久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★ 張晉賓 電力規(guī)劃設(shè)計(jì)總院

隨著工控系統(tǒng)的進(jìn)一步開放互聯(lián)、數(shù)字化、網(wǎng)絡(luò)化、無線化甚至全面云化，工控系統(tǒng)自身的網(wǎng)絡(luò)安全脆弱性和所面臨來自自然環(huán)境、人為失誤、設(shè)備故障、惡意軟件、工業(yè)間諜、犯罪組織、恐怖分子、境外國(guó)家力量、地區(qū)沖突與戰(zhàn)爭(zhēng)行為等方面的威脅與日俱增。據(jù)卡巴斯基ICS CERT觀察報(bào)告，2023年上半年全球有34%的工控系統(tǒng)（ICS）計(jì)算機(jī)探測(cè)到并屏蔽了各類惡意對(duì)象，2023年第二季度出現(xiàn)了自2019年以來全球最高的季度威脅水平，26.8%的ICS計(jì)算機(jī)受到影響。

在此背景下，世界主要經(jīng)濟(jì)體紛紛出臺(tái)或修訂相關(guān)網(wǎng)絡(luò)安全法律法規(guī)，如中國(guó)《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，美國(guó)《Cybersecurity Act》（網(wǎng)絡(luò)安全法）、NERC CIP（關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）系列要求，歐盟《Directive on Security of Network and Information Systems》（revised）（網(wǎng)絡(luò)與信息系統(tǒng)安全指令2，簡(jiǎn)稱“NIS2指令”，該指令已于2023年1月生效，并要求各成員國(guó)必須在2024年10月17日之前將該指令轉(zhuǎn)化為國(guó)家法律）等。較之第1版NIS，NIS2適用范圍大增，所適用的基礎(chǔ)服務(wù)包括能源（電力、區(qū)域供熱和供冷、石油、天然氣、氫氣）、藥品及疫苗制造、飲用水和廢水、交通、銀行、金融市場(chǎng)基礎(chǔ)設(shè)施、健康、數(shù)字基礎(chǔ)設(shè)施、信息通信技術(shù)服務(wù)管理、太空工業(yè)、中央及區(qū)域公共管理等，所適用的重要服務(wù)包括郵政與快遞服務(wù)、廢棄物管理、化學(xué)品、醫(yī)療器械制造、電子/電氣/機(jī)械/交通設(shè)備及產(chǎn)品制造、數(shù)字服務(wù)提供商等，并要求運(yùn)營(yíng)基礎(chǔ)服務(wù)的組織必需更有效地全鏈條管理IT（信息技術(shù)）和OT（運(yùn)營(yíng)技術(shù)），以及用于管理、監(jiān)視、控制、保護(hù)工業(yè)正常運(yùn)營(yíng)的控制系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

據(jù)MarketsandMarkets報(bào)告，工業(yè)網(wǎng)絡(luò)安全市場(chǎng)規(guī)模2022年為163億美元，預(yù)計(jì)到2028年將達(dá)到244億美元，預(yù)計(jì)從2023年到2028年的復(fù)合年增長(zhǎng)率將達(dá)到7.7%。推動(dòng)工業(yè)網(wǎng)絡(luò)安全市場(chǎng)快速增長(zhǎng)的要素是國(guó)家及社會(huì)對(duì)工業(yè)控制系統(tǒng)的關(guān)注度越來越高和其遭受的網(wǎng)絡(luò)攻擊數(shù)量持續(xù)增多。傳統(tǒng)的“封堵查殺”網(wǎng)絡(luò)安全手段，已基本無法有效應(yīng)對(duì)新形勢(shì)下系統(tǒng)性高強(qiáng)度的網(wǎng)絡(luò)攻擊，也難以滿足更加嚴(yán)格的網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的要求。為此，網(wǎng)絡(luò)安全與功能安全一體化的深度防護(hù)、設(shè)計(jì)安全、默認(rèn)安全、可信系統(tǒng)、零信任架構(gòu)等新興的安全理念不斷涌現(xiàn)（限于篇幅，本文重點(diǎn)放在安全一體化深度防護(hù)、設(shè)計(jì)安全、默認(rèn)安全）。

全球數(shù)字技術(shù)發(fā)展速度之快、輻射范圍之廣、影響程度之深前所未有，網(wǎng)絡(luò)化、數(shù)字化、智能化是大勢(shì)所趨，這其中以AI、量子計(jì)算等為代表的新一代數(shù)字技術(shù)會(huì)給工控網(wǎng)絡(luò)安全的發(fā)展帶來深遠(yuǎn)的影響，必須提前分析預(yù)判、提前謀劃應(yīng)對(duì)。

