全球工業4.0的時代浪潮下

新型信息化技術與自動化融合發展

信息技術這把雙刃劍

在推動高效生產的同時也帶來了諸多威脅

安全生產，重中之重

在智能制造領域

控制系統如何應對安全威脅？

讓我們走近本期“工業說”

隨著數字孿生、機器視覺、AI計算等新型信息化技術發展，有效提升了制造企業生產效率，但是信息技術也給工業生產現場帶來了諸多潛在風險。無論是人身安全、設備可用性、工藝流程可用性還是環境安全，在享受信息技術紅利的同時，遭受著其帶來的威脅。結合智能制造領域自身的脆弱性因素，非授權訪問、寄存器數值篡改、實時數據庫漏洞利用、勒索攻擊等均在當前影響著智能制造領域的生產過程，可謂“四面楚歌”。

先進制造作為國之重器，一旦遭到網絡攻擊對整個行業乃至國家將產生重大影響。以智能倉儲為例，立庫、堆垛、AGV/RGV等系統，在生產過程中涉及系統間的橫向交互與監控調度間的總線交互，使得工廠或車間能夠實時監視現場的生產狀況與設備狀態，并根據獲取的信息來優化生產調度與資源配置。借助于這種“一網貫通”的模式，在智能制造領域打通了設計、生產到銷售等各個環節，ERP系統和MES系統在此基礎上實現了資源整合優化。與此同時，這種互聯互通無疑也為網絡攻擊提供了可乘之機，將網絡安全威脅帶到了生產第一現場。

政策條例指引，規范安全建設發展

面對制造業日益嚴峻的網絡安全威脅問題，國家在政策層面出臺一系列工業控制系統信息安全建設方向與要求。繼2016年《工業控制系統信息安全防護指南》出臺，《網絡安全法》于2017年正式施行，其明確國家實行網絡安全等級保護制度，同時，在等保2.0中對工業控制系統提出了安全擴展要求。網絡運營者都應當按照網絡安全等級保護制度的要求，履行相關的安全保護義務。

隨著工業4.0信息、物理系統的發展，傳統的分層架構已不能完全適用，對于不同的制造企業實際發展情況，允許部分層級合并。因此制造業企業在進行控制網絡安全建設改造時，不能盲目照搬照抄，需結合自身的實際業務場景。

2021年，工信部提出要深入實施創新驅動發展戰略，強化制造強國和網絡強國建設的戰略支撐。工業和信息化系統將統籌發展與安全，以提升產業鏈供應鏈的現代化水平為著力點和落腳點，進一步固根基、揚優勢、補短板，推進制造強國和網絡強國建設，不斷邁上新臺階。此外，“十四五”再度強調了智能制造企業應該完善信息基礎建設、加強安全保障。國家對于智能制造企業信息安全的重視程度可見一斑。

以白名單為主，保障工控主機安全

制造業企業的部分生產現場所用的工控機，安裝部署殺毒軟件不但起不到應有的防護作用，甚至適得其反，影響生產，所以黑名單防護機制為主的殺毒軟件不適用于工業現場。

大多數制造業生產現場的工控機版本老舊、性能偏低，殺毒軟件一旦運行會占用相當一部分資源，對工控機的使用造成負擔甚至藍屏宕機，直接影響生產線的正常運行生產。

殺毒軟件是以黑名單機制運行為主，工控主機由于不能連接互聯網等原因，不能實時更新病毒庫，從而使防護能力大打折扣，甚至完全失去防護作用。

由于殺毒軟件很有可能將工控機運行的生產軟件識別成病毒，造成誤殺或者阻斷其運行，導致工控機程序異常，引發生產事故，這在生產現場是決不允許發生的。

天融信認為可以采用基于白名單機制為主的防護軟件，利用工業現場主機環境的穩定性，把業務所需的全部工作進程一鍵加白，只允許業務相關的軟件、腳本運行，其他程序無論是否“無毒無害”，統統不予信任，以保障生產現場工控主機的安全，為安全生產保駕護航。

技術+管理，工業控制系統可視化

據有效統計，75%以上工業生產事故源自誤操作，誤操作即通過合法途徑執行的非法操作，尤其對于智能制造企業，誤操作的影響非常惡劣，錯誤操作指令的下發輕則影響生產，無法按期按量完成訂單，影響交付；重則損壞生產設備，甚至造成人員傷亡乃至環境破壞。

針對以上問題，除了通過企業規章制度規范操作員的工作行為，還可以通過在過程控制層部署工業網絡專用的安全防護類、安全審計類專業設備，借助工控防火墻、工控網閘對工業協議的深度解析，核對每一條指令的合規性，阻斷一切白名單以外的非法操作。此外，通過旁掛接入交換機的工控審計，會對所有下發到控制器的流量行為進行審計，將“黑盒”的工業控制系統可視化，運維人員可以隨時追溯每一次操作。通過技術與管理雙管齊下，明察秋毫，釜底抽薪，阻斷一切誤操作。

2016年到2021年，五年間控制設備中的漏洞數量飛速增長，可遠程訪問的工業控制系統主機中，包含大量漏洞，其中不乏中高危漏洞。而這些漏洞幾乎覆蓋全部工業行業，其中制造業首當其沖，漏洞數量明顯高于其他行業，且漏洞類型也是“五花八門”，包括拒絕服務漏洞、緩沖區溢出漏洞、信息泄露漏洞等。

面對“千瘡百孔”的控制網絡，企業應當先發制人、主動防御，應用專業的工業互聯網安全檢測設備，對企業自身網絡系統掃描檢測。所謂知己知彼，百戰不殆，及時發現自身網絡薄弱點，提前進行安全防護，通過版本升級、補丁修復等方式避免漏洞攻擊，主動防御，保護自身的生產網絡“免遭毒手”。

作為國民經濟支柱產業，制造業擁有大量的工業數據，這些數據背后蘊藏著巨大經濟利益，同時大型生產企業的每日產值以及背后的關聯價值也是不可估量的，高價值且脆弱的智能制造企業的工業網絡被網絡不法分子格外關注，成為攻防對抗的“新戰場”。安全事件近幾年持續增長，2021年被ICS-CERT收錄的攻擊事件就近400件，而制造業的網絡安全事件占比達到首位。所以，智能制造企業的工業網絡安全所面臨的局勢十分嚴峻，不僅需要防范已知威脅，還需要時刻對出沒無際的未知攻擊提高警惕。

面對種種挑戰

天融信“三維一體”

兵來將擋，見招拆招

天融信以“分級分域、整體保護、積極預防、動態管理”為總體安全防護思想，對智能制造企業網絡安全實施動態的管理防護手段，構建安全態勢分析、安全防護檢測、安全服務響應三維一體的智能制造網絡安全自適應動態防護體系。

三大體系通過數據互通、信息共享建立閉環動態工業信息安全中心，進行動態安全策略調整與下發，運用多元的安全技術手段，采用多維度的安全建設思路，解決不同層級的制造業工業信息安全問題，打造出綜合性、一體化的智能制造領域工業信息安全產品、服務與解決方案。

TOPSEC

在工業互聯網安全領域，作為第一批開展工業信息安全領域研究和研發的企業之一，天融信將先進的信息安全技術與工控業務場景深度融合，安全建設能力覆蓋工業生產企業、工業互聯網平臺企業、標識解析企業等，積極為工業互聯網安全產業融合發展賦能，為工業互聯網企業網絡安全保駕護航。