嘶吼專訪 | 威努特技術總監郭洋：三分技術，七分管理，是做好工控安全的箴言

威努特作為國內工控網絡安全領軍者，自成立以來深度研究工業行業，精準對標用戶不同需求，八年來堅持高比例研發投入與技術創新，以工業網絡“白環境”為核心技術理念，自主研發了五大類33款工控安全產品，成功為電力、軌道交通、石油石化、市政、煙草、智能制造、軍工等國家重要行業的4000余家用戶提供全生命周期縱深防御解決方案。

郭洋2016年加入威努特，現任技術服務部總監，一路走來，是工控安全技術體系最有力的建設者之一，為此，嘶吼對他進行了人物專訪。

威努特技術服務部總監 郭洋

做工控安全，必然提到工業網絡“白名單”技術理念

威努特2014年率先獨創了工業網絡“白環境”核心技術理念。從網絡邊界、通信網絡和計算環境三個層面，將工業生產網絡所涉及的全部合規進程納入白名單，通過機器學習、對比模型，進行合法性校驗。經歷了8年多的市場實踐，“白環境”已成為了我國工控安全行業的主流技術路線。

工業網絡“白名單”為工業企業找到了一個適用于業務場景的技術體系或者技術方向。從市場的前端產品標準來看，現在行業內只要做工控安全，必然要提到“白名單”技術理念。

郭洋說到，信息安全標準是我國信息安全保障體系的重要組成部分。國內最早做工控安全的時候，都繞不開一個話題，就是工業主機安全。威努特很早就作為主要技術支撐單位，配合公安部第三研究所編制了國內首個主機白名單產品標準《信息安全技術 文件加載執行控制產品安全檢測條件》，值得一提的是，該標準成為了檢驗主機類安全產品的必要標準。

做好工控安全，是一個協同作戰的過程

各行業要做好工控安全，有共性的地方，都需要監管部門、集團、企業和安全廠商幾方共同合力完成。

首先，監管部門和工業行業的頭部企業對工控安全的關注必不可少。以電力為例，作為國內最早做工控安全的行業，其頭部集團或是第三方機構早期針對工控安全就出臺了很多行業性標準，到現在可以追溯的政策條款有很多。相關企業很早就開始以這些標準為參考依據，進行工控安全建設。這也是電力在所有工業行業里面，工控安全建設做得最好的原因。

在工業企業層面，做好工控安全要有專業的人才和具有工業屬性的安全產品，并且需要加大安全投入。現階段，很多工業客戶側負責OT安全板塊的人員，仍然是來自它原有的IT部門，這就會導致工業生產與信息安全之間的斷層，雖然做信息化的人也在學習生產系統相關知識，會慢慢成熟，但是目前工業企業仍然需要進一步落實工控安全專業人才。行業有標準，企業有專人來執行，才能把工控安全真真正正做起來。

與此同時，工業企業進行工控安全建設需要具有工業屬性的安全產品。就整個大環境而言，目前絕大部分工業企業還在使用傳統的通用安全產品，但這些安全產品由于缺乏工業屬性，不能與工業場景很好地結合，工業企業不敢輕易進行應用和部署。這也意味著企業雖然采購了安全產品，但結果是根本沒有辦法應用。除此之外，工業企業還需要加大安全建設的投入，才能形成一個良性的工控安全產業發展。

而對于安全廠商，做好工控安全，是一個協同作戰的過程，安全系統要能夠與業務系統相結合、工業安全廠家要和工業企業相協同。工業安全廠家需要走進工廠，深入到每一個工業現場，與工業企業專家進行學習、探討與合作，深度了解工業場景，才能研發出真正對標工業企業用戶實際需求的安全產品與解決方案。

構建“1246”網絡安全防護體系

郭洋認為，三分技術、七分管理，是做好工控安全的箴言。目前工業企業工控安全面臨著網絡結構風險、防護能力風險、業務軟件風險、實施運維風險、工業協議風險、安全預警風險6大風險問題。威努特在風險評估的基礎上，從整體上為工業企業客戶構建“1246”網絡安全防護大體系。

“1”指的是以風險管理為核心目標，風險是消除不掉的，只能是將風險降低到可接受的狀態下。

“2”是以國內“兩個要求”體系合規、與國際“技術體系”接軌為兩個視角，不單單是要做到等保合規，還需要充分結合國際技術體系。

“4”是形成可防御、可檢測、可響應、可預測的全生命周期的四大體系，其中，安全防御，可以利用“一個中心和三重防護”的指導思想把基本能力搭建起來。其次，現在整個網絡里充斥著各種不同的正常流量、異常流量，甚至還有攻擊流量，一定要能夠清晰地知道這些流量的來源和危害程度，這就需要我們具備深度檢測能力。再者，一旦出現一些安全攻擊風險，要有及時響應的運維能力。制訂和完善各種流程規范，開展網絡安全風險評估、規范產品與服務采購流程，同時還要去做好日常的維護管理以及應急響應。

最后，評估預測體系更多的體現在態勢感知和安全運營兩大方面，包含了一些對于數據的關聯分析，對于危機的預測等。實際上，評估預測體系把靜態防御轉換成了積極的動態防御。

以上四個方面是構成全生命周期體系的一個大的框架，除了這個體系以外，還有很多需要去投入，包括風險管理、供應商管理等。

“6”是動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的六大安全能力。

整體上，“1246”大體系涵蓋工業安全技術和管理，能夠覆蓋現在所有的安全能力落地。但由于體系比較龐大，要結合工業企業的實際特點，在不同的發展階段去做不同的規劃。

未來工控安全技術的六大趨勢

從最初負責鐵道領域的網絡安全建設到工控安全，郭洋擁有十余年的行業經驗以及心得，結合工業場景，他認為，工控安全未來幾年的技術趨勢有以下幾個方面：

第一，目前工業領域基于Oday漏洞或未知漏洞的攻擊在不斷變多，由于很多工業企業都屬于國家關鍵信息基礎設施的范圍之內，所以面臨的安全風險也在逐步提高，未來工控網絡中APT攻擊檢測會越來越多。

第二，工業EDR本身很厚重，但工業企業安全系統比較脆弱。所以對于工業企業而言，應該結合工業控制系統特點研發輕量級的高級別檢測技術。

第三，工業企業需要研發高交互高仿真的蜜罐技術。但由于仿真度非常高，能夠讓攻擊者誤認為是工業系統的不同場景，具有一定的難度。

第四，人工智能在工業里面的應用現在還處于起步階段，沒有真正和工業產品做結合，尤其是機器學習、深度學習、過程自動化和用戶算法方面，在工業安全未來有很長的路要走。

第五，現在工業場景很大，控制器特別多，而且廠家也特別雜，很多工業企業自身并不知道究竟用了多少個品牌的控制設備。但由于工業企業要保證生產，被動的資產測繪更適用于工業企業。

第六，未來構建具有內生安全能力的工控系統，也是很重要的一個技術方向。

人物簡介

郭洋，北京威努特技術有限公司技術服務部總監，2016年加入威努特，主要負責為工業企業、關鍵信息基礎設施提供整體安全解決方案和技術服務工作。近年來一直深耕電力、石油石化、軌道交通、智能制造等行業領域，已成功為數千家工業企業提供網絡安全咨詢、安全評估、安全建設、安全應急等安全服務工作。曾在 《當代工人》、《中國信息安全》等雜志發表多篇技術見解文章。