1　九位一體安全深度防護(hù)

1.1　概念

九位一體安全深度防護(hù)是指應(yīng)用多層融合[即人員安全防護(hù)層、EPC（設(shè)計(jì)、采購及建造）防護(hù)層、物理安全防護(hù)層、網(wǎng)絡(luò)安全防護(hù)層、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層、事故響應(yīng)及恢復(fù)防護(hù)層、過程自動(dòng)防護(hù)層、過程設(shè)備防護(hù)層等]的系統(tǒng)防護(hù)方法，來對(duì)被保護(hù)對(duì)象（如關(guān)鍵工業(yè)自動(dòng)化及控制系統(tǒng)、關(guān)鍵通信網(wǎng)絡(luò)、關(guān)鍵物理過程設(shè)備、安全管理中心等）進(jìn)行全面、系統(tǒng)的深度防護(hù)。九位一體安全深度防護(hù)結(jié)構(gòu)示意圖如圖1所示，從外層至內(nèi)層各層分布分別為：人員安全防護(hù)層+EPC防護(hù)層+物理安全防護(hù)層+網(wǎng)絡(luò)安全防護(hù)層+設(shè)備加固防護(hù)層+應(yīng)用及數(shù)據(jù)安全防護(hù)層+事故響應(yīng)及恢復(fù)防護(hù)層+過程自動(dòng)防護(hù)層+過程設(shè)備防護(hù)層，該九層構(gòu)成了被防護(hù)對(duì)象的風(fēng)險(xiǎn)控制手段或風(fēng)險(xiǎn)控制措施。其中的網(wǎng)絡(luò)安全防護(hù)層、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層等三層屬于數(shù)字安全控制范疇，物理安全防護(hù)層、網(wǎng)絡(luò)安全防護(hù)層、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層等四層屬于常規(guī)意義上的網(wǎng)絡(luò)安全范疇，過程自動(dòng)防護(hù)層、過程設(shè)備防護(hù)層屬于通常所謂的過程安全、功能安全范疇。

該方法與常規(guī)網(wǎng)絡(luò)安全防護(hù)方法不同，它是采用多專業(yè)分層理念來對(duì)網(wǎng)絡(luò)安全、過程安全、過程工程及組織的交叉風(fēng)險(xiǎn)進(jìn)行綜合管控，可視為網(wǎng)絡(luò)安全、功能安全、組織安全等多種安全的系統(tǒng)集成或多種安全的融合一體化。

常規(guī)的深度防護(hù)（defense in depth）是一種采用分層、冗余的防護(hù)機(jī)制來保護(hù)資產(chǎn)免受網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全防護(hù)方法，其利用組合的網(wǎng)絡(luò)安全措施而不是單一的網(wǎng)絡(luò)安全措施來抵御網(wǎng)絡(luò)攻擊[如由兩個(gè)不同的防火墻所構(gòu)成的DMZ（demilitarized zone），也稱“非軍事區(qū)”“屏蔽子網(wǎng)”，介于網(wǎng)絡(luò)之間作為“中立區(qū)”的邊界網(wǎng)絡(luò)]，且有時(shí)還考慮防護(hù)措施的多樣性，如某防護(hù)層被某種手段攻破后不應(yīng)導(dǎo)致另一防護(hù)層也會(huì)被同一種攻擊手段所攻破（如配置不同訪問控制措施的多個(gè)網(wǎng)段）。從表面上看，九位一體安全深度防護(hù)似乎與常規(guī)深度防護(hù)一樣，但實(shí)質(zhì)上兩者有著本質(zhì)的不同。常規(guī)深度防護(hù)只是試圖延緩攻擊者的攻擊時(shí)間，所構(gòu)建的縱深防御體系并未如九位一體安全深度防護(hù)一樣，設(shè)置有系統(tǒng)性的多專業(yè)級(jí)的網(wǎng)絡(luò)安全與過程安全（功能安全）一體化的綜合防護(hù)措施。試想若攻擊者攻破深度防護(hù)措施后，常規(guī)網(wǎng)絡(luò)安全深度防護(hù)是否還有能阻止或抵御攻擊者的其它工事？

1.2　九位一體安全深度防護(hù)模型結(jié)構(gòu)

