工業控制系統安全防護技術發展研究

孫彥斌，汪弘毅，田志宏 ，方濱興

（廣州大學網絡空間安全學院，廣州 510006）

一、前言

隨著工業化和信息化的深度融合，工業控制系統逐漸由傳統的封閉隔離轉為開放互聯，并與第五代移動通信（5G）、物聯網、工業互聯網等技術相結合，有效提升了工業企業的生產效率和靈活性。然而，開放互聯場景使工業控制系統的安全問題進一步凸顯，增加了工業控制系統的網絡安全風險，尤其是在相對封閉環境下的傳統工業控制系統。以高級可持續威脅（APT）攻擊[1]為代表的網絡未知威脅日益增多，呈現出國家間博弈與較量進一步增強的趨勢。工業控制系統作為與工業生產直接相關的關鍵信息基礎設施已成為APT攻擊的主要目標，面臨的攻擊威脅呈現持續性、針對性、潛伏性、隱蔽性、未知性等特點，直接影響工業生產過程，范圍覆蓋軍工、民用等多個工業領域，亟需加強工業控制系統安全防護水平。

工業控制系統直接關系工業生產且優先保障可用性，涵蓋網絡空間、物理空間，場景復雜，受到世界主要國家普遍重視。美國、歐洲等國家和地區在工業控制系統安全防護的戰略部署和政策規劃方面起步較早，具有一定的優勢。美國制定了一系列政策、標準以加強工業控制系統的安全，如出臺《關鍵基礎設施信息安全法案》（2001年），將能源等工業關鍵基礎設施列為重要保護對象；美國國家標準與技術研究院（NIST）發布《工業控制系統安全指南》（NIST SP800-82，2011年），為工業控制系統的安全保障提供指導；設立專門的工業控制系統網絡應急響應小組和多個國家實驗室負責工業控制系統的安全保障和研究工作。德國對工業安全也非常重視，推出了“數字化戰略2025”（2016年），明確了工業控制系統安全的重要性，提出了一系列促進相關技術研發和標準制定的措施。歐洲網絡安全局發布《工業控制系統網絡安全白皮書》（2013年），為工業企業實施安全防御措施提供指導。我國歷來重視網絡安全問題，堅持底線思維，著力防范化解重大風險，針對工業控制系統的安全威脅，建立有效的工業控制系統安全防護體系和方法以有效應對和化解工業控制系統重大安全風險、保障國家網絡空間安全。我國工業控制系統安全的研究與管理雖然起步晚但發展較快。2011年，工業和信息化部發布《關于加強工業控制系統信息安全管理的通知》，明確了工業控制系統安全管理的相關要求。2019年，我國實施《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239—2019，簡稱為等保2.0）[2]，將工業控制系統安全納入等級保護體系?！笆奈濉币巹澗V要提出，維護水利、電力、供水、油氣、交通、通信、網絡、金融等重要基礎設施安全，工業控制系統作為重要關鍵信息基礎設施成為未來安全防護重點。2022年，我國發布《信息安全技術 關鍵信息基礎設施安全保護要求》（GB/T 39204—2022），規定了關鍵信息基礎設施在識別分析、安全防護、檢測評估等方面的安全控制措施；作為我國首個正式發布的關鍵信息基礎設施安全保護標準，為關鍵信息基礎設施更好開展安全保護工作提供了操作指引。

在工業控制系統安全防護技術及體系研究方面，目前已提出了可編程邏輯控制器（PLC）程序安全分析、工業行為異常檢測、工業控制協議安全分析等方法，但主流方法仍沿用傳統安全防護技術提出了面向工業控制系統的主機防護、防火墻、入侵檢測、蜜罐、可信計算等技術，建立了以縱深防護、主動防護為代表的安全防護體系?，F有工業控制系統安全防護面臨兩方面挑戰：一方面，現有安全防護體系難以全面應對隱蔽未知的APT攻擊，另一方面，對針對物理空間以及跨信息域和物理域的攻擊難以適用，無法直接用于解決工業控制系統安全問題。本文在剖析工業控制系統基本構成和面臨的安全防護挑戰基礎上，梳理工業控制系統安全防護技術的發展現狀，厘清工業控制系統安全防護技術的重點任務及關鍵技術，探索新的安全防護體系、方法及未來發展路線，以期為提升工業控制系統安全防護能力提供參考。

