工控網路安全管理體系規劃

① 如何構建工業互聯網安全體系

2018年中國工業互聯網行業分析：萬億級市場規模，五大建議構建安全保障體系

工業互聯網安全問題日益凸現

工業互聯網無疑是這個寒冬中最熱的產業經濟話題。「BAT們」視之為「互聯網的下半場」，正在競相「+工業」「+製造業」而工業企業、製造業企業們也在積極「+互聯網」，希望藉助互聯網的科技力量，為工業、製造業的發展配備上全新引擎，從而打造「新工業」。

不難看出，工業互聯網正面臨著一個重要的高速發展期，預計至2020年將達萬億元規模。但與此同時，工業互聯網所面臨的安全問題日益凸現。在設備、控制、網路、平台、數據等工業互聯網主要環節，仍然存在傳統的安全防護技術不能適應當前的網路安全新形勢、安全人才不足等諸多問題。

工業互聯網萬億級市場模引發安全隱患

據前瞻產業研究院發布的《中國工業互聯網產業發展前景預測與投資戰略規劃分析報告》統計數據顯示，2017年中國工業互聯網直接產業規模約為5700億元，預計2017年到2019年，產業規模將以18%的年均增速高速增長，到2020年將達到萬億元規模。隨著國家出台相關工業互聯網利好政策，中國工業互聯網行業發展增速加快，截止到2018年3月，中國工業互聯網平台數量超250家。世界各國正加速布局工業互聯網，圍繞工業互聯網發展的國際競爭日趨激烈。

預計2020年我國工業互聯網產業規模將達到萬億元

數據來源：公開資料、前瞻產業研究院整理

一方面，加快工業互聯網發展是製造業轉型升級的必然要求;另一方面，工業互聯網是構築現代化經濟體系的必然趨勢。

工業互聯網是深化「互聯網+先進製造業」的重要基石，也是發展數字經濟的新動力。發展工業互聯網，實現互聯網與製造業深度融合，將催生更多新業態、新產業、新模式，創造更多新興經濟增長點。

伴隨著工業互聯網的發展，越來越多的工業控制系統及設備與互聯網連接，網路空間邊界和功能極大擴展，以及開放、互聯、跨域的製造環境，使得工業互聯網安全問題日益凸顯：

1、網路攻擊威脅向工業互聯網領域滲透。近年來，工業控制系統漏洞呈快速增長趨勢，相關數據顯示，2017年新增信息安全漏洞4798個，其中工控系統新增漏洞數351個，相比2016年同期，新增數量幾乎翻番，漏洞數量之大，使整個工業系統的生產網路面臨巨大安全威脅。

2、新技術的運用帶來新的安全威脅。大數據、雲計算、人工智慧、移動互聯網等新一代信息技術本身存在一定的安全問題，導致工業互聯網安全風險多樣化。

3、工業互聯網安全保障能力薄弱。目前，傳統的安全保障技術不足以解決工業互聯網的安全問題，同時，針對工業互聯網的安全防護資金投入較少，相應安全管理制度缺乏，責任體系不明確等，難以為工業互聯網安全提供有力支撐。

如何構建工業互聯網安全體系?

那麼，如何鑄造工業互聯網的安全基石，加快構建可信的工業互聯網安全保障體系呢?

1、突破關鍵核心技術。要緊跟工業互聯網最新發展趨勢，努力引領前沿技術和顛覆性技術發展。

2、推動工業互聯網安全技術標准落地實施。全面推廣技術合規性檢測，促進工業互聯網產業良性發展。

3、完善監管和評測體系。

4、切實推進工業互聯網安全技術發展。加強全生命周期安全管理，構建覆蓋系統建設各環節的安全防護體系。

5、聯合行業力量打造工業互聯網安全生態。

在工業互聯網的安全防護能力建議：

1、頂層設計：出台系列文件，形成頂層設計;

2、標准引導：構建工業互聯網安全標准體系框架，推進重點領域安全標準的研製;

3、技術保障：夯實基礎，強化技術實力;

4、系統布局：依託聯盟，打造產業促進平台;

5、產業應用：加強產業推進，推廣安全最佳實踐。

近年來，中國也陸續出台了《關於深化「互聯網+先進製造業」發展工業互聯網的指導意見》、《工業互聯網發展行動計劃(2018-2020年)》等文件，明確提出工業互聯網安全工作內容，從制度建立、標准研製、安全防護、數據保護、手段建設、安全產業發展、人員培養等方面，要求建立涵蓋設備安全、控制安全、網路安全、平台安全、數據安全的工業互聯網多層次安全保障體系。

在國家政策以及業界的一致努力下，相信我國工業互聯網在取得快速發展的同時在安全層面的保障也會更上一層樓。

② 工控網路安全防護關鍵：一中心、兩分離、三邊界

當前，工業信息化的快速發展，工業互聯網、兩化融合等國家戰略的推出，以及新一代信息技術與製造技術的融合，使得工業控制系統（簡稱「工控系統」）從封閉獨立走向開放互聯、自動化智能化，但同時也帶來了安全風險，工控安全面臨嚴峻挑戰。