在九位一體安全深度防護(hù)模型中（如圖1所示），各個(gè)防護(hù)層之間是互聯(lián)互融的。從確保滿足綜合防護(hù)高效能視角看，外層和內(nèi)層同等關(guān)鍵。

圖1 九位一體安全深度防護(hù)模型結(jié)構(gòu)示意圖

該模型結(jié)構(gòu)詳細(xì)說明如下：

（1）人員安全防護(hù)層。該層至關(guān)重要，其取決于所有利益相關(guān)方人員的意識(shí)、技能和信任。人員是安全防護(hù)中最為關(guān)鍵且易忽視的因素。被保護(hù)資產(chǎn)整個(gè)生命周期涉及到規(guī)劃人員、設(shè)計(jì)人員、制造人員、建造人員、管理人員（包括系統(tǒng)管理員、審計(jì)管理員和安全管理員等）、運(yùn)維人員和系統(tǒng)用戶等各類人員。若這些參與安全的相關(guān)人員的安全意識(shí)、業(yè)務(wù)能力和相互間的溝通信任不能滿足要求，則任何一個(gè)被保護(hù)對(duì)象都難以達(dá)到真正意義的安全。因此需對(duì)主要人員進(jìn)行身份、安全背景、專業(yè)資格或資質(zhì)等審查，簽署安全責(zé)任協(xié)議，強(qiáng)化安全意識(shí)教育和培訓(xùn)，嚴(yán)格進(jìn)行人員離崗的管理，嚴(yán)控關(guān)鍵區(qū)域或關(guān)鍵系統(tǒng)的外部人員訪問等。

（2）EPC防護(hù)層。眾所周知，好產(chǎn)品主要是通過優(yōu)良的設(shè)計(jì)和制造而得到，而并非是通過校核和檢驗(yàn)而得到。設(shè)計(jì)、采購和建造對(duì)于系統(tǒng)安全也十分重要。在設(shè)計(jì)過程中，需確保所設(shè)計(jì)方案（包括設(shè)計(jì)目標(biāo)、設(shè)計(jì)策略、設(shè)計(jì)技術(shù)規(guī)范及要求）的合理性、充分性、合規(guī)性。可信必須滲透到所有部件及其子部件，如圖2所示。在進(jìn)行可信系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)基于TCM（Trusted Cryptography Module，可信密碼模塊）或TPM（Trusted Platform Module，可信平臺(tái)模塊）建立可信根，構(gòu)建一級(jí)度量一級(jí)、一級(jí)信任一級(jí)、將信任關(guān)系擴(kuò)大到整個(gè)系統(tǒng)的可信鏈，如圖3所示，從而確保系統(tǒng)可信驗(yàn)證機(jī)制滿足要求，也可融入零信任設(shè)計(jì)機(jī)制，進(jìn)一步增強(qiáng)系統(tǒng)的防護(hù)能力；在采購過程中，采購技術(shù)規(guī)范書、采購流程、合格供應(yīng)商選取、所采購的安全產(chǎn)品均需符合相關(guān)要求，且對(duì)重要產(chǎn)品還需進(jìn)行專業(yè)測(cè)評(píng)、專項(xiàng)測(cè)試，嚴(yán)格控制外包軟件開發(fā)的安全性；在建造階段，應(yīng)嚴(yán)格進(jìn)行安全工程的過程管理和工程監(jiān)理控制，按要求做好測(cè)試驗(yàn)收，并把好系統(tǒng)交付前的關(guān)口等。

圖2 可信工控系統(tǒng)各部分間的可信關(guān)系

圖3 構(gòu)成可信對(duì)象的可信鏈?zhǔn)疽鈭D

（3）物理安全防護(hù)層。從整個(gè)安全防護(hù)來看，物理訪問控制是工業(yè)控制系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施等保護(hù)對(duì)象的安全防護(hù)基礎(chǔ)。常見的物理訪問控制措施有物理位置選擇（如滿足防震、防風(fēng)、防雨、防水、防潮等要求）、物理訪問控制（如電子門禁）、防盜竊、防破壞、防雷擊、防火、防靜電、電磁防護(hù)（甚至包括防高空電磁脈沖攻擊）等措施。

