近年來，工業自動化控制系統和工控網絡的安全事件頻發，造成巨大的經濟損失和信息泄露等嚴重問題。本文將分析工控安全技術發展現狀，盤點國內外工控安全主流廠商發展態勢，分析我國工控安全市場發展現狀，展望未來工控安全技術的發展與應用趨勢。 ? 中國專精特新“小巨人”與德國“隱形冠軍”培育政策研究? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?本文作者：李靜怡、王聰

近年來，工業自動化控制系統和工控網絡的安全事件頻發，造成巨大的經濟損失和信息泄露等嚴重問題。根據國家工信安全中心的數據統計，2022年公開披露的工業信息安全事件共312起，勒索軟件攻擊持續威脅工業信息安全、工業數據泄露事件影響進一步擴大、供應鏈攻擊加劇安全威脅。同時，地緣政治沖突推動了安全風險的持續升級，如何有效防范此類事故成為工業企業關注的焦點。

本文將分析工控安全技術發展現狀，盤點國內外工控安全主流廠商發展態勢，分析我國工控安全市場發展現狀，展望未來工控安全技術的發展與應用趨勢。

01

?

工控安全面臨嚴峻挑戰

工業控制系統是指用于監測和控制工業生產過程的設備和軟件，如可編程邏輯控制器（PLC）、人機界面（HMI）、分布式控制系統（DCS）等。工業控制系統廣泛應用于電力、石油、化工、交通等關鍵基礎設施領域，對國家安全和社會穩定具有重要意義。然而，隨著工業控制系統不斷走向數字化、網絡化和智能化，面臨著越來越多的網絡威脅，一旦工業控制系統遭到網絡攻擊，可能導致嚴重后果。因此，加強工控安全的防護和應急能力是制造業的重要課題。 以下是一些典型的工控安全事件：

◎ 2014年，德國蒂森克虜伯公司遭到黑客攻擊，導致高爐無法正常關閉，造成嚴重的損失。黑客利用社會工程學手段獲取鋼廠員工的憑證，然后入侵鋼廠的辦公網絡和生產網絡，并篡改高爐的控制參數，使其無法按照預定程序停止。

◎ 2017年，全球著名半導體廠商臺積電遭到WannaCry勒索軟件攻擊，導致部分生產線停產，損失超過2億美元。WannaCry勒索軟件是利用微軟Windows系統漏洞進行傳播和加密文件的惡意軟件，要求受害者支付比特幣贖金才能解密文件。該廠商由于沒有及時更新系統補丁，導致部分設備感染了勒索軟件。

◎ 2020年，日本的一家汽車廠商遭到Snake勒索軟件攻擊，導致部分生產線停止運作，影響全球業務。Snake勒索軟件是一種針對工業控制系統的惡意軟件，可以識別并加密與工業控制系統相關的文件和進程，并刪除副本和備份文件，使數據恢復變得困難。

圖1 ?2022年十大典型工業信息安全事件

（數據來源：國家工信安全中心） 與IT網絡安全相比，工控安全有很大的不同： 首先，工業系統的目標價值更高，其安全系統的復雜程度也遠遠高于傳統的IT網絡系統，在保障目標對象、安全需求等方面也具有其特殊性，其保護需求往往融合考慮了信息安全、功能安全和生產安全等多種安全需求。這也導致了工控系統易于成為攻擊和勒索的目標，根據國家工信安全中心發布的《2022年工業信息安全態勢報告》顯示，2022年公開披露的工業領域勒索事件共89起，較2021年增長78%，再創新高。其中電子制造行業遭勒索攻擊最多，占比約23%。例如2022年初臺達電子遭勒索攻擊，導致1,500臺服務器和12,000臺電腦控制設備被攻擊者加密，受影響的設備占了整體約20.8%，被勒索贖金1,500萬美元。

其次，工控系統受研發設計、生產制造等工業數據高價值驅動，相關行業的數據泄露風險近年來持續攀升。根據Verizon發布的《2022數據泄漏調查報告》顯示，2022年全球制造業發生的數據泄漏事件共338起，比去年增長了25.2%。并且數據泄漏影響呈連鎖反應之勢，許多攻擊者會在“暗網”上公開敏感數據，允許被任意下載，供其他攻擊者進一步利用數據實施犯罪。 第三，工控安全風險造成的后果更為嚴重，不僅會造成設備故障、系統癱瘓、生產停滯，甚至還能引發安全事故，造成環境污染，導致人員傷亡。去年俄烏沖突升級推動了大規模、有組織的黑客攻擊事件，使工業領域威脅格局發生重大變化，針對國防工業領域的高級可持續攻擊（APT）向全球蔓延，特別是能源行業被鎖定為重點攻擊目標。例如去年烏克蘭能源公司DTEK、俄羅斯石油生產商Rosneft、石油管道運輸公司Transneft、天然氣公司GazpromNef等均遭到黑客攻擊，導致大量數據被竊取，生產運營遭受嚴重影響。

可以看出，隨著工業領域數字化、網絡化、智能化與服務化的加速發展，網絡安全威脅正向工業領域加速滲透，網絡攻擊手段日趨復雜多樣，工控安全整體面臨的挑戰也日益嚴峻，突出表現在以下方面：

1.封閉的OT環境走向開放促使風險加劇

隨著工業企業加速應用各種數字化解決方案和工具，原本封閉的OT環境正走向開放，工業控制系統邊界逐漸模糊，傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也正在向工業控制系統擴散。其中，企業系統門戶洞開，未建立安全防線、缺少工業控制系統信息安全仿真驗證環境，工業控制系統“帶病上崗”等安全狀況層出不窮。