二、工業控制系統的基本構成與面臨的安全防護挑戰

（一）工業控制系統的基本構成

工業控制系統抽象模型多采用層次架構，包括普渡模型[3]、IEC62264-1標準層次結構模型[4]等。我國等保2.0標準中的工業控制系統相關等級保護要求參考了IEC 62264-1層次結構模型。以該模型為例，工業控制系統自上而下可分為5層（見圖1）：企業資源層、生產管理層、過程監控層、現場控制層和現場設備層。企業資源層可為企業提供決策運行手段；生產管理層可對生產過程進行管理；過程監控層主要對生產過程數據進行采集與監控，并利用人機界面（HMI）系統實現人機交互；現場控制層通過PLC、分布式控制系統（DCS）、遠程終端單元（RTU）等控制設備對現場的傳感設備、執行設備進行采集和控制；現場設備層主要涉及各類過程傳感設備與執行設備單元，對生產過程進行感知與操作。IEC 62264-1層次模型是一種通用的層次模型，盡管電力、冶金、石化等領域的實際工業控制網絡架構與其存在一定的差異，如某些層次可能需要扁平化，但該模型仍能覆蓋大部分工業控制場景，具有很高的參考價值。

圖1 IEC 62264-1工業控制系統層次模型

以生產管理層分界，企業資源層、生產管理層多采用信息領域相關的通用技術，其他層多采用工業控制系統特有技術。針對工業控制系統企業資源層和生產管理層的攻擊與傳統針對信息系統的網絡攻擊類似，因此，工業控制系統安全可主要關注現場設備層、現場控制層、過程監控層等，而面向這3層的網絡攻擊通常會給控制設備、工業現場帶來嚴重危害。

區別于傳統信息網絡，工業控制系統的特殊性主要表現在：① 信息化與自動化融合。工業控制系統融合了信息系統和自動化系統，既需要信息系統提供智能化采集、監測、管理和決策，也需要自動化系統實現對現場工業設備的自動高效控制。② 空間互通。工業控制系統的作用域涵蓋網絡空間和物理空間，網絡空間的決策可影響物理空間的動作，物理空間狀態反過來也會影響網絡空間的決策。③ 可用優先。工業控制系統在設計之初與外部網絡隔離，未考慮安全問題，與工業現場生產關系緊密，設備分散且要求全時段不間斷運行，不易通過停產升級以解決安全問題。因此，針對工業控制系統的攻擊呈現跨越網絡空間和物理空間的特點，與傳統網絡攻擊技術存在較大差異，亟需對安全防護技術進行優化。

（二）工業控制系統安全防護技術面臨的挑戰

現有工業控制系統安全防護體系在應對網絡攻擊時呈現出以下特點。① 網絡攻防技術的不對稱性。網絡攻擊技術只需突破工業控制系統的某個點，網絡防護技術則需要兼顧整個工業控制系統，防守方天然處于不利地位。此外，威脅情報不對稱進一步加劇了技術水平的不對稱。我國關鍵工業控制設備大多源自國外供應商，易被惡意植入后門、木馬，只能以“黑盒”方式研究工業控制系統的安全問題，在攻防對抗中不占優勢；同時，不同工業控制設備廠商之間存在技術壁壘，攻防技術難以通用。② 攻防過程的強對抗性。針對工業控制系統的攻擊呈現有組織、集團化特點，攻擊組織往往掌握目標系統的多個零日（0day）漏洞、系統 / 設備后門甚至能夠偽造合法憑證，攻擊過程較為隱蔽、攻擊手段多樣、對抗能力較強，致使我國的工業控制系統安全防護疲于應對。③ 安全防護的緊耦合性。工業控制系統所采用的縱深防護、主動防護等措施多以強關聯、緊耦合的方式進行設計、研發和部署，是一種“自衛模式”，確保了工業控制系統可以通過自身安全能力建設應對威脅，但這種防護模式在工業控制場景中會對工業控制系統產生一定程度的侵入式影響，對未知攻擊難以快速響應。④ 安全更新的高延遲性。工業控制設備和系統要求全時段運行，同時，我國存在大量缺乏維護的老舊工業控制設備，為確保系統穩定運行，不能輕易對此類設備進行改動，以免影響生產。這類工業控制系統在遇到安全問題時，往往無法立即停機更新，更新相對滯后。