（4）網(wǎng)絡(luò)安全防護(hù)層、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層。這三層屬平常所謂的網(wǎng)絡(luò)安全防護(hù)范疇，是網(wǎng)絡(luò)安全等級(jí)保護(hù)的核心。對(duì)于工業(yè)自動(dòng)化與控制系統(tǒng)而言，常見的網(wǎng)絡(luò)安全防護(hù)措施有：邊界防護(hù)、網(wǎng)絡(luò)分段，訪問控制（如多因子、雙重控制、基于角色等），安全分區(qū)或安全域，入侵防范、惡意代碼和垃圾郵件防范，保護(hù)報(bào)文完整性、網(wǎng)絡(luò)性能監(jiān)控；最小化所暴露的攻擊面、按時(shí)軟件更新；權(quán)限最小化，維持軟件完整性、控制可操作性、可觀察性及實(shí)時(shí)性能、安全組態(tài)（如讀/寫訪問、雙重控制等）；保護(hù)數(shù)據(jù)的完整性、可信性和可用性，安全審計(jì)等。

（5）事故響應(yīng)及恢復(fù)防護(hù)層。本層需具有以下響應(yīng)及恢復(fù)能力：①及時(shí)識(shí)別、定位、標(biāo)識(shí)和遏制網(wǎng)絡(luò)攻擊；②根除故障及隱患：識(shí)別根原因、受損系統(tǒng)，恢復(fù)軟件完整性，消除脆弱性；確保移除惡意代碼、后門和根工具包，限制、關(guān)閉未經(jīng)授權(quán)的訪問點(diǎn)；③恢復(fù)：數(shù)據(jù)恢復(fù)和災(zāi)難恢復(fù)，災(zāi)難恢復(fù)包括ICS（工業(yè)自動(dòng)化及控制系統(tǒng)）數(shù)據(jù)恢復(fù)重構(gòu)和過程恢復(fù)重構(gòu)等。

（6）過程自動(dòng)防護(hù)層。本層用于①保護(hù)運(yùn)行監(jiān)視完整性、過程報(bào)警完整性、邏輯完整性、功能/順序完整性、過程穩(wěn)定性等；②保護(hù)控制邏輯、控制功能、控制流程，如保護(hù)系統(tǒng)的觸發(fā)條件、聯(lián)鎖、順序控制等；③保護(hù)過程安全功能，防止對(duì)控制獨(dú)立性和功能安全的不利影響；④分立過程控制、保護(hù)，將過程控制與主要保護(hù)分開設(shè)置，將關(guān)鍵、基礎(chǔ)控制與一般、常規(guī)控制分開設(shè)置，確保主要保護(hù)、基礎(chǔ)控制的獨(dú)立性和分散性；⑤實(shí)施職責(zé)分離原則，關(guān)鍵對(duì)象或關(guān)鍵功能采用冗余、多樣性手段，如動(dòng)力源采用電源、氣源、液壓源等。

（7）過程設(shè)備防護(hù)層。本層常用防護(hù)手段有：①采用獨(dú)立的保護(hù)驅(qū)動(dòng)裝置等；②應(yīng)用分隔、隔離、分離、分散、冗余、多樣性等手段；③應(yīng)用本質(zhì)安全設(shè)計(jì)方法，強(qiáng)化過程（如分布式發(fā)電、微電網(wǎng)、微反應(yīng)堆、減少危險(xiǎn)品庫存等），衰減或抑制風(fēng)險(xiǎn)（如通過降低運(yùn)行溫度、快速散熱、降低熱失控幾率，提前預(yù)警不安全工況、探測(cè)可燃?xì)怏w、及時(shí)火災(zāi)報(bào)警及滅火、防爆設(shè)計(jì)等來抑制鋰離子電池儲(chǔ)能系統(tǒng)運(yùn)行風(fēng)險(xiǎn)等）；④多樣化動(dòng)力源、部署由網(wǎng)絡(luò)安全等危急工況觸發(fā)的ESD（緊急跳閘或緊急停車系統(tǒng)）等。

在應(yīng)用該模型時(shí)，需注意風(fēng)險(xiǎn)和安全是兩個(gè)交織在一起的概念。一方面為了實(shí)現(xiàn)所期望的安全，首先需識(shí)別、評(píng)估所面臨的風(fēng)險(xiǎn)，通過識(shí)別和分析潛在的威脅和脆弱性，提出更有效的安全策略，所實(shí)施的安全措施對(duì)所識(shí)別的風(fēng)險(xiǎn)應(yīng)具有針對(duì)性、有效性；另一方面也應(yīng)謹(jǐn)記絕對(duì)的安全常常是難以達(dá)到的，過度嚴(yán)格的安全措施或手段不僅成本高昂而且也常常不現(xiàn)實(shí)或帶來副作用。因此，應(yīng)基于法律法規(guī)、監(jiān)管機(jī)構(gòu)的要求，結(jié)合基于過程安全分析方法[如過程安全HAZOP（危險(xiǎn)與可操作性分析）、LOPA（保護(hù)層分析）、BIA（商業(yè)影響分析）]的分析結(jié)果與基于物理攻擊場(chǎng)景和網(wǎng)絡(luò)攻擊場(chǎng)景的風(fēng)險(xiǎn)評(píng)估，識(shí)別出潛在后果及損失，來確立合適的風(fēng)險(xiǎn)準(zhǔn)則，以使所采用的安全防護(hù)措施或手段（預(yù)防、探測(cè)、減輕）與組織可接受的風(fēng)險(xiǎn)等級(jí)相平衡、相匹配。