2.工控設備和系統基礎防護能力薄弱

工業安全相較于傳統信息安全而言，呈現出“倒三角”（底層設備復雜，上層管控單一）的特點。許多控制設備及系統在設計之初更傾向于確保其實際功能，在安全防護方面反而考慮較少，導致OT設備及系統普遍存在安全漏洞，控制協議、控制軟件等也缺少諸如認證、授權、加密等安全功能，整體先天具有脆弱性。

3.企業對于工控安全重視程度不高

工業企業普遍存在重發展、輕安全的現象，對工業信息安全缺乏足夠的重視，大多僅停留在表面以及口號上，缺乏有效的信息安全管理機制與應對措施，資金與人員投入也不足，造成工業信息安全防護能力滯后于工業發展能力。IBM Scecurity曾針對370家擁有OT環境的工業企業進行了調研，結果顯示有74%的受訪者沒有進行OT風險評估；78%的受訪者沒有針對OT系統的特定安全策略。這意味著絕大多數工業企業都并未就如何應對OT網絡安全風險做好準備，一旦遭遇網絡威脅和攻擊，很容易因此受到嚴重影響。

4. 安全人才缺乏，安全技能有限

對于很多工業企業而言，既懂信息安全又熟悉工業系統環境的專業人員嚴重匱乏，制約著信息安全意識與防護技術的提升；另一方面由于工控設備須保證7*24小時高可用性，往往不允許頻繁調試，即使發生了設備故障或者安全事故也必須在極短的時間內恢復，也增加了工控安全防護上的困難。

圖2 工控安全面臨的四大挑戰 ?

02

?

工控安全技術發展概覽

工控安全體系的演進

工控安全建設主要經歷了三個發展階段：邊界隔離階段、單點防護階段和縱深防護階段。

第一階段：邊界隔離階段。在這一階段，工業企業開始關注工控系統的安全運行，安全防護重心主要在網絡邊界隔離，通過防火墻、安全網關及專用網閘等安全設備將生產網、辦公網及互聯網進行有效隔離等。這一階段的工控安全產品和能力建設還處于早期階段，用戶對應用專業工控安全產品的意識也剛剛起步。

第二階段：單點防護階段。在這一階段，工控安全產品應用開始成熟，企業在實現工控安全邊界隔離的基礎上，開始通過部署單點式工控安全產品來提升安全防護水平并解決監管合規的要求。單點防護產品基本技術架構逐漸成型，產品形態也趨于成熟和完善，能力基本可以覆蓋工控系統的基礎設施安全、體系結構安全、系統自身安全、安全可信防護等方面。

第三階段：縱深防護階段。網絡安全需要體系化防護已成行業共識，在工控安全領域，從單點安全能力建設轉向體系化縱深防護也是行業發展的必然趨勢。工業企業在業務發展和技術進步的驅動下，在單點防護逐步完善的基礎上，需要盡快考慮如何以體系化管理、自動化運維、智能化感知等方式來建立工控安全的縱深防御體系，并考慮如何在工業互聯網環境下應對工控安全的新形態。

圖3 工控安全建設發展演進

工控安全關鍵核心技術

工控系統安全的核心任務是保證生產操作指令正確下達、實時有效，并確保生產指令、生產要素、生產活動得以依托工控網絡快速開展。而工業數據是現代工業信息化的核心，任何一家工業企業的日常生產運營都對工業數據有著高度的依賴性。對于工業企業來說，諸如生產工藝參數、設備配置文件、設備運行數據、生產數據、控制指令等工業數據是影響企業生產活動的關鍵業務數據，這些數據的安全性直接關系到企業生產線的穩定運行，數據的篡改、丟失或錯誤都可能造成整條生產線的停產，直接影響企業生產計劃的實施，進而損害企業的經營效益。特別是對于電力、軍工、核能、水務等一些關系國計民生的關鍵企業，工業數據的泄露甚至會影響國家安全。

為保障生產鏈路的實時貫通以及工業數據的安全性，要依靠工控安全防護技術進行全方位防御，主要涉及到圖3中的關鍵核心技術。目前從市場上的產品來看，可分為六大基礎領域，包括終端安全、網絡安全、應用安全、身份與訪問管理、物理安全、數據安全；再加上安全方案與集成、安全運維、風險評估、滲透測試、應急響應、攻防對抗、攻防靶場、培訓認證、安全意識教育十大網絡安全服務。 從技術領域來劃分，工控安全產品可以分為四類，防護類產品、監測類產品、審計類產品和管理服務平臺類產品：

? 防護類產品主要包含的技術點有白名單機制、工控防火墻、物理隔離、漏洞掃描、訪問控制。

? 監測類產品中常見的工控安全監測分析技術手段主要包括基于特征庫匹配、基于流量分析和基于工控協議解析。

? 審計類產品中根據審計對象，安全審計又可分為主機安全審計、網絡安全審計、數據庫安全審計、業務安全審計和運維安全審計。

? 管理服務平臺類產品一般采用綜合的防護方式，從而為用戶提供統一的管理平臺。

圖4 工控安全關鍵核心技術及國內主流廠商

（圖源：善金資本）

1、防護類產品技術

白名單機制：作為防護類產品中常見的技術之一，白名單主動防御技術是通過提前計劃好的協議規則來限制網絡數據的交換，在控制網到信息網之間進行動態行為判斷。通過對約定協議的特征分析和端口限制的方法，從根源上節制未知惡意軟件的運行和傳播。“白名單”安全機制是一種安全規范，既應用于防火墻軟件的設置規則中，也應用于實際管理中，例如在對設備進行實際操作時，需要使用指定的筆記本、U盤等，未經授權的行為將被拒絕。 由于工控系統在建設完成投入運行之后，其系統將基本保持穩定不變，因而很容易獲得系統合法的白名單。通過這種方式能夠識別由于感染病毒或者受到攻擊而產生的各種異常狀況，即防護軟件對準備啟動的進程進行認證，與預先存儲好的進程白名單進行對比，進程在白名單中的才可啟動，不在白名單內一律禁止。

