工業互聯網已經成為了各方關注的焦點。但是，與工業互聯網相關的安全事故也頻頻發生，安全已經不可忽視。數世咨詢的《工業互聯網安全能力指南》將從工業互聯網安全防護能力、工業互聯網安全按檢測/審計能力、工業互聯網安全服務能力、工業互聯網安全靶場能力、以及工業互聯網安全管理平臺能力，五個維度，對工業互聯網安全能力進行分析。

由于內容篇幅較長，本報告先會分批發布，最終還會合并發布完整版。第一部分將以整體工業互聯網安全概念為主。

前言

近幾年來，和工業相關的嚴重安全事故頻發，工業互聯網相關的安全已經到了不可不關注的時刻。

工業的自動化、信息化，以及最終需要達到的數字化，其目的都是為了能夠在減少人力的情況下，更為高效地進行工業生產。尤其在一些如高污染、高溫、低溫等的極端環境下，更需要通過自動化的能力，減少人力的使用，保障工人的生命安全。另一方面，基礎設施的互聯互通，使“智慧城市”得以實現。通過技術手段，將整個城市的基礎設施系統可視化，提升資源運用的效率、優化城市的管理和服務，為居民的生活提供便利，并為城市的進一步發展打下堅實的基礎。

然而，無論是“智能制造”，還是“智慧城市”，都離不開對網絡的構建。一度非常封閉的工業生產環境也隨著OT與IT的融合，變得略為開放。但是，開放帶來的不僅是便利與智能，同樣也引入了更多的攻擊面和威脅。烏克蘭與委內瑞拉的停電事件、臺積電與Colonial Pipeline的勒索病毒攻擊事件都標志著工業互聯網的安全已經到了迫在眉睫的地步。工業網絡的安全必要性已經不再只是滿足合規的要求，而是要能夠解決真實可見的威脅。

安全需要從底層做起，工業互聯網的安全也一樣。大部分工業企業依然處于數字化轉型的起步過程當中，只專注于業務與生產。但是，事實上，數字化轉型對工業企業而言，也是一個從零開始實現安全生產的新機會。數字化轉型一定程度上意味著企業的技術架構的升級，甚至是再規劃——如果從這個階段起，就將安全能力作為設計的一部分，就可以極大減少之后將安全作為額外能力的投入成本。將安全與生產并進，才能最大程度地保障生產的安全性。

本報告希望能通過對工業互聯網一系列的能力的梳理，協助相關工業企業的安全規劃。

關鍵發現

? 工業互聯網的安全驅動力主要有四個方面：國家安全、政策合規、工業協議缺陷、以及行業數字化轉型的安全需求。

? 工業互聯網的安全有雙重性：系統安全(Security)與生產安全(Safety)。隨著工業互聯網越來越多的互聯與開放，系統安全對生產安全的影響逐步擴大。

? 工業互聯網安全的落地難度不僅在于工業場景自身的特點，同樣受限于不同工業企業本身IT能力的發展差距。

? 工業互聯網的安全能力落地按照“先防護，再檢測/審計，持續服務，平臺統一，靶場進階”的順序。

? 工業互聯網由于非常重視“業務連續性”，在安全性上就需要很大程度的妥協，因此要做好長期與威脅共存的準備。

一、工業互聯網安全概念與總體市場情況

1、工業互聯網概念

工業控制系統一度是一個相對封閉的環境。在工業生產環境中，只需要設備按照要求，完成相關任務即可——在這個情況下，工業生產環境中的設備并不需要和外部有聯系，只需要能夠在生產環境中形成局部的操作技術(Operational Technology, OT)網絡。

但是，隨著“工業4.0”、“智能制造”概念的提出，工業相關企業需要一次全面的轉型，通過數據分析、整體企業統一協同管理等能力，創造更高效、更安全的自動化生產環境。在這一過程中，會有大量的設備、系統接入。

首先，企業生產環境本身會有更多的設備接入，比如傳感器、遙測儀、監控器等。這些設備能夠采集生產環境中的相關數據，進行進一步的分析，從而確認生產環境的安全狀況。在業務層面，對這些數據進行深度挖掘，可以發現生產過程中的瓶頸，找到提高生產效率的方案。

