋蔥安全、極驗驗證、立思辰、江南信安、山東確信等

7.1 遠程安全訪(fǎng)問(wèn)技術(shù)

? 基本描述：工業(yè)企業(yè)確需進(jìn)行遠程訪(fǎng)問(wèn)的，可在網(wǎng)絡(luò )邊界使用單向隔離裝置、VPN、撥號認證等方式實(shí)現數據單向訪(fǎng)問(wèn)，并控制訪(fǎng)問(wèn)時(shí)限。采用加標鎖定策略，禁止訪(fǎng)問(wèn)方在遠程訪(fǎng)問(wèn)期間實(shí)施非法操作。

? 技術(shù)定義：通過(guò)公網(wǎng)鏈路，依靠非對稱(chēng)密碼算法建立臨時(shí)、安全的私有通信連接（如SSH、IPSEC VPN），提供對遠程訪(fǎng)問(wèn)者的身份鑒別、授權等功能。

? 使用建議：遠程安全訪(fǎng)問(wèn)技術(shù)已經(jīng)在一些重點(diǎn)行業(yè)、重點(diǎn)部位開(kāi)始推廣使用（如國家能源局2015年發(fā)布的36號文附件《電力監控系統總體防護方案》就增加了對部署“遠程撥號訪(fǎng)問(wèn)”能力的要求，要求采用專(zhuān)用的鏈路加密設備提供鏈路層保護）。用戶(hù)在技術(shù)產(chǎn)品選型時(shí)，需更多考慮技術(shù)與業(yè)務(wù)環(huán)境兼容問(wèn)題，比如有的工業(yè)系統自帶遠程安全訪(fǎng)問(wèn)模塊，如果沒(méi)有的話(huà)，則需要考慮第三方遠程訪(fǎng)問(wèn)方案對系統是否會(huì )帶來(lái)額外風(fēng)險（比如定責、維保等）。

? 市場(chǎng)滲透率：低

? 利潤轉化率：較高

? 發(fā)展趨勢：隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)生產(chǎn)環(huán)境的遠程安全訪(fǎng)問(wèn)模塊將成為系統建設的重要組成部分。然而，由于工業(yè)生產(chǎn)環(huán)境往往不具備高速公網(wǎng)鏈路，筆者預計，低功耗、易部署的3-4G網(wǎng)絡(luò )等安全訪(fǎng)問(wèn)技術(shù)將會(huì )是一個(gè)重點(diǎn)發(fā)展方向。

? 相關(guān)廠(chǎng)商：相關(guān)廠(chǎng)商：珠海鴻瑞、天融信、萊克斯、啟明星辰、交大捷普、綠盟科技、藍盾、廣州國邁、軟云神州、任子行、雨人、上海觀(guān)安、上海紐盾、360、恒安嘉新、盛世光明、海峽信息、博智軟件、杭州迪普、中科新業(yè)等

7.2 遠程訪(fǎng)問(wèn)審計技術(shù)

? 基本描述：工業(yè)企業(yè)應保留工業(yè)控制系統設備、應用等訪(fǎng)問(wèn)日志，并定期進(jìn)行備份，通過(guò)審計人員賬戶(hù)、訪(fǎng)問(wèn)時(shí)間、操作內容等日志信息，追蹤定位非授權訪(fǎng)問(wèn)行為。

? 技術(shù)定義：根據遠程訪(fǎng)問(wèn)者的權限級別，進(jìn)行相應權限分發(fā)，并對其行為進(jìn)行細粒度記錄、審計。

? 使用建議：遠程訪(fǎng)問(wèn)審計技術(shù)已經(jīng)在一些重點(diǎn)行業(yè)、重點(diǎn)部位開(kāi)始推廣使用（如國家能源局2015年發(fā)布的36號文附件《電力監控系統總體防護方案》就增加了對部署“遠程撥號訪(fǎng)問(wèn)”能力的要求，要求對于遠程用戶(hù)登錄到本地系統的操作行為進(jìn)行安全審計）。用戶(hù)在技術(shù)產(chǎn)品選型時(shí)，需更多考慮技術(shù)與業(yè)務(wù)環(huán)境兼容問(wèn)題，比如有的工業(yè)系統自帶遠程訪(fǎng)問(wèn)審計模塊，如果沒(méi)有的話(huà)，則需要考慮第三方遠程訪(fǎng)問(wèn)方案對系統是否會(huì )帶來(lái)額外風(fēng)險（比如定責、維保等）。

