久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★ 張晉賓 電力規(guī)劃設(shè)計總院

隨著工控系統(tǒng)的進(jìn)一步開放互聯(lián)、數(shù)字化、網(wǎng)絡(luò)化、無線化甚至全面云化，工控系統(tǒng)自身的網(wǎng)絡(luò)安全脆弱性和所面臨來自自然環(huán)境、人為失誤、設(shè)備故障、惡意軟件、工業(yè)間諜、犯罪組織、恐怖分子、境外國家力量、地區(qū)沖突與戰(zhàn)爭行為等方面的威脅與日俱增。據(jù)卡巴斯基ICS CERT觀察報告，2023年上半年全球有34%的工控系統(tǒng)（ICS）計算機(jī)探測到并屏蔽了各類惡意對象，2023年第二季度出現(xiàn)了自2019年以來全球最高的季度威脅水平，26.8%的ICS計算機(jī)受到影響。

在此背景下，世界主要經(jīng)濟(jì)體紛紛出臺或修訂相關(guān)網(wǎng)絡(luò)安全法律法規(guī)，如中國《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，美國《Cybersecurity Act》（網(wǎng)絡(luò)安全法）、NERC CIP（關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）系列要求，歐盟《Directive on Security of Network and Information Systems》（revised）（網(wǎng)絡(luò)與信息系統(tǒng)安全指令2，簡稱“NIS2指令”，該指令已于2023年1月生效，并要求各成員國必須在2024年10月17日之前將該指令轉(zhuǎn)化為國家法律）等。較之第1版NIS，NIS2適用范圍大增，所適用的基礎(chǔ)服務(wù)包括能源（電力、區(qū)域供熱和供冷、石油、天然氣、氫氣）、藥品及疫苗制造、飲用水和廢水、交通、銀行、金融市場基礎(chǔ)設(shè)施、健康、數(shù)字基礎(chǔ)設(shè)施、信息通信技術(shù)服務(wù)管理、太空工業(yè)、中央及區(qū)域公共管理等，所適用的重要服務(wù)包括郵政與快遞服務(wù)、廢棄物管理、化學(xué)品、醫(yī)療器械制造、電子/電氣/機(jī)械/交通設(shè)備及產(chǎn)品制造、數(shù)字服務(wù)提供商等，并要求運營基礎(chǔ)服務(wù)的組織必需更有效地全鏈條管理IT（信息技術(shù)）和OT（運營技術(shù)），以及用于管理、監(jiān)視、控制、保護(hù)工業(yè)正常運營的控制系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險。

據(jù)MarketsandMarkets報告，工業(yè)網(wǎng)絡(luò)安全市場規(guī)模2022年為163億美元，預(yù)計到2028年將達(dá)到244億美元，預(yù)計從2023年到2028年的復(fù)合年增長率將達(dá)到7.7%。推動工業(yè)網(wǎng)絡(luò)安全市場快速增長的要素是國家及社會對工業(yè)控制系統(tǒng)的關(guān)注度越來越高和其遭受的網(wǎng)絡(luò)攻擊數(shù)量持續(xù)增多。傳統(tǒng)的“封堵查殺”網(wǎng)絡(luò)安全手段，已基本無法有效應(yīng)對新形勢下系統(tǒng)性高強(qiáng)度的網(wǎng)絡(luò)攻擊，也難以滿足更加嚴(yán)格的網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的要求。為此，網(wǎng)絡(luò)安全與功能安全一體化的深度防護(hù)、設(shè)計安全、默認(rèn)安全、可信系統(tǒng)、零信任架構(gòu)等新興的安全理念不斷涌現(xiàn)（限于篇幅，本文重點放在安全一體化深度防護(hù)、設(shè)計安全、默認(rèn)安全）。

全球數(shù)字技術(shù)發(fā)展速度之快、輻射范圍之廣、影響程度之深前所未有，網(wǎng)絡(luò)化、數(shù)字化、智能化是大勢所趨，這其中以AI、量子計算等為代表的新一代數(shù)字技術(shù)會給工控網(wǎng)絡(luò)安全的發(fā)展帶來深遠(yuǎn)的影響，必須提前分析預(yù)判、提前謀劃應(yīng)對。

