随着工业化与信息化的发展，现代工业公司的工控安全建设也在加快速度进行发展中。面对外部持续不断的增加的工业安全风险，以及内部安全运维的难度提升，大量单点化的工控安全产品部署，不仅难以识别深层次的安全风险，还带来了运维防护效率的降低。因此，工业公司需要从工业化安全生产的整体要求出发，依照工业系统应用层次特点，构建新一代纵深安全防御体系。

  本文依据安全牛发起的《工控安全管理平台应用指南》报告调研发现，从当前工业公司工控安全纵深防御能力构建的价值出发，探讨工控安全纵深防御架构模型，为工业公司新一代工控安全能力建设提出建议和参考。

  根据《工控安全管理平台应用指南》报告研究之后发现，我们大家都认为，工控安全建设主要经历了以下三个发展阶段：

  第一阶段：边界隔离阶段。在这一阶段，工业公司开始关注工控系统的安全运行，但是安全防护重心主要在网络边界隔离，通过防火墙、安全网关及专用网闸等安全设备将生产网、办公网及互联网进行相对有效隔离等。这一阶段的工控安全产品和能力建设还处于早期阶段，用户对应用专业工控安全产品的意识也刚刚起步；

  第二阶段：单点防护阶段。在这一阶段，工控安全产品应用开始成熟，企业在实现工控安全边界隔离的基础上，开始通过部署单点式工控安全产品来提升安全防护水平并解决监管合规的要求。单点防护产品基本技术架构逐渐成型，产品形态也趋于成熟和完善，能力基本能覆盖工控系统的基础设施安全、体系结构安全、系统自身安全、安全可信防护等方面；

  第三阶段：纵深防护阶段。网络安全需要体系化防护已成行业共识，在工控安全领域，从单点安全能力建设转向体系化纵深防护也是行业发展的必然趋势。工业公司在业务发展和技术进步的驱动下，在单点防护逐步完善的基础上，需要尽快考虑怎么以体系化管理、自动化运维、智能化感知等方式来建立工控安全的纵深防御体系，并考虑怎么在工业互联网环境下应对工控安全的新形态。

  由于工业系统的稳定性需求高、信息资产更新迭代慢，很多企业在工控安全的能力建设中还有很多困难和挑战。根据报告调研发现，受访企业在进行工控网络安全建设时，主要面临如下问题；

  工控系统整体防护能力弱，面临的安全形势严峻：我国工控系统现代化建设较晚、工控网络应用相对封闭、试错成本大，因此其安全防护能力较传统的网络安全能力差距较大。但另一方面，我国工控安全漏洞形势却非常严峻，据CICSVD统计，2021年我国工控系统新增高危及以上漏洞共计964个，其中超危漏洞210个、高危漏洞754个。

  工控安全保护措施单一，网络隔离和访问控制仍然是目前工控安全的主要实现手段，以工控防火墙、网闸为代表的工业网络隔离装置依旧是工业公司安全采购的热点；

  对工控安全的重视度仍然不足，企业工控安全投入与实际的需求存在比较大差距：以电力、能源、烟草为代表的工业公司，由于强合规需求推动，因此在安全预算投入上相对充足。而其他制造业企业，特别非国有的制造业企业，对工控安全重视程度普遍不够。

  工控安全缺乏纵深防御规划，缺少统一安全运营管理平台的支撑：除头部的工业甲方外，大部分工业公司一般只考虑了某些系统的自身安全，而对基础设施安全、体系结构安全、安全可信防护等考虑甚少。

  综上所述，中国工业安全的建设已具备安全防护意识，但整体还处于初步阶段。工业控制管理系统的安全防护处于逐步由第二阶段向第三阶段转型的时代。从防护策略上看，当前工控安全防护体系从单点安全建设向纵深防御安全建设转型，而落地形态则表现为工控安全平台类、管理类产品的出现。

  工业企业在进行工控安全纵深防御安全建设时，应该要依据企业实际情况，分层次做好需求分析、规划设计和实施落地。

  企业可以从工业体系结构入手，分层次进行安全需求分析。企业在进行安全需求分析时，对不一样的层次间安全隔离需求挖掘，而对同一安全层次内的应用注重考虑安全管理和分析能力的部署。

