本文对新形势下的工控系统的安全进行分析，总结其未来可能的发展趋势。更为关键的，为应对新威胁，需要不断创新，本文提出具有先进防御理念的防控策略，介绍了拟态防御、主动免疫可信计算、零信任机制等新的防御思路，希望能为工控安全企业提供思路指导。

一、工控系统安全概述

本章节将概述工控系统的组成以及在其中存在的安全问题;在此基础之上，概述工控系统中的常用协议及其中潜在的安全隐患。

1.1 工控系统组成及潜在安全隐患

工控系统源于计算机控制系统，是可编程逻辑控制器(PLC)、分散式控制系统(DCS)以及监控与数据采集系统(SCADA)等工业系统的总称，其中SCADA是由各种自动化控制组件和对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。工控系统是由控制器、传感器、传送器、执行器以及输入/输出接口等部分通过工业通信线路，按照一定通信协议(主要指现场总线协议和工业以太网协议)连接而成。以数控机床系统为例，其DCS系统构成如图1所示。

图1 典型数控机床DCS系统

常用工控系统中的PLC、DCS以及SCADA三者在功能属性、地理范围、应用领域等方面均存在一定的区别，见表1。

表 1 PLC、DCS与 SCADA 系统比较

工控系统是工业生产的核心，其7*24小时的不间断运行，给运维带来了安全挑战。随着ICS开放性的提升，其脆弱性和安全问题日益突出，主要表现为：ICS架构脆弱性(表现在管理网络与控制网络分离、活动组件间缺乏认证、缺乏网络负载均衡手段等方面)、平台脆弱性(表现在操作系统、应用软件及安全策略等方面)、网络脆弱性(表现在网络配置不当、网络硬件、网络软件、网络通信及无线连接过程等方面)等。

1.2 工控系统常用协议及安全分析

工业控制协议负责现场网络与控制网络之间、现场网络中控设备之间、控制网络各组件之间及其他场合的数据和指令传输，包括传统控制网络协议、现场总线协议、工业以太网协议以及工业无线网协议，如图2所示。

图 2 工控网络协议分类

随着工业现场对自动化、智能化的需求，工控系统逐步开放，给网络协议安全带来风险和挑战。协议安全问题大致分为两种：一种是协议自身安全缺陷，很多协议在设计时对安全问题考虑不足;另一种是协议的不正确使用引起的安全漏洞。表2列出了几种常用协议存在的安全问题。

表 2 常用协议存在的安全问题

二、工控系统安全现状分析

在此章节中，为了掌握工控系统的发展趋势，我们综合分析了全球主要工控系统安全厂家的服务及其产品特性。在此基础之上，我们进一步分析了近年来发生的针对主流工控系统的信息安全事件，并从中分析总结了在工控系统安全领域内近年来的工控网络安全的发展趋势以及未来需要面临的风险和挑战。

2.1 主要安全厂家分析

由于工控系统的重要性，世界各国非常重视对ICS安全的研究，存在很多ICS安全的研究机构。本研究对全球主要工控安全厂家进行统计分析，结果如表3所示。从结果中可以发现，主流的工控系统厂家是从事前防御、事中响应以及事后追溯的角度来研发自己的产品。同时，这些工控系统拥有一个共同特点，即采用了基于数据驱动的、从“数据孤岛”的封闭模式转向基于零信任的无边界模式的方阵。

表 3 国外典型工业领域安全厂商信息

然而，在这种发展趋势下，工控系统的网络安全攻击面也逐渐增多。

2.2 工控安全态势分析

随着基于数据驱动和零信任的工控系统的发展，威胁种类和攻击方法也逐渐增多。

2023年上半年，OT/IoT网络安全事件层出不穷，延续着2022年的高风险趋势，其中极具代表性的勒索软件仍在继续，困扰全球各种规模和行业的企业。特别是医疗保健、能源和制造业领域继续成为民族国家、犯罪集团和黑客的攻击目标。例如REvil这样的威胁组织现在正在研究将自主学习、机器学习和自然语言模型结合到新兴技术中。本文以时间线形式表示了2023年上半年发生的安全方面的事件，如图3所示。

图 3 2023 年上半年工业领域主要事件时间线

勒索软件作为网络攻击者的主要手段之一，常采用技术易于获取、能够逃避检测、高度适应性且支持自动化的攻击方式。这类攻击常涉及的行业包括：制造业、能源、医疗保健、废水处理等，政府和城市服务也受到干扰。除了勒索软件之外，还出现了分布式拒绝服务(DDoS)攻击以及2016Mirai僵尸网络的新变种。在此期间的至少三起事件中，工控系统受到直接影响。除了传统的工控网络威胁手段，近年也出现了一些新的工控安全风险和挑战，主要表现如下。

(1)工业控制供应链威胁增加

随着新功能的引入，智能控制正在对供应链产生额外影响。这些新功能包括端到端可视性、预测分析、自动化和数据驱动决策。因此，控制工业供应链的安全情况变得更加复杂严肃。供应链不同环节间的相互依赖性可能导致新安全风险的引入，造成更广泛的影响。在工业4.0时代，工业控制由于涉及复杂供应链和多个参与者，工控安全逐渐成为众多参与者的一项共同责任，这成为一个更加紧迫的现实。

(2)基于人工智能生成内容(AIGenerated Content，AIGC)技术广泛应用的威胁

随着大语言模型(Large Language Models，如ChatGPT、Google Bard等)的出现，基于自动生成技术的威胁进一步升级。Nozomi Networks首席技术官Moreno Carullo指出，虽然该技术未通过图灵测试，但已经得到快速应用和发展。越来越多的企业使用人工智能工具来自动化工作流程。例如，很多工业和关键基础设施企业使用这些机器学习功能实现流程的自动化和速度提升，利用警报和报告的自动生成提升智能防御水平。但同样，这些智能工具也极易被攻击者利用，进行虚假信息的宣传。利用AIGC技术可以快速生成大量与真实文本相似的信息，使攻击者能够以相对较少的努力生成和传播反映特定工控领域的消息。这引发了许多人工智能专家签署公开信，要求人工智能实验室“立即暂停至少6个月的比GPT-4更强大的人工智能系统的训练”。