1　九位一體安全深度防護(hù)

1.1　概念

九位一體安全深度防護(hù)是指應(yīng)用多層融合[即人員安全防護(hù)層、EPC（設(shè)計、采購及建造）防護(hù)層、物理安全防護(hù)層、網(wǎng)絡(luò)安全防護(hù)層、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層、事故響應(yīng)及恢復(fù)防護(hù)層、過程自動防護(hù)層、過程設(shè)備防護(hù)層等]的系統(tǒng)防護(hù)方法，來對被保護(hù)對象（如關(guān)鍵工業(yè)自動化及控制系統(tǒng)、關(guān)鍵通信網(wǎng)絡(luò)、關(guān)鍵物理過程設(shè)備、安全管理中心等）進(jìn)行全面、系統(tǒng)的深度防護(hù)。九位一體安全深度防護(hù)結(jié)構(gòu)示意圖如圖1所示，從外層至內(nèi)層各層分布分別為：人員安全防護(hù)層+EPC防護(hù)層+物理安全防護(hù)層+網(wǎng)絡(luò)安全防護(hù)層+設(shè)備加固防護(hù)層+應(yīng)用及數(shù)據(jù)安全防護(hù)層+事故響應(yīng)及恢復(fù)防護(hù)層+過程自動防護(hù)層+過程設(shè)備防護(hù)層，該九層構(gòu)成了被防護(hù)對象的風(fēng)險控制手段或風(fēng)險控制措施。其中的網(wǎng)絡(luò)安全防護(hù)層、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層等三層屬于數(shù)字安全控制范疇，物理安全防護(hù)層、網(wǎng)絡(luò)安全防護(hù)層、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層等四層屬于常規(guī)意義上的網(wǎng)絡(luò)安全范疇，過程自動防護(hù)層、過程設(shè)備防護(hù)層屬于通常所謂的過程安全、功能安全范疇。

該方法與常規(guī)網(wǎng)絡(luò)安全防護(hù)方法不同，它是采用多專業(yè)分層理念來對網(wǎng)絡(luò)安全、過程安全、過程工程及組織的交叉風(fēng)險進(jìn)行綜合管控，可視為網(wǎng)絡(luò)安全、功能安全、組織安全等多種安全的系統(tǒng)集成或多種安全的融合一體化。

常規(guī)的深度防護(hù)（defense in depth）是一種采用分層、冗余的防護(hù)機(jī)制來保護(hù)資產(chǎn)免受網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全防護(hù)方法，其利用組合的網(wǎng)絡(luò)安全措施而不是單一的網(wǎng)絡(luò)安全措施來抵御網(wǎng)絡(luò)攻擊[如由兩個不同的防火墻所構(gòu)成的DMZ（demilitarized zone），也稱“非軍事區(qū)”“屏蔽子網(wǎng)”，介于網(wǎng)絡(luò)之間作為“中立區(qū)”的邊界網(wǎng)絡(luò)]，且有時還考慮防護(hù)措施的多樣性，如某防護(hù)層被某種手段攻破后不應(yīng)導(dǎo)致另一防護(hù)層也會被同一種攻擊手段所攻破（如配置不同訪問控制措施的多個網(wǎng)段）。從表面上看，九位一體安全深度防護(hù)似乎與常規(guī)深度防護(hù)一樣，但實質(zhì)上兩者有著本質(zhì)的不同。常規(guī)深度防護(hù)只是試圖延緩攻擊者的攻擊時間，所構(gòu)建的縱深防御體系并未如九位一體安全深度防護(hù)一樣，設(shè)置有系統(tǒng)性的多專業(yè)級的網(wǎng)絡(luò)安全與過程安全（功能安全）一體化的綜合防護(hù)措施。試想若攻擊者攻破深度防護(hù)措施后，常規(guī)網(wǎng)絡(luò)安全深度防護(hù)是否還有能阻止或抵御攻擊者的其它工事？

1.2　九位一體安全深度防護(hù)模型結(jié)構(gòu)

