2月1日，2018工業互聯網峰會在北京國家會議中心舉辦。會上，工業控制系統安全國家地方聯合工程實驗室、360威脅情報中心發布《IT/OT一體化的工業信息安全態勢報告(2017)》(以下簡稱“態勢報告”)。

《IT/OT一體化的工業信息安全態勢報告(2017)》發布

態勢報告闡述了IT/OT一體化融合帶來的安全挑戰，分析了2017工業信息安全重大事件以及大量工業信息系統應急響應典型案例，并提出工業信息安全建議。

隨著IT/OT(信息技術和操作技術)一體化的逐步推進，工業控制系統越來越多地與企業網和互聯網相連接，形成了一個開放式的網絡環境。工控系統網絡化發展導致了系統安全風險和入侵威脅不斷增加，面臨的網絡安全問題也更加突出。由于工控網絡系統環境的特殊性，傳統的IT信息安全技術不能直接應用于工業控制網絡的安全防護。然而，工業控制系統又應用于國家的電力、交通、石油、取暖、制藥等多種大型制造行業，一旦遭受攻擊會帶來巨大的損失，因此需要有效的方法確保工控系統的網絡安全。

安全漏洞，是工業控制系統面臨的首要安全問題。根據美國工業控制系統網絡緊急響應小組(ICS-CERT)最新統計報告，2015年漏洞總數為486個，2016年美國關鍵基礎設施存在492個安全漏洞。根據公開的ICS漏洞數的年度變化趨勢來看，工控安全漏洞逐年增加。

自2000年1月截止到2017年12月，根據我國國家信息安全漏洞共享平臺(CNVD)統計，所有的信息安全漏洞總數為101734個，其中工業控制系統漏洞總數為1437個。2017年CNVD統計的新增信息安全漏洞4798個，工控系統新增漏洞數351個，均比去年同期有顯著增長;其中，高危漏洞占比最高，達到53.6%。中危漏洞占比42.4%，其余4.0%為低危漏洞。

根據態勢報告的分析，對于傳統IT網絡安全，保密性優先級最高，其次是完整性、可用性。工業網絡則有明顯的不同，工業網絡更為關注的是系統設備的可用性、實時性。由于IT系統和OT系統之間存在的眾多差異，當工業互聯網的IT/OT進行融合時會帶來很多安全挑戰，包括暴露在外的攻擊面越來越大，操作系統安全漏洞難以修補，軟件漏洞容易被黑客利用，惡意代碼不敢殺、不能殺，DDOS攻擊隨時可能中斷生產，高級持續性威脅時刻環伺等。

此外，一些安全挑戰還來源于工業系統自身安全建設的不足，諸如工業設備資產的可視性嚴重不足，很多工控設備缺乏安全設計，設備聯網機制缺乏安全保障，IT和OT系統安全管理相互獨立操作困難，生產數據面臨丟失、泄漏、篡改等安全威脅。

在國際市場中，2017年OT安全全球市場規模102.4億美元，2022年將達到138.8億美元，年均復合增長率為6.3%;利潤率高，市場滲透度為5%-20%;Gartner市場趨勢預測：到2020年，50%的OT服務供應商將與IT供應商建立合作伙伴關系。Gartner認為，OT安全對關鍵基礎設施、智能樓宇、工廠管理、醫療和零售行業等資產密集型或資產中心化的組織是非常有用的。

在工業安全2018-2020行動計劃中，通過對MarketsandMarkets、Credence Research、和訊網、工控安全藍皮書等的統計分析，國內市場2018工控安全市場保守預計在4.4億。

業內分析，IT/OT一體化發展趨勢為：IT和OT分離管理的情況將會打破;基于以太網的盡力交付模型將不再適用;開始考慮時間敏感網絡(TSN)自底向上打通;數字孿生。

工業信息安全建議與展望

為促進工控網絡安全健康發展，工業信息安全態勢報告也提出了相關建議：

(一) 建立網絡安全滑動標尺動態安全模型

該標尺模型共包含五大類別，分別為架構安全(Architecture)、被動防御(Passive Defense)、積極防御(Action Defense)、威脅情報(Intelligence)和進攻反制(Offense)。這五大類別之間具有連續性關系，并有效展示了防御逐步提升的理念。