? 市場(chǎng)滲透率：低

? 利潤轉化率：較高

? 發(fā)展趨勢：隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)生產(chǎn)環(huán)境的遠程訪(fǎng)問(wèn)審計模塊將成為系統建設的重要組成部分。然而，由于工業(yè)應用種類(lèi)較多、規格也并不統一，所以該技術(shù)對于業(yè)務(wù)的緊密耦合性將成為核心競爭力。

? 相關(guān)廠(chǎng)商：珠海鴻瑞、天融信、萊克斯、啟明星辰、交大捷普、綠盟科技、藍盾、廣州國邁、軟云神州、任子行、雨人、上海觀(guān)安、上海紐盾、360、恒安嘉新、盛世光明、海峽信息、博智軟件、杭州迪普、中科新業(yè)等

8.1 工業(yè)網(wǎng)絡(luò )安全監測技術(shù)

? 基本描述：工業(yè)企業(yè)應在工業(yè)控制網(wǎng)絡(luò )部署可對網(wǎng)絡(luò )攻擊和異常行為進(jìn)行識別、報警、記錄的網(wǎng)絡(luò )安全監測設備，及時(shí)發(fā)現、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業(yè)控制系統協(xié)議包偽造等網(wǎng)絡(luò )攻擊或異常行為。

? 技術(shù)定義：以帶外分光的形式，根據自有的惡意行為特征庫（比如協(xié)議惡意特征庫、行為惡意特征庫、惡意指令庫等）將數據流進(jìn)行實(shí)時(shí)、非實(shí)時(shí)對比、分析，并形成可讀性較強的報告。

? 使用建議：由于工業(yè)生產(chǎn)環(huán)境較為敏感，不建議引入第三方串聯(lián)設備（除非經(jīng)過(guò)相關(guān)認證單位風(fēng)險評估），網(wǎng)絡(luò )安全監測技術(shù)產(chǎn)品則較為試用。另一方面，考慮到工業(yè)環(huán)境較為分散，基于成本原因建議將該類(lèi)技術(shù)產(chǎn)品部署于場(chǎng)站中心以及重要生產(chǎn)系統現場(chǎng)。

? 市場(chǎng)滲透率：低

? 利潤轉化率：較高

? 發(fā)展趨勢：網(wǎng)絡(luò )安全監測技術(shù)產(chǎn)品將成為工業(yè)生產(chǎn)網(wǎng)絡(luò )的重要組件，它將為用戶(hù)提供十分直觀(guān)的生產(chǎn)網(wǎng)絡(luò )安全狀況分析結果，為事前加固、事中處置、事后溯源提供重要支撐。

? 相關(guān)廠(chǎng)商：威努特、天地和興、匡恩網(wǎng)絡(luò )、珠海鴻瑞、網(wǎng)藤科技、斗象科技/漏洞盒子/網(wǎng)藤風(fēng)險感知、安點(diǎn)科技、博智軟件、安恒信息、知道創(chuàng )宇、中科網(wǎng)威等

8.2 工業(yè)網(wǎng)絡(luò )協(xié)議深度解析技術(shù)

? 基本描述：在工業(yè)企業(yè)生產(chǎn)核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業(yè)控制系統協(xié)議進(jìn)行深度分析和過(guò)濾的防護設備，阻斷不符合協(xié)議標準結構的數據包、不符合業(yè)務(wù)要求的數據內容。

? 技術(shù)定義：使用Libpcap、pfring或者dpdk等技術(shù)對流量進(jìn)行獲取，并依據相應協(xié)議棧規格，進(jìn)行報文分析。

? 使用建議：由于對工業(yè)私有協(xié)議支持程度不足，目前市場(chǎng)上支持此類(lèi)技術(shù)產(chǎn)品還比較少，作用也比較有限。建議用戶(hù)可以在部署審計類(lèi)產(chǎn)品的基礎上購買(mǎi)此類(lèi)產(chǎn)品，可以作為一類(lèi)有益的補充。

? 市場(chǎng)滲透率：低

? 利潤轉化率：較高

? 發(fā)展趨勢：協(xié)議分析類(lèi)技術(shù)產(chǎn)品市場(chǎng)定位為，安全審計的有益補充以及網(wǎng)絡(luò )運維、巡檢工具。隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展，該技術(shù)產(chǎn)品應該會(huì )發(fā)展成為生產(chǎn)網(wǎng)絡(luò )運維基本組件。

? 相關(guān)廠(chǎng)商：科來(lái)、匡恩網(wǎng)絡(luò )、威努特、珠海鴻瑞、力控華康、三零衛士等

9.1 數據加密技術(shù)