在九位一體安全深度防護(hù)模型中（如圖1所示），各個防護(hù)層之間是互聯(lián)互融的。從確保滿足綜合防護(hù)高效能視角看，外層和內(nèi)層同等關(guān)鍵。

圖1 九位一體安全深度防護(hù)模型結(jié)構(gòu)示意圖

該模型結(jié)構(gòu)詳細(xì)說明如下：

（1）人員安全防護(hù)層。該層至關(guān)重要，其取決于所有利益相關(guān)方人員的意識、技能和信任。人員是安全防護(hù)中最為關(guān)鍵且易忽視的因素。被保護(hù)資產(chǎn)整個生命周期涉及到規(guī)劃人員、設(shè)計人員、制造人員、建造人員、管理人員（包括系統(tǒng)管理員、審計管理員和安全管理員等）、運維人員和系統(tǒng)用戶等各類人員。若這些參與安全的相關(guān)人員的安全意識、業(yè)務(wù)能力和相互間的溝通信任不能滿足要求，則任何一個被保護(hù)對象都難以達(dá)到真正意義的安全。因此需對主要人員進(jìn)行身份、安全背景、專業(yè)資格或資質(zhì)等審查，簽署安全責(zé)任協(xié)議，強(qiáng)化安全意識教育和培訓(xùn)，嚴(yán)格進(jìn)行人員離崗的管理，嚴(yán)控關(guān)鍵區(qū)域或關(guān)鍵系統(tǒng)的外部人員訪問等。

（2）EPC防護(hù)層。眾所周知，好產(chǎn)品主要是通過優(yōu)良的設(shè)計和制造而得到，而并非是通過校核和檢驗而得到。設(shè)計、采購和建造對于系統(tǒng)安全也十分重要。在設(shè)計過程中，需確保所設(shè)計方案（包括設(shè)計目標(biāo)、設(shè)計策略、設(shè)計技術(shù)規(guī)范及要求）的合理性、充分性、合規(guī)性。可信必須滲透到所有部件及其子部件，如圖2所示。在進(jìn)行可信系統(tǒng)設(shè)計時，應(yīng)基于TCM（Trusted Cryptography Module，可信密碼模塊）或TPM（Trusted Platform Module，可信平臺模塊）建立可信根，構(gòu)建一級度量一級、一級信任一級、將信任關(guān)系擴(kuò)大到整個系統(tǒng)的可信鏈，如圖3所示，從而確保系統(tǒng)可信驗證機(jī)制滿足要求，也可融入零信任設(shè)計機(jī)制，進(jìn)一步增強(qiáng)系統(tǒng)的防護(hù)能力；在采購過程中，采購技術(shù)規(guī)范書、采購流程、合格供應(yīng)商選取、所采購的安全產(chǎn)品均需符合相關(guān)要求，且對重要產(chǎn)品還需進(jìn)行專業(yè)測評、專項測試，嚴(yán)格控制外包軟件開發(fā)的安全性；在建造階段，應(yīng)嚴(yán)格進(jìn)行安全工程的過程管理和工程監(jiān)理控制，按要求做好測試驗收，并把好系統(tǒng)交付前的關(guān)口等。

圖2 可信工控系統(tǒng)各部分間的可信關(guān)系

圖3 構(gòu)成可信對象的可信鏈?zhǔn)疽鈭D

（3）物理安全防護(hù)層。從整個安全防護(hù)來看，物理訪問控制是工業(yè)控制系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施等保護(hù)對象的安全防護(hù)基礎(chǔ)。常見的物理訪問控制措施有物理位置選擇（如滿足防震、防風(fēng)、防雨、防水、防潮等要求）、物理訪問控制（如電子門禁）、防盜竊、防破壞、防雷擊、防火、防靜電、電磁防護(hù)（甚至包括防高空電磁脈沖攻擊）等措施。