工控防火墻：工控防火墻不同于普通防火墻，是一種更為先進的針對工控系統設計的防火墻產品。工控防火墻是一個專用的硬件或軟硬件解決方案，通過一系列規則，對傳送到控制網絡信息流實施允許或拒絕。與普通防火墻相比，工控防火墻除了具有通用協議過濾能力外，還應具有對工業控制協議的過濾能力，同時，它比傳統防火墻具有更高的環境適應能力，更高的可靠性、穩定性等要求。

數據防泄漏：對于很多工業企業而言，數據是企業的重要資產，數據防泄漏可以通過數據庫加密實現核心數據加密存儲，可以通過數據庫防火墻實現批量數據泄漏的網絡攔截，也可以通過數據脫敏實現外發敏感數據的匿名化，這些數據庫安全技術可以實現數據防泄漏問題。《數據安全法》等法律法規的實施，則進一步將工業企業數據保護提到了新的高度。 ? ?

2、監測類產品技術

基于特征庫匹配，通過對工控網絡中傳輸數據與所積累入侵模型進行對比，如具有一致性則判斷為入侵行為從而產生報警；基于流量分析，通過采集分析工控網絡中的原始通信報文，進行2-7層解碼分析，對異常流量進行實時檢測和流向跟蹤；基于工控協議解析，針對OPC、S7、Modbus等主流工控協議進行深度解析還原，發現存在的安全漏洞。 工業安全產業聯盟則提出了工控安全監測分析系統架構：采用前端分布式監測采集(智能采集探針)與后臺集中式綜合分析(數據分析中心)的系統結構，充分發揮網絡監測探針強大的數據采集、存儲與分析能力，提供數據平面與控制平面全面的監控指標與可視化分析。 ? ?

3、審計類產品技術

主機安全審計顧名思義就是對單臺主機的安全審計。這是較基礎的審計也是較復雜的審計，因為主機幾乎是所有業務系統的承載體，主機安全關系重大，同時主機也是最通用的計算單元，功能最復雜，接口最多，需要審計的內容和格式也多種多樣。等保2.0要求的安全計算環境的審計，大部分可以算作主機安全審計的范疇。為了拿到最可靠的審計證據，主機安全審計一般需要在主機上安裝代理軟件來采集數據進行審計。主機安全審計的內容很多，但是又需要嚴格控制對主機系統資源（CPU、內存、硬盤等）的占用，避免影響正常業務運行。

網絡安全審計是針對網絡訪問或網絡通信的審計。現在幾乎所有的業務系統都要使用網絡，幾乎沒有基于單機的業務系統了，所以網絡安全審計也是非常重要的一個審計類別，和網絡相關的所有信息都可以納入審計的范圍。

數據庫安全審計的概念相對比較新，近幾年因為數據安全相關問題被頻繁暴露出來，大家開始重視數據庫的安全審計工作。數據庫安全審計主要針對常見數據庫（比如：SQL Server、Oracle、MySQL、MongoDB等）的各項操作進行審計，比如增、刪、改、查等操作。數據庫服務器相關的內容都可以列入審計范圍。

業務安全審計是對業務系統應用過程的審計。業務系統一般包括服務器、網絡設備、應用系統、數據庫系統、客戶端等，所以業務安全審計需要融合主機安全審計、網絡安全審計、數據庫安全審計和運維安全審計等功能，一般需要定制開發，針對業務系統用戶在系統中的操作行為進行記錄和審計。另外，為減少應用系統因審計而產生的性能降低，可以配合第三方審計系統（比如日志審計）來完成審計工作。業務安全審計是融合多種內容的審計工作。

運維安全審計是一種特殊的業務審計，主要包括2種：堡壘機接入審計和KVM接入審計。堡壘機是運維人員通過網絡遠程接入的代理，KVM則適用于運維人員在機房直接操作其他服務器。運維審計以應用層代理的方式運行，獲取應用層網絡協議，進行還原分析，在重新打包提交給目標主機。運維安全審計的數據采集方式比較直接，作為代理，可以獲得加密前的數據，所以運維安全審計可以獲得更多的審計證據。 ? ?

