當(dāng)前，隨著工業(yè)信息化的迅猛發(fā)展，“兩化融合、工業(yè)互聯(lián)網(wǎng)”等國(guó)家戰(zhàn)略的推出，以及云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新一代信息技術(shù)與制造技術(shù)的加速融合，工業(yè)控制系統(tǒng)（以下簡(jiǎn)稱“工控系統(tǒng)”）由從原始的封閉獨(dú)立走向開(kāi)放、由單機(jī)走向互聯(lián)、由自動(dòng)化走向智能化。但在工業(yè)企業(yè)獲得巨大發(fā)展動(dòng)能的環(huán)境背景下，也產(chǎn)生了大量安全風(fēng)險(xiǎn)，工控安全正面臨嚴(yán)峻的挑戰(zhàn)。

要做好工控系統(tǒng)的安全防護(hù)方案，不僅要對(duì)工控系統(tǒng)及相關(guān)網(wǎng)絡(luò)有深入了解，更要對(duì)其所承載的業(yè)務(wù)有著足夠認(rèn)識(shí)。但從現(xiàn)狀來(lái)說(shuō)，工控安全人員與業(yè)務(wù)運(yùn)行、系統(tǒng)運(yùn)行的銜接性還有待加強(qiáng)，掌握的數(shù)據(jù)不夠準(zhǔn)確，對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全需求定位不夠清晰，導(dǎo)致實(shí)施的安全防護(hù)策略對(duì)系統(tǒng)運(yùn)行產(chǎn)生非正面的影響，或使用的相關(guān)網(wǎng)絡(luò)安全技術(shù)針對(duì)性不足，沒(méi)有真正起到防護(hù)作用。針對(duì)這樣的局面，安盟信息等行業(yè)相關(guān)企業(yè)進(jìn)行了堅(jiān)持不懈地深入研究與探索，逐步形成了一套完整的認(rèn)知體系與解決方案。

工控系統(tǒng)的特殊性

工控系統(tǒng)以“可用性”為第一安全需求，而傳統(tǒng)IT網(wǎng)絡(luò)安全以“機(jī)密性”為第一安全需求。在信息安全的三個(gè)屬性（機(jī)密性、完整性、可用性）中，傳統(tǒng)安全的優(yōu)先順序是機(jī)密性、完整性、可用性，而工控系統(tǒng)則是可用性、完整性、機(jī)密性。

首先，工控系統(tǒng)對(duì)實(shí)時(shí)性要求高，不允許延遲，更不允許出現(xiàn)網(wǎng)絡(luò)中斷。針對(duì)這一差異，無(wú)論是工控安全解決方案還是工控安全產(chǎn)品均要考慮工控系統(tǒng)這一特點(diǎn)：

從工控安全產(chǎn)品角度分析，必須從軟硬件設(shè)計(jì)上達(dá)到更高的可靠性，例如：硬件要求無(wú)風(fēng)扇設(shè)計(jì)與寬溫寬壓設(shè)計(jì)，像工業(yè)防火墻還要支持Bypass功能等。

從安全解決方案來(lái)講，工控安全解決方案的體系、框架均要圍繞著工控系統(tǒng)的生命周期高可用性出發(fā)，最大程度地保護(hù)工控系統(tǒng)的安全，避免與工控系統(tǒng)產(chǎn)生沖突，讓工業(yè)生產(chǎn)始終保持綠色生產(chǎn)。

工控系統(tǒng)風(fēng)險(xiǎn)與需求

在分析工控系統(tǒng)特殊性的同時(shí)，安盟信息等相關(guān)企業(yè)也著眼于工控網(wǎng)絡(luò)層面的研究。在這方面，工控環(huán)網(wǎng)、調(diào)度網(wǎng)、信息管理網(wǎng)、視頻網(wǎng)及第三方邊界等互聯(lián)互通、多網(wǎng)互聯(lián)，大區(qū)生產(chǎn)企業(yè)對(duì)數(shù)據(jù)流向不清晰、隔離措施不完善、隔離強(qiáng)度不夠等，存在網(wǎng)絡(luò)層面各區(qū)域間及跨網(wǎng)交換非授權(quán)訪問(wèn)風(fēng)險(xiǎn)以及病毒橫向傳播風(fēng)險(xiǎn)。

同時(shí)，工控主機(jī)系統(tǒng)漏洞很少修補(bǔ)、補(bǔ)丁不敢下載、身份認(rèn)證方式單一等，工控主機(jī)也未部署對(duì)已知和未知病毒的防護(hù)措施，工控主機(jī)環(huán)境存在誤操作、非法攻擊、勒索病毒感染等風(fēng)險(xiǎn)，迫切需要對(duì)工控主機(jī)進(jìn)行主機(jī)加固、病毒免疫等。

不僅如此，在當(dāng)前的生產(chǎn)網(wǎng)絡(luò)中，各類安全威脅不斷涌入工業(yè)控制系統(tǒng)，大多生產(chǎn)企業(yè)內(nèi)部缺少工業(yè)流量監(jiān)測(cè)審計(jì)手段，無(wú)法針對(duì)工控系統(tǒng)協(xié)議層面存在的惡意攻擊、異常流量進(jìn)行審計(jì)，更無(wú)法對(duì)工控指令攻擊和控制參數(shù)篡改進(jìn)行實(shí)時(shí)監(jiān)測(cè)和告警，讓網(wǎng)絡(luò)入侵長(zhǎng)時(shí)間陪同，最終導(dǎo)致安全生產(chǎn)事故的發(fā)生。

而在工控管理層面，工業(yè)企業(yè)缺乏符合落地的工控安全管理制度，未建立安全管理體系，各種管理制度不完善，甚至無(wú)安全管理人員等，因此大大制約了生產(chǎn)企業(yè)快速發(fā)展。

安盟信息工控安全解決方案防御理念：一中心、二分離、三邊界

基于以上背景與需求，安盟信息工控安全解決方案防御理念從“一中心”、“兩分離”，“三邊界”三點(diǎn)出發(fā)。