另一方面，由于數據分析很難完全在生產環境中進行，因此需要傳輸到其他位置進行分析——如云端。這就不可避免地使生產環境走向開放，需要與外界網絡逐漸打通。另一方面，工業生產技術也逐漸需要和企業業務發展相關聯——比如人員的權限管理、客戶的生產需求、整體項目的管理等。工業生產環境不再是分割的生產實體，而是基于企業總體的發展規劃和業務需求，自上而下的實現環境。因此，無論是從技術需求的角度，還是業務發展的角度，工業生產環境中的OT網絡，與企業管理的IT網絡，最終要相融合。

在2020年，由工業互聯網產業聯盟發布的《工業互聯網體系架構(版本2.0)》提供了如下的工業互聯網實施框架總體視圖：

圖片來源：《工業互聯網體系架構(版本2.0)》

從這張圖中，我們可以發現，工業互聯網不僅僅是設備的連接，更需要工業互聯網平臺作為賦能。完整的工業互聯網，需要生產機器、控制設備、信息系統、以及人員的聯動才能實現。工業互聯網要能夠通過生產時產生的信息，進行分析，也要能夠支撐智能化的生產，以及基于企業業務變化的靈活變更。

工業互聯網并非是企業個體的能力，也是國家發展的需求，離不開國家的監管與支持。在企業的層級之上，需要政府層面的整體監管和把控。同時，國家也能夠通過國家級的工業互聯網平臺對全國的工業發展進行分析，為未來的發展方向做決策和引導。

2、本報告中的工業互聯網安全概念

完整的工業互聯網實現離不開IT與OT的高度融合。整個工業互聯網的運行需要生產機器的正常運作、采集設備對數據的采集以及傳輸、相關系統與儀器對數據的存儲、以及邊緣設備和平臺側的計算和分析。那么，完整的工業互聯網安全理論上，是需要能夠涵蓋整體的運作、采集、存儲和分析的安全需求。

然而，在實際落地過程中，IT與OT的融合進度還處于相當早期的地步。事實上，許多工業企業的數字化轉型依然處于建立完善的OT網絡階段。因此，本報告中的工業互聯網安全的概念為：對OT相關場景進行防護的信息安全能力，包括對OT場景的防護、檢測、審計、管理、監管、安全驗證、安全能力培訓等。

從《工業互聯網體系架構(版本2.0)》實施框架總體視圖來看，本報告的調研范圍主要集中在設備層與邊緣層，以及企業層與產業層中的安全平臺相關解決方案中，對工業控制系統與工業生產環境中涉及到的信息安全。

本次調研分為五個方向進行，分別是工業互聯網安全檢測/審計能力、工業互聯網安全防御能力、工業互聯網安全服務能力、工業互聯網靶場能力、以及工業互聯網安全管理平臺能力。

3、工業互聯網安全總體市場情況

工業互聯網安全在2021年中國數字安全能力圖譜中，屬于行業環境分類。其中，下屬還有“工控系統安全”、“安全管理平臺”、“安全服務”、“工控靶場”四個分類。本次報告中，將工控系統安全分為“工控防護能力”與“工控檢測/審計能力”兩個部分，其余三個分類一一對應。

根據本次調研的方向，2019年我國工業互聯網安全收入總體約為17.4億元，2020年總體收入約為33.8億元，預計2021年收入為50.3億元，2022年有望達到70億元。

而從工業互聯網安全產品的總體銷售區域來看，華北(包括東北)與華南占據了主要銷售區域，一定程度上反應了我國當前的工業互聯網部署需求。從未來幾年來看，智慧城市帶動的城市基礎設施安全需求會進一步推動東部沿海城市對工業互聯網安全的需求。同時，隨著國家對西北、西南的進一步開發，長遠來看，這兩個區域也會有對工業互聯網安全解決方案需求的大幅度提升。