? 基本描述：工業(yè)企業(yè)應對靜態(tài)存儲的重要工業(yè)數據進(jìn)行加密存儲，設置訪(fǎng)問(wèn)控制功能，對動(dòng)態(tài)傳輸的重要工業(yè)數據進(jìn)行加密傳輸，使用VPN等方式進(jìn)行隔離保護，并根據風(fēng)險評估結果，建立和完善數據信息的分級分類(lèi)管理制度。

? 技術(shù)定義：依靠通信雙方約定的密碼套件，將一組信息經(jīng)過(guò)密鑰及加密函數轉換，變成不可讀密文，而接收方則將此密文經(jīng)過(guò)解密函數、解密密鑰還原成明文。

? 使用建議：如果生產(chǎn)網(wǎng)絡(luò )需要與外部低安全等級網(wǎng)絡(luò )通信，或者生產(chǎn)網(wǎng)絡(luò )業(yè)務(wù)數據本地存儲于可外部訪(fǎng)問(wèn)的網(wǎng)絡(luò )，都建議使用數據加密技術(shù)（如國家能源局2015年發(fā)布的36號文附件《電力監控系統總體防護方案》就增加了對部署“線(xiàn)路加密措施”能力的要求，要求“遠方終端裝置、繼電保護裝置、安全自動(dòng)裝置、負荷控制管理系統等基于專(zhuān)線(xiàn)通道與調度主站進(jìn)行的數據通信，應采用必要的身份認證或加解密措施進(jìn)行防護”）。

? 市場(chǎng)滲透率：中

? 利潤轉化率：較高

? 發(fā)展趨勢：隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展，生產(chǎn)數據防篡改、防竊聽(tīng)需求成為剛性需求，數據加密技術(shù)是解決此類(lèi)問(wèn)題的主要手段。

? 相關(guān)廠(chǎng)商： 珠海鴻瑞、深信服、天融信、藍盾、360、華為、綠盟科技、衛士通、信安世紀、奧聯(lián)科技、啟明星辰、南京易安聯(lián)、華清信安、上海紐盾、東軟、海峽信息、博智軟件、H3C、江南信安、弘積科技、山東確信等

9.2 數據備份技術(shù)

? 基本描述：工業(yè)企業(yè)應對關(guān)鍵業(yè)務(wù)數據，如工藝參數、配置文件、設備運行數據、生產(chǎn)數據、控制指令等進(jìn)行定期備份。

? 技術(shù)定義：數據備份技術(shù)是容災的基礎，是指為防止系統出現失誤或系統故障導致數據丟失，而將全部或部分數據集合從應用主機的硬盤(pán)或陣列復制到其他的存儲介質(zhì)的過(guò)程。

? 使用建議：建議用戶(hù)根據自己的數據規模、恢復時(shí)效性要求（RTO）、經(jīng)費預算等指標綜合考慮。

? 市場(chǎng)滲透率：中

? 利潤轉化率：較高

? 發(fā)展趨勢：傳統數據備份主要采用內置或者外置的磁帶機進(jìn)行冷備份，但這種方式只能防止操作失誤等認為故障，而且恢復時(shí)間較長(cháng)。隨著(zhù)技術(shù)不斷發(fā)展和數據量不斷增加，網(wǎng)絡(luò )備份依靠速度快、管理方便等優(yōu)勢成為較為用戶(hù)的一種重要選擇。

? 相關(guān)廠(chǎng)商：上海愛(ài)數、杭州美創(chuàng )、火星高科、亞細亞智業(yè)、蘇州美天網(wǎng)絡(luò )、信核數據、上訊信息、英方股份、上海聯(lián)鼎、億備、廣州鼎鼎、和力記易、廣州鼎甲、安碼科技、南京壹進(jìn)制等

? 基本描述：由于安全研究和防護策略測試的需要，各大高校、科研院所基本都有采購模擬仿真環(huán)境的需求，然而目前該技術(shù)還屬于發(fā)展階段，只能實(shí)現較為明確的業(yè)務(wù)模擬，靈活性和真實(shí)性還有提升空間。

? 技術(shù)定義：結合控制技術(shù)、計算機技術(shù)、通信技術(shù)以及仿真技術(shù)，具備對象特征模擬、網(wǎng)絡(luò )負載模擬、I/O模擬、過(guò)程控制模擬以及故障模擬等功能于一體的綜合技術(shù)。