2　設(shè)計(jì)安全及默認(rèn)安全

2.1　概念

長(zhǎng)期以來，IT（信息技術(shù)）界一直循著供應(yīng)商供應(yīng)產(chǎn)品—用戶部署產(chǎn)品后發(fā)現(xiàn)脆弱性（漏洞）—用戶自行打補(bǔ)丁修復(fù)漏洞的惡性循環(huán)。為了打破該惡性循環(huán)，美國(guó)CISA（網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）、NSA（國(guó)家安全局）、FBI（聯(lián)邦調(diào)查局）與澳大利亞、加拿大、英國(guó)、德國(guó)、荷蘭、新西蘭等國(guó)家網(wǎng)絡(luò)安全相關(guān)管理部門，于2023年4月聯(lián)合提出了在產(chǎn)品設(shè)計(jì)和開發(fā)過程中，產(chǎn)品供應(yīng)商宜遵循“設(shè)計(jì)安全”（security-by-design）和“默認(rèn)安全”（securityby-default）的原則和方法，來確保產(chǎn)品在整個(gè)生命周期的高安全性及用戶維護(hù)工作量的最小化，以防止將易受攻擊的產(chǎn)品投入市場(chǎng)。

所謂“設(shè)計(jì)安全”是指供應(yīng)商應(yīng)將用戶的產(chǎn)品網(wǎng)絡(luò)安全作為其核心業(yè)務(wù)目標(biāo)要求，而不僅僅是只考慮實(shí)現(xiàn)產(chǎn)品的單純技術(shù)功能。在產(chǎn)品全生命周期的設(shè)計(jì)開發(fā)階段，供應(yīng)商就應(yīng)實(shí)施secure-by-design（通過設(shè)計(jì)確保網(wǎng)絡(luò)安全）設(shè)計(jì)安全原則，在產(chǎn)品被投入市場(chǎng)廣泛使用或消費(fèi)之前，就應(yīng)大幅減少產(chǎn)品自身網(wǎng)絡(luò)安全缺陷的數(shù)量，并采取合理的防護(hù)措施來防止惡意網(wǎng)絡(luò)行為者成功獲得對(duì)設(shè)備、數(shù)據(jù)和連接的基礎(chǔ)設(shè)施的訪問權(quán)限。例如，軟件開發(fā)商在軟件設(shè)計(jì)開發(fā)階段，先進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，以識(shí)別和枚舉對(duì)關(guān)鍵系統(tǒng)存在的普遍網(wǎng)絡(luò)威脅和漏洞，在設(shè)計(jì)方案中就納入應(yīng)對(duì)不斷演變的網(wǎng)絡(luò)威脅形勢(shì)的相應(yīng)保護(hù)措施。

所謂“默認(rèn)安全”是指產(chǎn)品無需額外收費(fèi)，開箱即可安全使用，一經(jīng)投運(yùn)即具備能夠抵御盛行的脆弱性和威脅利用技術(shù)。也就是說，安全配置是默認(rèn)基線，如所有車輛標(biāo)配安全帶一樣，所設(shè)計(jì)的“默認(rèn)安全”產(chǎn)品可抵御最普遍的威脅和漏洞，用戶無需采取其它額外措施，“默認(rèn)安全”產(chǎn)品投運(yùn)后即自動(dòng)啟用，保護(hù)用戶免受惡意網(wǎng)絡(luò)行為者攻擊所需的最重要的安全控制措施，并具備使用和進(jìn)一步配置增強(qiáng)安全控制手段的能力。用戶需意識(shí)到，當(dāng)應(yīng)用中偏離安全默認(rèn)時(shí)，除非施加額外的補(bǔ)償控制措施，否則會(huì)增加產(chǎn)品脆弱性。通過應(yīng)用設(shè)計(jì)安全和默認(rèn)安全原則，可一定程度上實(shí)現(xiàn)產(chǎn)品的網(wǎng)絡(luò)安全，提高可靠性和韌性。

