文章总结： 本文围绕工业控制系统网络安全风险展开，重点介绍了NIST框架下的资产管理、风险评估方法，并详细分析了现场设备面临的远程访问风险、默认服务暴露等安全挑战，提出了加密通信、最小功能原则、配置加固等具体缓解措施。同时阐述了运营安全（OPSEC）五步流程，强调通过控制信息泄露、最小化数字足迹来补充传统安全防护，最后给出端口扫描、访问管控等可操作建议。 综合评分： 82 文章分类： 安全建设,解决方案,IoT安全,政策法规,网络安全

【工业控制系统网络安全系列课程】第3课-工业控制系统的网络安全风险-网络防御、检测和分析

原创

老付话安全 老付话安全

老付话安全

2026年4月14日 20:20 山东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

关注我，带给你不一样的精彩

世界因你的沉淀而出彩

始于理论，源于实践，终于实战

老付话安全，每天一点点

激情永无限，进步看得见

严正声明

本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。

特此声明！！！

本文字数：

2247字

阅读时间：

10分钟

制定管理网络安全风险的要点

NIST框架的识别功能中的活动是组织理解管理网络、系统、资产、数据 和能力的网络安全风险的基础。 “了解业务环境、支持关键功能的资源以及相关的网络安全风险，使组 织能够根据其风险管理策略和业务需求，集中精力并确定其工作的优先 级。此职能内的成果类别示例包括：资产管理;营商环境;统辖;风险评估; 和风险 管理策略。

对管理网络安全风险的理解：系统、资产、数据和能力

1、您企业的哪些活动必须持续进行才能保持活力？例如，这可能是维护一个网站来检索付款、安全地保护客户/患者 信息，或确保您的企业收集的信息保持可访问性和准确性。

2、重要的是不仅要了解您的企业收集和使用的信息类型， 还要了解数据的位置和使用方式，尤其是合同和外部合作伙伴参与的地方。

3、了解您企业中的计算机和软件很重要，因为它 们通常是恶意行为者的切入点。该清单可以像电子表格一样简单。

4、这些政策和程序应清楚地 描述您对网络安全活动将如何保护您的信息和系统以及它们如何支持关 键企业流程的期望。网络安全政策应与其他企业风险考虑因素（例如财 务、声誉）相结合。

5、确保建立和管理风险管理流程，以确保 识别、评估内部和外部威胁并在风险登记册中记录。确保识别风险响应 并确定优先级、执行并监控结果。

在许多情况下，现场设备位于远程位置，这有时会导致它们被遗忘在您的资产清单中。重要的是要记住保护您的现场设备，以便拥有一个安全的网络。以下指出了一些挑战，并提供了无法使用传统安全技术的缓解措施。

现场设备安全挑战与应对措施

一、安全挑战

• 远程访问风险：为方便运维或满足人工巡检需求，现场设备常开放远程访问通道，但若通信未加密或访问终端不安全，极易成为攻击入口。
• 默认服务暴露：设备出厂可能启用了大量不必要的端口、协议和服务，扩大了攻击面。
• 缺乏安全配置：许多嵌入式设备无法直接安装安全软件，强化配置缺失，易被利用。

二、可能的缓解措施

| 措施类别 | 具体做法 | | — | — | | 安全远程访问 | 使用加密通信（如 VPN、SSH），对访问终端进行严格管控（如补丁、防病毒、访问审计）。 | | 最小功能原则 | 识别并关闭所有非必要的端口、协议和服务；在主机端无法禁用时，通过防火墙进行访问控制。 | | 设备强化 | 遵循供应商或行业安全指南（如 CIS Benchmarks）进行配置加固；更改默认密码，禁用不需要的账户。 | | 网络访问控制 | 部署 802.1X 或基于策略的网络准入，确保只有授权设备可连接现场网络。 |

三、你会怎么做？（具体行动建议）

1. 端口与服务梳理 使用 Nmap 等扫描工具（在授权、非生产环境下）识别现场设备开放的所有端口和服务。
2. 禁用或阻断

• 在设备主机端直接禁用未使用的服务。
• 若设备不支持禁用，则在网络边界（如工业防火墙）配置规则，阻止访问这些端口。

1. 安全配置加固

• 关闭不需要的协议（如 Telnet、HTTP），启用加密替代（SSH、HTTPS）。
• 与供应商沟通，获取设备专用安全加固模板或文档。

1. 远程访问管控

• 强制使用多因素认证和加密通道。
• 对远程访问进行日志记录和定期审计。

1. 持续监控

• 部署网络流量监控（如 Zeek、Snort），对异常访问行为进行告警。

用于识别 ICS网络上的流量和系统

制定保障措施，确保关键基础设施的服务

最薄弱的网络安全环节是人类行为。与其强制用户创建复杂但易忘、易重复的密码，不如鼓励使用密码管理器生成的强密码，并通过黑名单机制阻止弱密码，从而在提升安全性的同时改善用户体验。

运营安全（OPSEC）技术

定义与目标

运营安全（OPSEC）是指保护非公开信息不因组织自身的行为或活动而被无意泄露。 网络安全 OPSEC 的核心目标是：

• 最小化数字足迹：减少对外暴露的信息量。
• 控制信息泄露：避免敏感数据通过公开渠道流出。
• 降低损害：一旦发生安全事件，限制影响范围。

在理想情况下，组织几乎可以做到“脱离电网”（不留下可被利用的公开痕迹）。

重要原则：OPSEC 不能替代其他安全措施（如防火墙、访问控制），而是对它们的补充。

需要关注的公开信息

• 贵公司的官方网站和社交媒体账号发布了哪些内容？
• 供应商是否在未经审批的情况下使用贵公司名义或 logo 进行宣传？
• 贵公司的 IP 地址段是否出现在 Shodan、BinaryEdge 等公开搜索引擎中？
• 提供给供应商的数据，他们如何存储和保护？

OPSEC 五步流程

OPSEC 通过回答以下 5 个关键问题来系统化地识别和管控风险：

1. 需要保护什么关键信息？ （识别关键资产和信息）
2. 谁可能对我们的信息感兴趣？ （分析潜在的威胁对手，如竞争对手、黑客、境外势力）
3. 我们的哪些行为或公开渠道可能泄露这些信息？ （识别现有漏洞，如社交媒体、招聘广告、供应商网站）
4. 这些泄露被利用的风险有多高？后果有多严重？ （评估风险等级，确定优先级）
5. 我们应采取哪些措施来消除或降低这些风险？ （制定并执行缓解对策，如员工培训、信息发布审核、网络扫描自检）

了解您的环境！数据是如何流动的？如何使用数据？谁使用数据？

end

往期内容回顾****

| | | — | | 内网对抗穿透之隧道转发及突破系统防火墙限制 | | 内网渗透测试之Responder工具 | | 内网渗透之内网信息收集 | | 内网渗透工具mimikatz |

@请赐予我力量，关注和转发是最大的支持@

欢迎进群交流

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老付话安全 老付话安全 老付话安全《【工业控制系统网络安全系列课程】第3课-工业控制系统的网络安全风险-网络防御、检测和分析》