? 使用建議：據筆者了解，目前該類(lèi)技術(shù)產(chǎn)品供應商大多專(zhuān)注于工控安全，對具體工業(yè)行業(yè)業(yè)務(wù)邏輯深度有限，較適用于對通用性工業(yè)控制環(huán)境安全分析的環(huán)境搭建，對于行業(yè)業(yè)務(wù)仿真要求很高的需求可能適用性較低。

? 市場(chǎng)滲透率：中

? 利潤轉化率：較高

? 發(fā)展趨勢：傳統仿真技術(shù)還是利用真實(shí)上位機、下位機進(jìn)行業(yè)務(wù)模擬，依靠matlab等軟件對物理過(guò)程進(jìn)行仿真。隨著(zhù)仿真技術(shù)的發(fā)展，相信會(huì )出現對于下位機（PLC、RTU、SCADA）等的模擬仿真技術(shù)。

? 相關(guān)廠(chǎng)商：匡恩網(wǎng)絡(luò )、威努特、珠海鴻瑞、力控華康、三零衛士等

1. 廠(chǎng)商介紹

1.2 自動(dòng)化背景廠(chǎng)商  

這類(lèi)廠(chǎng)商原來(lái)從事自動(dòng)化相關(guān)的業(yè)務(wù)，后來(lái)看好工控安全的市場(chǎng)機遇，成立工控安全部門(mén)或子公司進(jìn)入工控安全領(lǐng)域。典型廠(chǎng)商包括：青島海天煒業(yè)自動(dòng)化控制系統有限公司、北京力控華康科技有限公司、珠海市鴻瑞軟件技術(shù)有限公司、中京天?？萍迹ū本┯邢薰?。這類(lèi)公司對工控系統有比較深刻的理解，有現成的客戶(hù)資源，比如，目前青島海天煒業(yè)自動(dòng)化控制系統有限公司、北京力控華康科技有限公司在石油化工行業(yè)市場(chǎng)上有較大的影響力，珠海市鴻瑞軟件技術(shù)有限公司在電力行業(yè)市場(chǎng)上有較大的影響力。其他自動(dòng)化廠(chǎng)商，如和利時(shí)集團、浙江中控技術(shù)股份有限公司、北京四方繼保自動(dòng)化股份有限公司等，主要是OEM第三方的產(chǎn)品，不作為主要的工控安全廠(chǎng)商進(jìn)行分析。  

2.2 傳統IT安全廠(chǎng)商  

這類(lèi)廠(chǎng)商原來(lái)從事IT信息安全的業(yè)務(wù)，工控安全作為信息安全市場(chǎng)的一個(gè)新興的細分市場(chǎng)得到關(guān)注，成立工控安全部門(mén)進(jìn)入工控安全領(lǐng)域。典型廠(chǎng)商包括：?jiǎn)⒚餍浅叫畔⒓夹g(shù)有限公司/北京網(wǎng)御星云信息技術(shù)有限公司、北京神州綠盟信息安全科技股份有限公司、北京中科網(wǎng)威信息技術(shù)有限公司、上海三零衛士信息安全有限公司。這類(lèi)公司的特點(diǎn)是信息安全技術(shù)積累較多，但對工控系統缺乏深刻的理解，并且由于當前業(yè)績(jì)的壓力，在工控安全方面的投入較小。目前啟明星辰信息技術(shù)有限公司、北京神州綠盟信息安全科技股份有限公司在工控安全市場(chǎng)上有一定的影響力。  

3.2 專(zhuān)業(yè)工控安全廠(chǎng)商  

這類(lèi)廠(chǎng)商基本屬于近兩年成立的創(chuàng )業(yè)公司，整合了信息安全與自動(dòng)化方面的人才，100%專(zhuān)注于工控安全領(lǐng)域。典型廠(chǎng)商包括：北京匡恩網(wǎng)絡(luò )科技有限公司、北京威努特技術(shù)有限公司、谷神星網(wǎng)絡(luò )科技（北京）有限公司、燈塔實(shí)驗室。這類(lèi)公司的特點(diǎn)是專(zhuān)注，他們100%的業(yè)務(wù)都是工控安全，工控安全業(yè)務(wù)的成敗決定了公司的生死存亡，因此能夠全力投入。

2. 獲得銷(xiāo)售許可證產(chǎn)品介紹

工控防護主要是在不改變工控系統基礎架構的前提下，通過(guò)增加與工控系統高度集成的信息安全組件達到工控系統的信息安全目標。產(chǎn)品主要包括防護類(lèi)產(chǎn)品、檢測類(lèi)產(chǎn)品以及管理服務(wù)平臺三大類(lèi)。目前主要以隔離網(wǎng)關(guān)（裝置）和防火墻類(lèi)等硬件產(chǎn)品為主，兩者的市場(chǎng)份額共達到整體ICS信息安全市場(chǎng)的71%，占主導地位；安全管理平臺、安全審計、安全監測等出現一定提升；安全培訓和服務(wù)被越來(lái)越多機構和用戶(hù)接受。

