當前，保障工業企業的工控系統運行安全已成為維護國家安全的重要組成部分。而隨著工業互聯網概念的推進，傳統的工控網絡需要從封閉轉向聯通、開放，這對工控安全防護能力也提出了更高的要求。但由于工控網絡系統的特殊性和復雜性，工業企業在開展新一代工控安全方案建設時，會遇到很多困難和挑戰，要形成真正可靠的安全防護能力并不容易。

日前，安全牛采訪了工控安全專業廠商珞安科技副總裁關勇，就工業企業開展新一代工控安全建設時的難點、要點及發展趨勢進行了交流討論。關勇認為：工控安全能力建設是一個整體，并不是部署一個或者多個安全產品就可以保障安全的。工業企業需要在部署必要安全技術防護措施的基礎上，通過持續、有效的運營才能形成真正體系化的工控安全能力，這將是工業企業未來工控安全建設過程中的主要挑戰。

安全牛：

自2010年的震網病毒爆發以后，保障工控系統的安全運行已經受到各國工業安全主管部門的高度重視，相關的工控安全建設和投入也逐年增加，但是工控安全威脅事件仍然層出不窮，原因是什么？

關勇：

我們認為，工控安全威脅事件不斷出現，主要有以下原因：

首先，今天的工業企業已經成為攻擊者重要關注的攻擊目標，而工控領域往往與關鍵信息基礎設施的關聯較為密切。不管攻擊的原因是什么，一旦工控系統被攻擊者攻陷就意味著可能造成巨大損失。作為一種高價值目標，攻擊工控網絡往往能夠獲取較高的利益回報，所以受到攻擊者的廣泛關注。

其次，很多工業企業正處于安全轉型期。以前的工控網絡相對獨立，跟公共互聯網保持著隔離、阻斷的狀態。隨著工業互聯網概念的推進，傳統的工業控制網絡也在從封閉轉向聯通、開放，這使得企業對安全防護的需求也在不斷變化和提升。越來越多的工業制造需求導致工控網絡無法再實現物理隔離，更多的資產暴露面意味著更大的威脅，之前一直隱藏在內部的漏洞也不斷暴露，結合工控行業軟、硬件系統更新周期長和業務價值高的特點，工業企業如果不大范圍地增加投入，其面對的安全威脅很難快速收斂。

另外，工業企業系統運維人員的專業安全能力和安全意識還比較薄弱。在很多工業企業中，其實已經開展了一定程度的安全防護建設，部署了防火墻、網閘、入侵檢測之類的基礎安全防護設備，但這些安全設備缺乏必要的運行維護，有的授權過期了，有的甚至沒有開啟任何安全策略，因此沒有充分發揮出應有的防護能力。

最后，工業企業的工控安全建設投入還存在一定不足。根據數據統計，國內企業網絡安全建設在整體IT投入中的占比約為1~3%，工控領域安全建設的投入則會更少。在工信部編制的《網絡安全產業高質量發展三年行動計劃（2021-2023年）》中，明確要求企業加大網絡安全投入，單獨列支網絡安全預算，推動網絡安全技術、產品和服務部署應用，重點行業網絡安全投入占信息化投入比例應達到 10%。這將對工控網絡安全建設起到非常大的推動作用。

安全牛：

對工控系統的安全防護，要比對一般網絡信息系統防護的難度大很多。您認為我國工業企業目前在工控安全防護方面的主要難點和不足有哪些？

關勇：

根據前面的分析可以看到，雖然工業企業對于網絡安全方面的投入正在逐年增加，但是工業企業在工控安全方面的整體投入還遠遠不夠，很多企業只實現了一些最基礎的安全防護，比如工業防火墻、工業安全審計、隔離網閘等，面對高級安全攻擊時的防御能力相當有限。這其中的原因也是多方面的：

工業企業對于安全產品穩定性的要求很高，因此對部署應用新一代安全防護產品比較謹慎，工控安全廠商只有持續做好產品的穩定性和可用性測試，避免對工業生產系統造成影響，才能逐步打消用戶的顧慮；

在工控網絡中，對安全防護技術手段的選擇也有明確的要求。工業企業追求高穩定性、高兼容性，所有的安全防護產品都必須在保障業務不中斷的前提下進行，這直接影響了一些安全技術方案的應用選擇；

安全投入不足導致企業的安全能力建設受限。工業企業整體的安全意識還比較薄弱，因為很多網絡攻擊沒有真實發生在自己的企業中，對攻擊損害和后果缺乏切身體會，這需要一個不斷提升的過程；

