项目背景

近年来，随着5G技术与物联网的快速发展，智能工厂、无人化车间、无线覆盖、工业信息全程监控与信息采集等新技术在工业互联网上的应用，使得原来封闭的工业控制系统网络越来多的纵向开放，另一方面，由于工控系统为了保证工业过程的可靠、稳定，对可用性的要求达到了极高的程度（舍弃了较多场景下的CIA3要素-即保密、完整、可访问性），所以工控系统自身的脆弱性是与生俱来的。

工控系统安全事件也在近几年呈现逐步增长的趋势，2020年公开报道的工业信息安全事件约70件，涉及装备制造、交通运输、电子产品制造、消费品制造、原材料、能源、软件和信息服务、水利等8大领域

以下是近年来的一些安全事件

新型勒索病毒直指工业控制系统

2018年8月，台积电因被勒索病毒攻击的计算设备接入工业控制系统，造成部分生产中断，损失高达数亿美元；

2019年3月，世界最大综合铝业集团之一挪威海德鲁公司旗下多家铝厂工控系统遭到攻击，造成工厂大面积停工;

2019年6月，美国飞机零部件供应商ASCO遭勒索软件攻击，导致比利时Zaventem工厂IT系统瘫痪、工厂无法运营；

2020年11月，研华科技被Conti勒索软件团伙通过TrickBot木马入侵，最终缴纳约1446万美元赎金。

FireEye公司报告显示，新型勒索软件能终止关键工业控制系统进程；2020年已经有千余个工控系统软件进程被列入勒索软件终止进程的“黑名单”。

解决方案

智能制造行业典型网络架构

智能制造生产系统分为管理网、MES和生产网三层架构。

管理网负责工厂整体管理，包括生产数据管理、企业资源计划、计算机辅助设计等；

MES层包括工厂信息管理系统（PIMS）、先进控制系统（APC）、历史数据库、计划排产、仓储管理等；

生产网与生产控制直接相关，包括监控中心、生产监控服务器、机台工作站、操作员站、机器人、机台设备等。

• 根据智能制造不同的网络层级、不同车间的不同工艺流程情况，划分安全域，结合纵深防御理念，构建安全防御体系。

强化安全区域边界访问控制能力

安全软件选择与管理

在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行

配置和补丁管理

做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系统配置清单，定期进行配置审计。

边界安全防护

1）通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。

2）通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

物理和环境安全防护

拆除或封闭工业主机上不必要的 USB、光驱、无线等接口。

若确需使用，通过主机外设安全管理技术手段实施严格访问控制。

安全监测和应急预案演练

1）在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。

2）在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。

典型案例-项目实施范围