2.2　應(yīng)用

產(chǎn)品供應(yīng)商應(yīng)遵循以下3個(gè)核心原則，在產(chǎn)品研發(fā)、設(shè)計(jì)、制造階段，在產(chǎn)品配置組態(tài)、發(fā)貨前，將產(chǎn)品網(wǎng)絡(luò)安全特性融入產(chǎn)品設(shè)計(jì)過程中。

（1）網(wǎng)絡(luò)安全責(zé)任不應(yīng)只落在用戶肩膀上。產(chǎn)品供應(yīng)商也應(yīng)承擔(dān)所供應(yīng)產(chǎn)品的網(wǎng)絡(luò)安全責(zé)任，并相應(yīng)提升其產(chǎn)品的網(wǎng)絡(luò)安全防護(hù)水平。

（2）積極提高透明度和問責(zé)制。產(chǎn)品供應(yīng)商需承諾為用戶提供滿足通常網(wǎng)絡(luò)安全要求的產(chǎn)品，默認(rèn)情況下使用強(qiáng)大的身份鑒別機(jī)制，以能為用戶提供安全可靠的產(chǎn)品而自豪，并分享所掌握的網(wǎng)絡(luò)安全信息（如脆弱性咨詢、通用漏洞披露等）。

（3）建立實(shí)現(xiàn)“設(shè)計(jì)安全”和“默認(rèn)安全”目標(biāo)的組織機(jī)構(gòu)和領(lǐng)導(dǎo)力。不僅掌握專業(yè)技術(shù)知識(shí)的技術(shù)人員對(duì)產(chǎn)品安全至關(guān)重要，而且高級(jí)管理人員是組織實(shí)施變革的主要決策者，其作用力也不容小覷。

以安全軟件開發(fā)為例，在設(shè)計(jì)過程中需始終貫徹“設(shè)計(jì)安全”原則，參考SSDF（安全軟件開發(fā)架構(gòu)）要求，至少遵循以下最佳實(shí)踐，以確保軟件按照程序員的意圖運(yùn)行，而不是按照攻擊者的欺騙方式運(yùn)行：

·內(nèi)存安全編程語言。內(nèi)存處于網(wǎng)絡(luò)倒金字塔的最底層，如圖4所示，是網(wǎng)絡(luò)安全的基礎(chǔ)，應(yīng)盡可能優(yōu)先使用內(nèi)存安全編程語言。

圖4 網(wǎng)絡(luò)金字塔

·安全硬件基礎(chǔ)。采用具備細(xì)顆粒度內(nèi)存保護(hù)功能的體系架構(gòu)，如CHERI（能力硬件增強(qiáng)RISC指令）。

·安全軟件組件。采購已驗(yàn)證的且具有良好安全性能的軟件組件（如軟件庫、模塊、中間件、框架等）并保持其處于最佳狀態(tài)。

·Web模板框架。采用具備用戶輸入自動(dòng)轉(zhuǎn)義功能的Web模板框架，以避免如跨站點(diǎn)腳本等Web攻擊。

·參數(shù)化查詢。使用參數(shù)化查詢，而不是在查詢中包含用戶輸入，以避免SQL注入攻擊。

·靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試（SAST/DAST）。使用SAST/DAST工具來分析產(chǎn)品源代碼和應(yīng)用程序行為，以檢測(cè)出錯(cuò)誤。

·代碼評(píng)審。通過開發(fā)人員的同行評(píng)審，以確保代碼的高質(zhì)量。

·軟件材料清單（SBOM）。創(chuàng)建SBOM，以納入產(chǎn)品的軟件集。

·漏洞披露計(jì)劃。建立漏洞披露計(jì)劃，采取必要的措施識(shí)別安全漏洞和隱患。

·CVE完整性。確保發(fā)布的CVE（通用漏洞披露）包括根原因或通用弱點(diǎn)枚舉（CWE），以實(shí)現(xiàn)軟件安全根原因的行業(yè)分析。

·深度防御。設(shè)計(jì)深度防御基礎(chǔ)架構(gòu)，以使單個(gè)安全控制措施的損壞不會(huì)導(dǎo)致整個(gè)系統(tǒng)遭受破壞。

