工業網際網路環境下的工業控制系統安全防護

工業網際網路作為新一代網路資訊科技與製造業深度融合的產物，是實現產業數字化、網路化、智慧化發展的重要基礎設施和關鍵技術支撐，被廣泛認為是第四次工業革命的重要基石。我國工業網際網路與已開發國家基本同步起步，近年來5G基礎設施建設不斷完善，新技術、新應用與工業網際網路技術融合持續研發和推廣使用，給我國工業網際網路發展帶來了巨大的機遇的同時，也讓我國工業網際網路面臨嚴峻的挑戰。  

我國工業網際網路面臨的風險分析

一直以來，工業企業在網路安全防護方面存在幾個顯著誤區，例如：將網路安全產品的部署等同於工業系統得到網路安全防護；將產品透過測試等同於相應產品安全；將安全的工業系統等同於工業系統網路安全。 

實際上不合理的配置、相應的安全功能未開啟，錯誤的產品搭配以及工業系統安全防護層面設計的先天不足等普遍存在的因素，導致網路安全產品的部署會引入一定的網路安全風險。另外，針對產品的安全測試僅能反映當前安全狀態，無法發現可能出現的新漏洞，及攻擊者利用新漏洞實施網路攻擊的手段。“運維”人員安全意識淡薄，導致資訊洩露、使用未檢測並授權裝置和安全策略落實不到位等，也會使得看似安全的工業系統存在風險。 

目前，在工業網際網路環境下，工業企業主要面臨以下幾個方面的安全風險： 

1、裝置安全風險 

傳統工業裝置更多注重業務連續性需求，日常執行維護主要也是針對安全生產內容開展相關工作，各個環節對網路安全內容涉及較少，基本不具備防護各種網路攻擊的能力。但是，工業網際網路將越來越多的智慧化裝置引入到工業控制系統中，直接參與生產，使得工業控制系統面臨嚴重的裝置安全風險。 

2、網路安全風險 

網路IP化、無線化、組網靈活化，給工業網際網路環境下的工業控制系統帶來更大的安全風險。TCP／IP 等通用的網路協議在工業網路中的應用，大大降低了網路攻擊門檻，傳統的工業控制系統防護策略無法抵禦多數網路攻擊。為了滿足生產需要，無線通訊網路在各工業生產場景下得到廣泛使用，趨於單一的安全防護機制讓攻擊者極易透過無線網路入侵，並實施網路攻擊。同時，網路的互相融合，使得工業組網越來越靈活複雜，傳統的防護策略面臨攻擊手段動態化的嚴峻挑戰。

3、控制安全風險 

傳統控制過程、控制軟體主要注重功能安全，並且基於IT 和OT 技術相對隔離、可信的基礎上進行設計。同時，為了滿足工業控制系統實時性和高可靠性需求，對於身份認證、傳輸加密、授權訪問等方面安全功能進行極大地弱化甚至丟棄，導致工業控制系統面臨極大的控制安全風險。 

4、資料安全風險 

工業網際網路業務結構複雜，工業資料更是種類多樣、體量巨大、流向複雜，而且涉及大量使用者隱私資料，導致工業資料保護難度增大。 

5、應用安全風險 

隨著工業網際網路不斷催生新的商業模式和工業產業生態，工業網際網路相關應用無論從數量還是種類將會出現迅速增長。這對工業網際網路安全防護在應用方面提出了更高的要求，以應對工業網際網路應用種類多樣化、數量巨大化和程式複雜化帶來的挑戰。

工業網際網路環境下的安全防護研究

為提高工業網際網路環境下的工業企業安全防護水平和保障能力，應在以下幾個層面積極開展安全防護研究相關工作。 

1、裝置安全 

工業企業需根據自身需求，使用採取措施對裝置韌體進行安全加固的裝置，並建立裝置、作業系統漏洞發現和補丁更新機制，確保及時發現相關安全漏洞、進行補丁升級。必要時，採用基於硬體的可信驗證技術，為裝置的安全啟動以及資料傳輸機密性和完整性保護提供支援。 

