（天地和兴工控安全防护系统部署拓扑示意图）

• 安全通信网络建设：对油气管道工控网络进行优化，划分安全域，并对油气管道工控网络与办公网互联的网络边界部署工控防火墙进行边界隔离与安全防护，保护油气管道工控网络免受来自上层办公网及互联网的入侵攻击风险。
• 安全区域边界建设：在油气管道工控网络中划分不同的安全域，按照安全域的安全权重，有针对性进行安全域的隔离与访问控制、安全审计、入侵检测等必要的安全防护措施，保护个安全域的运行的安全。本方案中主要是在调控中心SCADA系统网络中部署工控安全审计系统、入侵检测系统，以及在各个站控系统的生产数据汇聚到调度中心的网络入口处部署工控防火墙。
• 安全计算环境的建设：在油气管道工控网络中的安全计算环境是指人机交互界面上的各主机系统，包括各种相关的应用服务器（如SCADA历史服务器、OPC服务器等）、操作员站、工程师站和历史站等。主机系统要通过检查工具对其安全漏洞与脆弱性进行发现和管理，对可修复的漏洞进行可行性验证与修复，关闭不需要的默认账号、服务，进行主机系统必要的安全加固，提升主机系统抗攻击能力。本次设计将考虑部署主机安全防护系统技术措施来对主机系统进行必要的安全防护。

针对油气管道工控网络中的相关服务器、工程师站、操作员站等主机系统，设计安装部署主机安全防护软件系统，实现对人机交互界面的主机系统必要的安全管控。

白名单的主动防御机制可占用更小的系统计算资源，实现最大的防护效能，可有效实现主机防病毒、防第三方软件的非授权安装与使用、对主机系统外接口管控、对USB外接存储设备的认证管控、防病毒与操作行为审计，为主机系统安全运行提供必要的安全保障。

本方案使用的主机安全防护系统，是工控主机系统专用的安全防护系统，系统运用白名单为主，灰名单、黑名单为辅的创新技术方式，监控主机的进程状态、网络端口状态、USB端口状态，严格对主机应用进程进行管控，外接端口管控，USB设备认证与使用管理，以及操作行为管理，强化工控主机的安全管理，提升主机系统抗攻击能力。

通过部署一系列的工业互联网安全产品，为客户提供了如下价值：

• 先进安全防护技术提升企业工控安全防护能力：本方案采用工业协议深度解析技术、智能学习技术、白名单主动防御技术和威胁管理无损技术，并结合公司自有的工业漏洞库、设备指纹库，通过制定有效的安全策略和安全集中分析管控手段，在保证稳定运行的前提下，对工控系统运行提供必要的网络安全保障。
• 完善组织OT内控体系，满足合规需求：本方案在设计时，参照了国家等级保护相关规范要求，并按照企业当前的工控系统信息化建设程度来提出符合实际需求的解决方案，实现了从OT应用控制、OT一般控制、OT审计等三个维度来打造合规的OT控制体系。
• 工控安全产品性能达到国内领先水平：包括独有的专利技术的全机柜一体化解决方案、松耦合的安全框架设计具有极好的设备兼容性、一体化安全产品管理机制。网络接入支持IPv6、ipsecVPN、可视化监控、自定义协议规则、接口联动、热备机制、bypass、低延时等高可用性设计，真正做到了对工业网络零影响。
• 自主可控的上送信息的数据对接：与同类别方案相比，增加的相关设备所采集的信息更加全面，也更具合规性，能完全适应工控系统安全防护在稳定性与机密性的共同需求。方案中所有信息安全产品均为国产自主产品，可控性强，安全产品联动安全性更高，并可提供定制化的功能开发，方便支撑不断迭代升级。
• 可信计算的融合技术：采用设备上加装PCI可信控制卡的方式，实现可信功能。主要包括基于可信根对设备的bootloader、操作系统和应用程序等进行可信验证；基于SM3 HASH对设备的bootloader、操作系统和应用程序等进行可信验证；对系统中断、关键内存区域等执行资源进行可信验证；对设备的网络通信进行可信动态度量，监测异常通信行为；将可信验证结果形成审计记录并发送至安管平台；安管平台处理所有安全设备上报的可信状态值，并呈现整个安全防护系统的可信状况。