安全是一個整體，需要有專業的人員進行運營與維護，目前大多數企業并沒有安排專門的人員負責安全運維，而是由其他崗位的人員進行代理，這就導致了安全負責人的專業能力不足。安全并不是部署一個或者多個產品就可以保障的，安全能力的構建需要有效的運營使其成為真正體系化的能力。

安全牛：

您提到工控安全建設應該是一個整體，那么企業在開展新一代工控安全能力建設時，應該如何實現體系化的建設目標？

關勇：

針對工控系統的安全防護，目前國際上主流的建設思路都是平臺化先行的建設模式，比如卡巴斯基、Fotinet、Nozomi、Tenable等國際安全廠商推出的方案中，都是優先考慮對工控安全整體防護平臺能力進行建設，而不是先進行單點安全建設，隨后再將其進行聚合的方式。國內的工控安全解決方案，其實在設計規劃時，也大都考慮過安全管理平臺化的理念，對工業防火墻、工業審計、工控主機衛士等進行統一的管理和調度。但受限于目前工業企業的安全投入狀況，早期的工控安全防護確實更多的是從單點安全能力建設起步。

在新一代工控安全能力的體系化建設中，可能會存在的問題主要有：

各廠商推出的工控安全管理平臺以管理自家的安全產品為主，如果用戶是分階段開展工控安全建設的，將很難對不同廠家的各類型工控安全產品進行統一管理；

平臺化的作用沒有真正發揮出來，僅僅實現了統一的配置管理，但是多個安全產品并沒有形成一個有機整體，沒有達到1+1>2的防護效果。

從積極的方面來看，目前國內主流工控安全廠商提供的新一代工控安全防護解決方案中，基本都采用了平臺化、體系化的更先進建設思路，具備縱深防御的安全防護策略。通過一定時間的技術完善以及用戶安全意識的提升，相信越來越多的用戶會以平臺化的模式來開展體系化的工控安全能力建設。

安全牛：

您認為推動我國工業企業工控安全建設更好發展的主要因素是什么？

關勇：

目前來看，國內工業企業網絡安全建設的第一驅動力還是合規監管，在2023年即將施行的《關鍵信息基礎設施保護條例》與《網絡安全法》（修訂版）會成為持續加強工業企業安全合規建設的驅動力。

此外，工控安全建設的另一個驅動力在現階段還會體現在對安全事件的響應和補救上，當實際遭受網絡威脅的損失時，企業就會提升對工控安全建設的認知和理解。

同時，隨著工業企業數字化轉型的加速推進，加之近年來頻發的網絡安全事件，防范網絡攻擊和防范數據泄露成為了工業企業保障安全生產必須考慮的重要因素。再結合各級政府主管機構的合規要求和不斷宣貫，相信工業企業保障安全生產的驅動因素也會不斷強化。

安全牛：

從技術和產品的角度看，工業企業在開展新一代工控安全能力建設時，應該把握哪些關鍵要點？又會有哪些應用趨勢？

關勇：

目前的工控安全產品在合規性方面可以基本滿足企業的應用要求，但是隨著云計算、大數據、數字孿生、人工智能、元宇宙等新興技術的不斷發展，使得網絡安全威脅的數量和方式都在不斷變化，因此需要針對工業領域特性不斷深挖防護需求，升級防護手段，推陳出新，才能與時俱進，保護工控網絡系統和關鍵信息基礎設施的安全穩定運行。

由于工業企業用戶普遍對工控安全產品的實施部署比較謹慎，因此目前工控安全項目的實施效率并不高。為了更好滿足工業企業的安全防護需求，我們會持續從以下方面進行產品的優化和研發：

對合規類工控安全產品，會基于統一的安全管理平臺，構建多安全產品有機融合的安全防護方案。同時，需要更多地站在工業業務的需求視角進行設計，縮小產品設計與實際業務需求之間的偏差，對于下一代工控安全產品而言，這也會是一個革新的機會；

對業務類工控安全產品，需要融合工業企業業務發展的需要，以及日常生產過程中的一些痛點需求，研發具有行業特色安全防護產品，以解決其現實存在的業務安全應用訴求；

工業數據領域的安全建設將是一個重點，例如工業數據的分類分級系統，實時數據庫安全防護等。需要結合工業場景下的數據全生命周期與政策的合規要求，進行工業數據安全的針對性技術研發和建設；

信創建設在工業制造領域正在快速推進中，新一代工控安全產品也需要快速適應這種發展趨勢，對國產化的系統和設備進行適配。