◆张浏骅 刘克松

(广州赛宝认证中心服务有限公司 广东 510610)

1 引言

随着工业化和信息化的不断深度融合，工业控制系统作为工业生产制造的中枢，沿着网络化和智能化方向加速发展，为企业提高生产效率、优化复杂工艺、实现数字化转型奠定了坚实的基础。但是，新的技术也带来了新的安全问题，数据资产的不断增加，网络边界变得越来越模糊，从设备安全侧的攻击和威胁来看，单纯依赖技术安全和管理安全等手段，无法做到对工业控制系统信息安全（简称“工控安全”）的真正保障。因此，需要面向工业控制系统构建具备“内生安全”功能的保障体系。

2 内生安全的重要性

在信息化向云化、数据化、智能化升级的过程中，业务、数据和应用都出现了变化，安全环境和安全需求随之改变。传统的网络信息安全的内涵和外延也在发生变化，网络攻击的目标从单纯的数据破坏升级到威胁社会稳定，仅依靠过去的边界防护的思路已然无法真正解决内部的安全问题。

内生安全具有自适应、自主、自生长三个特点，如果可以从内生安全的角度提升设备本身的安全能力，就能使信息化系统从内生长出一种“免疫”能力。这种能力可以随着业务的增长而持续提升，从而保证信息系统安全、社会经济稳定。

3 建立具备内生安全的工业控制系统的必要性

传统的工业控制系统是封闭网络，其安全需求较少需要考虑来自外界网络的威胁，其安全建设导向更多采用的是应对特定威胁或面向特定的合规政策的“创口贴”建设模式，如遇到一个病毒就采取一些措施防御这个病毒，一个新合规点出来就上一些设备，因此功能安全可有效地保障工业控制系统可靠运行。

但近年来，随着工控网络与互联网的互联互通，工业控制系统正面临着攻击来源更多样、攻击手段更复杂、攻击对象更广泛、攻击后果更严重的态势。面对频发的工控安全事件，仅依靠传统的“补丁”式修复或“围堵”式被动防御体系已无法有效应对，过多的碎片化的安全产品堆砌，无法形成体系化的能力。因此，工业控制系统的安全稳固不仅要保证边界和接口的安全，更加要把重心放到控制系统内部，需要面向“能力导向”，进行体系化的内生安全能力建设，实现功能安全与信息安全的深度融合，从而抵御和消除未知威胁。

4 如何建设具有内生安全能力的工业控制系统

工业控制系统内生安全建立分为三个步骤：一是“提前规划”，从技术层面实现安全与信息化深度结合；二是“叠加演进”，既要积极建设安全基础设施，又要建设工业控制系统安全机制；三是“统筹协调”，做到运行、技术、人和管理规范的完整输出。

4.1 提前规划，打下基础

首先，能力导向的建设需要做到安全与信息化同步规划、同步建设，实现安全与信息化的深度结合和全面覆盖，从而实现工业控制系统的“内生安全”能力。

工业企业在开展工业控制系统内生安全建设的初级阶段时，可以根据《工业控制系统信息安全防护建设实施规范》[1]（简称“实施规范”）同步开展工业控制系统的规划、建设、运维三方面。《实施规范》是基于《工业控制系统信息安全防护指南》制定的，指导了工业企业在其规划初期完成工业控制系统信息安全防护分析、设计工作，统筹考虑了工业控制系统及安全防护设备的选择，设计形成内外融合的一体化安全防护方案，同时设计配套的安全管理组织机构及规章制度，形成完善的工业控制系统信息安全防护体系，为工业控制系统构建内生安全能力打下坚实的基础。

4.2 叠加演进，层层递进

其次，根据SANS的网络信息安全滑动标尺基础模型[2]（如图 1所示），安全能力建设分为五个阶段：第一个阶段是基础结构安全；第二个阶段是纵深防御；第三个阶段是积极防御；第四个阶段是威胁情报，威胁情报包括了收集数据将数据利用转化为信息，并将信息生产、加工为评估结果；第五阶段是反制进攻。

图1 SANS的网络信息安全滑动标尺基础模型

前两个阶段是偏静态的综合防御能力；第三、四阶段是偏动态的综合防御能力，前面阶段是后面阶段的基础，后面阶段是前面阶段的叠加，不同阶段相互依赖、相互促进、叠加演进。

比如偏静态的综合防御能力中的零信任[3]是一个新的访问模型，它解决的是大量终端、应用和人群在访问集中数据时能否动态、能否可信的授权，不仅防外部黑客攻击，也能防御内部威胁。零信任的实现需要结合业务流程，结合业务数据，还要叠加威胁情报、大数据分析等能力。

偏动态的综合防御能力中的态势感知与安全运营平台，更多的是把安全能力和信息化进行结合，基于来自前两个阶段的安全数据采集，并结合核心应用系统和业务系统的数据，进行综合研判进行分析，从而掌握态势、发现威胁，最终做出处置和响应。

在工业控制系统内生安全能力的建设过程中，可以参考这个“叠加演进”原则，协同云服务商、IT服务商、工控安全产品服务商和科研机构的团队能力，把零信任访问控制、态势感知与安全运营、工业控制系统网络的攻防演习等数据流程与安全与业务体系、安全与信息化体系的运营流程紧密结合起来，共同应对来自攻击侧的威胁。

4.3 统筹协调，完整输出

最后，工业控制系统的信息安全是一个动态的变化过程，需要工业控制系统的运行跟随信息化变化、产品变化、威胁变化、情报变化和监管变化等做出不同的动作和响应。而人则是工业控制系统安全运行的关键，只有通过完善安全运营人员、分析响应人员和攻防渗透人员等的培养体系，才能及时动态地解决漏洞与补丁、产品和策略部署调整、威胁的猎杀、事件的监测与响应、情报数据的收集分析与溯源研判、安全众测与攻防演练等问题。

因此，工业控制系统的信息安全通过初期规划、建设和叠加演进之后，其内生安全能力的形成的还需要有运行、技术、人和管理规范的统筹协调，才能形成一个完整的系统和体系，将能力有效输出。

5 产生的效果

通过建设工业控制系统的内生安全能力，将安全体系、安全能力和安全措施内置进去，让安全成为工业控制系统的“内生能力”，可以产生三种效果：

一是产生“免疫功能”的自适应能力，针对一般性工控网络攻击实现自我发现、自我修复、自我平衡，针对大型工控网络攻击实现提前预测、实时告警和应急响应；针对极端网络灾难时，防止关键业务中断。

二是产生“内外兼修”的自主能力，工业控制系统清楚了解自身内部资产、业务特性和安全需求，便可将其工控安全系统与业务系统进行深度融合，以自主解决内部产生的安全问题。

三是产生“不断进化”的自生长能力，通过不断抵抗工控网络攻击动态提升工业控制系统的安全防护能力，实现发现问题、解决问题的良性循环。

最终，内生安全能力将渗透到工业控制系统的各个方面，形成工业控制系统强有力的免疫系统，实现企业安全生产、产业创新发展和社会和谐稳定的良好局面。

6 总结

内生安全是新一代信息化的基础和保障，也是工业控制系统安全体系建设的目标和方向。在我国大力发展自主创新信息化技术的大背景下，功能安全与信息安全相结合是达到内生安全的有效途径和必由之路。

在即将到来的“十四五”时期，工业控制系统信息安全相关行业应把握内生安全这一机遇，聚合所有细分领域安全企业的能力，共同构建信息化系统和安全系统聚合、业务数据和安全数据聚合、IT人才和安全人才聚合的安全生态，为建设具备内生安全能力的工业控制系统提供科学有效保障。