目前，超過80%的涉及國計民生的工業(yè)基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),，工業(yè)控制系統(tǒng)己廣泛應(yīng)用于涉及國計民生的各領(lǐng)域,，流程工業(yè)對工業(yè)自動化系統(tǒng)普及使用更廣泛,，羅克韋爾,、霍尼韋爾,、通用電氣,、施耐德,、西門子……從德國的工業(yè)4.0到美國的工業(yè)互聯(lián)網(wǎng)再到中國的《中國制造2025》,，工業(yè)智能化儼然已成為全球戰(zhàn)略制高點。IT,、CT和OT的技術(shù)融合推動了工業(yè)互聯(lián)網(wǎng)的發(fā)展,，工業(yè)互聯(lián)網(wǎng)也隨之帶來了很多價值，如預測性維護和柔性制造,。

       工業(yè)互聯(lián)網(wǎng)發(fā)展的同時也帶來了很多信息安全的問題,，工業(yè)信息安全是國家安全的構(gòu)成因素，一旦出現(xiàn)問題便會導致嚴重的后果,，例如危及國家安全,、帶來惡性社會影響或者巨大的經(jīng)濟損失等。

       2021年4月10日,，CITE2021 工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會在深圳召開,，深圳融安網(wǎng)絡(luò)科技有限公司副總裁騰俐軍在會上做了題為《流程工業(yè)ITOT融合網(wǎng)絡(luò)安全風險及安全運營管理平臺建設(shè)實踐》的報告，分享了該公司在流程行業(yè)中有價值的探索及經(jīng)驗,。

深圳融安網(wǎng)絡(luò)科技有限公司副總裁 騰俐軍

       騰俐軍表示,，近兩年，國家電網(wǎng)和南方電網(wǎng)都在建設(shè)態(tài)勢感知和安全運營平臺上投入了很多資源,，融安網(wǎng)絡(luò)也很榮幸參與其中,。融安網(wǎng)絡(luò)要做的是一個基于內(nèi)生安全理念的工業(yè)信息安全防護體系。內(nèi)生安全包含幾點：IT/OT一體化安全規(guī)劃,，業(yè)務(wù)/安全融合同步建設(shè)以及產(chǎn)品/服務(wù)聚合的安全運營,。

       騰俐軍表示，早期工業(yè)性防護偏局部,，出現(xiàn)問題后便增強安全體系,，幫助一些企業(yè)做安全建設(shè)的時候更希望從全局來思考問題，按照體系架構(gòu)來針對性地來進行安全性地部署,。如下圖所示,，流程制造行業(yè)具有L0到L4分層的概念。L0為設(shè)備層,，L1和L2是現(xiàn)場控制層和過程監(jiān)控層,，這兩個版塊與工業(yè)生產(chǎn)比較緊密，工業(yè)性要求非常高,，實時性也非常高,。L3為生產(chǎn)管理層,，執(zhí)行較低，但也需要做安全的加固,，L3與企業(yè)網(wǎng)連通較為緊密,，那么這一部分該如何部署呢？

       騰俐軍表示,，網(wǎng)絡(luò)安全,、控制安全、數(shù)據(jù)安全,、設(shè)備安全上的問題都會使流程工業(yè)企業(yè)生產(chǎn)信息系統(tǒng)產(chǎn)生安全風險,。在網(wǎng)絡(luò)安全上，網(wǎng)絡(luò)IP化,、無線化以及組網(wǎng)靈活化給工廠網(wǎng)絡(luò)帶來了更大的安全風險,；控制安全上，控制環(huán)境開放化使外部互聯(lián)網(wǎng)威脅滲透到工廠控制環(huán)境,；在數(shù)據(jù)安全方面,，數(shù)據(jù)的開放、流動和共享使數(shù)據(jù)和隱私保護面臨前所未有的挑戰(zhàn),；設(shè)備安全方面,，設(shè)備智能化使生產(chǎn)裝備和產(chǎn)品暴露在網(wǎng)絡(luò)攻擊之下。

        為了解決此問題,，融安網(wǎng)絡(luò)為流程工業(yè)企業(yè)生產(chǎn)信息系統(tǒng)網(wǎng)絡(luò)安全設(shè)計了“一個中心+二個體系+三重防護”的實施方案：

行業(yè)應(yīng)用-廣西廣投新材料集團智慧工廠

       騰俐軍之后展示了融安網(wǎng)絡(luò)正在建設(shè)的兩個項目,。廣投新材料集團智能制造網(wǎng)絡(luò)安全項目新材料集團以鋁加工及鋁精深加工為主的企業(yè)，主要從事航空鋁板型材及其精深加工制品的研發(fā)設(shè)計,、生產(chǎn)和銷售為主要業(yè)務(wù),。集團為提升生產(chǎn)運行效率進行智能化改造，建設(shè)智能工廠,，網(wǎng)絡(luò)安全為智能制造工廠配套基礎(chǔ)設(shè)施環(huán),。

• 技術(shù)需求：

1. 智慧工廠生產(chǎn)線中各子系統(tǒng)(熔鑄/擠壓/熱軋/冷軋/供電/污水等)做了相應(yīng)的區(qū)域劃分，但是處于邏輯互聯(lián)的狀態(tài),，缺乏有效的隔離和防護手段,；

