制造業(yè)是國民經(jīng)濟的基礎和主干，是經(jīng)濟和社會(huì )發(fā)展的重要支撐。隨著(zhù)兩化融合的推進(jìn)，離散制造企業(yè)作為制造業(yè)企業(yè)的重要組成部分之一，需要在生產(chǎn)過(guò)程中實(shí)現設備網(wǎng)絡(luò )化、數據可視化、過(guò)程透明化、管理高效化等目標，急需加強工控網(wǎng)絡(luò )防護技術(shù)研究，根據離散型制造企業(yè)的工控網(wǎng)絡(luò )現狀及問(wèn)題，通過(guò)采用“縱深防御”方法策略，有效構建離散型制造企業(yè)工控網(wǎng)絡(luò )信息系統防護系統，采用多層動(dòng)態(tài)防護方式為應對網(wǎng)絡(luò )威脅和脆弱性等問(wèn)題提供有效保障。

隨著(zhù)離散型制造企業(yè)兩化融合的進(jìn)一步推進(jìn)，尤其隨著(zhù)物聯(lián)網(wǎng)技術(shù)的發(fā)展，為離散型制造企業(yè)基礎設備與IT系統高速連接提供了技術(shù)實(shí)現的可能。但是，傳統工業(yè)控制系統領(lǐng)域為控制建設成本，普遍采用IT部署和數據通信技術(shù)，大量采用IT網(wǎng)絡(luò )的防護策略，客觀(guān)上降低了工業(yè)控制系統網(wǎng)絡(luò )的防護水平。

(1)工控網(wǎng)絡(luò )信息系統防護意識不足。離散型制造企業(yè)長(cháng)期以來(lái)從管理者到一線(xiàn)員工對工控網(wǎng)絡(luò )防護的認識普遍不足，認識程度不一，實(shí)際工作中普遍存在諸如不安全連接、不規范操作、隨意遠程、胡亂U盤(pán)接入等現象，給工控網(wǎng)絡(luò )信息系統帶來(lái)客觀(guān)隱患，而人為主觀(guān)帶來(lái)的威脅則更具有不確定性、隱蔽性。

(2)工控網(wǎng)絡(luò )信息系統來(lái)自未知隱患的防護挑戰。隨著(zhù)物聯(lián)網(wǎng)的推廣應用，信息基礎設備設施的互聯(lián)互通性迅速加強，給工控網(wǎng)絡(luò )帶來(lái)更多未知不可控的防護隱患?，F有防護措施普遍是針對已知的攻擊行為而制定的，而如何應對新型未知的工控網(wǎng)絡(luò )攻擊方式和手段，才是相關(guān)企業(yè)更應該關(guān)注也必須解決的問(wèn)題。

(1)檢測防御技術(shù)

檢測防御通過(guò)對工控網(wǎng)絡(luò )中日志、流量等進(jìn)行檢測，并對可能面臨的攻擊行為進(jìn)行有效防御。主要有分布式拒絕服務(wù)(Distributed Denial of Service，DDoS)、數據泄露防護、下一代防火墻、入侵檢測與防護、工業(yè)安全網(wǎng)關(guān)、工業(yè)安全隔離裝置、網(wǎng)絡(luò )流量分析、威脅分析等新型技術(shù)。

(2)安全評估技術(shù)

安全評估技術(shù)通過(guò)對工控網(wǎng)絡(luò )信息系統的漏洞挖掘和安全服務(wù)，高效、全方位地檢測網(wǎng)絡(luò )中各類(lèi)脆弱性風(fēng)險，并提供專(zhuān)業(yè)有效的安全分析、建議以及評估等。主要包括安全配置核查、工控漏洞掃描、遠程安全評估、網(wǎng)站安全監測等相關(guān)技術(shù)。

(3)安全監管技術(shù)

安全監管集中的賬號管理、運維操作訪(fǎng)問(wèn)控制和全程運維操作審計，幫助企業(yè)轉變傳統IT安全運維被動(dòng)響應的模式，建立面向用戶(hù)的集中、主動(dòng)的運維安全管控模式。主要有運維安全管理、安全審計、數據庫審計、工控安全審計、下一代安全云桌面等安全監管技術(shù)。

(4)安全平臺

安全平臺以大數據框架為基礎，結合檢測防御技術(shù)，基于攻防場(chǎng)景模型的大數據分析及可視化展示等手段，協(xié)助企業(yè)建立和完善安全態(tài)勢全面監控、安全威脅實(shí)時(shí)預警、安全事故快速響應等能力，協(xié)助安全專(zhuān)家快速發(fā)現和分析安全問(wèn)題，并通過(guò)運維手段實(shí)現工控網(wǎng)絡(luò )問(wèn)題的閉環(huán)處理。