4、管理服務平臺類產品

工控安全管理平臺包含設備和應用的監控與管理，提供統一的管理平臺，全面直觀的網絡拓撲結構能夠幫助用戶快速定位網絡故障，及時發現網絡流量異常，系統能對網絡中的關鍵節點性能提供全面監控和告警，主動監控應用服務的狀態和性能。平臺廣泛應用于石油、石化、電力、化工、制造等行業的工業控制網絡，大大提高了工業控制網絡通訊可控性與可信性，確保了生產系統的穩定可靠。

APT防護（高級持續性威脅防護）：大多數惡意軟件會執行快速的破壞性攻擊，但 APT 采用不同的、更具策略性和隱蔽性的方法。攻擊者通過木馬或網絡釣魚等傳統惡意軟件入侵工控系統，如工廠中的一臺PLC或網關后，但之后會掩蓋自己的行跡，在整個網絡中秘密移動并植入其攻擊軟件，在長達數月甚至數年的時間中，持續不斷地提取數據。用戶可以采用惡意代碼檢測、主機應用保護、網絡入侵分析、大數據分析檢測等綜合手段進行防護。

應急響應：制定行之有效的應急響應策略，能夠幫助工業企業在發生突發/重大信息安全事件時，第一時間提供包括抑制止損、事件分析、業務損失評估、系統加固、事件溯源的應急響應服務，盡可能的減小和控制信息安全事件造成的損失，提供有效的響應和恢復指導，并努力防止安全事件的發生。

云安全：隨著國內工業互聯網的深化應用，工業企業需要在云平臺上實現一種“工業操作系統”，從系統安全生產管理的角度協同資源、業務與安全。根據資源、數據、流程、業務的安全等級，在云平臺中設計安全域，從可靠性、實時性和性能等方面設計安全域的信息安全通信等級。 ?

03

?

國內外工控安全主流廠商發展態勢

1、國際工控安全主流廠商發展態勢

隨著全球工控安全事件頻發，工控安全形勢日益嚴峻，全球工控安全市場需求顯著提升，市場規模也不斷擴大。而市場規模擴大的背后，則是國內外眾多不同背景的工控安全廠商紛紛涌入：

Fortinet（飛塔）：傳統IT安全領域廠商，較早將業務范圍拓展至工控安全領域。2019年Fortinet提出了Operational Technology（OT）安全架構，并與自身IT安全解決方案融合形成Fortinet Security Fabric工控安全整體解決方案，幫助企業構建全面、智能、彈性的OT安全體系，建設可信任的OT數字空間，實現網絡微分段、資產全面可視化、設備準入控制、高級威脅防御，并借助主動安全、OT安全態勢感知平臺，保護企業數字化轉型。

Symantec（賽門鐵克）：傳統IT安全領域廠商，近年來加速拓展至工控安全領域，目前有兩大防護系統和一個安全分析平臺，包括面向工業控制系統安全的神經網絡解決方案ICSP Neural。該解決方案是業內首個神經網絡集成型USB掃描站，能夠全面確保企業關鍵基礎設施的安全防護。

McAfee（邁克菲）：傳統IT安全領域廠商，較早將業務范圍拓展至工控安全領域，解決方案主要集中在網絡安全方向，同時利用動態白名單機制，保護客戶的動態干重，多區域保護等。目前，McAfee已為超過6億個端點提供保護，使其能夠收集有關網絡攻擊的大量數據，這些信息反過來又有助于提高其安全能力。2021年3月，McAfee宣布將企業業務部分以40億美金出售給Symphony Technology Group。

Cisco（思科）：綜合的IT解決方案供應商，深耕工控安全領域多年，解決方案覆蓋攻擊發生前、中、后全生命周期。在攻擊發生前可提供ASA防火墻，ASA下一代防火墻，ISE身份認證引擎技術和VPN解決方案；攻擊發生時可提供下一代入侵防御，郵件安全，Web安全解決方案；攻擊發生后可提供惡意軟件防護和異常流量分析解決方案。

Siemens（西門子）：全球工業自動化巨頭之一，企業工控系統的主要供應商，旗下完善的產品線使其在工控市場積累了領先優勢并沉淀形成了自身工控安全能力，對協議的理解和解析是其獨有優勢，強調縱深防御，多層次防護。西門子的控制與驅動技術中，例如CHEMSTAR 電機、變頻器和 IDS 等，也集成了安全技術。西門子驅動技術還針對極端條件配套有防爆功能和大量的各種認證，具備最高能效等級，通過將現場數據集成到控制系統，轉化成有用信息，實現整個工廠的安全控制。

Schneider Electric（施耐德電氣）：全球工業自動化巨頭之一，企業工控系統的主要供應商，主要致力于提升企業整體安全性，創新推出了自上而下的三級終身防御體系，包括設備級、系統級和管理級三級形成縱深防御，涉及安全計劃、網絡分隔、邊界保護、網段分離、設備加固以及監視和更新6大安全防御步驟。

Tofino（多芬諾）：加拿大專業的工控安全廠商，以其工控系統防火墻作為主打產品，國內有廠商已經代理其產品，目前主要應用在石化等多個行業內，多芬諾的防火墻基于內置工業通訊協議的防護模式，不僅是端口上的防護，更是基于應用層上數據包的深度檢測、協議解析，屬于新一代工業防火墻。

Codenomicon（科諾康）：芬蘭的專業工控安全廠商，主要是專注于漏洞發掘，其測試技術在工控安全領域具有較高的優勢，其測試解決方案能夠重點對測試目標的相應進行分析，并且通過自動分析定位等方式分析問題所在。

Honeywell（霍尼韋爾）：是一家業務多元化的綜合自動化公司，霍尼韋爾提出安全管理系統有助于最大限度地減少事故并最大限度地提高產量，同時確保工廠安全。安全管理系統集成了過程安全數據、應用程序、系統診斷和關鍵控制策略，確保合規性、提高系統可靠性并增加正常運行時間，從而打造更安全、更高效的生產環境。

