编辑语：2021 年9 月29 日，“第三届工业信息安全应急国际研讨会”在京顺利召开。会上，绿盟科技工业互联网安全产品部总监王晓鹏从工业互联网的安全情况切入，阐述了我国工业互联网安全面临严重威胁的状况，并对工业互联网的安全问题做了总结。同时详细介绍了绿盟科技网络安全应急响应体系架构，对工业网络安全应急与IT 网络安全应急的区别做了阐述，最后对未来应急响应技术发展趋势做了详细分析。

编辑：烦请绿盟科技王晓鹏先生简单阐述一下您认为目前工业互联网安全现状如何。

绿盟科技王晓鹏：工业控制系统是自动化工业生产过程中的设备、系统和网络的总称。包括集散控制系统(DCS)、数据监控与采集系统(SCADA)、安全主控制系统(SIS)、可编逻辑控制器(PLC)、工业网络设备及相关软件系统等。随着工业4.0、信息物理融合系统等概念和技术的兴起，工业控制系统被广泛应用于电力、石化、交通等行业，并朝着数字化、网络化、智能化的方向发展。随着“中国制造2025”战略的提出，传统物理隔离工控网络融合了IT 网络领域的操作系统、通信协议等技术，导致工控网络面临巨大的安全威胁。

近年来，工业互联网发生了许多重大安全事件，2015 年，乌克兰的电力工业遭受到BlackEnergy 恶意软件的攻击，导致伊万诺—弗兰科夫斯克地区大面积停电；2018 年，某石油公司采油厂感染一款名为Lucky 的勒索病毒，业务系统受到感染，生产受到影响。2021 年伊始，针对工业企业的攻击更加频繁。2021 年2 月8 日，佛罗里达州奥尔德斯马的一家水处理厂被黑客入侵，碱液量增加到危险水平。2021 年5 月，美国最大的燃油管道运营商Colonial Pipeline 因受到勒索软件攻击被迫关闭。中国工业互联网的安全威胁更为严重，因此，寻求解决这些安全问题的方法至关重要。

因此，在本文中，我们对工业互联网的安全问题做了总结，并提出了工业网络安全应急响应体系的构建思路，以及工业网络安全应急发展趋势。

编辑：请您结合工业互联网安全现状，聊一下如何在工业互联网中建立安全性。

绿盟科技王晓鹏：为了在工业互联网中建立安全性，首先要深刻理解当前传统互联网的安全缺陷和弱点。这使我们能够在工业互联网中部署类似设备之前纠正众所周知的安全缺陷。但是，并非所有现有的网络安全措施都延续到工业领域。这主要是由于使用和部署的差异，以及消费者和工业邻域面临的不同安全威胁。

工业互联网发展带来的安全问题主要表现在三个方面：一是业务层面，安全策略缺乏与业务结合导致，安全防护不能起到足够的防护作用，APT 等攻击行为容易突破安全防线。安全处置过程缺乏与业务的关联，在一些强业务相关环境中存在业务中断的风险。二是网络层面，融合网络的发展，在大量业务联通后，导致网络边界模糊，通信流量的复杂导致了安全隐患的加剧。网络安全的分析中缺乏对于不同工业系统尤其是运行中系统的影响性分析。三是运行层面，运维过程中缺乏可以适配于工业应用属性的安全设备，无法做到安全运维、网络运维和安全相关性的分析和处理。应急处置手段不足，导致问题提出现后无法第一时间进行有效处置。基于业务运行属性的安全管理依然缺乏，设备管理不等于业务运行安全管理，需要关注业务运行中的安全。

编辑：请您结合您的演讲内容，谈一下如何建立工业网络安全应急响应体系。

绿盟科技王晓鹏：网络安全的重要性是不言而喻的，当今社会的信息网络安全已是影响国家安全的一个高权重因素。虽然保护网络安全的技术迅速发展，但实践证明，现实中再昂贵的安全保护也无法发现和抵御所有的威胁。因此，完善的网络安全体系要求在保护体系之外必须建立应急响应体系。将工业控制系统直接暴露在互联网上存在较大的安全隐患，但由于业务需求，仍有很多此类设备和系统直接暴露在互联网上，这存在很大的安全隐患。当工业系统接入互联网后，建立工业网络安全应急响应体系也就尤为必要了。

在介绍应急响应体系前，首先，我们需明确工业网络安全应急与IT 网络安全应急的区别。两者的主要区别，我们总结了四点。一是事件影响不同，IT 安全事件涉及数据丢失、系统不可用、业务中断等情况。一般情况不会涉及物理、人身和环境资源的影响。工业安全事件涉及数据丢失、系统不可用、业务中断等情况。一般情况不会涉及物理、人身和环境资源的影响。二是业务风险不同，IT 的应急过程以恢复业务运行为主，不关注当前物理和环境资源的前提限定或者后续的影响。工业应急涉及网络、控制设备、主机、仪表等资产，操作应急所带来的风险在没有业务运行感知的情况下有一定的风险。三是基础资源不同，IT 的数据和备份措施比较完善，恢复相对较快。OT 环境中冗余和备份措施相对较差，恢复过程相对较长。四是处置的手段不同，IT 的处置手段比较成熟，处理过程比较直接和迅速。OT需要看业务的运行阶段，评估对业务的影响后采用合适的手段进行处置。