工控系統網(wǎng)絡(luò )安全市場(chǎng)屬于政策性需求牽引的新興市場(chǎng)，由于我國大力發(fā)展“互聯(lián)網(wǎng)+”、“中國制造2025”等國家戰略，會(huì )持續加速推進(jìn)工業(yè)控制系統與互聯(lián)網(wǎng)的融合進(jìn)程，這也從側面推動(dòng)了工業(yè)控制系統網(wǎng)絡(luò )安全的產(chǎn)業(yè)發(fā)展，市場(chǎng)規模將會(huì )有較大的上升空間。然而從另一個(gè)方面來(lái)看，我國從2010年左右剛剛開(kāi)始進(jìn)行工控系統網(wǎng)絡(luò )安全技術(shù)研究，相關(guān)解決方案的可用性、差異性、互補性都還有一定的不足，這也就造成了目前的市場(chǎng)規模還比較有限。

1. 市場(chǎng)容量較小但處于爆發(fā)臨界階段

從全球范圍來(lái)看，工控系統領(lǐng)域的信息安全尚處于初步發(fā)展階段，ICS信息安全防護、認證、標準等體系仍在完善中；因此，近幾年中國正在抓緊對于ICS信息安全標準、認證、防護等級及評估實(shí)驗室等頂層設計的建設中。在這種背景下，ICS信息安全市場(chǎng)產(chǎn)品參差不齊，用戶(hù)對于傳統信息安全和ICS信息安全的區別缺乏認知和重視程度有限，直接導致ICS信息安全市場(chǎng)的發(fā)展和應用水平有限，市場(chǎng)規模小。

我國工控系統網(wǎng)絡(luò )安全市場(chǎng)規模

從上圖可以看出，我國工控系統網(wǎng)絡(luò )安全產(chǎn)業(yè)截止到2016財年市場(chǎng)規模依然僅有2-3億元人民幣，而且具有比較明顯的行業(yè)分布特點(diǎn)（電力行業(yè)占據絕對主體）。自2016下半年來(lái)，隨著(zhù)相關(guān)政策、法規、指南、標準的密集推出，相信會(huì )對石化、煙草、煙草、煤礦、軌交等行業(yè)的工控系統網(wǎng)絡(luò )安全建設掀起一輪帶動(dòng)效應，據業(yè)內人士估計，會(huì )將市場(chǎng)規模推動(dòng)到15-30億元人民幣的區間。

2. 客戶(hù)對工控安全產(chǎn)品價(jià)值認可度度有待提高

類(lèi)似于工控防火墻、工控安管平臺等防護類(lèi)設備，本質(zhì)上應屬于信息化產(chǎn)品范疇。然而，應用工業(yè)控制系統的大型企業(yè)（如國家電網(wǎng)、發(fā)電集團等）負責信息化產(chǎn)品采購的部門(mén)并不能負責生產(chǎn)網(wǎng)絡(luò )的安全問(wèn)題，所以這也造成了客戶(hù)對于此類(lèi)產(chǎn)品無(wú)法進(jìn)行有效價(jià)值判斷。當然，目前國家也在通過(guò)各種手段（比如組織工控信息安全大檢查、編寫(xiě)工控安全標準等）來(lái)積極解決這個(gè)問(wèn)題。

3. 模擬仿真平臺應逐漸分化為通用型和行業(yè)專(zhuān)用型

很多單位都有采購模擬仿真平臺的計劃，然而需求痛點(diǎn)卻不盡相同：有些為了建立實(shí)驗平臺，支撐科學(xué)研究；有的為了建立實(shí)訓基地，培養提升員工技能；有的為了模擬生產(chǎn)環(huán)境，測試防護策略效果等；有的僅僅是為了給領(lǐng)導展示本單位的安全研究能力。就目前國內模擬仿真平臺的效果來(lái)看，只能較為逼真的模擬反映特定工業(yè)控制生產(chǎn)過(guò)程，對攻擊流程、防護效果進(jìn)行說(shuō)明性演示，對于提高員工意識、進(jìn)行科學(xué)實(shí)驗的需求比較適合，但是對于行業(yè)級的防護基線(xiàn)研究可能還僅能提供一個(gè)參考指標，需要行業(yè)專(zhuān)業(yè)級別模擬仿真平臺進(jìn)行支撐。