要做好工控系統的安全防護，不僅需要深入了解工控系統和業務，還需加強工控安全人員與業務運行、系統運行的銜接性，提高數據准確性，清晰定位工控系統網路安全需求，實施針對性防護策略。工控系統強調「可用性」為第一安全需求，與傳統IT安全側重「機密性」不同。工控系統對實時性要求高，需在硬體和軟體設計上提高可靠性，同時，安全解決方案應圍繞工控系統的高可用性，減少與工控系統的沖突，確保工業生產穩定。

工控系統存在網路層面、主機層面、協議層面和管理層面的風險。網路層面面臨數據流向不清、隔離措施不足等，主機層面存在系統漏洞、身份認證單一等問題，協議層面缺乏審計手段，管理層面缺少安全管理制度。因此，需從一中心、兩分離、三邊界三個方面加強防護。

一中心：工控安全方案應以企業安全生產為中心，通過安全管理中心保障生產穩定運行，實現安全態勢感知、預警及准入控制。同時，形成異常報警行為處理機制，與防護設備協同防禦。

兩分離：業務數據流與安全管理數據流應分離，防止沖突。需集中管理生產系統中的安全設備，實現數據收集與分析。在工控網路管理中，需明確業務流與安全管理數據流，避免影響工控系統穩定。

三邊界：工控系統作為關鍵基礎設施，存在內外部邊界。需明確網路邊界，區分隔離技術，重視內部子域隔離，同時解決主機安全問題，部署防護措施。堅持邊界安全防護原則，確保生產業務連續性。

總結，工控安全需與系統安全融合，構成支撐工控系統生命周期高可用性的重要組成部分。解決方案需結合功能安全、信息安全等技術手段，保障工控系統穩定運行。面對工業企業的發展，應建立工控安全頂層保障體系，採用自主可控、密碼賦能、協議安全等策略，解決網路安全隱患。通過深入理解和應用新一代邊界安全、工業互聯網安全、商用密碼應用和數據安全，推動數字經濟全面發展，助力工業行業高質量發展。

③ 標准解析｜IEC 62443- 工業自動化和控制系統網路安全

網路安全已成為所有行業和領域的重要問題。隨著智能生活和工業數字化、自動化的發展，網路病毒和惡意攻擊威脅日益增長。自21世紀以來，關鍵信息基礎設施行業發生多起網路安全事件，促使網路安全廠商和研究機構研究重大民生基礎設施的網路安全風險與應對策略。國際電工組織委員會（IEC）於2013年起發布IEC 62443系列標准，旨在從根本上減少工控網路安全風險。

IEC 62443是關於工業自動化和控制系統網路安全的標准系列。它定義了網路安全的范圍和目的，涵蓋了工業自動化和控制系統的硬體、政策、流程以及人員等關鍵因素。該系列標准不僅提出了對工業自動化和控制系統（IACS）的軟硬體技術要求，還規定了確保IACS安全性、完整性、可用性和保密性的人員和流程要求。IEC 62443系列標准因此被視為工業自動化和控制系統網路安全的最佳實踐。

IEC 62443系列標准提供了一個全面、靈活和系統的框架，以減少和解決IACS中的安全漏洞。這包括通用、政策和程序、系統、組件四個分屬類別的文件。通用類別提供了術語、概念、模型、系統符合性度量以及設備安全生命周期的描述。政策和程序類別規定了IACS安全管理系統的具體要求和指南。系統類別提供了系統安全要求、安全等級和風險管理的指導。組件類別則詳細規定了系統組件的技術安全要求。

IEC 62443系列標准被廣泛應用於工業自動化和控制系統整個生命周期中，以提高系統的安全性。採用基於風險和基於設計安全的理念，系統在全生命周期的各個階段都需要進行風險評估，以確定不同階段的脆弱性、威脅和風險。基於設計安全的理念則在開發早期實施安全措施，以確保整個產品/系統生命周期內的安全性。

IEC 62443系列標准分為不同子標准，適用於資產所有者、服務提供商、產品供應商等不同角色。這些角色通過採用相應子標准，可以獲得切合自身需求的網路安全收益。資產所有者、服務提供商和產品供應商可以依據自身角色和職責，結合IEC 62443系列標準的具體應用，實施工業自動化和控制系統的安全措施。

SGS工業服務提供全面的工控網路安全服務，包括預評估、測試、認證等，以支持產品和通信安全。基於IEC 62443標准，我們提供標准培訓、工業網路認證工程師（CICSP）人員資質培訓認證、組件級系統產品認證、安全生命周期認證、安全咨詢和網路安全測試等一站式服務，以保護不同領域的工業網路安全。

④ 工控機網路安全,如何解決網路攻擊造成的系統癱瘓,或PLC及現場失控

推薦使用MCK主機加固系統軟體，在安全狀態的工控機上通過一次全系統的簽名，保障當前安全環境從而確保黑客上傳的木馬和病毒程序無法運行，杜絕危害工控機的安全。通過白名單機制限制當前場景下允許執行的進程。防止黑客通過基於硬碟的數據拷貝方式來竊取數據。實現工作場景白名單機制，對核心數據進行加密保護，實現工控機的最後防禦，保障工控機網路安全。