目前，超過80%的涉及國計民生的工業(yè)基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，工業(yè)控制系統(tǒng)己廣泛應用于涉及國計民生的各領域，流程工業(yè)對工業(yè)自動化系統(tǒng)普及使用更廣泛，羅克韋爾、霍尼韋爾、通用電氣、施耐德、西門子……從德國的工業(yè)4.0到美國的工業(yè)互聯(lián)網(wǎng)再到中國的《中國制造2025》，工業(yè)智能化儼然已成為全球戰(zhàn)略制高點。IT、CT和OT的技術融合推動了工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)互聯(lián)網(wǎng)也隨之帶來了很多價值，如預測性維護和柔性制造。

       工業(yè)互聯(lián)網(wǎng)發(fā)展的同時也帶來了很多信息安全的問題，工業(yè)信息安全是國家安全的構成因素，一旦出現(xiàn)問題便會導致嚴重的后果，例如危及國家安全、帶來惡性社會影響或者巨大的經(jīng)濟損失等。

       2021年4月10日，CITE2021 工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會在深圳召開，深圳融安網(wǎng)絡科技有限公司副總裁騰俐軍在會上做了題為《流程工業(yè)ITOT融合網(wǎng)絡安全風險及安全運營管理平臺建設實踐》的報告，分享了該公司在流程行業(yè)中有價值的探索及經(jīng)驗。

深圳融安網(wǎng)絡科技有限公司副總裁 騰俐軍

       騰俐軍表示，近兩年，國家電網(wǎng)和南方電網(wǎng)都在建設態(tài)勢感知和安全運營平臺上投入了很多資源，融安網(wǎng)絡也很榮幸參與其中。融安網(wǎng)絡要做的是一個基于內生安全理念的工業(yè)信息安全防護體系。內生安全包含幾點：IT/OT一體化安全規(guī)劃，業(yè)務/安全融合同步建設以及產品/服務聚合的安全運營。

       騰俐軍表示，早期工業(yè)性防護偏局部，出現(xiàn)問題后便增強安全體系，幫助一些企業(yè)做安全建設的時候更希望從全局來思考問題，按照體系架構來針對性地來進行安全性地部署。如下圖所示，流程制造行業(yè)具有L0到L4分層的概念。L0為設備層，L1和L2是現(xiàn)場控制層和過程監(jiān)控層，這兩個版塊與工業(yè)生產比較緊密，工業(yè)性要求非常高，實時性也非常高。L3為生產管理層，執(zhí)行較低，但也需要做安全的加固，L3與企業(yè)網(wǎng)連通較為緊密，那么這一部分該如何部署呢？

       騰俐軍表示，網(wǎng)絡安全、控制安全、數(shù)據(jù)安全、設備安全上的問題都會使流程工業(yè)企業(yè)生產信息系統(tǒng)產生安全風險。在網(wǎng)絡安全上，網(wǎng)絡IP化、無線化以及組網(wǎng)靈活化給工廠網(wǎng)絡帶來了更大的安全風險；控制安全上，控制環(huán)境開放化使外部互聯(lián)網(wǎng)威脅滲透到工廠控制環(huán)境；在數(shù)據(jù)安全方面，數(shù)據(jù)的開放、流動和共享使數(shù)據(jù)和隱私保護面臨前所未有的挑戰(zhàn)；設備安全方面，設備智能化使生產裝備和產品暴露在網(wǎng)絡攻擊之下。

        為了解決此問題，融安網(wǎng)絡為流程工業(yè)企業(yè)生產信息系統(tǒng)網(wǎng)絡安全設計了“一個中心+二個體系+三重防護”的實施方案：

行業(yè)應用-廣西廣投新材料集團智慧工廠

       騰俐軍之后展示了融安網(wǎng)絡正在建設的兩個項目。廣投新材料集團智能制造網(wǎng)絡安全項目新材料集團以鋁加工及鋁精深加工為主的企業(yè)，主要從事航空鋁板型材及其精深加工制品的研發(fā)設計、生產和銷售為主要業(yè)務。集團為提升生產運行效率進行智能化改造，建設智能工廠，網(wǎng)絡安全為智能制造工廠配套基礎設施環(huán)。

• 技術需求：

1. 智慧工廠生產線中各子系統(tǒng)(熔鑄/擠壓/熱軋/冷軋/供電/污水等)做了相應的區(qū)域劃分，但是處于邏輯互聯(lián)的狀態(tài)，缺乏有效的隔離和防護手段；