4. 工業(yè)信息安全態(tài)勢感知距產(chǎn)業(yè)化還有段距離

雖然2017年2月2日我國已經(jīng)成立了“工業(yè)互聯(lián)網(wǎng)聯(lián)盟”，但是真的讓工控業(yè)務(wù)系統逐漸上網(wǎng)，并形成“工控產(chǎn)業(yè)云”終歸不是一朝一夕的事情。目前，我國暴露在互聯(lián)網(wǎng)上的工控巨頭的資產(chǎn)依然主要是一些與生產(chǎn)系統相關(guān)性不強的信息系統。使用SHODAN也不難驗證上述想法，其檢索到的全球886種工控設備，涉及182個(gè)工控廠(chǎng)商，共包含2,186,971臺工控設備，而其中美國暴露的設備占據了絕大多數，中國（包含臺灣）暴露的工控設備不超過(guò)1000臺。這將成為我國開(kāi)展工控風(fēng)險監測業(yè)務(wù)的最大障礙。

5. 工控安全產(chǎn)品對業(yè)務(wù)場(chǎng)景的融合度有待加強

眾所周知，防火墻、交換機等傳統設備并不具有業(yè)務(wù)屬性，只是應用于不同業(yè)務(wù)場(chǎng)景后，才會(huì )由客戶(hù)自行針對性配置。然而，工控場(chǎng)景差異較大，可能A場(chǎng)景中的“惡意行為”在B場(chǎng)景中被視為“正常行為”，這固然可以通過(guò)“學(xué)習模式”很大程度得到解決，但是這樣并無(wú)法積累針對工控領(lǐng)域的“惡意行為分析能力”，無(wú)法給事后的行為分析提供技術(shù)支撐。

工控領(lǐng)域的網(wǎng)絡(luò )安全防護是勢在必行的趨勢，我想上邊的幾點(diǎn)疑問(wèn)也終將會(huì )被慢慢解決。在這期間，我覺(jué)得最重要的還是在于培養工控網(wǎng)絡(luò )安全專(zhuān)業(yè)人才，讓他們在甲方推動(dòng)生產(chǎn)部門(mén)的網(wǎng)絡(luò )安全建設工作，在乙方則會(huì )更加貼近用戶(hù)單位業(yè)務(wù)需求。

從全球范圍來(lái)看，工控系統領(lǐng)域的信息安全尚處于初步發(fā)展階段，ICS信息安全防護、認證、標準等體系仍在完善中；因此，近幾年中國正在抓緊對于ICS信息安全標準、認證、防護等級及評估實(shí)驗室等頂層設計的建設中。在這種背景下，ICS信息安全市場(chǎng)產(chǎn)品參差不齊，用戶(hù)對于傳統信息安全和ICS信息安全的區別缺乏認知和重視程度有限，直接導致ICS信息安全市場(chǎng)的發(fā)展和應用水平有限，市場(chǎng)規模小。近兩年中國ICS信息安全的行業(yè)市場(chǎng)格局并沒(méi)有明顯的變化，行業(yè)景氣程度也是直接影響ICS信息安全行業(yè)應用規模的主要因素。電力、石化（油氣）、先進(jìn)制造等細分市場(chǎng)表現較好，增速高于市場(chǎng)平均。而冶金、煤炭等行業(yè)受經(jīng)濟不景氣影響，ICS信息安全市場(chǎng)有所萎縮。市政、交通、軍工等其他行業(yè)的應用項目有逐年增多的跡象，并且也廣泛受到政府主管機構的重視，潛在的業(yè)務(wù)機會(huì )將會(huì )在未來(lái)逐漸顯現。

信息安全服務(wù)于工業(yè)行業(yè)，因此需首先對工業(yè)行業(yè)（尤其是電力、石油化工、先進(jìn)制造等）的需求進(jìn)行分析。以電力行業(yè)為例，電廠(chǎng)、電網(wǎng)的發(fā)展日益趨近于數字化、網(wǎng)絡(luò )化、智能化，智能儀表/控制設備、無(wú)線(xiàn)傳感/控制網(wǎng)絡(luò )等的大量采用，電廠(chǎng)/電網(wǎng)內IOT（物聯(lián)網(wǎng)）、IOS（服務(wù)互聯(lián)網(wǎng)）的推廣，對工控安全形成更大的挑戰。由于該行業(yè)信息安全規劃有具體文件參考（發(fā)改委能源局14號令和36號文），而對于其他行業(yè)則需要充分交流、探討、融合，逐步完善相關(guān)行業(yè)工控的安全防護措施，使安全防護由安全策略的部署向安全能力的部署能力遷移，逐步實(shí)現安全技術(shù)能力、安全管理能力的全面提升，實(shí)現管、控、防一體化。安全能力逐步覆蓋從系統上線(xiàn)、系統運行、系統運維、系統檢修等各個(gè)環(huán)節，實(shí)現工控系統安全的閉環(huán)管控。