（4）網(wǎng)絡(luò)安全防護(hù)層、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層。這三層屬平常所謂的網(wǎng)絡(luò)安全防護(hù)范疇，是網(wǎng)絡(luò)安全等級保護(hù)的核心。對于工業(yè)自動化與控制系統(tǒng)而言，常見的網(wǎng)絡(luò)安全防護(hù)措施有：邊界防護(hù)、網(wǎng)絡(luò)分段，訪問控制（如多因子、雙重控制、基于角色等），安全分區(qū)或安全域，入侵防范、惡意代碼和垃圾郵件防范，保護(hù)報文完整性、網(wǎng)絡(luò)性能監(jiān)控；最小化所暴露的攻擊面、按時軟件更新；權(quán)限最小化，維持軟件完整性、控制可操作性、可觀察性及實時性能、安全組態(tài)（如讀/寫訪問、雙重控制等）；保護(hù)數(shù)據(jù)的完整性、可信性和可用性，安全審計等。

（5）事故響應(yīng)及恢復(fù)防護(hù)層。本層需具有以下響應(yīng)及恢復(fù)能力：①及時識別、定位、標(biāo)識和遏制網(wǎng)絡(luò)攻擊；②根除故障及隱患：識別根原因、受損系統(tǒng)，恢復(fù)軟件完整性，消除脆弱性；確保移除惡意代碼、后門和根工具包，限制、關(guān)閉未經(jīng)授權(quán)的訪問點；③恢復(fù)：數(shù)據(jù)恢復(fù)和災(zāi)難恢復(fù)，災(zāi)難恢復(fù)包括ICS（工業(yè)自動化及控制系統(tǒng)）數(shù)據(jù)恢復(fù)重構(gòu)和過程恢復(fù)重構(gòu)等。

（6）過程自動防護(hù)層。本層用于①保護(hù)運行監(jiān)視完整性、過程報警完整性、邏輯完整性、功能/順序完整性、過程穩(wěn)定性等；②保護(hù)控制邏輯、控制功能、控制流程，如保護(hù)系統(tǒng)的觸發(fā)條件、聯(lián)鎖、順序控制等；③保護(hù)過程安全功能，防止對控制獨立性和功能安全的不利影響；④分立過程控制、保護(hù)，將過程控制與主要保護(hù)分開設(shè)置，將關(guān)鍵、基礎(chǔ)控制與一般、常規(guī)控制分開設(shè)置，確保主要保護(hù)、基礎(chǔ)控制的獨立性和分散性；⑤實施職責(zé)分離原則，關(guān)鍵對象或關(guān)鍵功能采用冗余、多樣性手段，如動力源采用電源、氣源、液壓源等。

（7）過程設(shè)備防護(hù)層。本層常用防護(hù)手段有：①采用獨立的保護(hù)驅(qū)動裝置等；②應(yīng)用分隔、隔離、分離、分散、冗余、多樣性等手段；③應(yīng)用本質(zhì)安全設(shè)計方法，強(qiáng)化過程（如分布式發(fā)電、微電網(wǎng)、微反應(yīng)堆、減少危險品庫存等），衰減或抑制風(fēng)險（如通過降低運行溫度、快速散熱、降低熱失控幾率，提前預(yù)警不安全工況、探測可燃?xì)怏w、及時火災(zāi)報警及滅火、防爆設(shè)計等來抑制鋰離子電池儲能系統(tǒng)運行風(fēng)險等）；④多樣化動力源、部署由網(wǎng)絡(luò)安全等危急工況觸發(fā)的ESD（緊急跳閘或緊急停車系統(tǒng)）等。

在應(yīng)用該模型時，需注意風(fēng)險和安全是兩個交織在一起的概念。一方面為了實現(xiàn)所期望的安全，首先需識別、評估所面臨的風(fēng)險，通過識別和分析潛在的威脅和脆弱性，提出更有效的安全策略，所實施的安全措施對所識別的風(fēng)險應(yīng)具有針對性、有效性；另一方面也應(yīng)謹(jǐn)記絕對的安全常常是難以達(dá)到的，過度嚴(yán)格的安全措施或手段不僅成本高昂而且也常常不現(xiàn)實或帶來副作用。因此，應(yīng)基于法律法規(guī)、監(jiān)管機(jī)構(gòu)的要求，結(jié)合基于過程安全分析方法[如過程安全HAZOP（危險與可操作性分析）、LOPA（保護(hù)層分析）、BIA（商業(yè)影響分析）]的分析結(jié)果與基于物理攻擊場景和網(wǎng)絡(luò)攻擊場景的風(fēng)險評估，識別出潛在后果及損失，來確立合適的風(fēng)險準(zhǔn)則，以使所采用的安全防護(hù)措施或手段（預(yù)防、探測、減輕）與組織可接受的風(fēng)險等級相平衡、相匹配。