二、工業互聯網安全建設的必要性與驅動力

1、國家：國家安全的保障

工業場景的安全有著兩重性：系統安全(Security)以及生產安全(Safety)。系統安全意為對工業控制系統、工業網絡自身進行保護的行為與過程，而生產安全則是指工業控制系統對非工業控制系統、工業網絡本身的影響，如是否會造成人員傷亡、產生環境污染等。(本報告中將“系統安全”簡稱為“安全”)

在封閉環境下，系統安全對安全狀態的影響相對較小。但是，當工業生產環境逐漸隨著網絡變得開放的時候，系統安全對生產安全的影響會逐漸增大。事實上，在2021年1月，美國舊金山地區的供水系統就遭到攻擊。無獨有偶，2021年2月，美國佛羅里達州地區一個小鎮的供水系統同樣遭到攻擊，攻擊者試圖將水中的氫氧化鈉含量增加到100倍，實現區域性的“投毒”。這些攻擊，都被防御系統所攔截。

因此，工業互聯網的安全性已經不只是局限于數據保密性與完整性的安全、業務可持續的安全，而是真真切切直接關系到人民的人生安全與社會的穩定。對于處于數字化轉型的工業生產環境，越多的系統與設備的連接，意味著越多的攻擊面，在基礎設施、化工、能源等生產事故可能造成極大人員傷亡與社會影響的場景中，工業互聯網的安全應該作為第一考量。

國家角度來看，工業互聯網安全是國之大計，是必須貫徹執行的安全方向。

2、企業：政策合規的驅動

盡管工業互聯網會影響工業生產環境的安全，但是鑒于大部分企業依然處于工業數字化轉型的起步期，在認知上對于IT化以后，生產環境會面臨的威脅依然不足。這個時候，就會由政策與合規要求進行強驅動。

除了等保2.0的要求之外，工信部印發的《工業控制系統信息安全防護指南》、《工業控制系統信息安全防護能力評估工作管理辦法》、《工業控制系統信息安全行動計劃(2018-2020年)》都為相關企業提供了工業互聯網安全的落地指導作用。2021年9月開始實行的《關鍵信息基礎設施安全保護條例》更是直指對國家與人民息息相關的關鍵基礎設施安全。

盡管一方面來看，僅僅為了合規，為了符合政策需求而購買、使用工業互聯網安全產品與能力，并不能真正保護好相關場景;但是，法律層面的驅動，至少能劃下安全的底線，從強要求、強監管開始，督促相關企業重視安全，積累一定的安全能力。另一方面，由于大量工業企業對OT安全依然處于起步期，即使逐漸開始意識到工業生產場景中OT安全的重要性，但是卻缺乏具體安全落地的方向與能力;政策與合規要求不僅僅提供的是一個法律層面的底線，也是為相關企業提供安全落地的一個指導方向。

企業角度來看，政策與合規帶有強制與指導的雙重意義，是企業落實工業互聯網安全能力的第一驅動力。

3、技術：工業協議自身的缺陷

工業控制設備會根據不同的供應商，使用不同的協議，因此工業系統本身存在著復雜多樣的協議。然而，這些協議本身也會存在漏洞。即使如Modbus、ICE104、PROFINET等主流協議，在設計之初都是為了實現業務的流暢運行，在追求時效性和流暢性的同時，不可避免地犧牲了一部分安全性，容易被攻擊者利用。

另一方面，同樣被廣泛使用的OPC協議，其架構基于Windows平臺，從而也“繼承”了許多Windows平臺中存在的漏洞，同樣能被攻擊者利用。

技術角度來看，單獨的工業控制系統本身存在著一定的安全問題，需要額外的安全手段進行保護。

4、行業：數字化轉型的保險

2021年5月發生的Colonial Pipeline事件，導致全美部分區域的輸油管道無法使用，造成全球油價浮動以及美國東北部石油使用困難。值得注意的是，該攻擊本身并非直接針對Colonial Pipeline的輸油管道系統，而是對Colonial Pipeline的IT系統發起的勒索病毒攻擊——最終使該公司中斷各類系統，包括輸油管道相關的OT系統。