本方案以油气管道工控系统应用为场景，构建了安全可控为目标，监控审计、威胁分析、入侵检测、主机防护为特征的油气管道企业工业控制系统新一代主动防御体系，提高了工控系统整体安全性。将为企业工业控制系统网络安全防护体系建设开创行之有效的安全建设模式，提高管控一体化安全防护的能力。

通过本方案中的主动安全防御建设，提高了工控安全防御能力。按照每年平均防御网络攻击1次，每次攻击平均造成的停运损失500万元计算，项目2020年11月份投运至2021年4月份，折算减少停运损失约200万。由于该项目的建设，提高了运维效率，每年还可以降低工业控制系统的运维费用约30万。

本方案具有很强的推广价值，也适合在石油石化行业其它场景的工控系统中进行推广应用。

• 传统IT环境中安全优先级要求：CIA，工控环境中安全优先级要求正好相反：AIC。因此工控检测/审计类产品——特别是主动扫描类检测产品——首要要求是对业务连续性不能有影响；
• 对主流工业协议的识别与解析数量是该类产品的主要衡量标准，除此以外，也应考虑检测结果可视化、与业务的相关性等软性指标；
• 工控检测/审计类产品仍然以合规需求为主要驱动力，但随着关基类用户的投入逐渐加大，实战化高级威胁检测的需求驱动正在逐渐增强；
• 随着客户的检测能力日渐成熟，以及工业互联网安全产品数量增多，会将投入逐渐转向工业互联网安全管理平台能力。工业互联网安全检测类产品的总体收入占比将会逐步下降。

本次参与工控防护能力的厂商共有18家，包括：安恒信息、博智安全、烽台科技、国泰网信、惠而特、立思辰安科、六方云、珞安科技、绿盟科技、木链科技、齐安科技、启明星辰、融安网络、圣博润、天地和兴、天融信、威努特、英赛克。

在本次工业互联网安全系列报告中，检测是最重要的组成部分之一，“看见”是一切安全管理与安全服务的前提。经过近几年的发展，工业互联网安全检测产品形态主要有以下几大类：

• 工业资产发现与管理

在工业生产环境中，以安全视角对包括控制器、控制系统、上位机等工控设备，以及办公网中的网络设备、安全设备、主机设备等在内的各类资产进行主动/被动资产发现以及资产管理的安全产品。

• 工业合规检查工具箱（等保工具箱、基线核查系统等）

以合规检查为主要目的，内置工控系统等级保护检查标准，支持漏洞检测、流量分析、配置核查等自动化评估工具的便携设备产品，一般这类产品还支持自动生成信息安全等级保护检查报告以及整改通知书。主要用户为测评机构与现场执法检查的单位（例如各级测评中心、公安、国安、网信、保密等）以及集团类客户对下属单位检查使用。

• 工业监测审计

针对工业生产环境中的网络流量进行安全监测与行为分析的审计类产品。此类产品的目的在于识别非法操作、越权执行、外部攻击等安全事件并实时告警，同时全面记录网络中的网络运行状况及各协议通信行为，生成分析报告，给出合理化建议，为安全事件的调查取证提供依据。由于采用旁路监听方式进行部署，不影响现有系统的生产运行，审计类产品可以适用于大部分网络环境,。

• 工业安全评估（包含工业漏扫、防病毒）

此类产品涵盖了资产发现、漏洞扫描、配置核查、Windows安全加固、等保合规关联、Wifi安全检测等模块，目的是发现工控环境中存在的各种脆弱性问题，包括各种已知安全漏洞、安全配置问题、不合规行为等风险。在信息系统受到实际危害之前为用户的安全管理人员提供专业、有效的评估报告和修补建议。因此，这类产品一般都会具备直观的报表功能。部分具备防病毒基因的安全企业，还会在这类产品中内置脱壳引擎、解压缩引擎、反病毒引擎，结合特征码扫描、启发式扫描等技术检测各种已、未知病毒威胁。

• 工控漏洞挖掘

此类产品主要用于发现工控设备（PLC、RTU等）、工控系统（DCS、SCADA等）中的未知漏洞，以黑盒测试为主要技术实现方式，产出的测试报告应当能够清晰定位问题并提供测试报文便于问题回溯，对于安全要求更高且预算较多的关基用户，这类产品能够进一步提升工业控制系统的安全性。