采用“縱深防御”方法策略，其核心是將網(wǎng)絡(luò )劃分為不同的區域。根據離散型制造企業(yè)的實(shí)際情況及特點(diǎn)，將工業(yè)控制網(wǎng)絡(luò )劃分為設備、控制、應用、數據等不同層級，針對各層次制定適宜的安全防御措施，幫助企業(yè)構建有效工業(yè)控制網(wǎng)絡(luò )縱深防御系統。

(1)關(guān)鍵設備安全防護

關(guān)鍵設備安全防護主要采用安全運維管控系統措施，實(shí)現工程師站、操作員站對外部存儲器(如U盤(pán))、鍵盤(pán)和鼠標等使用USB接口設備的識別，對外部存儲器的使用進(jìn)行嚴格控制。

(2)數據中心安全防護

數據脫敏：在輸出或共享前對數據進(jìn)行脫敏處理，脫敏后不可恢復。

工業(yè)網(wǎng)關(guān)：基于物理隔離的白名單控制，在兩個(gè)獨立主機系統之間，采用完全的私有方式，進(jìn)行格式化數據塊的無(wú)協(xié)議“擺渡”。

入侵檢測系統：具備敏感數據外發(fā)檢測、服務(wù)器非法外聯(lián)檢測、僵尸網(wǎng)絡(luò )檢測等多項功能，同時(shí)集成了沙箱檢測能力，是一種積極主動(dòng)的安全防護技術(shù)，能夠為用戶(hù)提供深度攻擊防御和內網(wǎng)安全保護。

數據銷(xiāo)毀：為防止數據被惡意恢復，在對新的租戶(hù)重新分配資源之前，需要對存儲空間中的數據進(jìn)行徹底抹除。根據不同的數據類(lèi)型以及業(yè)務(wù)部署情況，采用邏輯卷清零或隨機數多次覆寫(xiě)、消磁或物理粉碎等措施。

備份和恢復：制定數據備份策略，定期對數據進(jìn)行備份。當發(fā)生數據丟失事故時(shí)，能及時(shí)恢復備份數據，保障企業(yè)生產(chǎn)正常運轉，從而降低用戶(hù)的損失。

(3)應用安全防護

應用安全主要針對工業(yè)云平臺、應用程序和網(wǎng)絡(luò )等采取的安全防御措施，并通過(guò)安全數據化、數據可視化方式，采用餅圖、曲線(xiàn)圖、態(tài)勢圖等可視化展示平臺，使管理者可快速全面掌控企業(yè)安全狀況，為快速決策與運維診斷提供支撐。

工業(yè)云平臺：主要通過(guò)行為異常監測和阻止、安全監測、虛擬化安全、DDoS防御系統等安全防御措施。對工業(yè)應用程序、運行參數(如網(wǎng)絡(luò )流量、主機資源和存儲等)以及各類(lèi)日志及網(wǎng)絡(luò )監控系統的訪(fǎng)問(wèn)行為等進(jìn)行實(shí)時(shí)監測與檢測，當發(fā)現異常行為時(shí)，立即產(chǎn)生報警或阻止異常行為，同時(shí)對安全事件進(jìn)行評估。同時(shí)通過(guò)采用虛擬化加固等防護措施，避免出現安全問(wèn)題，影響上層平臺的安全。

應用程序：主要有身份認證系統、軟件防篡改、安全監測審計等安全防御措施。在使用前，采用代碼測試、完整性校驗、源代碼加密處理及程序和數據備份等措施，防止工業(yè)控制軟件發(fā)生篡改；在使用時(shí)，采用身份認證授權機制、數字簽名和訪(fǎng)問(wèn)控制技術(shù)、密碼技術(shù)等，實(shí)現用戶(hù)、設備和數據的完整性、一致性；在使用過(guò)程中，通過(guò)漏洞掃描工具等方式探測網(wǎng)絡(luò )設備與標識解析節點(diǎn)的漏洞情況，同時(shí)記錄操作人員的錯誤和越權行為，并及時(shí)提供預警信息。

網(wǎng)絡(luò )：主要通過(guò)防火墻系統實(shí)現IP端口的訪(fǎng)問(wèn)控制、應用層協(xié)議訪(fǎng)問(wèn)控制及流量控制等。防火墻作為靜態(tài)防護手段，可與入侵檢測系統共同構建動(dòng)態(tài)防御體系，將一切已知的可能攻擊行為進(jìn)行阻斷。

