編輯語：2021 年9 月29 日，“第三屆工業(yè)信息安全應急國際研討會”在京順利召開。會上，綠盟科技工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品部總監(jiān)王曉鵬從工業(yè)互聯(lián)網(wǎng)的安全情況切入，闡述了我國工業(yè)互聯(lián)網(wǎng)安全面臨嚴重威脅的狀況，并對工業(yè)互聯(lián)網(wǎng)的安全問題做了總結(jié)。同時詳細介紹了綠盟科技網(wǎng)絡安全應急響應體系架構(gòu)，對工業(yè)網(wǎng)絡安全應急與IT 網(wǎng)絡安全應急的區(qū)別做了闡述，最后對未來應急響應技術(shù)發(fā)展趨勢做了詳細分析。

編輯：煩請綠盟科技王曉鵬先生簡單闡述一下您認為目前工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀如何。

綠盟科技王曉鵬：工業(yè)控制系統(tǒng)是自動化工業(yè)生產(chǎn)過程中的設備、系統(tǒng)和網(wǎng)絡的總稱。包括集散控制系統(tǒng)(DCS)、數(shù)據(jù)監(jiān)控與采集系統(tǒng)(SCADA)、安全主控制系統(tǒng)(SIS)、可編邏輯控制器(PLC)、工業(yè)網(wǎng)絡設備及相關(guān)軟件系統(tǒng)等。隨著工業(yè)4.0、信息物理融合系統(tǒng)等概念和技術(shù)的興起，工業(yè)控制系統(tǒng)被廣泛應用于電力、石化、交通等行業(yè)，并朝著數(shù)字化、網(wǎng)絡化、智能化的方向發(fā)展。隨著“中國制造2025”戰(zhàn)略的提出，傳統(tǒng)物理隔離工控網(wǎng)絡融合了IT 網(wǎng)絡領域的操作系統(tǒng)、通信協(xié)議等技術(shù)，導致工控網(wǎng)絡面臨巨大的安全威脅。

近年來，工業(yè)互聯(lián)網(wǎng)發(fā)生了許多重大安全事件，2015 年，烏克蘭的電力工業(yè)遭受到BlackEnergy 惡意軟件的攻擊，導致伊萬諾—弗蘭科夫斯克地區(qū)大面積停電；2018 年，某石油公司采油廠感染一款名為Lucky 的勒索病毒，業(yè)務系統(tǒng)受到感染，生產(chǎn)受到影響。2021 年伊始，針對工業(yè)企業(yè)的攻擊更加頻繁。2021 年2 月8 日，佛羅里達州奧爾德斯馬的一家水處理廠被黑客入侵，堿液量增加到危險水平。2021 年5 月，美國最大的燃油管道運營商Colonial Pipeline 因受到勒索軟件攻擊被迫關(guān)閉。中國工業(yè)互聯(lián)網(wǎng)的安全威脅更為嚴重，因此，尋求解決這些安全問題的方法至關(guān)重要。

因此，在本文中，我們對工業(yè)互聯(lián)網(wǎng)的安全問題做了總結(jié)，并提出了工業(yè)網(wǎng)絡安全應急響應體系的構(gòu)建思路，以及工業(yè)網(wǎng)絡安全應急發(fā)展趨勢。

編輯：請您結(jié)合工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀，聊一下如何在工業(yè)互聯(lián)網(wǎng)中建立安全性。

綠盟科技王曉鵬：為了在工業(yè)互聯(lián)網(wǎng)中建立安全性，首先要深刻理解當前傳統(tǒng)互聯(lián)網(wǎng)的安全缺陷和弱點。這使我們能夠在工業(yè)互聯(lián)網(wǎng)中部署類似設備之前糾正眾所周知的安全缺陷。但是，并非所有現(xiàn)有的網(wǎng)絡安全措施都延續(xù)到工業(yè)領域。這主要是由于使用和部署的差異，以及消費者和工業(yè)鄰域面臨的不同安全威脅。

工業(yè)互聯(lián)網(wǎng)發(fā)展帶來的安全問題主要表現(xiàn)在三個方面：一是業(yè)務層面，安全策略缺乏與業(yè)務結(jié)合導致，安全防護不能起到足夠的防護作用，APT 等攻擊行為容易突破安全防線。安全處置過程缺乏與業(yè)務的關(guān)聯(lián)，在一些強業(yè)務相關(guān)環(huán)境中存在業(yè)務中斷的風險。二是網(wǎng)絡層面，融合網(wǎng)絡的發(fā)展，在大量業(yè)務聯(lián)通后，導致網(wǎng)絡邊界模糊，通信流量的復雜導致了安全隱患的加劇。網(wǎng)絡安全的分析中缺乏對于不同工業(yè)系統(tǒng)尤其是運行中系統(tǒng)的影響性分析。三是運行層面，運維過程中缺乏可以適配于工業(yè)應用屬性的安全設備，無法做到安全運維、網(wǎng)絡運維和安全相關(guān)性的分析和處理。應急處置手段不足，導致問題提出現(xiàn)后無法第一時間進行有效處置。基于業(yè)務運行屬性的安全管理依然缺乏，設備管理不等于業(yè)務運行安全管理，需要關(guān)注業(yè)務運行中的安全。