2　設(shè)計安全及默認(rèn)安全

2.1　概念

長期以來，IT（信息技術(shù)）界一直循著供應(yīng)商供應(yīng)產(chǎn)品—用戶部署產(chǎn)品后發(fā)現(xiàn)脆弱性（漏洞）—用戶自行打補(bǔ)丁修復(fù)漏洞的惡性循環(huán)。為了打破該惡性循環(huán)，美國CISA（網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）、NSA（國家安全局）、FBI（聯(lián)邦調(diào)查局）與澳大利亞、加拿大、英國、德國、荷蘭、新西蘭等國家網(wǎng)絡(luò)安全相關(guān)管理部門，于2023年4月聯(lián)合提出了在產(chǎn)品設(shè)計和開發(fā)過程中，產(chǎn)品供應(yīng)商宜遵循“設(shè)計安全”（security-by-design）和“默認(rèn)安全”（securityby-default）的原則和方法，來確保產(chǎn)品在整個生命周期的高安全性及用戶維護(hù)工作量的最小化，以防止將易受攻擊的產(chǎn)品投入市場。

所謂“設(shè)計安全”是指供應(yīng)商應(yīng)將用戶的產(chǎn)品網(wǎng)絡(luò)安全作為其核心業(yè)務(wù)目標(biāo)要求，而不僅僅是只考慮實現(xiàn)產(chǎn)品的單純技術(shù)功能。在產(chǎn)品全生命周期的設(shè)計開發(fā)階段，供應(yīng)商就應(yīng)實施secure-by-design（通過設(shè)計確保網(wǎng)絡(luò)安全）設(shè)計安全原則，在產(chǎn)品被投入市場廣泛使用或消費之前，就應(yīng)大幅減少產(chǎn)品自身網(wǎng)絡(luò)安全缺陷的數(shù)量，并采取合理的防護(hù)措施來防止惡意網(wǎng)絡(luò)行為者成功獲得對設(shè)備、數(shù)據(jù)和連接的基礎(chǔ)設(shè)施的訪問權(quán)限。例如，軟件開發(fā)商在軟件設(shè)計開發(fā)階段，先進(jìn)行網(wǎng)絡(luò)安全風(fēng)險評估，以識別和枚舉對關(guān)鍵系統(tǒng)存在的普遍網(wǎng)絡(luò)威脅和漏洞，在設(shè)計方案中就納入應(yīng)對不斷演變的網(wǎng)絡(luò)威脅形勢的相應(yīng)保護(hù)措施。

所謂“默認(rèn)安全”是指產(chǎn)品無需額外收費，開箱即可安全使用，一經(jīng)投運即具備能夠抵御盛行的脆弱性和威脅利用技術(shù)。也就是說，安全配置是默認(rèn)基線，如所有車輛標(biāo)配安全帶一樣，所設(shè)計的“默認(rèn)安全”產(chǎn)品可抵御最普遍的威脅和漏洞，用戶無需采取其它額外措施，“默認(rèn)安全”產(chǎn)品投運后即自動啟用，保護(hù)用戶免受惡意網(wǎng)絡(luò)行為者攻擊所需的最重要的安全控制措施，并具備使用和進(jìn)一步配置增強(qiáng)安全控制手段的能力。用戶需意識到，當(dāng)應(yīng)用中偏離安全默認(rèn)時，除非施加額外的補(bǔ)償控制措施，否則會增加產(chǎn)品脆弱性。通過應(yīng)用設(shè)計安全和默認(rèn)安全原則，可一定程度上實現(xiàn)產(chǎn)品的網(wǎng)絡(luò)安全，提高可靠性和韌性。