對于工業企業的數字化轉型，IT與OT環境的融合是一個關鍵。IT與OT融合，能夠更有效地使用工業生產中生成的數據，改進生產業務的模式，提升生產效率;同時，也能夠通過IT系統自上而下，對生產環境以及非生產環境進行統一的管理。然而，IT環境往往會更加開放，從而增大攻擊面。最終，工業控制系統本身，乃至整個生產環境可能并未直接遭到攻擊，但是由于上層的IT系統遭到攻擊被中斷，依然會讓生產環境的業務中斷。

以防護策略來看，保護好上層的IT系統固然是一個必須采取的安全防護措施。但是，如果因為上層的某個位置遭到攻擊，就導致整個生產系統癱瘓，這無疑會產生新的攻擊策略——通過單點故障，從上層系統進行降維打擊。在理想狀態下，需要能夠做到IT與OT融合的同時，OT環境本身的安全性能夠抵御因上層IT系統淪陷產生的安全隱患，在上層IT系統下線的情況下，依然能夠安全、有效地執行業務——這是一個極其理想的狀態，但是值得工業生產環境中的所有利益相關方去探索。

整個行業來看，數字化轉型成功必然需要完成IT與OT的融合，但是這一結合的過程也必然會帶來新的威脅，需要IT與OT兩個方向協同去解決相關的安全問題。

三、工業互聯網安全當前落地難點

在工業互聯網環境里，傳統IT安全中的機密性、完整性與可用性在理論上依然有一定價值——但是在實踐中，卻容易受限于工業場景的需求。工業場景由于其特殊性，需要一種相對不同的方式來進行安全實踐。另一方面，工業企業本身，由于對網絡技術的實踐總體更為滯后，因此無論是IT層面，還是OT層面的安全，在落地過程中都會遇到不小的困難。

1、生產大于安全

工業生產環境中最大的特點，就是生產穩定性高于一般安全性——即在不會直接影響正常生產的情況時，安全性可以被犧牲。這一點可以理解，因為對于工業生產環境而言，生產機器的啟動本身就極有可能消耗極大的人力和物力，而局部機器的停止運作又有可能影響整體生產的情況——最終造成巨大的經濟損失。另一方面，在關鍵基礎設施中，機器的停運也同樣可能對社會產生負面影響。因此，在工業生產環境中，生產穩定性是最重要的。

但是，這和上文提到的工業互聯網中的對外安全產生了一定的矛盾——一旦攻擊者通過工業互聯網成功影響到工控生產環境，依然可能產生難以估計的損失——比如美國發生的對供水系統“投毒”事件。這一矛盾，給工業互聯網安全帶來了極大的困難與挑戰。

首先，工業互聯網安全產品本身不能對工業互聯網生產環境產生負面影響。一旦工業互聯網安全產品直接會對生產環境產生影響，那么本身就本末倒置了。

其次，工業互聯網安全產品要能夠監測出發生的攻擊事件與異常情況——依然要在不影響工業互聯網生產環境的前提下。這就對工業互聯網安全廠商的安全能力提出了要求。

最后，工業互聯網安全產品——或者解決方案，要能夠對發生的攻擊進行一定的措施評估：這是攻擊，還僅僅是異常錯誤(如人員操作失誤、機器故障)?正在發生的攻擊，產生的后果可能是什么?如果攻擊已經進行，應對攻擊的方式，是阻斷請求，甚至請求源，還是需要將整個系統關閉?

在工業互聯網場景中，安全不僅僅要考慮威脅，以及威脅對系統的影響，更需要考慮威脅與各類應對方式對現實產生的影響。

2、協議復雜多樣性

一些主流工控協議本身存在一些缺陷，同時主流工控協議總體數量也相對較多，不同的生產商的設備會采用不同的協議，這就給安全防護帶來了極大的難度。

大部分工業互聯網安全廠商都能做到對協議的識別，但是落實到安全能力的實現時，就需要對協議進行深度的識別——而大量不同的協議無疑是對廠商協議研究、分析能力的一大挑戰。