·網(wǎng)絡(luò)性能目標(biāo)。設(shè)計(jì)符合基本安全實(shí)踐的產(chǎn)品。

此外，在貫徹“默認(rèn)安全”原則時(shí)，可執(zhí)行根除默認(rèn)密碼、特權(quán)用戶強(qiáng)制采用多因子鑒別、單點(diǎn)登錄（SSO）、安全日志記錄（包括審計(jì)日志）、軟件授權(quán)配置文件、向前安全優(yōu)于向后兼容、考慮安全設(shè)置對(duì)用戶體驗(yàn)的影響等良好實(shí)踐。

3　網(wǎng)絡(luò)安全發(fā)展分析

隨著數(shù)字化轉(zhuǎn)型的不斷推進(jìn)，數(shù)字技術(shù)已深入到工業(yè)過程的各個(gè)點(diǎn)線面。邊緣計(jì)算、去中心化的安全管理、AI（人工智能）、量子計(jì)算、分布式賬簿等不斷涌現(xiàn)的數(shù)字技術(shù)，對(duì)工控網(wǎng)絡(luò)安全的發(fā)展產(chǎn)生了深遠(yuǎn)的影響。

3.1　邊緣計(jì)算

隨著微處理器、存儲(chǔ)器密度、分布式計(jì)算、通信等技術(shù)/經(jīng)濟(jì)層面的快速進(jìn)步，加之智慧城市、智能工廠等新基建建設(shè)進(jìn)程的快速推進(jìn)，邊緣計(jì)算的應(yīng)用逐漸增多。嵌入工業(yè)微服務(wù)的邊緣設(shè)備可進(jìn)行高效的自主決策，現(xiàn)場(chǎng)測(cè)量感知、采集的信息不需要傳輸?shù)郊泄芾韺樱纯赏ㄟ^邊緣計(jì)算智能功能做出快速處理和響應(yīng)。隨著邊緣計(jì)算能力的增強(qiáng)，可在現(xiàn)場(chǎng)設(shè)備中直接集成增強(qiáng)的網(wǎng)絡(luò)安全功能，進(jìn)行更加有效實(shí)時(shí)的工控網(wǎng)絡(luò)安全管理。

3.2　去中心化的網(wǎng)絡(luò)安全管理

隨著數(shù)字設(shè)備、智能設(shè)備的泛在化，常規(guī)集中網(wǎng)絡(luò)安全管理系統(tǒng)的實(shí)施難度、運(yùn)營(yíng)效力和實(shí)時(shí)效率堪憂。相反，充分利用SDN（軟件定義網(wǎng)絡(luò)）、SDP（軟件定義平臺(tái)）、端點(diǎn)設(shè)備私鑰、分鑰等技術(shù)，將網(wǎng)絡(luò)安全單獨(dú)嵌入到各個(gè)現(xiàn)場(chǎng)設(shè)備中，并為設(shè)備建立做出安全決策所需的安全策略和規(guī)則，由智能設(shè)備自主做出決策和應(yīng)對(duì)，從而提升通信的安全性、端點(diǎn)的完整性和安全性，已經(jīng)成為一種更具可擴(kuò)展性的新方法。

3.3　工業(yè)AI

AI在多數(shù)工程和技術(shù)相關(guān)領(lǐng)域已無處不在，在網(wǎng)絡(luò)安全領(lǐng)域尤其如此。AI一方面已被防御者用于快速高效分析海量數(shù)據(jù)，實(shí)時(shí)探測(cè)安全威脅和惡意活動(dòng)，甚至是預(yù)測(cè)將發(fā)生的威脅和惡意活動(dòng)，并實(shí)時(shí)進(jìn)行自主響應(yīng)；另一方面也被攻擊者用以進(jìn)行社會(huì)工程攻擊和制造新型惡意軟件等網(wǎng)絡(luò)犯罪行為。可運(yùn)用AI技術(shù)來增強(qiáng)工控系統(tǒng)的網(wǎng)絡(luò)安全防御能力：

（1）快速高效地分析存儲(chǔ)在數(shù)據(jù)湖、數(shù)據(jù)倉庫（包括實(shí)時(shí)或歷史數(shù)據(jù)庫）中的感知、測(cè)量、執(zhí)行、控制、通信等海量數(shù)據(jù)信號(hào)，以及結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)；（2）更高效地管理工控系統(tǒng)的脆弱性；