隨著(zhù)黑客攻擊越來(lái)越平民化，工業(yè)控制系統作為關(guān)鍵基礎設施的載體，必然會(huì )面臨越來(lái)越大的安全壓力，電力、石油化工、先進(jìn)制造等行業(yè)對該種情況也高度重視，電力行業(yè)在2013年就發(fā)布了《電力行業(yè)等級保護標準》，能源局、各個(gè)標委會(huì )也都發(fā)布了相應的政策法規，相信信息安全產(chǎn)品的部署情況和信息安全能立的建設情況將成為相關(guān)重點(diǎn)行業(yè)業(yè)務(wù)需求的一個(gè)重點(diǎn)指標。

工業(yè)控制系統由于其硬件選型、網(wǎng)絡(luò )結構、應用環(huán)境、操作規程等在不同行業(yè)（如電力行業(yè)與制造行業(yè)等），甚至相同行業(yè)的不同流程（如發(fā)電、配電環(huán)節等）中都存在較大的差異。所以，在較短的時(shí)間內，很難有一家公司、一款產(chǎn)品或者一類(lèi)服務(wù)形態(tài)（如安全檢測、風(fēng)險評估等）可以適應所有工業(yè)行業(yè)。筆者認為，較好的發(fā)展模式應該可參考珠海鴻瑞、海天煒業(yè)、力控華康等的發(fā)展歷程：先在一個(gè)細分領(lǐng)域耕耘多年，然后將積累的經(jīng)驗進(jìn)行行業(yè)的橫向復制。

1. 廣域網(wǎng)工控設備搜索引擎資源

https://www.shodan.io/report/l7VjfVKc

http://ics.zoomeye.org/

http://www.ditecting.com/

2. 相關(guān)開(kāi)發(fā)資源

2.1 發(fā)現類(lèi)

https://code.google.com/p/plcscan

https://code.google.com/p/modscan

https://github.com/arnaudsoullie/scan7

https://github.com/atimorin

auxiliary/scanner/modbus/modbus_findunitid

auxiliary/scanner/modbus/modbusdetect

2.2 操縱類(lèi)

auxiliary/scanner/modbus/modbusclient

auxiliary/admin/scada/modicon_command

auxiliary/admin/scada/igss_exec_17

auxiliary/admin/scada/multi_cip_command

Open ICS protocol libraries

https://www.scadaforce.com/modbus     [python]

https://github.com/bashwork/pymodbus  [python]

https://rubygems.org/gems/modbus-cli  [ruby]

http://libnodave.sourceforge.net      [C,C++,C#,Delphi,Pascal,Perl,VB(A)]

https://code.google.com/p/dnp3        [C++]

2.3 異常分析類(lèi)

http://blog.snort.org/2012/01/snort-292-scada-preprocessors.html

http://www.digitalbond.com/tools/quickdraw/

4. fuzz類(lèi)

https://github.com/jseidl/peach-pit/blob/master/modbus/modbus.xml

3. 綜合類(lèi)資源

https://scadahacker.com

http://www.digitalbond.com

https://ics.sans.org/ics_library

http://plcscan.org/blog/

http://blog.iec61850.com

http://www.modbus.org/

http://scadastrangelove.blogspot.kr

http://www.slideshare.net/phdays/timorinalexander-efanov-dmitry

4. 圖書(shū)資源

（1）《工業(yè)SCADA系統信息安全技術(shù)》（2014.5.1）

講述了工業(yè)監視控制與數據采集（SCADA）系統基本概念，系統地分析工業(yè)SCADA系統存在的脆弱點(diǎn)和面臨的信息安全威脅，闡述了工業(yè)SCADA系統信息安全體系，論述其相應的關(guān)鍵技術(shù)；介紹了典型電力SCADA系統信息安全實(shí)際工程應用案例，并對國內外工業(yè)控制系統信息安全的發(fā)展趨勢進(jìn)行了分析。讀者對象：政府、軍隊、高校、科研機構等從事工業(yè)控制系統信息安全研究的科研人員，以及相關(guān)企業(yè)進(jìn)行工業(yè)控制系統信息安全開(kāi)發(fā)、建設和應用的技術(shù)人員。

