目前,，超過80%的涉及國計民生的工業(yè)基礎設施依靠工業(yè)控制系統(tǒng)來實現自動化作業(yè),，工業(yè)控制系統(tǒng)己廣泛應用于涉及國計民生的各領域,，流程工業(yè)對工業(yè)自動化系統(tǒng)普及使用更廣泛,，羅克韋爾,、霍尼韋爾,、通用電氣,、施耐德,、西門子……從德國的工業(yè)4.0到美國的工業(yè)互聯網再到中國的《中國制造2025》,，工業(yè)智能化儼然已成為全球戰(zhàn)略制高點。IT,、CT和OT的技術融合推動了工業(yè)互聯網的發(fā)展,，工業(yè)互聯網也隨之帶來了很多價值，如預測性維護和柔性制造,。

       工業(yè)互聯網發(fā)展的同時也帶來了很多信息安全的問題,，工業(yè)信息安全是國家安全的構成因素，一旦出現問題便會導致嚴重的后果,，例如危及國家安全,、帶來惡性社會影響或者巨大的經濟損失等。

       2021年4月10日,，CITE2021 工業(yè)互聯網發(fā)展與安全峰會在深圳召開,，深圳融安網絡科技有限公司副總裁騰俐軍在會上做了題為《流程工業(yè)ITOT融合網絡安全風險及安全運營管理平臺建設實踐》的報告，分享了該公司在流程行業(yè)中有價值的探索及經驗,。

深圳融安網絡科技有限公司副總裁 騰俐軍

       騰俐軍表示,，近兩年,，國家電網和南方電網都在建設態(tài)勢感知和安全運營平臺上投入了很多資源，融安網絡也很榮幸參與其中,。融安網絡要做的是一個基于內生安全理念的工業(yè)信息安全防護體系,。內生安全包含幾點：IT/OT一體化安全規(guī)劃，業(yè)務/安全融合同步建設以及產品/服務聚合的安全運營,。

       騰俐軍表示,，早期工業(yè)性防護偏局部，出現問題后便增強安全體系,，幫助一些企業(yè)做安全建設的時候更希望從全局來思考問題,，按照體系架構來針對性地來進行安全性地部署。如下圖所示,，流程制造行業(yè)具有L0到L4分層的概念,。L0為設備層，L1和L2是現場控制層和過程監(jiān)控層,，這兩個版塊與工業(yè)生產比較緊密,，工業(yè)性要求非常高，實時性也非常高,。L3為生產管理層,，執(zhí)行較低，但也需要做安全的加固,，L3與企業(yè)網連通較為緊密,，那么這一部分該如何部署呢？

       騰俐軍表示,，網絡安全,、控制安全、數據安全,、設備安全上的問題都會使流程工業(yè)企業(yè)生產信息系統(tǒng)產生安全風險,。在網絡安全上，網絡IP化,、無線化以及組網靈活化給工廠網絡帶來了更大的安全風險,；控制安全上，控制環(huán)境開放化使外部互聯網威脅滲透到工廠控制環(huán)境,；在數據安全方面,，數據的開放、流動和共享使數據和隱私保護面臨前所未有的挑戰(zhàn),；設備安全方面,，設備智能化使生產裝備和產品暴露在網絡攻擊之下。

        為了解決此問題,，融安網絡為流程工業(yè)企業(yè)生產信息系統(tǒng)網絡安全設計了“一個中心+二個體系+三重防護”的實施方案：

行業(yè)應用-廣西廣投新材料集團智慧工廠

       騰俐軍之后展示了融安網絡正在建設的兩個項目,。廣投新材料集團智能制造網絡安全項目新材料集團以鋁加工及鋁精深加工為主的企業(yè),，主要從事航空鋁板型材及其精深加工制品的研發(fā)設計、生產和銷售為主要業(yè)務,。集團為提升生產運行效率進行智能化改造,，建設智能工廠，網絡安全為智能制造工廠配套基礎設施環(huán),。

• 技術需求：

1. 智慧工廠生產線中各子系統(tǒng)(熔鑄/擠壓/熱軋/冷軋/供電/污水等)做了相應的區(qū)域劃分,，但是處于邏輯互聯的狀態(tài)，缺乏有效的隔離和防護手段,；