架構安全：在系統規劃、建立和維護的過程中充分考慮安全防護;

被動防御：在無人員介入的情況下，附加在系統架構之上可提供持續的威脅防御或威脅洞察力的系統，如：工業安全網關/防火墻、工業主機防護、工業審計等;

積極防御：分析人員對處于所防御網絡內的威脅進行監控、響應、學習(經驗)和應用知識(理解)的過程;

威脅情報：收集數據、將數據利用轉換為信息，并將信息生產加工為評估結果以填補已知知識缺口的過程;

進攻反制：在友好網絡之外對攻擊者采取的直接行動(按照國內網絡安全法要求，對于企業來說主要是通過法律手段對攻擊者進行反擊)。通過以上幾個層面的疊加演進，最終才能夠實現進攻反制，維護工業互聯網的整體安全。

(二) 從安全運營的角度，建立企業的工業安全運營中心

在IT和OT一體化推進發展中，IT技術在OT領域大量使用，IT所面對的風險也跟隨進入了OT網絡，因此工業企業對這兩個應用角度都要識別風險的切入點，列舉相關的風險，并且要進行一體化的規劃。

工業安全運營中心(IISOC)基于威脅情報和本地大數據技術對工控系統通信數據和安全日志進行快速、自動化的關聯分析，及時發現工控系統異常和針對工控系統的威脅，通過可視化的技術將這些威脅和異常的總體安全態勢展現給用戶，通過對告警和響應的自動化發布、跟蹤、管理，實現安全風險的閉環管理。威脅情報、威脅檢測、深度包解析、工業大數據關聯分析、可視化展現、閉環響應實現以工業安全運營為中心的一體化防護體系。安全運營目的是解決越來越多的安全產品部署在網絡中形成的“安全防御孤島”問題。

(三) 組建IT&OT融合的安全管理團隊

組建IT&OT融合的信息安全管理團隊，對整個工業控制系統進行安全運營。對安全管理團隊進行必要的指導，根據具體場景建立合適的安全策略管理和響應恢復機制，及時應對安全威脅。企業要想成功部署工業網絡安全項目，需重視同時掌握信息技術(IT)和操作技術(OT)的人才，有的放矢。訂購安全服務和威脅情報，定期對安全管理團隊進行培訓，建立IT、OT的安全統一規劃，使得安全管理團隊成員盡量利用統一標準進行安全事件的處理。

(四) 在技術層面提高防護能力

終端層面：針對CNC等老舊設備，部署輕量級白名單(系統進程)的防護措施;針對性能好的生產設備，部署統一的終端殺毒軟件，如360天擎;移動介質，例如U盤，進行統一管控(主機防護)。

網絡層面：橫向分區、縱向分層，將辦公網、工控網、生產網有效劃分;網絡邊界處部署安全網關，最小權限原則：只開放必要端口，進行精細化訪問管控。

監控層面：摸清資產家底，集中統一管理，并精心維護;部署工業安全運營中心，對公司網絡安全狀況進行持續監測與可視化展現。

可恢復性(備份層面)：針對CNC等老舊設備，定期請工控廠商進行系統備份;針對性能好的辦公和生產電腦，定期自行進行系統和數據備份。

【工業控制系統安全國家地方聯合工程實驗室簡介】

工業控制系統安全國家地方聯合工程實驗室(簡稱：工業安全國家聯合實驗室)”是由國家發展與改革委員會批準授牌成立，由360企業安全集團承建的對外開放的工業控制安全技術方面的公共研究平臺。實驗室依托360企業安全的安全能力和大數據優勢，聯合公安三所、信通院、國家工業信息安全發展研究中心、中科院沈陽自動化所、東北大學等科研院所及大學。實驗室現擁有軟件著作權7項，專利11項，創新地提出了工業互聯網自適應防護架構(PC4R)，推出了工業主機防護、工業防火墻/網關、工業審計、工業態勢感知與監測預警平臺、工業安全運營中心等工業安全領域完整解決方案及產品，并在眾多央企和工業企業中進行應用。