（2）《工業(yè)控制系統信息安全》（2015.9.1）

本書(shū)簡(jiǎn)潔、全面地介紹了工業(yè)控制系統信息安全概念和標準體系，系統地介紹了工業(yè)控制系統架構和漏洞分析，系統地闡述了工業(yè)控制系統信息安全技術(shù)與方案部署、風(fēng)險評估、生命周期、管理體系、項目工程、產(chǎn)品認證、工業(yè)控制系統入侵檢測與入侵防護、工業(yè)控制系統補丁管理。

（3）《工業(yè)控制系統安全等級保護方案與應用》（2015.3.1）

本書(shū)分為7章，分別介紹了工業(yè)控制系統信息安全概論、工業(yè)控制系統安全等級保護定級、工業(yè)控制系統安全等級保護要求、工業(yè)控制系統等級保護安全設計、工業(yè)控制系統安全等級保護實(shí)施、工業(yè)控制系統安全等級保護測評和工業(yè)控制系統安全等級保護方案應用。

（4）《工業(yè)網(wǎng)絡(luò )安全—智能電網(wǎng)，SCADA和其他工業(yè)控制系統等關(guān)鍵基礎設施的網(wǎng)絡(luò )安全》（2014.6.1）

納普所著(zhù)的《工業(yè)網(wǎng)絡(luò )安全》一書(shū)向您解釋了作為工業(yè)控制系統基礎的特定協(xié)議和應用，并且為您提供了對它們進(jìn)行保護的一些非常容易理解的指南。除了闡述合規指南、攻擊與攻擊面，甚至是一些不斷改進(jìn)的安全工具外，本書(shū)還為您提供了關(guān)于SCADA、控制系統協(xié)議及其如何運作的一個(gè)清晰理解。

（5）《智能電網(wǎng)安全:下一代電網(wǎng)安全》    （2013.1.1）

本書(shū)著(zhù)眼于當前智能電網(wǎng)的安全以及它是如何被開(kāi)發(fā)和部署到全球千萬(wàn)家庭中的?！吨悄茈娋W(wǎng)安全:下一代電網(wǎng)安全》詳細討論了針對智能儀表和智能設備的直接攻擊以及針對配套網(wǎng)絡(luò )和應用程序的攻擊，并給出如何防御這些攻擊的建議?！吨悄茈娋W(wǎng)安全:下一代電網(wǎng)安全》給出了一個(gè)針對成長(cháng)中的系統如何實(shí)現安全性的框架，用來(lái)指導安全顧問(wèn)與系統和網(wǎng)絡(luò )架構師如何防范大大小小的攻擊者，從而保證智能電網(wǎng)的穩健運行?！吨悄茈娋W(wǎng)安全:下一代電網(wǎng)安全》詳細介紹了如何使用新舊黑客技術(shù)來(lái)攻擊智能電網(wǎng)以及如何防御它們。討論當前的安全舉措。以及它們達不成所需目標的原因。找出黑客是如何利用新的基礎設施攻擊基礎設施。

（6）《智能電網(wǎng)信息安全指南(第1卷):智能電網(wǎng)信息安全戰略架構和高層要求》（2013.1.1）

本書(shū)由美國國家標準和技術(shù)研究院所著(zhù)，提出了美國針對智能電網(wǎng)信息安全的分析框架，供相關(guān)組織根據智能電網(wǎng)業(yè)務(wù)特性、安全風(fēng)險和漏洞制定有效的信息安全戰略參考使用。主要內容包括信息安全戰略、智能電網(wǎng)的邏輯架構和接口、高層安全要求、密碼和密鑰管理等，可供相關(guān)讀者閱讀學(xué)習。

（7）《智能電網(wǎng)信息安全指南:美國國家標準和技術(shù)研究院7628號報告(第二、第三卷)》（2014.6.1）

本書(shū)為《智能電網(wǎng)信息安全指南 美國國家標準和技術(shù)研究院7628號報告》第二、第三卷，內容包括隱私和智能電網(wǎng)、脆弱性類(lèi)別、智能電網(wǎng)的自下而上安全分析、智能電網(wǎng)信息安全的研究與開(kāi)發(fā)主題、標準審閱綜述、關(guān)鍵電力系統安全要求用例。該報告提出了美國針對智能電網(wǎng)信息安全的分析框架，供相關(guān)組織根據智能電網(wǎng)業(yè)務(wù)特性、安全風(fēng)險和漏洞制定有效的信息安全戰略參考使用。

來(lái)源：網(wǎng)信防務(wù)