（3）實(shí)時(shí)探測(cè)或預(yù)測(cè)安全威脅和惡意活動(dòng)；

（4）減少與安全相關(guān)的人為錯(cuò)誤；

（5）根據(jù)安全策略或規(guī)則，快速進(jìn)行自主響應(yīng)。

3.4　量子計(jì)算

敏感數(shù)據(jù)（如遠(yuǎn)程控制、銀行轉(zhuǎn)賬、企業(yè)間商業(yè)秘密等）目前使用公鑰加密技術(shù)進(jìn)行數(shù)據(jù)保護(hù)，這些加密技術(shù)是基于常規(guī)計(jì)算機(jī)無法輕易解決的數(shù)學(xué)問題。量子計(jì)算機(jī)現(xiàn)仍處于初級(jí)階段，但量子計(jì)算潛在的強(qiáng)大算力，會(huì)使現(xiàn)行的公鑰密碼學(xué)“注定失效”，從而使組織無法確保其所依賴的運(yùn)行、交易及其它敏感數(shù)據(jù)的機(jī)密性、完整性和可用性。

NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）從2016年起開始研發(fā)能抗量子計(jì)算的密碼算法，當(dāng)前已提出了CRYSTALS-Kyber（擬用于通用的加密，如創(chuàng)建安全網(wǎng)站）、CRYSTALS-Dilithium（擬用于數(shù)字簽名）、SPHINCS+（擬用于數(shù)字簽名）和FALCON（擬用于數(shù)字簽名）等4種后量子時(shí)代的密碼算法標(biāo)準(zhǔn)草案，并正在全球密碼界征集對(duì)標(biāo)準(zhǔn)草案的反饋。

3.5　分布式賬簿

DLT（分布式賬簿技術(shù)）或區(qū)塊鏈技術(shù)是分布式數(shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等計(jì)算機(jī)技術(shù)的新型集成應(yīng)用模式或范式。工控系統(tǒng)，特別是IIoT（工業(yè)物聯(lián)網(wǎng)）系統(tǒng)，可用DLT生成不可篡改的網(wǎng)絡(luò)安全日志、審計(jì)報(bào)告，以及與IIoT組件的交互日志或網(wǎng)絡(luò)安全供應(yīng)鏈協(xié)議記錄等。使用不同的賬簿數(shù)據(jù)庫技術(shù)、不同的共識(shí)算法和不同的合約語言來定義交易的DLT實(shí)現(xiàn)會(huì)逐漸增多，這使得DLT技術(shù)能夠應(yīng)用于涉及多個(gè)參與方的安全用例，如分布式網(wǎng)絡(luò)安全通信、分布式安全審計(jì)、分布式存儲(chǔ)數(shù)據(jù)等場(chǎng)合。

4　結(jié)語

數(shù)字經(jīng)濟(jì)無處不在，新興數(shù)字技術(shù)層出不窮，隨之而來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也與日俱增。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)理念、機(jī)制等已不能很好地適應(yīng)新形勢(shì)、新環(huán)境、新法規(guī)的要求。為此，應(yīng)緊密跟蹤對(duì)網(wǎng)絡(luò)安全有著潛在較大影響的新技術(shù)，并加大對(duì)新興網(wǎng)絡(luò)安全理念及技術(shù)的研究、試驗(yàn)示范和推廣應(yīng)用。

作者簡(jiǎn)介

張晉賓（1967-），男，山西陽城人，正高級(jí)工程師，工學(xué)碩士，現(xiàn)就職于電力規(guī)劃設(shè)計(jì)總院，主要從事自動(dòng)化、信息化工程設(shè)計(jì)、智庫及管理方面的研究。

參考文獻(xiàn)：

[1] Kaspersky. Attacks on industrial sector hit record in second quarter of 2023[EB/OL]. (2023-09-13) [2023-12-17].

[2] EU. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)[R]. 2022.

[3] Cybersecurity and Infrastructure Security Agency. Shifting the Balance of Cyber-security Risk: Principles and Approaches for Security-by Design and-Default[R]. 2023.

[4] 張晉賓. 可信工業(yè)自動(dòng)化和控制系統(tǒng)研發(fā)之探討[J]. 自動(dòng)化博覽, 2021, 38 (4).

[5] Industrial Internet Consortium. Industrial Internet of Things Security Framework [R]. 2023.

[6] 張晉賓, 張子立, 李云波. 區(qū)塊鏈: 概覽、國(guó)際標(biāo)準(zhǔn)及在能源領(lǐng)域的應(yīng)用分析[J]. 華電技術(shù), 2020, 42 (8).

摘自《自動(dòng)化博覽》2024年1月刊