2. 智慧工廠工業(yè)控制網絡內部缺乏合理的威脅發(fā)現防護機制,，對于內部出現的風險無法及時告警和響應；

3. 滿足網絡安全法和網絡安全等級保護2.0三級等保合規(guī)性需求,，建立協同防御體系；

• 解決方案：

?  采用智能工業(yè)防火墻,，部署在內部各子系統(tǒng)區(qū)域邊界,，實現不同區(qū)域之間的安全防護，采用黑白名單技術實現內部入侵防護和APT攻擊防護,；

?  采用工業(yè)入侵檢測系統(tǒng)和工業(yè)監(jiān)測審計系統(tǒng),，部署在內部各子系統(tǒng)內部，實現不同區(qū)域子系統(tǒng)的惡意代碼監(jiān)測和網絡行為,、操作行為的審計,，通過機器學習建立白名單對異常操作行為和網絡行為告警；采用融安工業(yè)終端安全衛(wèi)士,，部署在操作員,、工程師和服務器站，建立可信計算空間,；

?  建設集團綜合網絡安全管理中心,，依托工業(yè)控制系統(tǒng)安全大數據平臺實現對集團下屬智能工廠全網資產信息采集，網絡安全設備狀態(tài)監(jiān)控和策略下發(fā),，對網絡流量和安全事件進行實時采集清洗,，通過數據建模分析內網安全威脅并聯動響應處理。

行業(yè)應用-國家管網廣東天然氣管道SCADA系統(tǒng)

       國家管網廣東天然氣管網項目是省重點工程,，建成年供氣量達500億方3200公里的天然氣管網,，受益人口將超過1億。為提高公司生產控制系統(tǒng)整體水平,，參照等保2.0工作要求,，完成調控中心+站場（60個）等SCADA系統(tǒng)等保定級建設。

• 技術需求：

        廣東省天然氣管網工程調控和應急指揮中心項目,。調控中心按照網絡安全等保三級要求建設,，在調控中心以及粵西,、粵東、粵北等3200公里天然氣骨干網站控,、閥室建設邊界防護,、安全監(jiān)測、計算環(huán)境安全,、安全管理等體系,。

        廣東管網各站場生產數據與廣州調控中心的通信信道均采用主備方式，調度中心部署綜合安全管理平臺,，第一期/二期/三期管線一共部署包括工業(yè)防火墻,、隔離網閘、堡壘機,、工業(yè)入侵監(jiān)測,、日志審計、工業(yè)監(jiān)測審計,、工業(yè)終端衛(wèi)士以及工業(yè)控制系統(tǒng)安全大數據系統(tǒng)等200套產品,；

• 解決方案：

- 安全區(qū)域隔離：生產網內部各子系統(tǒng)之間，采用工業(yè)防火墻實現邏輯隔離,，并采用黑白名單技術,，實現內部入侵防護和APT攻擊防護；

- 網絡安全監(jiān)視：生產網站點部署工業(yè)入侵檢測系統(tǒng)和工業(yè)監(jiān)測審計系統(tǒng),，并實現防火墻和入侵檢測聯動,，能夠實時阻斷威脅鏈路。安全數據采集回傳安全管理中心,；

- 計算環(huán)境安全： 生產網的主機和服務器部署基于可信和進程白名單額度工業(yè)終端安全衛(wèi)士,，實現主機安全免疫；

- 管理中心：綜合網絡安全管理中心,，依托工業(yè)控制系統(tǒng)安全大數據平臺實現全網資產信息采集,，網絡安全設備狀態(tài)監(jiān)控和策略下發(fā)，對網絡流量和安全事件進行實時采集清洗,，通過數據建模分析內網安全威脅并聯動響應處理,。

        騰俐軍在報告最后表示，“所以現在工業(yè)體系這一塊怎么來形成更好的效率,，還是屬于探索和摸索階段,，但是目前的嘗試還是非常有意義的，至少發(fā)揮了一些很好的作用,?！?/p>