ABB：全球工業自動化巨頭之一，企業工控系統的主要供應商，在其ABB Ability數字化平臺中，專門推出了面向關鍵工控系統保護和資產安全套件Cyber Security Workplace(CSWP)，能夠將ABB和第三方安全解決方案整合到一個簡單但全面的數字化平臺中，使運營團隊能夠更輕松、更科學地制定決策并提升工業自動化系統的安全性。ABB在網絡安全和工業過程控制兩大領域擁有豐富經驗，對于在流程中對工控系統實施網絡保護，ABB編寫制定了《生產型企業的網絡安全》白皮書。

Palo Alto Networks（派拓網絡）：傳統IT領域安全廠商，率先提出下一代防火墻（NGFW）解決方案，共8次榮獲 Gartner 網絡防火墻魔力象限領導者稱號，擁有超過69,000家下一代防火墻客戶。除了為工業企業強化SaaS安全、高級URL過濾、DNS安全、云身份引擎和新型機器學習防火墻等功能外，派拓網絡還打造了STRATA、Prisma和Cortex三大產品平臺戰略，幫助工業企業將安全工具動態整合，以保證網絡通信的端到端可視性，以及全面的安全策略控制和管理功能。
?

IBM：綜合的IT解決方案供應商，同時也是全球領先的企業安全服務提供商。IBM專門推出了用于應對OT安全戰略的IBM Security解決方案，幫助工業企業了解業務、定義風險并制定戰略，并通過執行OT和ICS設備發現，進行安全架構審核，執行數據發現、分類和分析，實現數據與終端的安全、制定OT安全事件響應計劃。

Nozomi Networks：初創工控安全廠商，旗艦產品 SCADAguardian 通過機器學習和行為分析來實時檢測零日攻擊。當與防火墻和SIEM集成時，ICS事件報警和通知系統使得操作人員能夠快速對報警做出響應。目前，Nozomi Networks在能源，制造，采礦，運輸，公用事業和關鍵基礎設施等1,400多個工業企業中安裝、支持和保護數十萬個設備。

Waterfall：以色列專業工控安全廠商，專注于工控邊界防護領域，主要產品是工控網閘，支持主流的工業協議和應用，其解決方案被監管和政府機構中廣受好評，大量地降低了政府和合規監管在關鍵基礎設施等領域的成本和復雜性。

Checkpoint（捷邦）：傳統IT安全領域廠商，較早將業務范圍拓展至工控安全領域，在ICS/SCADA網絡安全領域提供先進的威脅防御，加固設備選擇和綜合協議支持去保障關鍵基礎設施，例如提供SCADA流量的全面可視化和精細管理，具有SCADA感知威脅檢測和預防的全面安全性。

Indegy：以色列初創工控安全廠商，提供可視化操作和控制面板技術，確保運營安全，防止網絡攻擊、內部員工惡意操作以及運營操作失誤等情況發生。旗艦產品Indegy監測器可以鎖定工業控制系統內的所有數據，并開發控制層協議支持實時監測各種工業控制系統配置變化。

Trend Micro（趨勢科技）：傳統IT安全領域廠商，較早將業務范圍拓展至工控安全領域。為構建全方位的工控安全防護，趨勢科技與Moxa攜手成立了TXOne Networks，致力發展OT安全方案，有效反制層出不窮的蠕蟲病毒、APT Ransom或Coin Miner，2015年被亞信安全收購。

2、國內工控安全主流廠商發展態勢

《中國工業信息安全產業發展白皮書（2021-2022年）》顯示，2021年我國工業信息安全產業規模為168.43億元，同比增長32.94%。約有373家國內企業涉及工業信息安全業務，同比增長17.3%。其中包括和利時、浙江中控、安控科技、華為、科遠智慧、力控華康、海天煒業、奇安信、綠盟科技、深信服、新華三、藍盾股份、啟明星辰、網御星云、得安信息、天地和興、天融信、英賽克科技、威努特、安恒信息、中科網威、圣博潤、網藤科技、珞安科技、木鏈科技、立思辰、珠海鴻瑞、六方云、長揚科技、瑞星網安、卓識網安、天空衛士、三零衛士、安策科技、中油瑞飛、南信瑞通、博智軟件、谷神星、天地和興、安點科技、亞信安全等。

從歷史背景來看，其中既有傳統的IT領域安全廠商拓展工控安全解決方案，如趨勢科技、奇安信、綠盟科技、立思辰、中科網威、三零衛士、天融信、瑞星網安等；也有立足自動化控制等業務的自動化廠商培養工控安全能力，如和利時、浙江中控、力控華康、海天煒業、珠海鴻瑞、天裕科技等；以及IT系統集成商/網絡供應商通過合作、OEM等方式推出工控安全產品，如華為、新華三、中油瑞飛、南信瑞通等；最后是專注于工控安全領域的廠商，如六方云、威努特、木鏈科技、天地和興等。

圖5 工控安全產業結構生態圖

（圖源：嘶吼安全產品研究院）

①自動化背景廠商

這類廠商原來從事自動化相關的業務，后來看好工控安全的市場機遇，成立工控安全部門或子公司進入工控安全領域。典型廠商包括：青島海天煒業自動化控制系統有限公司、北京力控華康科技有限公司、珠海市鴻瑞軟件技術有限公司、中京天裕科技(北京)有限公司。這類公司的特點是對工控系統有比較深刻的理解，包括青島海天煒業自動化控制系統有限公司、北京力控華康科技有限公司在工控安全市場上有較大的影響力，珠海市鴻瑞軟件技術有限公司在電力行業有較大的影響力。