因此，对于工业系统的安全风险评估就需要考虑更多因素，除了IT 网络的风险外，还包括人员因素，人员的安全意识与安全能力；管理因素，涵盖人员管理、生产管理、数据管理、运维管理等；供应链因素，元件/设备引入安全风险；边界因素，不同区域的风险管理；工艺因素，对工艺的可靠性要求；环境因素，设备/系统针对不同环境的适应能力；以及设备老化、异常运行等等因素。

下面我们说明下网络安全应急响应体系。网络安全领域的应急响应（Cyber Security Emergency Response System）是指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程。

网络应急响应的活动应该主要包括两个方面：

（1）未雨绸缪，即在事件发生前先做好准备，比如风险评估、制定安全计划、安全意识的培训，以发布安全通告的方式进行预警，以及各种防范措施；

（2）亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最低。这些行动措施可能来自人，也可能来自系统，比如事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，从而吸取教训，进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

网络安全应急响应体系的管理是一个周而复始、持续改进的过程，大致包含以下三个阶段。

（1）网络安全应急响应需求分析和应急响应策略的确定。

（2）编制网络安全应急响应计划文档。

（3）应急响应计划的测试、培训、演练和维护。

从管理角度看，网络安全应急响应的管理可分为事件报告、事件评估、应急启动、应急处置、后期处置，如上图所示。

编辑：那请问，您认为工业网络安全应急发展趋势是怎样的？

绿盟科技王晓鹏：不论是企业还是机构，未来将面临的一个重要网络安全问题是，企业内网络安全的防护不再是孤立的，而是和整个互联网安全状况和突发网络安全事件紧密联合起来。例如，对企业而言，虽然内网的数据不允许向外流出，但一旦某类黑客攻击发生在同类型企业或者使用相同信息系统架构的企业或组织，那么该企业将很有可能面临被攻击。

威胁情报的概念也是基于上述情况而提出。因此出现较晚，业界对威胁情报概念的理解各不相同。例如，有人认为“样本库”可称为情报，也有人认为“黑名单”是情报，而一些公开资料中提到的网络安全信息共享也被认为是威胁情报的早期版本。

国际上也有网络安全研究机构给出“威胁情报”的专业定义（如 Gartner）。国内也有学者提出了威胁情报的六大要素（采集、关联、归类、整合、行动、分享）和4 个阶段（广覆盖收集有效信息、分析处理与生产、行动实施、生态圈分享）。

对威胁情报的理解：依赖证据知识，包含情境、机制、影响和应对建议，威胁情报可以第一时间诊断出存在或者正在显露的威胁或危害资产的行为。威胁情报的目的就是实现“早、快、准、全”的安全隐患监测和警报。

如果企业能及早了解熟悉上述威胁情报信息，就可以为有效防范和采取应急措施赢得时间。而企业面对网络黑客攻击特别是一些严重的计算机犯罪行为，如能提前预知、提前响应，则可能避免系统崩溃、业务崩溃、高价值数据丢失等“灭顶之灾”。

根据当前工业网络安全业界的实践状况，绿盟科技已经形成了一套覆盖工业设备、控制、网络、应用（监控平台、管理平台）、数据等多个层级安全防护的安全设计原则集和解决方案集。其研制的安全协同一体化的工业网络安全监测预警平台，在大数据框架的基础上为工业环境提供安全监控及响应的安全运营中心。通过深度工控资产自动探测技术、分布式漏洞探测技术、多类型工业控制协议识别技术、异常流量监测技术，实现工业设备安全态势信息自动采集、识别工控设备的漏洞与潜在威胁的能力。通过大数据建模分析技术与基于多源数据的工业安全态势知识图谱构建技术，并结合中国国家信息安全漏洞库及工控漏洞库，进行安全威胁评估、态势感知，预测预防设备潜在风险的发生。下图是绿盟科技针对工业场景的整体解决方案。

总体上看，威胁情报将会对未来国家、机构、企业的网络安全应急响应产生显著影响，威胁情报也代表了网络安全应急响应技术与实践的方向和发展趋势。随着业界和机构、企业用户对威胁情报的认识和实践的理解不断加深，威胁情报理念对网络安全应急响应技术与实践的进一步完善和成熟将产生更大的促进作用。

编辑结语：本次采访，绿盟科技工业互联网安全产品部总监王晓鹏首先对工业控制系统的安全状态进行了分析，通过对安全事件的案例分析发现，网络安全事件所造成的损失严重，工控系统安全形势不容乐观。根据当前工业网络安全业界的实践状况，绿盟科技已经形成了一套覆盖工业设备、控制、网络、应用（监控平台、管理平台）、数据等多个层级安全防护的安全设计原则集和解决方案集。绿盟科技提出的安全应急体系架构设计的思路，将更有效的帮助工业企业完善应急响应体系建立，为我国工业互联网安全建设添砖加瓦。