• 工业入侵检测系统

顾名思义，应用于工业互联网环境的IDS，主要对缓冲区溢出、SQL 注入、暴力破解、DDoS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件、欺骗劫持、僵尸网络等各类黑客攻击和恶意流量进行实时检测及报警。

不影响用户的业务为基本准则

传统IT环境对安全的优先级要求是CIA，工控环境中对安全的要求优先级正好相反——AIC。工控环境中，绝大部分设备和系统都要求7*24小时不间断运转，所以主动扫描类检测产品，首先要注意的就是不能影响用户业务。如资产发现与漏洞扫描，应当以版本匹配为主，不能poc验证式扫描。同时，要能够对扫描策略进行灵活配置，注意产品的占用进程和资源。很多老旧设备的硬件水平与操作系统都经不起大流量的扫描行为冲击。如果是流量检测，则务必采用旁路监听方式，同时注意产品检查点的范围和深度，避免造成回环等形式的网络拥塞，影响正常的业务流量。所有的产品部署要便捷，尽量不中断或是只占用很短的中断业务时间。

要能够适应恶劣的工业环境

安全检测类产品要具备IP40或以上级别的防护、抗电磁干扰、电源冗余、无风扇散热、双机热备、端口冗余、宽温宽压等工业级的可靠性、稳定性。对于军工类用户，某些便携检测类产品还应当具备三防（防尘，防水，防震）能力，自备电源，适合严苛环境应用。

白名单与黑名单的平衡使用

白名单是工控环境下安全检测产品的基本技术实现思路，但单纯依靠白名单其局限性，甚至有可能反被利用。比如2018年被发现的针对中东某石油天然气厂工业控制系统的“海渊”（TRISIS）恶意代码便是利用社工技巧伪装成安全仪表系统的日志软件绕过“白环境”机制成功进入目标网络。除采用社工手段外，直接针对白名单设备、白名单软件的攻击行为也愈加频繁，更有一些复杂攻击采用哈希碰撞的攻击方式绕过“白名单”机制，对系统造成威胁。因此，应当在基于白名单的基础上，增加对已知病毒、已知漏洞库、威胁情报等特征数据的检测能力。而且，目前供应商的产品一般都具备一定程度的智能学习技术，通过自动学习生成白名单库，并以此为起点按需进行安全检测，使白名单也具备了一定的灵活性。总之，白、黑之间的平衡点，要根据用户自身的业务情况按需制定。

针对以上产品形态及落地要点，工业互联网安全产品的主要核心能力有五个：识别、解析、采集、知识库、可视化。

1.识别

“检测”能力的第一个主要核心能力是准确的工控设备指纹识别能力。能力衡量标准是能够识别的主流协议的数量与准确度，例如西门子、施耐德、罗克韦尔、ABB、艾默生、倍福、欧姆龙、台达、和利时、三菱、霍尼韦尔、英维思等国内外知名厂商的 OPC、Modbus、DNP3.0、S5、S7、Ethernet/IP、MBTP、IEC104、IEC1850、Profinet、BACnet、MMS、FOCAS、 ENIP、Melsec-Q、PCWorx、ProConOs、Crimson 等协议。识别的能力门槛相对较低，对设备协议、设备类型、软硬件版本、厂商、 开放的端口、服务等信息的综合判断，能够积累较多的协议识别数量，但更高的能力壁垒，就需要有专门的技术团队，通过逆向分析等手段，分析协议架构、通信流程、报文结构、解析功能码、敏感报文等信息。目前行业内的主要安全企业，其协议识别能力的数量在数十个不等。用户可以根据自身情况，对供应商加以考量。

2.解析

不同于“识别”，检测能力中对“解析”的要求更高、更深入。要能够对主流协议进行指令级、值域级深度解析，准确解析出协议中的功能码、值域、操作码、寄存器地址范围等等，从而对报文格式、完整性进行检测，判断是否存在畸形报文——尝试伪装成正常通信协议内容的恶意代码进入工业控制系统网络内部或区域内部，联动防火墙，防止畸形代码攻击等多种发生在工控以太网络内部的攻击。

有的审计类产品，还会记录更为详细的指令变更、负载变更、状态变更等指令集的操作数据，兼具一些类似业务中断告警这样的功能，从安全生产的角度来讲，当然这也属于安全范畴。用户可以按需选用。受限于工业生产设备的厂商现状，目前行业内的主要安全企业，其协议解析能力的数量在20-30个之间不等。用户可以根据自身情况，对供应商加以考量。

