工控網絡安全，一直是網絡安全行業想積極探索的“深水區”，但這個“深水區”的深度和廣度都超出了想象。作為一個工控網絡安全管理人員，戰戰兢兢，如履薄冰，始終懷著敬畏之心在向前摸索。

一、工控系統為什么很難進行安全防護？

這得從工控系統的發展和特點說起。一般來說，工控系統主要運行過程是通過采集遠端生產設備上的生產運行參數及相關運行指標，進行集中分析處理后，再下發指令至遠端生產設備，指揮相應設備進行生產和控制動作。

所以，工控系統的用途是對大量工業生產設備進行集約化管理和自動化操作，其需要采集的數據點位非常多而較為分散，并且前端用于收發控制指令的設備（比如PLC和RTU）并不是具有較高的處理性能和信息處理能力；其使用的網絡為獨立網絡，不與互聯網和其他網絡直接相連；其使用的通信協議也一般為工業控制協議；其對穩定性和實時性有著非常苛刻的要求；但工控系統所用版本和操作系統、相關設備更新速度都較慢，甚至遠遠落后于當前主流。同時，由于工控系統完全服務于生產業務，隨著生產業務量的動態變化，工控系統變化更是顯著變化。

從工控系統的特點就能發現，工控系統最重要的任務就是生產控制數據端到端的可靠通信；但從網絡安全防護角度來看，特別是傳統的網絡安全角度，似乎很難有準確的切入點，更或者說一些傳統的網絡安全技術與工控系統的要求是存在沖突點的，更何況不同行業不同企業的工控系統都不盡相同，不同工控系統的運行指標和安全要求更是千差萬別。

要做好工控系統的安全防護方案，不僅要對工控系統及相關網絡有深入了解，更要對其所承載的業務有著足夠認識。但從目前現狀來說，工控網絡安全人員與業務運行、系統運行的銜接性還有待加強，掌握的數據不夠準確，對工控系統的網絡安全需求定位不夠清晰，導致實施的安全防護策略對系統運行產生非正面的影響，或使用的相關網絡安全技術針對性不足，沒有真正起到防護作用，這些都會影響到生產業務的連續性，讓網絡安全部門成了“背鍋俠”。

二、在工控網絡中，網絡安全管理人員如何把握安全與業務的平衡？

這其實不光在工控網絡中存在類似情況，但確實是網絡安全管理人員的難題。想必現在大多數企業的系統運行管理團隊和網絡安全管理團隊是兩個隊伍，這兩個團隊經常協同合作，但對待問題的出發點是截然不同。系統運行管理團隊需要立足當前，借鑒過去經驗，排除問題和隱患，充分保證系統和業務穩定；而網絡安全管理團隊也是需要立足當前，發現安全隱患，但不同的是，網絡安全管理團隊是會著眼未來，評估問題和隱患對系統和業務造成的影響，進而推動問題和隱患整改，目的也是為了充分保證系統和業務穩定。所以當面對工控系統運行和網絡安全發生沖突時，不光是系統運行管理團隊，甚至于管理層，都會優先保證系統穩定運行，而暫時舍棄掉網絡安全，網絡安全管理團隊確實也無可奈何。

其實，作為一個工控網絡安全管理人員，我也一直在思考：形成這種情況是因為工控系統的特點決定業務優先；但從另外一個角度看，目的都是為了充分保證系統和業務穩定，工控系統運行和網絡安全為什么會發生沖突呢？處理好這個問題就能很好的把握業務與安全的平衡。從根源上說，工控系統在建設之初并沒有過多考慮網絡安全的需求，后期安全的介入，特別是防護策略的部署和網絡安全設備的融入，會在工控系統中產生影響是不可避免的。如果在工控系統建設的時候就實現“同步規劃、同步發展、同步實施”的“三同步”原則，問題可能會極大消除，但對于已經運行的工控系統，網絡安全管理團隊要首先做的是“以保業務為核心目標，以尋找判斷處置系統被攻擊后可造成最大破壞力的風險點為重心向邊緣延伸，以破壞路徑分析和動態風險評估為手段”統籌兼顧，以點帶面，逐步摸索所轄工控系統的安全需求，最后達到系統運行和安全防護協調配合，互為補充的和諧狀態。

工控網絡安全管理人員要站在攻擊者的角度思考問題。

工控系統的數據雖然很重要，但對于攻擊者來說，不管是掌握數據，還是侵入系統，其所有行為的最終目的只有一個--破壞生產，那么他們的目標只能是現場生產設備，從伊朗離心機中毒事件、烏克蘭核電廠事件和委內瑞拉大規模停電事件中可以看到，攻擊者就是要破壞生產設備，而且這種破壞是不可逆的，破壞越徹底造成的影響就越大。所以從這個角度向外延伸，網絡安全管理團隊要思考攻擊者會通過何種方式進行系統，又會通過何種方式掌握控制現場生產設備，這樣就能有效的梳理出攻擊者破壞路徑，評估該路徑下存在的風險點，從而制定合理高效有針對性的防護措施。

三、工控網絡安全具體怎樣做，能夠真正切入到工控業務中去？

畢竟系統不一樣，看問題的角度不同，每個工控網絡安全管理人員的做法也不盡相同。

從網絡運行這個角度為切入點，開始逐步深入開展對所在工控系統進行觀察了解的。因為工控網絡作為工控業務數據的承載體，肯定符合業務的承載要求，并且網絡安全設備首先是要融合進入網絡中的，所以通過深入了解和網絡運行中所面臨的問題，大部分的業務要求和所面臨的風險也呼之欲出；也可以通過網絡結構和通信質量的安全性、可靠性優化，將網絡安全的理念和標準融入，形成安全域，分割風險域，再進行風險隱患的逐一消減。

四、在網絡安全深入工控業務的過程中，要注意哪些原則呢？

在此過程中要保證網絡安全的靈活性。部分安全風險由于系統和歷史的原因，沒有辦法進行完全消除。網絡安全管理團隊要結合系統運行團隊進行有效的管理和技術等措施消減，同時及時跟管理層進行反饋，做到必要的風險接受；對處于非重點防護區域但與重點區域有交互的核心系統和設備，則要根據其屬性和運行特點適當提升其部分安全防護能力，防止網絡安全問題蔓延。

五、工控網絡安全管理人員要怎樣做才能體現自己的價值呢？

首先工控網絡安全管理工作的價值是合理合規部署網絡安全措施，感知工控系統的網絡安全隱患，降低風險，為生產業務穩定運行保駕護航。

那么安全管理人員要在工作中做到“擴展格局、耐心觀察、大膽設想、靈活求證”這十六個字。工控網絡安全管理是站在一定高度，自上而下來看待問題的，所以工控網絡安全管理人員要有大視野，要從業務和行業的發展角度，找到真正的網絡安全需求和發展方向，要洞悉出現的網絡安全問題的本質，要抓住網絡安全問題的重點來解決。

工控網絡是有其運行規律和細節要求的，這要求安全管理人員要耐心，要深入到運行維護中去，找到規律，發現細節，最終找到契合點和風險點；正如沒有一個企業的工控網絡是完全一樣的，針對工控網絡暴露出來的風險隱患也并不是全能夠依靠經驗能處理好的，如何有效解決需要安全管理人員要敢想，結合管理措施和技術手段，做出大膽設想，進而開展多種形式的驗證，從模擬驗證到并行驗證在逐步過渡到現網驗證，靈活小心貫穿始終。

責任編輯：gt