2、網路分割槽與邊界隔離

針對網路融合帶來的風險，企業應根據業務開展需求和相應風險評估結論，最佳化網路結構設計，調整網路安全區域，重新定義網路邊界及防護策略以適應網路結構變化。並且在網路接入認證，重要資料傳輸加密等方面加大投入力度，確保網路通訊的安全性。 

3、控制安全與防護 

對於控制安全與防護，主要應從控制協議、控制軟體和控制功能入手。加強認證授權、協議加密、協議過濾和惡意篡改等方面技術，並在使用前確保開展控制協議健壯性測試、軟體安全測試及加固等工作。在惡意程式碼防護、補丁升級和漏洞修復方面還應建立切實可行的防護機制，確保落實到位。 

4、資料保護 

對於工業網際網路的資料安全防護，工業企業可採取資料加密、訪問控制、身份認證、資料脫敏及業務資料隔離等多種防護措施協同聯動的方式進行防護，覆蓋包括資料收集、傳輸、儲存、處理、脫敏和銷燬等全生命週期。

5、應用防控與檢測 

工業網際網路應用安全需從工業網際網路平臺與工業應用程式兩方面進行防護。對於工業網際網路平臺，可採取的安全措施包括安全審計、身份認證、訪問授權、抗 DDoS 攻擊等。對於工業應用程式，可採用全生命週期的安全防護，在應用程式的開發過程中進行程式碼審計，以減少漏洞的引入和安全功能缺陷；“運維”過程中需定期進行漏洞檢測、流程稽核及滲透測試等安全 測試和功能測試，及時針對安全漏洞和後門進行評估與修復。 

6、監測感知 

工業企業可部署所需的監測措施，針對典型網路攻擊（病毒 傳播、DoS）、異常網路行為、裝置非授權接入、APT攻擊、關鍵操作指令、關鍵工藝引數等進行分析，發現工業控制系統內部及外部存在的安全威脅。可與邊界防護措施形成互補、聯動，也可為安全事件分析提供證據支撐，進而有效提高整體網路安全防護水平。

幾維安全 解決工業企業安全防護核心痛點

幾維安全IoT 韌體虛擬化系統是一款面向智慧汽車、移動遊戲、移動金融、反欺詐、IoT物聯網等行業的核心程式加密產品。支援對 C/C++程式碼進行虛擬化保護，在專案工程編譯時直接對指定的函式【程式碼】實施虛擬化編譯，生成受保護的韌體程式。憑藉自定義 CPU 指令的特性，程式碼一旦加密，永不解密，攻擊者無法逆向還原始碼，分析其核心業務邏輯。可幫助中大型企業在通訊、支付、演算法、核心技術等模組進行深度加密，避免因逆向破解問題對公司造成經濟或者名譽上的損失。

1、旗艦級加密

加密後的程式碼被轉化為自定義的私有指令格式，其加密過程不可逆，相比傳統的程式碼混淆技術安全性更高。

2、函式級虛擬化

以 C、C++原始檔的函式為單位進行虛擬化，具備粒度細、可控性高、隱蔽性強等特點。

3、全平臺全架構

基於 LLVM-IR 中間程式碼進行虛擬化，加密完成後再連結生成目標檔案，相容所有 CPU 架構，包括常見的 X86、X64、ARM、ARM64，不常見的 MIPS等架構，同時也相容 IOS、Android、IoT、Linux 等系統平臺。

4、無相容性問題

虛擬化編譯器在連結生成目標檔案之前進行虛擬化處理，不依賴特定系統環境，其相容性與原始應用一樣。

5、效能、體積損耗小

經過特殊的 IoT 環境適配處理，虛擬化後的效能和提交損耗小，適用各種低運算能力的裝置。

6、部署靈活、簡單

支援離線部署方式，透過簡單配置即可使用虛擬化系統，不破壞原始編譯流程。

最後，我國高度重視工業網際網路發展，安全方面的政策檔案、標準規範更是相應與印發。安全是工業網際網路健康發展的前提和保障，工業企業只有構建適應工業網際網路發展的安全體系，完善滿足生產需求的安全技術和管理機制，才能有效識別和抵禦來自企業內部和外部的各種安全威脅，實現工業網際網路環境下的工業控制系統安全防護目標。