編輯：請您結(jié)合您的演講內(nèi)容，談一下如何建立工業(yè)網(wǎng)絡安全應急響應體系。

綠盟科技王曉鵬：網(wǎng)絡安全的重要性是不言而喻的，當今社會的信息網(wǎng)絡安全已是影響國家安全的一個高權(quán)重因素。雖然保護網(wǎng)絡安全的技術(shù)迅速發(fā)展，但實踐證明，現(xiàn)實中再昂貴的安全保護也無法發(fā)現(xiàn)和抵御所有的威脅。因此，完善的網(wǎng)絡安全體系要求在保護體系之外必須建立應急響應體系。將工業(yè)控制系統(tǒng)直接暴露在互聯(lián)網(wǎng)上存在較大的安全隱患，但由于業(yè)務需求，仍有很多此類設備和系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，這存在很大的安全隱患。當工業(yè)系統(tǒng)接入互聯(lián)網(wǎng)后，建立工業(yè)網(wǎng)絡安全應急響應體系也就尤為必要了。

在介紹應急響應體系前，首先，我們需明確工業(yè)網(wǎng)絡安全應急與IT 網(wǎng)絡安全應急的區(qū)別。兩者的主要區(qū)別，我們總結(jié)了四點。一是事件影響不同，IT 安全事件涉及數(shù)據(jù)丟失、系統(tǒng)不可用、業(yè)務中斷等情況。一般情況不會涉及物理、人身和環(huán)境資源的影響。工業(yè)安全事件涉及數(shù)據(jù)丟失、系統(tǒng)不可用、業(yè)務中斷等情況。一般情況不會涉及物理、人身和環(huán)境資源的影響。二是業(yè)務風險不同，IT 的應急過程以恢復業(yè)務運行為主，不關(guān)注當前物理和環(huán)境資源的前提限定或者后續(xù)的影響。工業(yè)應急涉及網(wǎng)絡、控制設備、主機、儀表等資產(chǎn)，操作應急所帶來的風險在沒有業(yè)務運行感知的情況下有一定的風險。三是基礎資源不同，IT 的數(shù)據(jù)和備份措施比較完善，恢復相對較快。OT 環(huán)境中冗余和備份措施相對較差，恢復過程相對較長。四是處置的手段不同，IT 的處置手段比較成熟，處理過程比較直接和迅速。OT需要看業(yè)務的運行階段，評估對業(yè)務的影響后采用合適的手段進行處置。

因此，對于工業(yè)系統(tǒng)的安全風險評估就需要考慮更多因素，除了IT 網(wǎng)絡的風險外，還包括人員因素，人員的安全意識與安全能力；管理因素，涵蓋人員管理、生產(chǎn)管理、數(shù)據(jù)管理、運維管理等；供應鏈因素，元件/設備引入安全風險；邊界因素，不同區(qū)域的風險管理；工藝因素，對工藝的可靠性要求；環(huán)境因素，設備/系統(tǒng)針對不同環(huán)境的適應能力；以及設備老化、異常運行等等因素。

下面我們說明下網(wǎng)絡安全應急響應體系。網(wǎng)絡安全領域的應急響應（Cyber Security Emergency Response System）是指在突發(fā)重大網(wǎng)絡安全事件后對包括計算機運行在內(nèi)的業(yè)務運行進行維持或恢復的各種技術(shù)和管理策略與規(guī)程。

網(wǎng)絡應急響應的活動應該主要包括兩個方面：

（1）未雨綢繆，即在事件發(fā)生前先做好準備，比如風險評估、制定安全計劃、安全意識的培訓，以發(fā)布安全通告的方式進行預警，以及各種防范措施；

（2）亡羊補牢，即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最低。這些行動措施可能來自人，也可能來自系統(tǒng)，比如事件發(fā)生后，系統(tǒng)備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統(tǒng)恢復、調(diào)查與追蹤、入侵者取證等一系列操作。

以上兩個方面的工作是相互補充的。首先，事前的計劃和準備為事件發(fā)生后的響應動作提供了指導框架，否則，響應動作將陷入混亂，可能造成比事件本身更大的損失；其次，事后的響應可能發(fā)現(xiàn)事前計劃的不足，從而吸取教訓，進一步完善安全計劃。因此，這兩個方面應該形成一種正反饋的機制，逐步強化組織的安全防范體系。