3.采集

包括定时采集和实时采集，如资产、环境、漏洞等不会频繁变化数据，将采用定时采集或者触发式采集（管理中心下发指令），针对如进程、文件、网络等会频繁变化数据采用实时监控模式，进行实时采集和上报。

审计类产品，要具备原始数据的采集与存储能力，有些行业的审计要求数据留存时间不少于六个月。采集方式可以是实时采集，也可以是定时采集。采集方式可以是直接采集工业数据，比如连接485串口收集数据，或是根据工控设备、网络设备、主机设备、安全设备等目标的不同，分别通过Syslog、SNMP、SNMP Trap、ICMP、SSH、NMAP、流量嗅探等方式进行收集数据。

这里主要考量数据采集的全面性。例如主机设备包括操作系统层面所有的用户登录、操作信息、各类数据库、中间件的重要运行信息以及外设设备（键盘、鼠标以及所有移动存储设备）的接入信息；网络设备的配置变更、流量信息、网口状态等安全事件信息；安全防护设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、入侵检测系统（IDS）、运维操作审计系统、蜜罐、web应用防火墙等安全设备等；日志则包括系统日志、配置日志、流量日志、攻击日志、访问日志等。

4.知识库

构建工控协议解析库，完善安全事件特征库，丰富网络攻击知识库，对多环境、多业务流量进行深度分析、识别、发现、追踪、评估。（木链）

这里的知识库，主要指检测类产品所需要的资产指纹库、漏洞库、病毒库、入侵检测规则库、安全攻击特征库等。各家的分类及计数方式各有标准，因此我们并不强调，也不鼓励单纯的比较各家的知识库数量。不过有两个能力点要说明，一是不论知识库数量多或少，检测还应当考量效率和准确率。二是对私有协议是否提供开发接口或是SDK，方便用户自行扩展支持私有协议和做定制化开发；

5.可视化

工控环境下，安全的很多状态不像IT环境下直观，因此需要更加注重可视化能力。例如资产状态数据、基于协议的网络拓扑视图和网络流量视图、带有时间维度的统计数据、分析结果数据、异常行为告警信息、突出重点的处置建议等。

在初步检测出威胁并加以确认后，如果能够具备一定的可视化分析能力就更好，例如将受到威胁风险的资产与业务属性做关联， 或是接入用户的工业生产数据，将安全风险与生产数据结合，显示其潜在的停机、停产带来的业务风险。可视化的目的一定不只是美观，更重要的是体现出安全的价值。

6.创新尝试

此次调研，我们发现安全企业的检测能力具有一定的趋同性，差异点主要集中在对协议的识别与解析上，但是部分企业还是尝试在作出一些创新尝试，我们列在这里，供用户参考：

• 融合零信任理念的自适应工控安全检测；
• 在工业安全领域研究并应用SOAR、UEBA等先进技术，对工业协议中的生产过程关键参数进行趋势分析与建模，识别正常生产活动与关键参数异常变化；
• 初步的追踪溯源能力：支持流量回溯，追溯攻击过程，支持关联分析攻击路径，保存攻击证据；
• 在安全设备上加装PCI可信控制卡的方式，实现可信功能。实时监测操作系统、应用程序、关键内存区域、网络通信等关键点，最终将可信验证结果形成审计记录并发送至安管平台；安管平台处理所有安全设备上报的可信状态值，并呈现整个安全防护系统的可信状况；
• 对网络中漏洞、攻击等进行监测、梳理和分析，并对探测的漏洞与权威漏洞库进行关联评测，给出量化评估（风险值），并进行预警与展示；
• 基于资产、事件、威胁、时间、空间、业务行为等多个维度进行关联分析，全面、多维、系统的统计、分析，以可视化的图表进行展示；
• 基于AI算法和模型的威胁检测，不依赖特征库升级方式来检测威胁。