圖6 自動化背景主流廠商對比

②IT安全廠商

這類廠商原來從事IT信息安全的業務，工控安全作為信息安全市場的一個新興的細分市場得到關注，成立工控安全部門進入工控安全領域。典型廠商包括：啟明星辰信息技術有限公司/北京網御星云信息技術有限公司、北京神州綠盟信息安全科技股份有限公司、北京中科網威信息技術有限公司、上海三零衛士信息安全有限公司。目前啟明星辰信息技術有限公司、北京神州綠盟信息安全科技股份有限公司在工控安全市場上有一定的影響力。

圖7 傳統IT安全主流廠商對比

（圖源：鵬越網絡安全研究院）

③專業工控安全廠商

這類廠商基本屬于近年來成立的公司，綜合了信息安全與自動化方面的人才，100%專注于工控安全領域。典型廠商包括：北京六方云科技有限公司、北京威努特技術有限公司。這類公司的特點是專注，他們的業務全部聚焦在工控安全領域，工控安全業務的成敗決定了公司的生死存亡，因此能夠全力投入，并深耕工業互聯網、智能制造中的核心使能技術。

圖8 專業工控安全主流廠商對比

（圖源：鵬越網絡空間安全研究院）

④IT系統集成商/網絡供應商

此類廠商主要是根據市場需求整合自身產品線，強化自身的整體解決方案供應能力。例如華為技術有限公司、新華三集團、北京中油瑞飛信息技術有限責任公司等。雖然安全業務在此類廠商整體營收中占比并不高，但由于自身體量巨大，在整體工控市場上也有一定的話語權。以華為為例，防火墻是華為網絡安全的主線產品，連續8年入圍國際Gartner象限，并多次獲得UTM防火墻中國市場份額第一的成績。

圖9? IT系統集成商/網絡供應商廠商對比 ?

04

?

工控安全技術應用案例

1、海天煒業：Guard工業防火墻保障生產網絡安全

江蘇某石化企業已完成基于實時數據庫應用的MES系統建設，實時數據庫的建立是以采集過程控制系統的數據為前提，這就需要MES的信息網絡必須要實現與控制網絡之間的數據交換，控制網絡不再以一個獨立的網絡運行，而要與信息網絡互通、互聯。MES系統實施后，生產網絡與管理網及辦公網之間有著大量數據的讀取、控制指令的下置、計劃排產的下發。生產網與外網的互聯互通是一種趨勢也是一種必需，但辦公網及外網的應用復雜，多樣性強。感染病毒及惡意程序的機率大，生產網的開放，勢必對PI數據庫的數據完整性、保密性、安全性形成挑戰，對DCS、PLC控制系統形成嚴重的安全威脅，如果系統受到攻擊或感染病毒后，使得DCS或PLC控制發生故障，壓力、溫度、流量、液位、計量等指示失效，檢測系統連鎖報警失效，或各類儀表電磁閥制動空氣及電源無供給后，一旦重大危險源處于失控狀態，后果不堪設想，將危急現場操作人員甚至工廠附近人群的生命安全。 Guard工業防火墻是海天煒業聯合中科院軟件所共同推出的一款自主工控網絡安全防護產品，也是首批榮獲國家發改委資金支持的工業防火墻，屬于新一代工業協議增強型防火墻，通過區域隔離、通訊管控、實時報警，為工業通訊提供獨特的、工業級的專業隔離防護解決方案。針對江蘇某石化企業的網絡結構及要求，海天煒業分別在如下幾個安全薄弱環節及功能網絡邊界部署工業網絡安全產品，達到多層面分重點的網絡安全防護目的。海天煒業所提供的是基于網絡安全、網路安全、關鍵設備安全需要的解決方案，能深層保障工業通訊安全，有效防止蠕蟲、病毒的傳播和擴散，從而創建“本質安全”的生產控制網。

①控制系統網絡安全防護

在控制器入口端部署控制器防護設備，能夠識別針對控制器的操控服務指令（包括組態服務、數據上傳服務、數據下載服務、讀服務、寫服務、控制程序下載服務、操控指令服務等），并能夠根據安全策略要求對非法的服務請求進行報警和自動阻斷。使用工業防火墻對控制器進行安全防護，一方面通過對源、目的地址的控制，僅允許工程師站和操作員站可訪問控制器，且對關鍵控制點的讀寫權限加以嚴格限制，保障了資源的可信與可控，另一方面，通過對端口服務的控制，杜絕了一切有意或無意的攻擊，最后通過“白名單”機制，僅允許OPC 等專有協議通過，阻斷一切 TCP 及其它訪問，從而確保控制器的安全。

②網路邊界防護

在OPC Server與數據采集服務器之間加裝Guard防火墻，對OPC Server進行防護，保護采集到的數據在傳輸中不被病毒篡改及刪除。在OPC Server與數據采集服務器之間加裝Guard防火墻，對OPC Server進行防護，保護采集到的數據在傳輸中不被病毒篡改及刪除；將生產管理系統MES所在數采網與控制網隔離，Guard工業防火墻插件能夠過濾兩個區域網絡間的通信，防止數采網或者控制網中節點感染病毒后，在數采網和控制網之間互相傳播。