(3)数字孪生技术对工控安全防御的挑战

数字孪生以数字化的方式建立物理实体的多维、多时空尺度、多学科、多物理量的动态虚拟模型来仿真和刻画物理实体在真实环境中的属性、行为、规则等(如图4所示)，其先进理念推动了智能制造、工业互联网等领域的技术进步。

图 4 数字孪生原理示意图

然而，当系统的数字孪生被创建后，数字孪生体与现实世界中的物理对象共享相同的系统、计算力、网络以及数据流，可能导致潜在的攻击面加倍了。攻击者可以利用该技术创造出可以为敌方行动的机器或人的数字副本，副本的外观和行为会与原版几乎一样，但实际却是由不良数据算法来驱动。

(4)基于工业互联网的威胁不断增加

工业互联网以泛在互联、全面感知、智能优化为特征，被称为实现第四次工业革命的基石，但工业互联网的网络化、开放性属性使之不可避免地面临各种安全风险。欧盟网络安全局(ENISA)在2022年《欧盟网络安全市场分析报告-配电网中的物联网》中分别对配电网需求侧和供给侧物联网威胁进行研究，研究对象包括通用电气、ABB、Telit等企业。图5总结了物联网技术在配电领域的安全市场，清楚地表明电表将继续成为最大的支出领域。

三、未来安全防御技术趋势

为了应对日益严重的工业控制威胁，各安全厂商需要采取更加先进的理念和技术进行安全防御，有些技术虽然还处于研究阶段，距离实用化成熟化应用还较远，但仍具有重要指导意义。主要新型防御趋势如下。

(1)拟态防御技术

拟态防御(Mimic Defense，MD)是一种主动防御行为。该理论能有效抑制漏洞后门、病毒木马，极大改变当前“查漏堵门、杀毒灭马、亡羊补牢”的防御思路，为工业控制安全探索了自主可控、安全可信的新思想。拟态防御模型具有内生安全功能，其内生安全架构如图6所示。目前，以拟态防御理论为基础的拟态路由器、拟态域名服务器、拟态Web虚拟机、拟态云服务器、拟态防火墙等已经开始了初步应用，今后在工业控制领域的应用将进一步扩大。

图 6 内生安全架构图

2)基于主动免疫可信计算技术的工控安全防御技术

主动免疫可信计算旨在为计算平台构建免疫系统，以自主密码技术为基础，以可信控制芯片为支柱，以双融主板为平台，以可信软件为核心，以可信连接为纽带，建立一个完整的可信链条。该技术通过底层的监控点，以主动监控的方式监视系统行为，通过信息系统整体的策略管控，构建可信计算体系(如图7所示)。

图7 主动免疫可信计算下的可信体系框架

目前基于主动免疫可信计算的安全解决方案已经应用于国家电网等国家重要信息系统，未来必将进一步推广至其他工业控制领域。

(3)基于零信任的工控安全防御技术

零信任始终验证用户身份、设备的合法性及权限，遵循“永不信任、始终校验”的理念。至少包括5个层次的安全性：对设备进行身份验证和授权;对用户进行身份验证和授权;确保双向加密连接;提供动态访问控制;控制用户与服务之间的连接并将连接隐藏。该机制将应用资源从公共视野中消除，从而显著缩小可攻击面。针对工控网络中内部人攻击和绕过边界防护的高级可持续威胁攻击，可建立基于零信任的安全防护机制。同时针对工控终端业务“一次认证，始终授权”的问题，可以设计基于信任值的动态访问控制框架。另外，针对工业数字孪生的潜在安全问题，可以采用零信任机制进行防御，不将任何非验证信任直接延伸至任何数字孪生体，只有经过有效验证后的信任才能延伸至相关数字孪生体，从而达到有效遏制非法入侵的目的。

(4)基于人工智能的工业控制安全防御技术

“技术是一把双刃剑”，人工智能技术虽然给工控系统带来一些安全隐患，但毫无疑问其自身具有很高应用价值。根据全球市场研究机构Markets&Markets研究报告，2023年的全球网络安全领域的Al市场规模为224亿美元，预计在预测期内将以21.9%的复合年增长率增长，到2028年将达到606亿美元。企业正在将基于云的AI服务用于身份认证、视频管理、生物特征信息存储和大数据分析等多种安全应用中，相信基于AI的工业控制防御技术必将得到进一步应用。

四、小结

本文在介绍工控系统概念、组成、常用传输协议的基础上，分析了可能存在的安全隐患，继而从全球工控安全厂家产品和服务、工控安全态势两个维度对工控安全现状进行了总结，最后对未来工业控制网络安全新技术、新理念进行了展望，以期为业界工控技术的发展起到一定指导作用。具体如下：

(1)从工控系统物理组成和传输协议两个方面分析了工控系统存在的安全隐患。

(2)对全球知名工控安全厂商的产品和服务进行统计分析，从而使读者能够对当前工控安全现状有整体认识。

(3)介绍了最近几年工控安全领域新出现威胁，对工控产品供应链威胁、AIGC迅速发展威胁、基于数字孪生的工业应用威胁以及工业互联网发展威胁进行了阐述。

此外，本文对包括拟态防御理论、可信计算技术、零信任技术以及基于人工智能的工业控制技术进行了介绍，希望能够对工控安全防御技术的发展起到一定作用。