工业互联网安全检测需求的用户中，有很多关基类用户，它们面临的威胁等级在逐步提高。对于电力、石油石化、轨道交通、智能制造、钢铁冶金和军工等多个国家关键信息基础设施行业来说，威胁检测的场景越来越趋于实战化，对工业互联网安全检测类产品的要求也正在趋于“能力化”。例如对工业协议的深度解析、基于正常通信行为建模后的异常流量监测、对安全事件一定程度的自动化分析、对威胁风险的统一管理与可视化展现、对高级威胁的检测及防御、基于资产的风险识别等等。这就要求供应商能够将以上检测类产品与本系列报告中的工控蜜罐、安全管理平台、安全服务等内容整合以后，实战化安全运营，才能发挥出最大的能力效果。

• 根据本次调研的方向，2019年我国工业互联网安全检测能力收入总体约为4.11亿元，2020年总体收入约为6.89亿元，预计2021年收入为10.56亿元，2022年有望达到14.2亿元。随着客户的检测能力日渐成熟，以及工业互联网安全产品数量增多，会将投入逐渐转向工业互联网安全管理平台能力。工业互联网安全检测类产品的总体收入占比将会逐步下降。
• 工业互联网安全检测类产品当前还是以单一标准化产品交付为主，占57.15%。定制化产品及运营占24.19%；作为单一功能交付、订阅模式及其他模式共占18.66%。
• 从销售方式来看，厂商直接销售和通过渠道销售占比差距不大。直销（44.81%）比渠道（38.91%）占比略高，OEM的占比为16.29%。
• 当前来看，工业互联网安全检测能力的主要落地行业为电力，占29%。电力在整个工业互联网领域起步较早，投入也更多，因此安全能力落地更多。其余占比超过10%的行业为轨道交通（17%）、石油石化（12%）、以及烟草、教育、军工等其他行业，汇总后也占到了15%。从未来发展来看，石油石化将会成为下一个安全厂商争夺的领域。

一、场景介绍

当前，世界各国广泛采用以信息化促进城市轨道交通发展的战略，信息化已覆盖城市轨道交通的建设、运营、管理、安全、服务等各个方面，我国强力推进“互联网 城市轨道交通”战略。地铁综合监控系统（ISCS）作为轨道交通信息化系统中子系统，承载了对电力设备、火灾报警、车站环控设备、区间环控设备、环境参数、屏蔽门、防掩门、电扶梯设备、照明设备、门禁设备、自动售检票设备等进行实时集中监视和控制的基本功能，同时担负着非运营时间、正常运营时间以及紧急突发事件设备故障情况下的相关系统设备之间协调互动等高级功能，一旦系统被攻击入侵，将给地铁的正常运营、运行带来巨大的影响。为了避免我国城市轨道交通行业在数字化网络化发展过程中出现信息安全和网络安全问题，各城市轨道交通行业建立常态化、覆盖事前、事中、事后的全方位信息安全服务体系，形成动态防护、监测预警、响应处置的网络安全工作机制，覆盖智慧城轨全生命周期和运营全过程。

二、客户需求

工控协议识别种类广泛：综合监控系统（ISCS）属于多系统深度集成的系统，在控制网络中存在多家自动化厂商PLC控制器，需要对全部进行协议的识别和分析；

工控入侵行为检测能力精确性：能够精准的识别基于工控协议的入侵行为，对异常的通信行为进行分析和告警，实现风险、威胁“可知、可管”；

工控协议指令级的异常监控和行为取证：能够对工控网络流量基于“字节和位”的协议分析，能够对关键操作行为、控制命令等进行实时监测和分析；

从“技”、“管”两个维度建立全面防护体系：从安全计算环境、安全通信网络、安全区域边界等多个维度实现安全防护建设，同时结合综合监控系统特性，构建符合国家“等保”监管要求的安全防护体系；

三、解决方案

地铁综合监控系统由控制中心系统、各车站级控制系统、车辆段控制系统、培训管理系统、设备维护及网络管理系统等组成，各系统通过冗余环网连接。针对本项目综合监控系统安全防护体系建设，主要集中在控制中心、各车站、车辆段、停车场以及主所/区间所等系统防护。

地铁安全防护总体架构如下图所示：

依据网络安全等级保护“三级”系统保护要求，结合地铁综合监控系统安全防护面临的诸多安全问题，我们在本项目安全防护体系建设方面遵循“系统内主机加固和风险监控，互联系统间逻辑隔离和防护，审计和告警数据集中管理和统一呈现”的工控系统安全建设原则。具体防护思路如下：