網(wǎng)絡安全應急響應體系的管理是一個周而復始、持續(xù)改進的過程，大致包含以下三個階段。

（1）網(wǎng)絡安全應急響應需求分析和應急響應策略的確定。

（2）編制網(wǎng)絡安全應急響應計劃文檔。

（3）應急響應計劃的測試、培訓、演練和維護。

從管理角度看，網(wǎng)絡安全應急響應的管理可分為事件報告、事件評估、應急啟動、應急處置、后期處置，如上圖所示。

編輯：那請問，您認為工業(yè)網(wǎng)絡安全應急發(fā)展趨勢是怎樣的？

綠盟科技王曉鵬：不論是企業(yè)還是機構(gòu)，未來將面臨的一個重要網(wǎng)絡安全問題是，企業(yè)內(nèi)網(wǎng)絡安全的防護不再是孤立的，而是和整個互聯(lián)網(wǎng)安全狀況和突發(fā)網(wǎng)絡安全事件緊密聯(lián)合起來。例如，對企業(yè)而言，雖然內(nèi)網(wǎng)的數(shù)據(jù)不允許向外流出，但一旦某類黑客攻擊發(fā)生在同類型企業(yè)或者使用相同信息系統(tǒng)架構(gòu)的企業(yè)或組織，那么該企業(yè)將很有可能面臨被攻擊。

威脅情報的概念也是基于上述情況而提出。因此出現(xiàn)較晚，業(yè)界對威脅情報概念的理解各不相同。例如，有人認為“樣本庫”可稱為情報，也有人認為“黑名單”是情報，而一些公開資料中提到的網(wǎng)絡安全信息共享也被認為是威脅情報的早期版本。

國際上也有網(wǎng)絡安全研究機構(gòu)給出“威脅情報”的專業(yè)定義（如 Gartner）。國內(nèi)也有學者提出了威脅情報的六大要素（采集、關(guān)聯(lián)、歸類、整合、行動、分享）和4 個階段（廣覆蓋收集有效信息、分析處理與生產(chǎn)、行動實施、生態(tài)圈分享）。

對威脅情報的理解：依賴證據(jù)知識，包含情境、機制、影響和應對建議，威脅情報可以第一時間診斷出存在或者正在顯露的威脅或危害資產(chǎn)的行為。威脅情報的目的就是實現(xiàn)“早、快、準、全”的安全隱患監(jiān)測和警報。

如果企業(yè)能及早了解熟悉上述威脅情報信息，就可以為有效防范和采取應急措施贏得時間。而企業(yè)面對網(wǎng)絡黑客攻擊特別是一些嚴重的計算機犯罪行為，如能提前預知、提前響應，則可能避免系統(tǒng)崩潰、業(yè)務崩潰、高價值數(shù)據(jù)丟失等“滅頂之災”。

根據(jù)當前工業(yè)網(wǎng)絡安全業(yè)界的實踐狀況，綠盟科技已經(jīng)形成了一套覆蓋工業(yè)設備、控制、網(wǎng)絡、應用（監(jiān)控平臺、管理平臺）、數(shù)據(jù)等多個層級安全防護的安全設計原則集和解決方案集。其研制的安全協(xié)同一體化的工業(yè)網(wǎng)絡安全監(jiān)測預警平臺，在大數(shù)據(jù)框架的基礎上為工業(yè)環(huán)境提供安全監(jiān)控及響應的安全運營中心。通過深度工控資產(chǎn)自動探測技術(shù)、分布式漏洞探測技術(shù)、多類型工業(yè)控制協(xié)議識別技術(shù)、異常流量監(jiān)測技術(shù)，實現(xiàn)工業(yè)設備安全態(tài)勢信息自動采集、識別工控設備的漏洞與潛在威脅的能力。通過大數(shù)據(jù)建模分析技術(shù)與基于多源數(shù)據(jù)的工業(yè)安全態(tài)勢知識圖譜構(gòu)建技術(shù)，并結(jié)合中國國家信息安全漏洞庫及工控漏洞庫，進行安全威脅評估、態(tài)勢感知，預測預防設備潛在風險的發(fā)生。下圖是綠盟科技針對工業(yè)場景的整體解決方案。

總體上看，威脅情報將會對未來國家、機構(gòu)、企業(yè)的網(wǎng)絡安全應急響應產(chǎn)生顯著影響，威脅情報也代表了網(wǎng)絡安全應急響應技術(shù)與實踐的方向和發(fā)展趨勢。隨著業(yè)界和機構(gòu)、企業(yè)用戶對威脅情報的認識和實踐的理解不斷加深，威脅情報理念對網(wǎng)絡安全應急響應技術(shù)與實踐的進一步完善和成熟將產(chǎn)生更大的促進作用。

編輯結(jié)語：本次采訪，綠盟科技工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品部總監(jiān)王曉鵬首先對工業(yè)控制系統(tǒng)的安全狀態(tài)進行了分析，通過對安全事件的案例分析發(fā)現(xiàn)，網(wǎng)絡安全事件所造成的損失嚴重，工控系統(tǒng)安全形勢不容樂觀。根據(jù)當前工業(yè)網(wǎng)絡安全業(yè)界的實踐狀況，綠盟科技已經(jīng)形成了一套覆蓋工業(yè)設備、控制、網(wǎng)絡、應用（監(jiān)控平臺、管理平臺）、數(shù)據(jù)等多個層級安全防護的安全設計原則集和解決方案集。綠盟科技提出的安全應急體系架構(gòu)設計的思路，將更有效的幫助工業(yè)企業(yè)完善應急響應體系建立，為我國工業(yè)互聯(lián)網(wǎng)安全建設添磚加瓦。