2. 智慧工廠工業(yè)控制網(wǎng)絡內部缺乏合理的威脅發(fā)現(xiàn)防護機制，對于內部出現(xiàn)的風險無法及時告警和響應；

3. 滿足網(wǎng)絡安全法和網(wǎng)絡安全等級保護2.0三級等保合規(guī)性需求，建立協(xié)同防御體系；

• 解決方案：

?  采用智能工業(yè)防火墻，部署在內部各子系統(tǒng)區(qū)域邊界，實現(xiàn)不同區(qū)域之間的安全防護，采用黑白名單技術實現(xiàn)內部入侵防護和APT攻擊防護；

?  采用工業(yè)入侵檢測系統(tǒng)和工業(yè)監(jiān)測審計系統(tǒng)，部署在內部各子系統(tǒng)內部，實現(xiàn)不同區(qū)域子系統(tǒng)的惡意代碼監(jiān)測和網(wǎng)絡行為、操作行為的審計，通過機器學習建立白名單對異常操作行為和網(wǎng)絡行為告警；采用融安工業(yè)終端安全衛(wèi)士，部署在操作員、工程師和服務器站，建立可信計算空間；

?  建設集團綜合網(wǎng)絡安全管理中心，依托工業(yè)控制系統(tǒng)安全大數(shù)據(jù)平臺實現(xiàn)對集團下屬智能工廠全網(wǎng)資產信息采集，網(wǎng)絡安全設備狀態(tài)監(jiān)控和策略下發(fā)，對網(wǎng)絡流量和安全事件進行實時采集清洗，通過數(shù)據(jù)建模分析內網(wǎng)安全威脅并聯(lián)動響應處理。

行業(yè)應用-國家管網(wǎng)廣東天然氣管道SCADA系統(tǒng)

       國家管網(wǎng)廣東天然氣管網(wǎng)項目是省重點工程，建成年供氣量達500億方3200公里的天然氣管網(wǎng)，受益人口將超過1億。為提高公司生產控制系統(tǒng)整體水平，參照等保2.0工作要求，完成調控中心+站場（60個）等SCADA系統(tǒng)等保定級建設。

• 技術需求：

        廣東省天然氣管網(wǎng)工程調控和應急指揮中心項目。調控中心按照網(wǎng)絡安全等保三級要求建設，在調控中心以及粵西、粵東、粵北等3200公里天然氣骨干網(wǎng)站控、閥室建設邊界防護、安全監(jiān)測、計算環(huán)境安全、安全管理等體系。

        廣東管網(wǎng)各站場生產數(shù)據(jù)與廣州調控中心的通信信道均采用主備方式，調度中心部署綜合安全管理平臺，第一期/二期/三期管線一共部署包括工業(yè)防火墻、隔離網(wǎng)閘、堡壘機、工業(yè)入侵監(jiān)測、日志審計、工業(yè)監(jiān)測審計、工業(yè)終端衛(wèi)士以及工業(yè)控制系統(tǒng)安全大數(shù)據(jù)系統(tǒng)等200套產品；

• 解決方案：

- 安全區(qū)域隔離：生產網(wǎng)內部各子系統(tǒng)之間，采用工業(yè)防火墻實現(xiàn)邏輯隔離，并采用黑白名單技術，實現(xiàn)內部入侵防護和APT攻擊防護；

- 網(wǎng)絡安全監(jiān)視：生產網(wǎng)站點部署工業(yè)入侵檢測系統(tǒng)和工業(yè)監(jiān)測審計系統(tǒng)，并實現(xiàn)防火墻和入侵檢測聯(lián)動，能夠實時阻斷威脅鏈路。安全數(shù)據(jù)采集回傳安全管理中心；

- 計算環(huán)境安全： 生產網(wǎng)的主機和服務器部署基于可信和進程白名單額度工業(yè)終端安全衛(wèi)士，實現(xiàn)主機安全免疫；

- 管理中心：綜合網(wǎng)絡安全管理中心，依托工業(yè)控制系統(tǒng)安全大數(shù)據(jù)平臺實現(xiàn)全網(wǎng)資產信息采集，網(wǎng)絡安全設備狀態(tài)監(jiān)控和策略下發(fā)，對網(wǎng)絡流量和安全事件進行實時采集清洗，通過數(shù)據(jù)建模分析內網(wǎng)安全威脅并聯(lián)動響應處理。

        騰俐軍在報告最后表示，“所以現(xiàn)在工業(yè)體系這一塊怎么來形成更好的效率，還是屬于探索和摸索階段，但是目前的嘗試還是非常有意義的，至少發(fā)揮了一些很好的作用。”