• 在控制中心、车站、车辆段部署工控安全监测与审计系统，实时监测系统内部异常行为，异常流量告警。进行全面的异常行为检测和深度分析，提供现场设备故障报警和恶意入侵活动报警；
• 基于机器学习及大数据技术，对综合监控系统运行一段时间的工控网络数据进行智能分析和自主学习，一键自动穿件白名单策略；持续监视网络流量，自动识别合规数据，及时发现违规行为并实施告警；
• 系统基于网络通信数据的深度分析绘制独特的ISCS工控网络拓扑图，可直观展示ISCS系统工控网络中各个设备节点间的通信连接情况，便于发现工业资产，并提供可视化的异常展示与告警。当存在潜在威胁时，节点间的连线可采用高亮的方式进行展示；
• 内置海量已知工控漏洞库，当监测到发生工控漏洞入侵行为时自动产生告警并提供系统运营人员，工控监测审计系统与多个SIEM平台进行无缝集成，实现分析网络数据；
• 基于通讯数据的资产自动发现和自动链路绘制，识别国内外主流的IT设备和工控设备，并通过通讯拓扑和报表两种方式进行展示，同时对工控网络中的多IP资产提供特殊的管理方式，呈现ISCS系统工控网络实际情况。
• 对ISCS系统中Modbus、IEC61850、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-UA、MMS等工控协议进行深度的解析和防护，同时可支持特有的工控协议自定义功能。

四、客户价值

建立ISCS网络异常监控、行为取证分析的闭环防护措施：通过深度协议分析技术，实时对工控网络流量进行细粒度（字节和位）的协议分析，通过黑白名单方式识别异常行为（异常设备接入、异常网络连接、异常控制命令下发等）并自动报警，支持安全基线和白名单的自动创建。安全系统自身可提供专用取证分析工具，对采集到的工控网络流量进行分析和调查取证，系统既可对历史数据也可对实时数据进行取证分析，发现和追踪工控网络安全威胁，方便管理人员能够快速及时的做出应对措施。

实现通信行为、威胁、资产的“可知、可管”：通过自主的网络流量采集探针，收集ISCS网络环境中的所有网络行为进行协议解析和识别，包含源、目的地址，源、目的端口，协议、时间、会话量等，统一上传给管理平台。平台提供行为分析引擎，利用机器自学习、行为分析模型等分析网络异常行为，并对网络行为进行聚类分析。能够对工控网络中的各种PLC、操作员站等设备进行自动发现并自动生成设备台账设备信息包括IP地址、MAC地址和设备类型等。可快速定位和发现接入工控网络的非法资产，同时可识别僵尸资产，降低工控网络安全风险。

实现基于流量的可视化“挂图”作战：提供完整全面的ISCS系统网络流量拓扑图，在拓扑图中显示设备位置和设备之间的连接关系，可识别IP连接和串行连接。同时能够显示设备之间连接所使用的协议，并对具有潜在安全风险的设备进行高亮显示。对网络环境中的流量数据及安全数据，在“安全管理平台”上进行直观展示，管理员可直观地看到流量传输情况，及系统检测出的告警情况，识别危险链路和危险区域，从而进行适当的防控。

基于工业特性，从“技术”、“管”两个维度形成全面的ISCS系统防护系统：从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段，实现生产网络全面的安全保护。所有安全组件均采用非侵入式安全监测与防护工作方式，可确保安全防护措施对生产网络的干扰降到最低，同时安全不是单纯的技术问题，在采用安全技术和产品的同时，结合ISCS系统的业务特性，从管理制度、应急预案等维度进行完善全面提高安全管理水平。形成“技”、“管”并重的方式，加强ISCS系统控制网络的安全。

五、客户反馈

基于立思辰提供的ISCS系统安全防护技术方案，采用旁路非入侵式防护技术能够动态识别ISCS工业控制网络过程风险，对所有资产情况进行监视，及时发现僵尸资产的入侵行为，能够快速定位风险入侵路径、风险阶段、风险源头，将安全风险遏制在源头、遏制在攻击过程中，形成闭环动态的ISCS系统安全防御体系，为轨道交通ISCS系统的稳定运行、安全运行提供有效的安全保障支撑。

《工业互联网安全能力指南》下一次发布的内容为安全服务部分（包括该领域点阵图）。