  层间隔离：在L3.5层工业隔离区，考虑企业办公网与工业控制网络的安全隔离需求，构建安全的数据交换途径。在现场设备控制层和过程监控层之间，考虑对物理设备的隔离性保护，确保指令下发安全。

  层内管理：在过程监控层和生产管理层内部，注重对工控主机的接入状态进行安全防护，例如外设管控，以及对安全防护分析能力的支持，例如工业主机行为审计等。在工业隔离区，注重工业安全分析能力、工控安全管理能力的集中部署架构。

  参考美国国家标准与技术研究所（NIST）推出的企业安全能力框架IPDRR模型，工业公司可以按照以下层次逻辑来规划工控安全防护体系的建设。

  I：从集团层面构建安全运营防护体系，统筹工控安全系统的建设、工业安全产品的部署，并综合评定内外部的合规需求、安全风险、实施状态，进行行之有效的建设规划。

  P：在IT网和OT网中间，部署安全防御工作。在IT网内部署主动防御技术，在OT网内部则以基于规则的防御技术为主。做好两网间的隔离保护工作，从人员访问控制、权限管理、安全运维管理等方面加强工控网络边界处的防护能力。

  D：构建集中管理中心，持续监测、审计OT网络内的安全事件。汇聚OT网边缘处的网络接入行为审计和OT网内部的工业主机安全产品的日志，结合集团层面的威胁情报，形成立体化分析。部署统一安全分析中心，以工业安全管理平台为联通，串联IT网和OT网的防御能力。

  R：部署具备执行能力的安全处置设备，在发生安全事件时能够及时进行行为阻断、策略执行、事件留痕等工作。

  R：以备机、备份、远程运维等多种方式，做好在工控安全事件发生后的系统快速运营恢复工作。

  工控安全纵深防御体系在建设实施时，应该以自上至下规划，自下而上建设的方式逐步推进落地。在规划时，需要明确并落实统一数据分析中的数据需求和能力需求、集中管理中的实施需求和联动需求、执行处置中的功能需求和位置需求。在建设时，应该以执行处置设备为基础，向上推动管理类设备的建设，并构建统一工控安全运营分析中心。

  工控安全纵深防御体系建设与每个单点产品的能力密切相关，然而受限于工业网络的性能和稳定性需求的约束，在工业现场中的单点安全设备能力表现差异往往较大。从数据采集能力上看，工业网络内几乎无法部署探针，这就导致了工控网络环境中获取数据的数量和实时性都会受到限制。在工控安全纵深防御体系中，安全产品不仅作为执行处置的设备，也作为探针设备，向上提供数据。针对安全单点设备能力不足问题，公司能够优先部署单点安全设备，只有单点设备数量足够，才能为集中分析提供较强的支撑。

  工业内部行业划分复杂，场景众多，各行业的网络结构、拓扑架构不同，所面临的安全风险不完全一样。工业行业的基础分析能力、可视化能力通用性较高，但工业协议的进一步分析、处置策略生成、安全基线的建立还依赖于工业现场的业务情况和网络情况。在报告调研中，我们得知目前工控安全厂商的业务布局有较强的行业属性，因此企业用户在选择产品服务商时，应考察厂商在该工业领域是否有成熟的已落地方案。

  工业企业用户很注重工业控制管理系统的稳定性问题，通常更依赖于人工决策。因此在工控环境中，当安全风险事件发生时，在选择事件处置方式、事件处置时间都需要更严谨，同时这增加了策略流程自动化的复杂程度。而另一方面，由于工业安全还处于起步阶段，甲方用户的水平参差不齐，面对工业现场复杂的情况，有几率存在无法执行最优策略，或策略执行不够及时的问题。工业公司在构建工控安全纵深防御体系时，应该采用风险策略分类分级方式，根据风险造成的危害程度进行分级，并对处置每个风险的策略进行分级，按照每个用户需求将部分步骤自动化处理；工业策略可依照行业特点进行分类，根据行业的特点、需求来做有明确的目的性的策略建设。