除了主流協議以外，還存在一些私有協議，就更需要安全廠商有能力對陌生的工控協議有學習協議規則和行為的能力，從而建立新的安全模型。

3、底層防護困難

工業互聯網另一個難點在于底層防護更為困難。工業設備往往使用年限會很長，會積累大量沒有修復的漏洞。同時，由于受限于工業互聯網本身的業務可持續性要求，以及過去缺乏的安全意識，使得對這些漏洞的全面修復幾乎成為不可能。

如果無法從底層對工業設備和系統進行防護，就只能將安全能力附加在設備和系統之上，難以給底層賦予安全能力，通過自身的安全性提升對威脅的抵抗能力。最終，安全無法從最佳位置開始賦能。

4、企業不適合接入工業互聯網

企業工業設備老舊帶來的另一個問題，在于老舊設備與當下的IT以及OT能力的不兼容，這些老舊設備不具備接入工業互聯網的條件。但是，對于相當數量的企業而言，替換這批設備需要高額的成本，帶來極大的經濟負擔，因此會繼續使用這些工業設備，導致這些企業本身也不適合接入工業互聯網。

在這些企業不適合接入工業互聯網的情況下，雖然能夠確保工業控制系統與工業生產環境的安全，一定程度提升整體的工業安全情況。但是，對于國家層面，監管部門很難把握這些企業的工業安全態勢，無法從國家高度進行統一地監管與分析。這會造成在監管部門級別的工業互聯網安全管理平臺的落地效果，無法達到最好的效果。

而對于企業自身而言，也容易形成“安全孤島”，難以通過上級政府的統籌獲取相關的威脅情報，從而更好地應對潛在的威脅。

5、工業互聯網安全人才短缺

在工業互聯網安全的場景中，人才的存在不可或缺。正如前文所提到的，工業互聯網安全面臨的另一個落地難點之一就是業務可持續性與安全之間的平衡，其中的一個平衡就是安全措施的平衡——采取怎樣的措施是在當前生產環境對特定威脅最適合的方法。由于工業生產環境中對生產可持續性的顧慮，工業互聯網安全產品自動處理能力的使用會受到一定的限制——這就需要專家根據實際的情況進行分析決策。

不同于傳統的IT安全，工業互聯網安全中的決策可能會影響更加巨大，需要更為豐富的經驗。在IT與OT融合的情況下，工業互聯網安全人才不僅需要對IT安全的認知，還需要對OT安全的了解、對工業生產環境本身的積累，這三者缺一不可。尤其是對工業生產環境的積累，不僅僅是浮于知識層面，而是需要大量在工業生產環境中的積累才能獲得。但是，在當前情況下，即使局限于工業控制系統安全，受限于起步較晚，能將三者緊密結合的工業控制系統安全專家較少，能夠從更宏觀角度看工業互聯網整體安全的專家就更為稀缺。

另外，工業互聯網安全人才也不限于對于工業控制系統的安全維護，以及在工業互聯網中產生的攻防對抗——工業互聯網安全也需要能從頂層設計的戰略專家，幫助企業、乃至國家，從更為全面的架構，落地各級工業互聯網安全架構。這就要求在IT安全知識、OT安全知識、以及工業互聯網經驗的基礎上，再擁有企業級，甚至國家級的實踐視角與能力。

以上五個難點只是當前工業互聯網安全面臨的挑戰。事實上，另一個工業互聯網安全面臨的難點已經逐漸開始浮現：工業互聯網平臺的安全。工業互聯網平臺要處理大量的工業數據，運行各類工業互聯網應用——工業數據與工業互聯網應用和傳統的IT數據與IT應用又會有一些不同的安全需求。在未來，當工業互聯網越發完善的時候，對于工業互聯網平臺的保護會逐漸成為工業互聯網安全必須重視的關鍵。

