中国工业企业正在加速数字化转型的进程，在后疫情时代，企业数字化运营的习惯逐渐养成，数字化转型的意愿愈发强烈；当传统工业相对封闭独立的生产环境被打破，暴露出一系列有别于传统办公网络的安全风险；缺乏认证、缺乏授权、缺乏加密机制的工业协议易被利用，被国外品牌垄断的大型PLC设备自身安全性，监控主机操作系统无法打补丁的困境等等；工业网络安全面临的安全挑战更加艰巨。

　　从2017年6月1日起施行《中华人民共和国网络安全法》以来，国家相关机构陆续出台了工业网络安全建设的方向性文件。本体安全、自主可靠、数据安全、供应链安全、主动防御等被提及用来指引企业进行工业网络的体系化建设。

　　本篇文章将以国家安全政策指引为依据，结合国内工业企业的安全需求变化，总结预测工业网络安全防护的五大发展趋势，以供探讨。

　　工业网络的区域边界防护经历了两个阶段，通过ACL访问控制技术建立网络连接白名单和基于工业协议深度解析技术建立工业协议白名单；我们可以在上位机和下位机之间通信时，实现基于安全域、IP、MAC、时间段、服务、执行动作等多个维度的访问控制策略；实现对Modbus TCP/RTU、S7、OPC DA/UA等工业协议指令级甚至值域级细粒度控制。

　　如果攻击者利用两个合法但不符合工艺逻辑的指令引发安全事故（如关闭阀门的同时给管道加压会导致管道爆裂）该如何防御呢，这就是我们要提到的第三个阶段“工艺行为白名单”能解决的问题。通过对报文周期、报文序列号、报文长度、报文时序逻辑等的配置，深入具体生产场景建立工艺行为基线模型，建立工控NDR（工控网络检测与响应），提供对工控网络异常行为和高级威胁的检测和响应能力。该项技术已在国内部分大型企业中实践。

　　面对供应链攻击，正规软件厂商产品也可能携带后门，带有可靠的数字签名，该怎样应对？

　　供应链攻击指攻击者将供应链作为攻击对象，先攻击供应链中安全防护相对薄弱的企业，在利用供应链之间的联系，将风险引入到上下游企业，对关联企业带来破坏性。如2020年12月，知名IT公司SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视；通过分析发现，攻击者在编码上买球平台高度仿照了SolarWinds的编码方式和命名规范，成功绕过了复杂测试、交叉审核等环节，将后门写入代码中，进行隐蔽通信，利用该后门，攻击者可以不受限制地访问SolarWinds软件和分发机制。

　　供应链攻击是一种很难防御的攻击手法，具有牵涉到的企业广、极端隐蔽难检测、软件生命周期暴露环节多、使用开源组件不可控等特点；另外，我们也会发现当前普遍采用的纵深防御、威胁情报、应用程序白名单等防御技术在面对供应链攻击时变得力不从心了。在2023年5月1日实施的《关键信息基础设施安全保护要求》（GB/T 39204-2022）中，对供应链攻击安全防护给出了建立供应链安全管理制度、采购通过国家检验认证的产品、建立合格供应方目录、进行源代码安全检测等应对手段。

　　针对将恶意代码植入到合法供应商合法软件中的供应链攻击手法，我们可以预测工业网络在应对这类攻击的实时防护能力上，需要补充轻量级工业EDR（端点检测和响应）能力，通过全面记录端点系统行为事件，使用行为分析、机器学习等技术分析可疑异常行为，实现对未知潜在威胁的有效发现。另外，工业EDR产品要做到低资源消耗，以适用于部署在工业网络老旧主机上；要摒弃补丁管理，云查杀等只适用于IT网络开发的复杂功能，适用于工业网络使用。

　　对于企业来说解决工业网络存在的安全风险从根源上去看是要尽量解决网络中资产本身的脆弱性，从设计上提高工业网络关键设备或系统自身的安全属性，尽量减少其脆弱性，提高其对抗网络攻击的能力。

　　数据是国家基础战略性资源和重要生产要素，随着《数据安全法》《个人信息保护法》等法律法规相继落地施行，数据安全保障体系和能力建设显得尤为重要。任何一家工业企业的生产运营都对工业数据都有着高度的依赖性，诸如生产工艺参数、产品设计数据、设备运行数据、物流数据等是影响企业生产活动的关键业务数据，这些数据的泄露、篡改、丢失或错误都可能影响企业经营效益、生产经营安全、国计民生甚至国家安全。

　　为探索构建工业领域数据安全管理体系，有效保障数据安全，推动数字经济高质量发展，工信部办公厅于2021年12月发文《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点工作的通知》（工信厅网安函〔2021〕295号）；督促企业落实数据安全主体责任，工信部已经在工业领域组织了15个省份300余家工业企业开展数据安全管理试点，探索构建工业领域数据管理模式。

　　在工业领域数据安全治理实践在走深向实的大趋势下，威努特以贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规为核心，以工信部开展工业领域数据安全管理试点工作相关文件为依据，结合工业企业数据资产的现状以及现有的数据安全防护现状，提出了“1个平台、2个并重、3套体系”的“1+2+3工业领域数据安全治理思路”。为国家全面加快构建工业领域数据安全管理体系建言献策。

　　互联后的工业网络存在资产和软件系统众多，生产人员的运维工作复杂，相关设备和平台存在安全漏洞多、安全威胁日志庞大难以确定关键攻击等问题，建立网络安全态势感知平台可以给网络运营者和管理者一个全局性和可视化的安全风险运维手段。

　　网络空间的攻防对抗并非是一场对称性的战争，企业需要面对来自全球的威胁和攻击者，借鉴重要行业和领域开展网络安全保护工作的成熟经验，开放吸纳网络安全防护方面的先进技术，积极参与威胁情报的深入交流和共享，将有助于工业企业构筑成熟、先进、高效的对抗网络安全威胁的防线。

　　北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

　　威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线多家行业客户实现了业务安全合规运行。

　　作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!