2.2　應(yīng)用

產(chǎn)品供應(yīng)商應(yīng)遵循以下3個核心原則，在產(chǎn)品研發(fā)、設(shè)計、制造階段，在產(chǎn)品配置組態(tài)、發(fā)貨前，將產(chǎn)品網(wǎng)絡(luò)安全特性融入產(chǎn)品設(shè)計過程中。

（1）網(wǎng)絡(luò)安全責(zé)任不應(yīng)只落在用戶肩膀上。產(chǎn)品供應(yīng)商也應(yīng)承擔(dān)所供應(yīng)產(chǎn)品的網(wǎng)絡(luò)安全責(zé)任，并相應(yīng)提升其產(chǎn)品的網(wǎng)絡(luò)安全防護(hù)水平。

（2）積極提高透明度和問責(zé)制。產(chǎn)品供應(yīng)商需承諾為用戶提供滿足通常網(wǎng)絡(luò)安全要求的產(chǎn)品，默認(rèn)情況下使用強(qiáng)大的身份鑒別機(jī)制，以能為用戶提供安全可靠的產(chǎn)品而自豪，并分享所掌握的網(wǎng)絡(luò)安全信息（如脆弱性咨詢、通用漏洞披露等）。

（3）建立實現(xiàn)“設(shè)計安全”和“默認(rèn)安全”目標(biāo)的組織機(jī)構(gòu)和領(lǐng)導(dǎo)力。不僅掌握專業(yè)技術(shù)知識的技術(shù)人員對產(chǎn)品安全至關(guān)重要，而且高級管理人員是組織實施變革的主要決策者，其作用力也不容小覷。

以安全軟件開發(fā)為例，在設(shè)計過程中需始終貫徹“設(shè)計安全”原則，參考SSDF（安全軟件開發(fā)架構(gòu)）要求，至少遵循以下最佳實踐，以確保軟件按照程序員的意圖運行，而不是按照攻擊者的欺騙方式運行：

·內(nèi)存安全編程語言。內(nèi)存處于網(wǎng)絡(luò)倒金字塔的最底層，如圖4所示，是網(wǎng)絡(luò)安全的基礎(chǔ)，應(yīng)盡可能優(yōu)先使用內(nèi)存安全編程語言。

圖4 網(wǎng)絡(luò)金字塔

·安全硬件基礎(chǔ)。采用具備細(xì)顆粒度內(nèi)存保護(hù)功能的體系架構(gòu)，如CHERI（能力硬件增強(qiáng)RISC指令）。

·安全軟件組件。采購已驗證的且具有良好安全性能的軟件組件（如軟件庫、模塊、中間件、框架等）并保持其處于最佳狀態(tài)。

·Web模板框架。采用具備用戶輸入自動轉(zhuǎn)義功能的Web模板框架，以避免如跨站點腳本等Web攻擊。

·參數(shù)化查詢。使用參數(shù)化查詢，而不是在查詢中包含用戶輸入，以避免SQL注入攻擊。

·靜態(tài)和動態(tài)應(yīng)用程序安全測試（SAST/DAST）。使用SAST/DAST工具來分析產(chǎn)品源代碼和應(yīng)用程序行為，以檢測出錯誤。

·代碼評審。通過開發(fā)人員的同行評審，以確保代碼的高質(zhì)量。

·軟件材料清單（SBOM）。創(chuàng)建SBOM，以納入產(chǎn)品的軟件集。

·漏洞披露計劃。建立漏洞披露計劃，采取必要的措施識別安全漏洞和隱患。

·CVE完整性。確保發(fā)布的CVE（通用漏洞披露）包括根原因或通用弱點枚舉（CWE），以實現(xiàn)軟件安全根原因的行業(yè)分析。

·深度防御。設(shè)計深度防御基礎(chǔ)架構(gòu)，以使單個安全控制措施的損壞不會導(dǎo)致整個系統(tǒng)遭受破壞。

·網(wǎng)絡(luò)性能目標(biāo)。設(shè)計符合基本安全實踐的產(chǎn)品。

此外，在貫徹“默認(rèn)安全”原則時，可執(zhí)行根除默認(rèn)密碼、特權(quán)用戶強(qiáng)制采用多因子鑒別、單點登錄（SSO）、安全日志記錄（包括審計日志）、軟件授權(quán)配置文件、向前安全優(yōu)于向后兼容、考慮安全設(shè)置對用戶體驗的影響等良好實踐。