工業控制系統安全防護的上述特點使得工業控制系統在攻防對抗中面臨“摸不透”和“控不住”兩方面的挑戰。

1. 工業控制系統面臨“摸不透”困境

當前，我國工業領域的核心設備、固件、軟件、協議等被國外供應商垂直壟斷。在關鍵工業控制設備PLC方面，西門子股份公司生產的PLC在大、中型PLC市場上具有較強的競爭優勢，約占我國PLC市場規模的44%；羅克韋爾自動化有限公司在大型PLC產品市場中具有絕對優勢[5]。由于工業場景復雜多樣、需求不一，不同場景下適用的設備和通信協議各不相同很難形成統一規范，面臨中央處理器（CPU）專用、操作系統閉源、協議碎片化等問題，這種封閉性、排他性使我國在某些核心領域很難有所突破。同時，國外供應商為維持各自的市場和技術優勢，建立了覆蓋硬件、固件、軟件、協議的完整垂直生態系統，采用獨立、排他且不公開的標準和協議，致使其他廠商的產品很難融入。例如，在工業領域中，僅通信協議就存在多種不同的標準協議，如RS-232、RS-485、CAN、Modbus、PROFINET、Modbus TCP、UMAS、S7comm、S7comm-Plus、PPI、DNP3、Omron FINS、Melsec等。以上現狀致使我國工業控制領域的核心技術、核心設備長期依賴進口，關鍵技術被“卡脖子”，易受技術封鎖和制裁，產業安全受制于人。

“摸不透”困境也嚴重影響了工業控制系統的網絡安全。我國企業大量的專用軟 / 硬件工業控制設備（系統）長期被國外壟斷，相關設計方案、運行機理、源碼、測試方案、設備維護數據等不對外公開，導致安全分析只能采用“黑盒”操作，很難摸透相關設備（系統）的內部機理，存在較大的安全隱患，不易發現可能存在的漏洞和后門；而國外供應商則完全掌握設備（系統）及設備漏洞，甚至可以預設后門監測通信數據或實施攻擊。在攻防對抗中，對安全防護對象“摸不透”致使大量未知威脅難以被發現，甚至可能掉入對方設置的“漏洞陷阱”。

2. 工業控制系統面臨“控不住”難題

從攻防對抗角度來看，我國工業控制系統安全防護技術缺乏突破性進展和創新性技術。當前，針對工業控制系統的攻擊手段、規模、對象等均體現出鮮明的組織化、規模性和指向性特點，現有工業控制系統安全防護技術難以有效應對，面臨“控不住”問題；針對工業控制系統的攻擊隱蔽性強、威脅大，攻擊方法難以預測，導致工業控制系統面臨“未知的未知”網絡攻擊。同時，工業控制系統設備更新換代慢，存在大量老舊設備，依靠系統自身內在的安全能力難以應對未知安全威脅?，F有的內生安全、主動防護、縱深防護等“自衛模式”安全防護體系深入到工業控制系統內部，已為工業控制系統逐步建立起內在的安全防護能力，在一定程度上緩解了我國工業控制安全防護的迫切需求。然而，“自衛模式”安全防護體系從工業控制系統內部構建安全能力會采取一定的侵入式安全措施，影響工業生產，同時針對威脅的防護能力需要一定時間逐步建立，無法快速反應。因此，亟需在不影響工業控制系統原有架構的基礎上，在工業控制系統外部形成防護能力，以“護衛模式”安全防護體系彌補現有“自衛模式”體系的不足。

工業控制系統直接關聯工業現場，很難直接在工業控制系統上實施安全測試、攻防演練、技術驗證，較多依賴工業控制靶場復現以還原工業場景。因此，缺乏可用靶場平臺成為制約工業控制系統安全防護發展的重要因素之一。目前，我國工業控制網絡靶場的建設、管理、運營缺乏頂層規劃，存在重復建設、資源分散難以共享等問題，未能充分挖掘和發揮其潛力，服務于工業控制系統安全防護。

