摘要：近期，巴基斯坦对印度发动网络攻击，致使印度约70%电网瘫痪的消息引起广泛关注。虽然目前电网瘫痪程度有待验证，但此次事件暴露出印度电力基础设施存在致命弱点——由于OT网络与IT网络缺乏有效隔离，攻击者利用办公网漏洞轻松获取初始立足点，然后沿着未受保护的IT/OT

近期，巴基斯坦对印度发动网络攻击，致使印度约70%电网瘫痪的消息引起广泛关注。虽然目前电网瘫痪程度有待验证，但此次事件暴露出印度电力基础设施存在致命弱点——由于OT网络与IT网络缺乏有效隔离，攻击者利用办公网漏洞轻松获取初始立足点，然后沿着未受保护的IT/OT通道，入侵生产控制大区，篡改变电站控制器的频率调节参数，最终导致大面积电网瘫痪。

新型工业化浪潮下，从此次印巴网络攻防战出发，在OT与IT融合场景下，如何基于工业防火墙筑牢工业数字基础设施安全底座呢？

01工业控制系统常见安全风险

关键设备前端

01伪造攻击

PLC（可编程逻辑控制器）和DCS（分散控制系统）等关键控制设备作为工业企业的核心系统，其安全性直接关系到生产系统的稳定运行，攻击者可能在合法指令中隐匿异常工艺行为，对工业控制系统造成危害。

02漏洞利用

工业控制系统在设计之初，通常以实时性、可靠性、稳定性为优先，在安全建设上多有欠缺，加之系统更新频率低，导致通常存在漏洞。黑客利用漏洞发起远程代码执行攻击，能够轻松获取设备权限，注入异常工艺参数，最终引发生产中断或物理设备损毁。

控制区域边界

01外部攻击威胁

工业控制系统与企业办公网络互相连接，使得原本封闭的工控系统面临来自办公网和互联网的网络攻击和威胁，攻击者可以利用恶意软件、APT攻击、数据泄露等多种方式破坏工业生产。

02横向攻击扩散

在大型企业的工业控制场景中，工业控制系统通常被划分为多个生产区域，各个区域间边界防护规则宽松，导致工业网络攻击与工业网络病毒跨区域传播，感染多个生产子系统，可能造成不必要的停机和数据破坏。

02工业防火墙解决思路

关键设备前端防护

01值域级访问控制技术

从指令周期、时序逻辑等角度对生产业务工艺行为逻辑进行学习，建立基于指令周期和时序逻辑的业务工艺白名单，确保只有经授权的操作才能执行。

02工业靶向式虚拟补丁技术

内置专业工业攻击特征库，以工业领域目标环境中控制设备品牌、固件等为划分条件，制定最小化工业漏洞利用检测规则，有效防止关键设备的漏洞利用。

控制区域边界防护

01安全隔离分区保护技术

建立安全分区，在各安全区域间建立起隔离屏障，阻断非法的业务通信和恶意威胁传播，更好地将安全风险控制在独立区域内，降低整体被攻击的概率。

02白+黑结合的防护技术

将工业控制系统运行状态下的行为、数据特征提取出来，形成白名单规则，结合工业入侵防御、病毒过滤等黑名单规则，对工业数据报文进行深度过滤和特征匹配，高效识别和阻止非法访问。

03工业防火墙部署案例

某城市地铁线网SCADA系统网络安全等级保护项目

项目背景

新建中心级网络、车辆段、车站等网络边界或区域之间物理位置相对分散，而且网络中缺少针对数据外泄、人为误操作以及恶意篡改等行为的防护措施，亟需依据网络安全等级保护2.0要求，结合工业控制系统扩展需求，对地铁新建3条线路的工控网络安全防护体系进行升级改造。

客户需求

需要在新建中心级网络、车辆段、车站等网络边界或区域之间部署安全设备，实现对区域间数据包通信的管控，阻断非法业务通信、异常工业指令、工业网络攻击等，同时需依据等保测评要求进行风险梳理和整改，达到等保三级的要求。

解决方案

01

车站级、车辆段、变电所细粒度访问控制：通过部署工业防火墙，实现对站级SCADA系统工控操作行为的值域级访问控制，同时针对老旧设备的工业漏洞，通过工业靶向式虚拟补丁，实现对站级SCADA系统的网络攻击防护。

02

控制中心网络隔离：添加2台工业防火墙作为中心网关，实现中心级网络和车辆段、车站等区域的网络隔离和访问控制，有效阻止攻击行为或恶意代码感染行为在不同区域渗透，保障核心SCADA工作站安全运行。

应用价值

01

通过部署工业防火墙，有效阻断针对SCADA系统的非法操作、异常指令和网络攻击，减少因工控漏洞导致的生产中断或设备损坏风险，提升工业控制系统安全防护能力，保障业务稳定性和连续性，为地铁安全运行保驾护航。

02

构建集主机防护、访问控制、安全检测、安全管理、安全运营于一体的工业安全纵深防护体系，满足网络安全等级保护三级要求，有效降低安全合规风险的同时，提供更加全面的安全保障。

推动科技创新与产业创新融合发展，全面加快新型工业化进程，做大做强先进制造业，既是发展新质生产力的核心路径，更是构建现代化产业体系的关键支撑。天融信作为率先布局工业安全领域的企业之一，在扎实推进网络安全技术与工业技术、工业场景深度融合的同时，加速工业安全智能体、AI 安全助手在工业企业的应用实践，从产品、方案、服务等多维度为工业互联网企业构建安全体系，助力工业企业数字化、智能化转型升级。

下期预告

天融信「工业审计」产品~

来源：小辰说科技