3　網(wǎng)絡(luò)安全發(fā)展分析

隨著數(shù)字化轉(zhuǎn)型的不斷推進(jìn)，數(shù)字技術(shù)已深入到工業(yè)過程的各個點線面。邊緣計算、去中心化的安全管理、AI（人工智能）、量子計算、分布式賬簿等不斷涌現(xiàn)的數(shù)字技術(shù)，對工控網(wǎng)絡(luò)安全的發(fā)展產(chǎn)生了深遠(yuǎn)的影響。

3.1　邊緣計算

隨著微處理器、存儲器密度、分布式計算、通信等技術(shù)/經(jīng)濟(jì)層面的快速進(jìn)步，加之智慧城市、智能工廠等新基建建設(shè)進(jìn)程的快速推進(jìn)，邊緣計算的應(yīng)用逐漸增多。嵌入工業(yè)微服務(wù)的邊緣設(shè)備可進(jìn)行高效的自主決策，現(xiàn)場測量感知、采集的信息不需要傳輸?shù)郊泄芾韺樱纯赏ㄟ^邊緣計算智能功能做出快速處理和響應(yīng)。隨著邊緣計算能力的增強(qiáng)，可在現(xiàn)場設(shè)備中直接集成增強(qiáng)的網(wǎng)絡(luò)安全功能，進(jìn)行更加有效實時的工控網(wǎng)絡(luò)安全管理。

3.2　去中心化的網(wǎng)絡(luò)安全管理

隨著數(shù)字設(shè)備、智能設(shè)備的泛在化，常規(guī)集中網(wǎng)絡(luò)安全管理系統(tǒng)的實施難度、運營效力和實時效率堪憂。相反，充分利用SDN（軟件定義網(wǎng)絡(luò)）、SDP（軟件定義平臺）、端點設(shè)備私鑰、分鑰等技術(shù)，將網(wǎng)絡(luò)安全單獨嵌入到各個現(xiàn)場設(shè)備中，并為設(shè)備建立做出安全決策所需的安全策略和規(guī)則，由智能設(shè)備自主做出決策和應(yīng)對，從而提升通信的安全性、端點的完整性和安全性，已經(jīng)成為一種更具可擴(kuò)展性的新方法。

3.3　工業(yè)AI

AI在多數(shù)工程和技術(shù)相關(guān)領(lǐng)域已無處不在，在網(wǎng)絡(luò)安全領(lǐng)域尤其如此。AI一方面已被防御者用于快速高效分析海量數(shù)據(jù)，實時探測安全威脅和惡意活動，甚至是預(yù)測將發(fā)生的威脅和惡意活動，并實時進(jìn)行自主響應(yīng)；另一方面也被攻擊者用以進(jìn)行社會工程攻擊和制造新型惡意軟件等網(wǎng)絡(luò)犯罪行為。可運用AI技術(shù)來增強(qiáng)工控系統(tǒng)的網(wǎng)絡(luò)安全防御能力：

（1）快速高效地分析存儲在數(shù)據(jù)湖、數(shù)據(jù)倉庫（包括實時或歷史數(shù)據(jù)庫）中的感知、測量、執(zhí)行、控制、通信等海量數(shù)據(jù)信號，以及結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)；（2）更高效地管理工控系統(tǒng)的脆弱性；