三、工業控制系統安全防護技術的發展現狀

工業控制系統安全防護技術與攻擊技術的發展緊密相關，二者在對抗中螺旋上升。在介紹典型工業控制系統攻擊技術的基礎上，梳理工業控制系統安全防護技術的發展現狀。

（一）工業控制系統攻擊技術

針對工業控制系統的攻擊多為高隱蔽、未知類攻擊，極易給工業現場的正常運行帶來嚴重破壞[6]。工業控制系統攻擊主要集中在過程監控層、現場控制層、現場設備層。按照層次順序，工業控制系統攻擊可分為上位機攻擊、工業控制協議攻擊、控制邏輯攻擊、虛假數據注入攻擊等，主要通過非法地址訪問、非法控制命令下發、惡意控制邏輯注入、數據篡改等手段達到竊取數據，實現控制和損害工業生產的目的。

1. 上位機攻擊

上位機與工業控制設備（如PLC、DCS）連接，通過控制設備采集工業現場數據，并根據工業現場情況下發控制命令或控制邏輯。一般上位機攻擊過程如圖2所示。由于工業控制系統處于內網，攻擊者通過社工、滲透等手段進入內網，利用已知或0day漏洞對上位機發起攻擊，實現對上位機的非法控制。一旦上位機被控制，攻擊者可直接向工業控制設備發送控制命令或注入惡意控制邏輯，從而控制或破壞工業生產過程。同時，為達到隱蔽效果，攻擊者還可能篡改或采集工業現場數據，使管理者誤以為工業現場運行正常。典型的上位機攻擊有震網攻擊[7]、黑色能量病毒攻擊[8]、Triton攻擊[9]等。

圖2 上位機攻擊

2. 工業控制協議攻擊

工業控制協議（規約）是工業控制系統內部數據或控制命令傳輸的標準，上位機、控制設備按照協議規范來交換信息。工業控制協議多為工業控制設備廠商的私有協議且缺乏安全考慮，大量工業控制協議缺少有效認證、加密等安全機制。

工業控制協議攻擊首先進行協議逆向以獲取協議格式及語義，結合漏洞挖掘方法進一步發現工業控制協議的安全漏洞，如缺乏寫保護、明文發送密碼、小密鑰空間和單向認證等[10]。攻擊者構造惡意客戶端，利用協議漏洞繞過PLC安全校驗并與PLC建立連接，從而獲取PLC控制權。攻擊者也可實施中間人攻擊（見圖3），通過劫持上位機與PLC間的通信，偽裝為上位機、PLC分別與對方建立連接，向PLC下達非法命令或攻擊負載，并使用篡改或偽造的協議響應報文隱藏攻擊。已有研究[11~16]對S7comm-plus、IEC 60870-5-104、Modbus等工業控制協議進行了安全分析并驗證了重放、中間人等攻擊。

圖3 工業控制協議的中間人攻擊

3. 控制邏輯攻擊

控制邏輯指PLC、DCS等工業控制設備上運行的控制程序，由工程師編寫、編譯后下載至工業控制設備，以工業運行數據作為控制程序輸入，按照一定控制邏輯輸出控制動作并下發給工業現場執行設備，進而確保工業生產的穩定運行?？刂七壿嫻粢话阃ㄟ^向工業控制設備植入惡意的控制邏輯程序或程序段以篡改其控制過程，典型的如震網病毒、邏輯炸彈[17]、時間中斷控制邏輯攻擊[18]等。部分惡意控制邏輯具備內網傳播功能，采用類似病毒的傳播方式，通過控制設備通信模塊在內網傳播惡意邏輯程序，如借助惡意控制邏輯構造的非法網關[19]、PLC蠕蟲病毒[20]等。此外，還有一些攻擊方法針對控制邏輯程序本身展開逆向分析和建模研究，通過對控制邏輯的分析找到更多針對工業現場的攻擊策略，以增強攻擊效果、提高攻擊隱蔽性，如控制流攻擊[21]、過程感知攻擊[22,23]等。

4. 虛假數據注入攻擊

虛假數據注入攻擊通過篡改工業傳感器數據，欺騙上位機或PLC設備以影響工業控制決策。如圖4所示，一旦傳感器被攻擊者攻陷，攻擊者即可利用傳感器向工業控制系統注入虛假工業現場數據。PLC、上位機均以采集數據作為輸入，基于控制邏輯或狀態估計算法進行現場控制或決策。若部分工業現場數據被攻擊者注入了虛假值，將帶來PLC或上位機的控制、決策錯誤，直接影響工業生產。虛假數據注入攻擊效果與攻擊者掌握的工業控制系統拓撲及重要數據相關。按照攻擊者掌握的工業控制系統信息數量，虛假數據注入攻擊可分為全局數據注入攻擊[24~26]、局部數據注入攻擊[27~29]和盲數據注入攻擊[30,31]。