③關鍵設備防護

在控制網內部，操作站安裝的操作系統為Windows系統，工程師站、操作站與DCS控制器使用OPC協議進行通訊，一旦感染針對OPC協議的病毒，將極易導致DCS控制器誤動作或出現故障，危險性較大。如果工程師站、操作站感染了普通的網絡病毒也會造成控制系統網絡擁堵或崩潰。因此在控制網內部，重點對工程師站、操作站進行安全防護，對進入和出去的訪問行為進行有效的控制，防止非授權行為的任意接入，避免發生網絡惡意行為對工程師站、操作員等關鍵系統的破壞性和非法操作。在中控室現場，海天煒業的工程師嚴格遵守項目實施流程，規范施工。

2、綠盟科技：某水電廠電力工控系統安全防護建設項目

①項目場景：

電力監控系統作為水電廠生產系統中最為核心的系統之一，其信息安全可靠與否直接關乎電力生產的安全穩定運行。為提高水電廠電力監控系統的網絡安全強度，防范黑客及惡意代碼等對電力監控系統的攻擊及侵害。綠盟科技結合多年在工控系統安全領域的安全防護經驗，為發電企業提供電力監控系統工控安全防護全方位的信息安全解決方案，保障電力監控系統安全穩定運行。

②解決方案：

遵循《電力監控系統安全防護規定》、國家信息安全等級保護制度基本要求開展全面的安全防護建設工作。綠盟科技作為本次項目的系統集成服務廠商，為水電廠提供涵蓋工控系統主機與邊界安全防護、機房動態環境監控系統建設、工控系統信息安全制度梳理等全方位安全建設服務。水電廠工控信息系統安全防護建設方案如圖10所示，主要防護工作包括： 工控系統邊界防護：工控安全審計、入侵檢測系統、工業防火墻、安全監管平臺。 工控系統主機加固：在上位機上部署終端保護與管控軟件。 機房動環監控系統建設：在通訊、電力監控和集控中心機房部署動態環境監控系統，向客戶提供一套可靠的、使用便利的監控管理平臺，實現機房設備與環境精細化管理提供有效支撐平臺。 工控系統安全制度梳理：依據電力監控系統等級保護基本要求，從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理五個方面開展公開系統安全制度梳理工作。

圖10 新源風電場電力監控系統

3、威努特：軌道交通綜合監控系統等級保護（三級）安全解決方案

①背景概述：

城市軌道交通是城市公共交通的主干線，客流運送的大動脈，是城市的生命線工程，將直接關系到城市居民的出行、工作、購物和生活。同時，城市軌道交通的作用不僅僅在于提高居民效率，更能夠能帶動工業、運輸、房地產等相關產業的發展，對當地的經濟促進有著重要的作用。作為國家關鍵信息基礎設施，為防止發生網絡安全事件導致不可接受的后果，城市軌道交通業務系統應按照國家相關法律規定，進行等級保護建設，增強抵御網絡安全風險能力，保障城市軌道交通的安全、穩定運行。

②解決方案：

建設目標：符合等級保護三級基本要求。

核心理念：工控網絡“白環境”。

體系架構：基于“一個中心、三重防護”的縱深防御。

圖11 軌道交通綜合監控系統 安全區域邊界：軌道交通業務系統與外部系統接口邊界處部署工業防火墻和入侵檢測系統，通過運用“白名單+智能學習”技術，建立工業網絡通信“白環境”，僅允許正常業務數據穿過阻止任何來自安全區域外的非授權訪問，有效抑制病毒、木馬在工控網絡中的傳播和擴散，實現外部系統的邊界隔離和已知網絡威脅防護，保證軌道交通業務系統區域邊界安全。

安全通信網絡：在軌道交通業務系統岡絡關鍵節點部署工控安全監控與審計系統，通過“白名單+智能學習”技術，建立安全通信模型，實時檢測網絡當中的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并告警，同時詳實記錄一切網絡通信行為，保證軌道交通業務系統通信網絡安全。

安全計算環境：在軌道交通業務系統中各個主機、服務器安裝工控主機衛士軟件，開啟程序白名單功能，禁止非可信任程序運行，開啟外設管控功能、對非安全移動介質禁止接入，開啟雙因子認證功能，對關鍵主機管理員進行認證，開啟安全基線及訪問控制功能，最大限度保證軌道交通業務系統主機安全。

安全管理中心：在控制中心劃出獨立的安全管理中心區域、部署安全管理平臺、工控漏洞掃描平臺、日志審計與分析系統、安全配置核查系統和安全運維管理系統，通過對軌道交通業務系統的安全設備進行集中管控，并對日志數據、告警數據等進行集中分析，同時對系統管理員、安全管理員、審計管理員進行身份鑒別及權限管理，實現軌道交通業務系統的管理安全。 ?

05

?

工控安全技術發展與應用趨勢

在不斷爆發的工控安全事件面前，工業企業已經意識到了工控系統安全的重要性。正在或者計劃加大力度，完善提高工控安全技術和管理水平。然而由于工控系統的穩定性需求高、信息資產更新迭代慢，以及工業環境特有的復雜性和敏感性，很難一勞永逸地全面解決工控安全問題。企業需要關注以下技術發展和應用趨勢，逐漸完善自身工控安全防御體系，全力保障工業控制系統安全。

1. 以業務數據為核心的安全能力建立

隨著大數據、云計算、數字孿生等新興技術的深化應用和交叉融合，促使工業企業更加強調生產高效、低耗、業務聯動等特點。貫穿企業研發、生產全生命周期數據，在準確度、時效性、防篡改、防抖動等方面需求是極為迫切的。由于生產的輸入和輸出，完全基于數據的信息流的完整程度和準確程度。因此，結合工藝的業務數據，同時也包括基于工業企業資產的數據，就成為工業企業安全建立的核心，也是技術和管理雙向保障企業安全的基礎。