安全防護可視化：通過(guò)對各安全監測防護系統的集成，建立安全數據展示平臺，可實(shí)時(shí)從全局掌控企業(yè)安全態(tài)勢，協(xié)助工程師快速發(fā)現、定位、解決安全問(wèn)題，為企業(yè)安全問(wèn)題提供輔助決策能力。

工控網(wǎng)絡(luò )信息系統安全系統已在國內某大型企業(yè)管子生產(chǎn)加工車(chē)間實(shí)現應用，該智能管加車(chē)間項目是該領(lǐng)域首條集各種先進(jìn)智能化系統于一體的管件制造領(lǐng)域高端裝備。該全自動(dòng)管加柔性生產(chǎn)線(xiàn)主要由自動(dòng)立體倉庫、自動(dòng)切割下料單元、自動(dòng)打磨單元、自動(dòng)貼標單元、自動(dòng)組對焊接單元等關(guān)鍵設備設施，以及倉儲管理系統、企業(yè)信息空間工程系統、數據信息綜合交互處理平臺等軟件系統融合組成?，F已投入正式運行并取得良好應用效果。

主要采取的防護措施如下：

(1)現場(chǎng)設備與數據庫的網(wǎng)絡(luò )核心交換機處，部署安全運維管控系統。對現場(chǎng)工位機和機房的USB接口進(jìn)行識別及控制，防止通過(guò)U盤(pán)傳播病毒和拷貝數據，保障現場(chǎng)關(guān)鍵設備設施和數據信息安全。

(2)在數據庫與集中管控中心的核心交換機旁，部署入侵檢測系統、備份和恢復。主動(dòng)進(jìn)行敏感數據外發(fā)檢測，服務(wù)器非法外聯(lián)檢測等，集成沙箱檢測能力，發(fā)現異常事件時(shí)，產(chǎn)生報警或主動(dòng)處理；同時(shí)具備備份和恢復能力，在數據丟失或惡意銷(xiāo)毀等情況下，可快速恢復數據，保障生產(chǎn)正常運轉。在核心交換機主干線(xiàn)部署工業(yè)網(wǎng)關(guān)，隔離內、外數據的連接，保護數據安全。

(3)在集中管控中心的接入核心交換機旁，部署身份認證系統、軟件防篡改和安全監測審計。身份認證系統通過(guò)訪(fǎng)問(wèn)控制技術(shù)實(shí)現對用戶(hù)的訪(fǎng)問(wèn)權限的控制，防止偽造、否認、冒充等問(wèn)題；軟件防篡改主要對倉儲管理系統、企業(yè)信息空間工程系統、數據信息綜合交互處理平臺等軟件系統的源代碼進(jìn)行加密處理及程序和數據備份；安全監測審計是記錄集中管控中心操作人員的錯誤和越權行為，并及時(shí)報警，降低內部非惡意操作導致的安全隱患。

(4)在外網(wǎng)與內網(wǎng)的主干線(xiàn)處，部署防火墻系統。實(shí)現IP端口的訪(fǎng)問(wèn)控制、應用層協(xié)議訪(fǎng)問(wèn)控制及流量控制等。防火墻與入侵檢測系統構建“實(shí)時(shí)動(dòng)態(tài)+靜態(tài)”防護策略，提升工控網(wǎng)絡(luò )系統的未知攻擊防御能力。

工控網(wǎng)絡(luò )信息系統安全系統確保了管加車(chē)間的可靠運行，保障高端裝備安全的同時(shí)，也有效保證了產(chǎn)線(xiàn)數據安全，阻止多次的內外部可疑攻擊及錯誤操作，為該制造企業(yè)管子加工的安全生產(chǎn)提供了可靠保障，同時(shí)符合國家等級保護要求。

通過(guò)工控網(wǎng)絡(luò )信息系統防護技術(shù)研究，構建適宜離散型制造企業(yè)的工控網(wǎng)絡(luò )信息系統安全系統，實(shí)現離散型制造企業(yè)信息系統的縱深防御，并通過(guò)實(shí)際應用，驗證了該系統的有效性、適宜性和可靠性。同時(shí)，該系統在離散型制造企業(yè)領(lǐng)域具有可復制性及推廣意義，為企業(yè)帶來(lái)經(jīng)濟效益的同時(shí)，也對其他企業(yè)的工控網(wǎng)絡(luò )信息系統防護建設具有參考價(jià)值。

來(lái)源： 信息技術(shù)與網(wǎng)絡(luò )安全