2. 智慧工廠工業(yè)控制網(wǎng)絡(luò)內(nèi)部缺乏合理的威脅發(fā)現(xiàn)防護機制，對于內(nèi)部出現(xiàn)的風險無法及時告警和響應(yīng),；

3. 滿足網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護2.0三級等保合規(guī)性需求,，建立協(xié)同防御體系；

• 解決方案：

?  采用智能工業(yè)防火墻,，部署在內(nèi)部各子系統(tǒng)區(qū)域邊界,，實現(xiàn)不同區(qū)域之間的安全防護,，采用黑白名單技術(shù)實現(xiàn)內(nèi)部入侵防護和APT攻擊防護,；

?  采用工業(yè)入侵檢測系統(tǒng)和工業(yè)監(jiān)測審計系統(tǒng)，部署在內(nèi)部各子系統(tǒng)內(nèi)部，實現(xiàn)不同區(qū)域子系統(tǒng)的惡意代碼監(jiān)測和網(wǎng)絡(luò)行為,、操作行為的審計,，通過機器學習建立白名單對異常操作行為和網(wǎng)絡(luò)行為告警；采用融安工業(yè)終端安全衛(wèi)士,，部署在操作員,、工程師和服務(wù)器站，建立可信計算空間,；

?  建設(shè)集團綜合網(wǎng)絡(luò)安全管理中心,，依托工業(yè)控制系統(tǒng)安全大數(shù)據(jù)平臺實現(xiàn)對集團下屬智能工廠全網(wǎng)資產(chǎn)信息采集，網(wǎng)絡(luò)安全設(shè)備狀態(tài)監(jiān)控和策略下發(fā),，對網(wǎng)絡(luò)流量和安全事件進行實時采集清洗,，通過數(shù)據(jù)建模分析內(nèi)網(wǎng)安全威脅并聯(lián)動響應(yīng)處理。

行業(yè)應(yīng)用-國家管網(wǎng)廣東天然氣管道SCADA系統(tǒng)

       國家管網(wǎng)廣東天然氣管網(wǎng)項目是省重點工程,，建成年供氣量達500億方3200公里的天然氣管網(wǎng),，受益人口將超過1億。為提高公司生產(chǎn)控制系統(tǒng)整體水平,，參照等保2.0工作要求,，完成調(diào)控中心+站場（60個）等SCADA系統(tǒng)等保定級建設(shè)。

• 技術(shù)需求：

        廣東省天然氣管網(wǎng)工程調(diào)控和應(yīng)急指揮中心項目,。調(diào)控中心按照網(wǎng)絡(luò)安全等保三級要求建設(shè),，在調(diào)控中心以及粵西、粵東,、粵北等3200公里天然氣骨干網(wǎng)站控,、閥室建設(shè)邊界防護、安全監(jiān)測,、計算環(huán)境安全,、安全管理等體系。

        廣東管網(wǎng)各站場生產(chǎn)數(shù)據(jù)與廣州調(diào)控中心的通信信道均采用主備方式,，調(diào)度中心部署綜合安全管理平臺,，第一期/二期/三期管線一共部署包括工業(yè)防火墻、隔離網(wǎng)閘,、堡壘機,、工業(yè)入侵監(jiān)測、日志審計,、工業(yè)監(jiān)測審計,、工業(yè)終端衛(wèi)士以及工業(yè)控制系統(tǒng)安全大數(shù)據(jù)系統(tǒng)等200套產(chǎn)品；

• 解決方案：

- 安全區(qū)域隔離：生產(chǎn)網(wǎng)內(nèi)部各子系統(tǒng)之間,，采用工業(yè)防火墻實現(xiàn)邏輯隔離,，并采用黑白名單技術(shù),，實現(xiàn)內(nèi)部入侵防護和APT攻擊防護；

- 網(wǎng)絡(luò)安全監(jiān)視：生產(chǎn)網(wǎng)站點部署工業(yè)入侵檢測系統(tǒng)和工業(yè)監(jiān)測審計系統(tǒng),，并實現(xiàn)防火墻和入侵檢測聯(lián)動,，能夠?qū)崟r阻斷威脅鏈路。安全數(shù)據(jù)采集回傳安全管理中心,；

- 計算環(huán)境安全： 生產(chǎn)網(wǎng)的主機和服務(wù)器部署基于可信和進程白名單額度工業(yè)終端安全衛(wèi)士,，實現(xiàn)主機安全免疫；

- 管理中心：綜合網(wǎng)絡(luò)安全管理中心,，依托工業(yè)控制系統(tǒng)安全大數(shù)據(jù)平臺實現(xiàn)全網(wǎng)資產(chǎn)信息采集,，網(wǎng)絡(luò)安全設(shè)備狀態(tài)監(jiān)控和策略下發(fā)，對網(wǎng)絡(luò)流量和安全事件進行實時采集清洗,，通過數(shù)據(jù)建模分析內(nèi)網(wǎng)安全威脅并聯(lián)動響應(yīng)處理,。

        騰俐軍在報告最后表示，“所以現(xiàn)在工業(yè)體系這一塊怎么來形成更好的效率,，還是屬于探索和摸索階段,，但是目前的嘗試還是非常有意義的，至少發(fā)揮了一些很好的作用,?！?/p>