（3）實時探測或預(yù)測安全威脅和惡意活動；

（4）減少與安全相關(guān)的人為錯誤；

（5）根據(jù)安全策略或規(guī)則，快速進(jìn)行自主響應(yīng)。

3.4　量子計算

敏感數(shù)據(jù)（如遠(yuǎn)程控制、銀行轉(zhuǎn)賬、企業(yè)間商業(yè)秘密等）目前使用公鑰加密技術(shù)進(jìn)行數(shù)據(jù)保護(hù)，這些加密技術(shù)是基于常規(guī)計算機(jī)無法輕易解決的數(shù)學(xué)問題。量子計算機(jī)現(xiàn)仍處于初級階段，但量子計算潛在的強(qiáng)大算力，會使現(xiàn)行的公鑰密碼學(xué)“注定失效”，從而使組織無法確保其所依賴的運行、交易及其它敏感數(shù)據(jù)的機(jī)密性、完整性和可用性。

NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究院）從2016年起開始研發(fā)能抗量子計算的密碼算法，當(dāng)前已提出了CRYSTALS-Kyber（擬用于通用的加密，如創(chuàng)建安全網(wǎng)站）、CRYSTALS-Dilithium（擬用于數(shù)字簽名）、SPHINCS+（擬用于數(shù)字簽名）和FALCON（擬用于數(shù)字簽名）等4種后量子時代的密碼算法標(biāo)準(zhǔn)草案，并正在全球密碼界征集對標(biāo)準(zhǔn)草案的反饋。

3.5　分布式賬簿

DLT（分布式賬簿技術(shù)）或區(qū)塊鏈技術(shù)是分布式數(shù)據(jù)存儲、點對點傳輸、共識機(jī)制、加密算法等計算機(jī)技術(shù)的新型集成應(yīng)用模式或范式。工控系統(tǒng)，特別是IIoT（工業(yè)物聯(lián)網(wǎng)）系統(tǒng)，可用DLT生成不可篡改的網(wǎng)絡(luò)安全日志、審計報告，以及與IIoT組件的交互日志或網(wǎng)絡(luò)安全供應(yīng)鏈協(xié)議記錄等。使用不同的賬簿數(shù)據(jù)庫技術(shù)、不同的共識算法和不同的合約語言來定義交易的DLT實現(xiàn)會逐漸增多，這使得DLT技術(shù)能夠應(yīng)用于涉及多個參與方的安全用例，如分布式網(wǎng)絡(luò)安全通信、分布式安全審計、分布式存儲數(shù)據(jù)等場合。

4　結(jié)語

數(shù)字經(jīng)濟(jì)無處不在，新興數(shù)字技術(shù)層出不窮，隨之而來的網(wǎng)絡(luò)安全風(fēng)險也與日俱增。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)理念、機(jī)制等已不能很好地適應(yīng)新形勢、新環(huán)境、新法規(guī)的要求。為此，應(yīng)緊密跟蹤對網(wǎng)絡(luò)安全有著潛在較大影響的新技術(shù)，并加大對新興網(wǎng)絡(luò)安全理念及技術(shù)的研究、試驗示范和推廣應(yīng)用。

作者簡介

張晉賓（1967-），男，山西陽城人，正高級工程師，工學(xué)碩士，現(xiàn)就職于電力規(guī)劃設(shè)計總院，主要從事自動化、信息化工程設(shè)計、智庫及管理方面的研究。

參考文獻(xiàn)：

[1] Kaspersky. Attacks on industrial sector hit record in second quarter of 2023[EB/OL]. (2023-09-13) [2023-12-17].

[2] EU. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)[R]. 2022.

[3] Cybersecurity and Infrastructure Security Agency. Shifting the Balance of Cyber-security Risk: Principles and Approaches for Security-by Design and-Default[R]. 2023.

[4] 張晉賓. 可信工業(yè)自動化和控制系統(tǒng)研發(fā)之探討[J]. 自動化博覽, 2021, 38 (4).

[5] Industrial Internet Consortium. Industrial Internet of Things Security Framework [R]. 2023.

[6] 張晉賓, 張子立, 李云波. 區(qū)塊鏈: 概覽、國際標(biāo)準(zhǔn)及在能源領(lǐng)域的應(yīng)用分析[J]. 華電技術(shù), 2020, 42 (8).

摘自《自動化博覽》2024年1月刊