圖4 虛假數據注入攻擊

綜上所述，工業控制系統攻擊技術多以控制或破壞工業生產過程為目的，結合滲透攻擊、隱藏攻擊等手段，相關攻擊更具有隱蔽性和威脅性。對工業控制系統攻擊的前提是需要掌握大量背景知識和安全情報，如網絡拓撲、工業控制協議、已知漏洞、0day漏洞、隱藏后門、控制流程等。然而，當前，我國的工業控制生態相對封閉、受國外垂直壟斷等不利因素制約了攻擊威懾能力、發現潛在攻擊威脅能力的提升。

（二）工業控制系統安全防護技術

從已公開的攻擊技術來看，針對工業控制系統的攻擊技術研究已經深入工業控制系統內部，依靠單一技術層面“一對一”攻防對抗無法應對層出不窮的攻擊手段，尤其是攻擊組織仍可能掌握大量未公開的攻擊手段。因此，工業控制系統安全防護的重點在于構建合適的安全防護體系，綜合運用各類防護技術，實現整體防護效果。

1. 工業控制系統安全防護關鍵技術

工業控制系統安全防護技術沿用并改進了已有的主機防護、防火墻、入侵檢測、蜜罐等傳統技術。工業控制上位機安全防護的重點是對工業控制組態軟件、編程軟件的安全運行監測。工業控制系統在運用傳統防火墻技術的基礎上加入“白名單”、工業控制協議深度包解析等技術，對工業控制專有流量進行解析和過濾；入侵檢測主要采用傳統或智能化方法展開基于工業控制流量、協議、運行狀態的攻擊檢測[32]；工業控制蜜罐技術主要用于工業控制系統的威脅誘捕，其誘捕效果依賴蜜罐的交互程度，因此，研究重點關注對工業控制協議、工業控制邏輯、工業現場的高逼真仿真以構建高交互工業控制蜜罐[33]。

針對工業控制系統特有設備、軟件和場景（如PLC程序、工業現場），已提出了新的工業控制安全防護方法，如工業控制系統攻擊圖構建[34]、工業控制系統態勢感知[35]、PLC程序安全分析[36,37]、工業行為異常檢測、工業控制漏洞挖掘（協議、軟件及固件）[38,39]等。此外，基于物理系統高保真模型的攻擊預測方法[40]，可以通過軟件仿真模糊測試，自動發現導致物理系統不安全狀態的攻擊行為。

針對工業控制系統自身的安全缺陷改進，在協議層面，提出了多種安全工業控制協議，如S7comm-Plus、CIP Security等；在設備層面，研究重點是將可信計算技術與工業控制設備結合，構建安全可信的運行環境。

2. 工業控制系統安全防護體系

工業控制系統安全防護體系的發展態勢是從單純的邊界防護、被動防護轉變成縱深防護、主動防護等多種防護體系相結合。工業控制系統邊界防護的重點是網絡邊界隔離，利用防火墻、安全網關、網絡隔離等設備進行區域隔離，如電力系統安全防護將邊界防護作為其防護體系重要部分，實行“安全分區、網絡專用、橫向隔離、縱向認證”的安全防護策略。工業控制系統邊界防護的存在的主要問題是盲目信任邊界防護的效果，很難發現以APT為代表的高級可持續攻擊。

工業控制系統的縱深防護體系采用多樣化、多層次、縱深的安全措施來保障網絡安全。在網絡架構方面，結合邊界防護進行縱向分層、橫向分區，根據區域 / 層次在業務、安全需求的不同，采用不同的安全防護方法；在防護對象方面，根據設備、主機、網絡、應用、數據等防護對象的不同，逐層采用差別化的安全防護方法；在防護能力方面，采用保護 - 檢測 - 響應 - 恢復（PDRR）、識別 - 保護 - 檢測 - 響應 - 恢復（IPDRR）等安全防護模型，運用識別、保護、檢測、響應、恢復等安全能力在不同威脅階段應對網絡攻擊。