2.從單點防御到全方位體系建設

對于工業企業而言，一個科學、完善的防護體系非常重要。從過往安全事件來看，企業不僅需要加強安全風險的發現、管理與動態處置能力的建設，還需要加強深度防御，及安全事件的關聯分析與安全預警機制的建設，形成安全事件的快速反應、快速處置體系。企業需要一改往日的單點防護模式，而以全局性思維考慮平臺化、體系化的安全架構。

3.加快人工智能等最新安全技術應用

工業安全防護作為防守方需要“補課”的地方很多，如果僅僅把傳統的IT安全防護產品加上一些OT的功能和特性，是遠遠不夠的。從數字孿生到人工智能，工業企業在新技術應用下正呈現出前所未有的速度，如果在OT安全防護上慢慢補課，勢必導致差距越來越大，因此企業工控安全防護必須有前瞻性，用目前最先進的理念和技術應對OT安全。

4.相關標準完善下對企業合規性提出具體要求

近年來，國家對于工控安全越發得到關注與重視。在國家層面，《工業控制系統信息安全防護指南》、《網絡安全法》、《信息安全技術網絡安全等級保護基本要求》、《工業互聯網行動發展計劃》、《關鍵信息基礎設施安全保護條例》、《工業信息安全標準化白皮書》陸續出臺。例如《工業信息安全技術洞察》全面梳理了相關法規和標準，并以此為背景對工業系統網絡的演變，以及信息安全的護航作用進行了闡述。對標這些合規性要求，工業企業可以理清究竟自身所處工控安全到底存在什么問題、有什么缺陷和風險、需要提高到什么樣的水平。此外，一些重大專項也對申報企業提出了具體的安全要求，讓安全合規成為企業邁向智能制造不可或缺的環節。

圖12 工控安全技術發展與應用趨勢 ?

06

?

工控安全市場發展趨勢

近年來，工業領域安全事件的不斷頻發、數字化轉型大背景下IT與OT融合的持續加深，政策監管力度的不斷增強都在驅動著中國工控安全市場的發展。其中，除了傳統的網絡安全技術外，工控防火墻、工控網閘、工控安全審計、工控安全管理平臺等產品均迎來了市場的快速發展期。IDC最新發布的《全球OT安全預測，2022-2026》報告顯示，到2026年，全球工控安全市場規模將達到67.6億美元，年復合增長率將達到28.4%。 根據嘶吼安全產業研究院公開的數據及多家企業訪談的結果顯示，工控安全產業2023年將步入高速發展期，到2029年市場相對飽和，生態環境逐漸成熟，產業鏈布局清晰，廠商間建立完備的商業合作模式且擁有較高認可度和信任度的產品或服務。

圖13 中國工控安全未來產業發展階段及其特點分析圖

（圖源：嘶吼安全產品研究院） 工控安全市場將呈現出即定制化、場景化、國產化、體系化、智能化、內生化、融合化、服務化和多元化九大趨勢。定制化即提升二次開發對接與快速集成能力，為行業客戶提供工控安全可定制化的產品/服務；場景化即持續開發、賦能新場景應用，比如在物聯網、工業互聯網、新基建等方面，滿足其安全需求；國產化即支持全線的國產化安全產品，從芯片-內存-主板組件-整體產品和操作系統，實現自主安全可控；內生化即構建具有內生安全能力的工控系統建設，防御未來威脅；智能化即結合人工智能與深度學習，在工控智能安全運營、工控智能安全產品進行探索；體系化即拓展以工控安全管理平臺、審計、防火墻和主機衛士組成的最小化防御體系；融合化即與工控安全生態圈的融合、IT和OT的深度融合、與行業業務的深度融合等；服務化即工控安全的未來重點是中小企業，通過SaaS化的產品實現對其安全的降本增效；整合化即以產業園區形式整合工控安全相關行業資源，打造產學研用協同創新發展平臺并推廣。

圖14 中國工控安全未來市場九化趨勢

（圖源：嘶吼安全產品研究院）

參考文獻：

[1]電子技術與軟件工程.工業控制系統網絡安全綜述

[2]計算機研究與發展.工業控制系統安全綜述

[3]安全牛.簡析工控安全縱深防護體系的構建與挑戰

[4]安全牛.珞安科技關勇：以體系化視角看新一代工控安全建設的難點與要點

[5]安盟股份.守護有道，工控安全十大硬核技術

[6]諦聽.2022年工業控制網絡安全態勢白皮書

[7]GoUpSec.2023年中國網絡安全行業《工控安全產品及服務購買決策參考》發布

[8]善金資本.工控安全行業分析報告

[9]嘶吼安全產業研究院.致虛極.守靜篤：工控安全產業競合力洞察報告2022

[10]數說安全.中國工控安全市場剖析

[11]基石創投.工業控制安全行業研究報告

[12]i黑馬.央國資10億戰投威努特，中國工控安全將迎來下半場？

[13]鵬越網絡空間安全研究院.工控安全專題系列（4）——國內top工控安全廠商對比分析

[14]啟明星辰集團.從Cybersecurity Ventures創新榜單解讀工控安全技術

[15]威努特工控安全.威努特11項第一！入圍《工控安全產業競合力洞察報告》30個細分領域

[16]井中望天.國外工控安全領域發展

[17]工業菜園.深信服安全專家：淺談工業控制系統安全與實踐

[18]《IDC MarketShare：中國工控安全審計市場份額，2022》

編輯：黃飛

?