四、工業互聯網安全實踐要點

基于工業互聯網的業務特點，在工業互聯網安全的落地實踐上，有如下發現。

1、長期威脅共存

我們無法消除環境中所有的威脅，對于一些安全風險，我們只能選擇減緩其影響、轉移風險方或者——接受這個風險。這一點在IT環境中如此，在工業互聯網中就更為明顯。

工業企業的最大特性“生產大于安全”極大限制了工業互聯網安全能力對威脅的消除。在IT環境中，業務部門與安全部門的一大矛盾，往往在于安全修復、補丁升級等行為會導致業務一定時間的中斷，對業務部門的業績收入產生影響。但是，在工業互聯網環境中，首先安全升級導致的業務中斷時間會大大超過非工業企業的中斷時間;其次，工業生產業務的中斷，除了會有本身業務生產的成本影響之外，還會有設備損耗、資源損耗(如恢復生產狀態的資源)等成本——最終，使得工業企業的業務中斷成本遠遠高于非工業企業的業務中斷成本。另一方面，對于關鍵基礎設施相關企業，業務中斷又很有可能對社會產生影響，如發電中斷、軌交中斷等情況。

因此，工業互聯網場景中會往往面對設備、系統長期無法更新、升級的狀態——即生產環境自身的漏洞會長期無法進行修復，從而累積大量安全隱患。工業互聯網安全的理念就無法做到對威脅能除盡除，而是要能做到和威脅長期共存的同時，不讓威脅轉變成會造成嚴重后果的安全事故。

2、先防護后檢測

基于工業互聯網的業務特性，在工業互聯網安全落地的順序往往是“先防護，再檢測/審計，持續服務，平臺統一，靶場進階”的一個過程。

對于工業企業而言，確保工業生產平穩、正常地進行，是第一要點。因此，工業互聯網安全的防護底線，是確保絕對的生產穩定。對于會造成重大生產安全事故的威脅，要完全阻斷;對于不會產生重大事故，但是會對生產產生一定影響的，要采取相匹配的措施;而有安全隱患卻不會對生產安全造成影響的，在起步階段，可以選擇有意忽略。因此，安全落地的第一步，是先對生產安全有影響的威脅采取相應的措施，通過確定的正常業務模型，只允許正常流量交互，實現基本的安全防護。

在能確保生產安全的基礎上，有余力的工業企業就需要開始發現環境中潛在的威脅，以及對環境中的行為進行審計。這個階段，檢測/審計類能力就進入了落地階段。檢測/審計類能力能夠幫助防護類產品，達成更為精準的防御效果。

安全服務應該是持續進行的。事實上，在工業企業部署防護產品階段，安全服務就已經開始了——只是受限于當前環境，大部分客戶依然沒有接受“服務收費”的方式，許多服務(如產品部署的規劃咨詢、等保咨詢、安全防護工作等)會在初期隨著產品捆綁。但實際上，安全服務是貫穿整個工業互聯網安全周期的，從事前的等保咨詢、規劃部署，到安全防護、人員培養，再到攻防演練，甚至設備、系統的驗證等，都需要安全服務給整體的工業互聯網安全能力層層賦能。

在工業企業有大量的安全防護設備、檢測設備與審計設備之后，會面臨兩個問題：一是難以管理大量的安全設備與系統，另一個是只能對單點或者部分區域的安全情況有所了解，無法全面把握整體安全的狀態。這個階段，就需要依靠安全管理平臺。對整體的安全能力進行管理，同時基于大量的日志信息、流量信息，對整體的安全能力進行把控。而安全服務在這一階段，又能通過安全管理平臺，對企業工業互聯網整體進行分析，發現潛在威脅，并基于當前的業務與安全狀態，提出提升安全態勢的方式。

當企業、組織能整體統籌自身當前的安全態勢時，就可以開始為未來做一些預備工作，如方案的推演、內部人才的進一步培養、設備與系統的測試與驗證等，這就需要一個模仿工業互聯網的虛擬環境——即工業靶場。對于企業、監管機構、與研究機構而言，工業靶場不僅可以提供一個推演安全解決方案的虛擬環境，更可以通過工業靶場驗證新的工業設備或者安全設備在自身環境的運行情況。從更長遠往未來的角度來看，工業靶場還能對現有的設備、系統進行研究分析，提前發現潛在的未知威脅。

以上是第一部分的內容，下一次發布的內容為工業互聯網安全防護能力、與工業互聯網安全檢測/審計能力(包括兩個領域的相關點陣圖與實踐案例)。

來源：數世咨詢