根據防護方式的不同，工業控制系統防護體系可以分為被動防護和主動防護。被動防護指工業控制系統在遭受網絡攻擊后，通過采取防護措施加以應對的防護體系，如防火墻、入侵檢測、惡意代碼掃描等。主動防護則是在攻擊實施前，通過威脅誘捕、可信度量、擬態防護等主動防護技術，提前發現安全威脅，并轉移、消除潛在威脅。主動防護通常與縱深防護結合，可以構建多樣化的安全防護體系。目前，工業控制系統安全防護體系正由被動防護向主動防護與被動防護相結合的方向發展。

四、工業控制系統安全防護技術的重點任務及攻關路徑

（一）工業控制系統安全防護的重點任務

1. 確保自主安全可控

目前，我國工業控制系統的相關軟硬件具有較大的國產化空間。以PLC設備為例，國內市場主要由西門子、三菱、歐姆龍、羅克韋爾和施耐德等國外品牌主導，實現工業控制系統的自主安全可控成為亟需。針對工業控制設備不可控引發的“摸不透”困境，可從解決不可控問題本身和應對不可控引發的安全風險兩方面展開研究。① 工業領域現有的“煙囪式”縱向壟斷現狀使我國工業控制系統軟 / 硬件核心技術依賴進口，生態垂直壟斷，安全問題受制于人。因此，可借鑒計算機系統橫向打通的發展歷程，在CPU、操作系統、工業控制協議、工業軟件等層面建立工業控制系統橫向生態模式（見圖5），從而創造工業控制領域快速發展機遇，從根本上解決“摸不透”問題。② 建立底線思維和解決方案，針對非自主可控的工業設備，在關鍵設備受控于人且“不得不用”的情況下，探索非自主可控場景下的應對方法，如在進口設備端口串聯“限制器”（如審計盒子、網絡靶場等），實時監測取證、訪問控制進口設備的“不法”行為。

圖5 橫向打通工業控制系統生態

2. 構建新型工業控制系統安全防護體系

我國工業控制系統安全防護體系多借鑒IPDRR安全防護模型，從工業控制系統內部建立防護能力，屬于自衛防護模式，缺乏與工業控制系統的深度融合，缺乏有效手段應對未知攻擊，從而引發“控不住”問題。針對“控不住”困境，可從深化現有“自衛模式”和推動新型“護衛模式”安全防護體系兩方面展開研究。

深化現有“自衛模式”安全防護體系。工業控制系統安全是信息安全和功能安全的融合，因此，“自衛模式”安全防護體系應將這兩方面的安全因素考慮進去，研究黑客、有組織犯罪等人為因素對工業控制系統產生的信息安全威脅；還應考慮工業控制系統的功能結構和運行特點，分析因現場設備、工藝過程破環導致的功能安全問題以及功能安全威脅和信息安全威脅結合產生的安全問題，從控制網絡、控制系統、控制過程等方面進行防護，從工業控制系統全生命周期角度研究信息域和功能域融合的安全問題[41]。

在“自衛模式”基礎上，探索構建“護衛模式”安全防護體系。目前，研究人員已構建了“盾立方”護衛模式安全防護體系[42]，并在工業控制場景中應用，有效提升了工業控制系統的防護能力。因此，在此基礎上，今后可構建覆蓋工業控制系統和物聯網的“四蜜”威脅感知體系，建立全流程的威脅感知，實現非侵入、全流程威脅探測；開展跨域的關聯研判，通過信息域內部的跨域關聯、信息域和功能域的外部跨域關聯，從信息安全和功能安全融合角度研究全域攻擊研判；探索功能安全和信息安全（雙安）沖突消解的“邊端網疆”立體管控方法，挖掘功能安全基線，結合功能安全風險評估和人在回路等機制建立雙安融合的立體管控能力。

此外，面向工業控制安全技術驗證、攻防演練，新型工業控制網絡靶場也是工業控制安全發展重要發展方向之一。探索工業控制網絡靶場與數字孿生等新技術相結合，利用數字孿生技術構建可復制、高逼真度的網絡靶場。

（二）我國工業控制系統安全防護關鍵技術攻關路徑

1. 自主可控安全關鍵技術的攻關路徑

建議行業主管部門加強頂層規劃，制定工業領域關鍵基礎設施自主可控發展規劃，加強在戰略規劃、標準規范制定、關鍵技術突破、平臺構建、示范應用推廣等方面的政策激勵和資源引導。積極構建可橫向打通的工業控制系統生態體系，聚合科研院所、企業、高校等資源，建立長期穩定的溝通和合作機制，優化科研考核機制，確保自主可控工業控制系統生態研制過程中的智力支持和物質保障。

針對工業控制設備的不可控風險，推動自主可控的開源RISC-V智控芯片與工業制造領域相結合，推動自主安全的工業操作系統（固件）、工業控制協議以及工業軟件研究，促進自主安全的橫向工業控制系統生態建設。研究工業控制系統的安全性測試與評估技術，實現工控系統級安全性的科學準確量化評估。

探索非自主可控工業控制設備的底線安全確保機制，推進進口設備行為全流程監測和訪問控制技術，鼓勵為進口設備配備“限制器”，確保進口設備行為全流程可監測、可控制，并逐步形成制度規范。注重從多方面、多渠道對非自主可控的工業控制設備進行安全分析，提升設備掌控能力。

2. 新型工業控制系統安全防護關鍵技術的攻關路徑

建立完善的5G、人工智能融合場景下的工業控制系統安全頂層設計，制定結合“自衛模式”和“護衛模式”的安全防護政策，探索新型工業控制系統安全防護體系及其關鍵技術。針對工業控制系統雙安融合的特點，研究雙安融合背景下的威脅感知、攻擊檢測、響應處置等技術，綜合考量通信網絡、控制系統、工業現場，構建全生命周期信息域和功能域融合的“自衛模式”安全防護技術體系。研究工業控制場景下的“護衛模式”安全防御體系，深入結合工業控制系統的實際需求，突破全流程攻擊感知、信息和功能跨域關聯研判、雙安沖突消解立體管控，建立跨功能域和信息域的立體式“護衛模式”安全防護體系。結合網絡靶場監測和高逼真度仿真能力，重點建立靶場攻擊監測、情報收集、全流程攻擊感知等能力。推動非侵入式“護衛模式”防護技術的快速落地應用，增強工業控制系統的安全防護能力。

基于數字孿生技術，構建工業控制網絡靶場技術及靶場場景還原技術，形成可復制、高逼真度、快速還原的工業控制網絡靶場。推進工業控制聯邦網絡靶場關鍵技術研究，建立分布式、多點互動的工業控制網絡靶場。充分運用網絡靶場全流程監測和威脅場景再現的特點，研究基于靶場的安全眾測、運維監測、風險評估等應用技術，從多方面提升工業控制系統的安全防護能力。為支持技術驗證和人才培養，建議在國家層面統籌重要工業控制網絡靶場資源，面向不同應用需求建立公共服務靶場，制定靶場資源共享機制，探索靶場共享技術方法，如分布式靶場技術，實現網絡靶場資源的最優化利用。

五、結語

本文圍繞工業控制系統安全問題，分析了工業控制系統安全防護面臨的“摸不透”“控不住”困境，總結了工業控制系統攻擊技術和防護技術的發展現狀，發現我國在自主可控安全和應對高隱蔽未知威脅應對方面仍存在不足。因此，針對自主可控安全問題，提出了構建基于開源RISC-V芯片的橫向工業控制系統生態和基于“限制器”的進口設備底線確保機制；針對高隱蔽未知威脅，提出了“自衛模式+護衛模式”的新型安全防護體系，分析了相關的重點任務和關鍵技術攻關路徑。

安全是一種持續對抗的過程。隨著工業互聯網、5G等新技術和應用的推廣，工業控制系統將面臨攻擊面擴大、網絡邊界模糊化、隔離強度下降、終端海量異構等一系列新問題，安全挑戰將進一步加劇。無論如何變化，自主可控都是安全的前提和基礎。鑒于工業控制系統的可用性優先特點，安全防護技術研究應始終以不影響工業生產為前提，因此，“護衛模式”網絡安全防護技術以其非侵入優勢將是未來重要的防護技術體系之一。

利益沖突聲明

本文作者在此聲明彼此之間不存在任何利益沖突或財務沖突。

Received date:July 28, 2023;Revised date:October 25, 2023

Corresponding author:Tian Zhihong is a professor from the Cyberspace Institute of Advanced Technology, Guangzhou University. His major research field is cybersecurity. E-mail: tianzhihong@gzhu.edu.cn

Funding project:Chinese Academy of Engineering project “Development Strategy of Industrial Internet Security Technology” (2022-JB-04);National Natural Science Fund project (62072130)