工业网络如何防护安全防线

‘壹’ 如何构建工业互联网安全体系

1、设备和控制安全

要求企业加强工业生产、主机、智能终端等设备安全接入和防护，强化控制网络协议、装置装备、工业软件等安全保障，推动设备制造商、自动化集成商与安全企业加强合作，提升设备和控制系统的本质安全。

2、网络设施安全
要求工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中，落实安全标准要求并开展安全评估，部署安全设施，提升企业内外网的安全防护能力。要求标识解析系统的建设运营单位同步加强安全防护技术能力建设，确保标识解析系统的安全运行。

3、工业互联网平台和应用程序（APP）安全
要求工业互联网平台的建设、运营方，在平台上线前进行安全评估，针对边缘层、IaaS层（云基础设施）、平台层（工业PaaS）、应用层（工业SaaS）分层部署安全防护措施。要求建立工业APP应用的安全检测机制，强化应用过程中用户信息和数据安全保护。

‘贰’ 完整的工业互联网防御方案包括什么

完整的工业互联网防御方案包括：工厂内单点智能器件、成套智能终端等智能设备的安全，以及智能产品的安全，具体涉及操作系统 / 应用软件安全与硬件安全两方面。

工业互联网的关键核心技术主要涵盖“一硬(工业控制)+一软(工业软件)+一网(工业网络)+一安全(工业信息安全)”四大基础技术，“边缘智能+工业大数据分析+工业机理建模+工业应用开发”四大关键技术，以及“开源平台+开源社区”两大杀手锏技术。

明确责任分工：

组织开发技术和解决方案。应急管理部门负责创新基于工业互联网的安全生产监管方式，加强对企业接入工业互联网安全生产监管平台的管理，建立与行政许可换证挂钩等激励约束机制。

双方共同建立“工业互联网+安全生产”工作推进机制，定期通报成果，明确时间进度，强化督促检查。中国工业互联网研究院负责技术开发和数据支撑平台建设和运行。

中国安全生产科学研究院负责工业互联网安全生产监管平台建设和运行。工业企业严格落实安全生产主体责任，坚持工业互联网与安全生产同规划、同部署、同发展。

‘叁’ 某企业,作为一个网络安全员应采取哪些措施来保护网络安全

定期更新杀毒软件！打开防火墙！小心陌生信息！不进不安全的网页！

‘肆’ 工业自动化控制系统安全防护措施有哪些

一、基本的网络信息安全考虑
网络信息安全的观念是关于保护网络基础架构本身；保护用于建立和管理网络功能的网络协议。这些关键概念用于解决方案的所有层次和区域。这些步骤帮助用户保护IACS网络和IACS应用，防止多种方式的攻击。下面内容是信息安全基线的关键区域：
● 基础设备架构-对网络基础架构访问的信息安全管理；
● 交换基础架构-网络访问和第2层设计考虑；
● 路由基础架构-保护网络第3层路由功能，防止攻击或误用； ● 设备的弹性和可存性-保护网络的弹性和可用性；
● 网络遥测-监视和分析网络行为和状态，对问题和攻击做出识别和反应。
这些实践可应用于不同的层、区域和相关的网络架构。
二、IACS 网络设备的保护
这个概念描述了保护关键IACS端点设备本身的实践，特别是控制器和计算机。因为这些设备在IACS中扮演着重要的角色，他们的信息安全是要给予特殊关照。这些概念包括下面内容：
● 物理安全－这个层限制区域、控制屏、IACS设备、电缆、控制室和其他位置的授权人的访问，以及跟踪访问者和伙伴；
● 计算机加固－这包括补丁程序管理和防病毒软件，以及能够删除不使用的应用程序、协议和服务等；
● 应用信息安全－这包含鉴定、授权和审核软件，诸如用于IACS
● 控制器加固－这里指处理变更管理和限制访问。
三、单元/区域 IACS 网络信息安全
应用于单元/区域的关键信息安全观念包括下面的部分：
● 端口信息安全，密码维护，管理访问单元/区域网络基础架构； ● 冗余和不需要服务的禁用；
● 网络系统信息登录，使用简单网络管理协议（SNMP）和网络信息监视；
● 限制广播信息区域，虚拟局域网（VLAN）和网络协议的种类； ● 计算机和控制器的加固。
四、制造 IACS 网络的信息安全
制造区域的设计考虑和实施要在早期阶段讨论，特别要考虑关键的单元/区域。另外，应用这些考虑，用于制造区的关键信息安全考虑包括下面内容：
● 路由架构的最佳实践，覆盖路由协议成员和路由信息保护，以及路由状态变化记录；
● 网络和信息安全监视；
● 服务器信息安全覆盖端点信息安全；
● FactoryTalk应用信息安全。
五、隔离区和IACS防火墙
DMZ和工厂防火墙是一个保护IACS网络和IACS应用的基本措施。结合防火墙和DMZ的概念是用于IACS网络信息安全的关键的纵深防御的方法。DMZ和工厂防火墙的设计和实施指南的关键特性和功能包括以下方面：
● 部署工厂防火墙管理在企业和制造区之间的信息流。一个工厂防火墙提供了下面的功能：
- 在网络区之间，通过指定的信息安全层建立的通信模式，比如建立隔离区DMZ；
- 在不同区域之间所有通信状态包的检查，如果在上面允许的情况下；
- 从一个区域企图访问另一个区域的资源时，强制执行用户鉴定，比如从企业层企图访问DMZ的服务；
- 侵入保护服务（IPS）检查在区域之间的通信流，设计成能够识别和阻止各种潜在的攻击。
● 不同区域之间的 DMZ中的数据和服务能够安全地共享。

‘伍’ 数字经济时代，如何筑牢数据安全防线

（易欢）网络安全一直都是焦点问题。尤其是随着传统领域的数字化转型不断深入，网络安全的边界也在无限扩大。在物联网、云计算、大数据、AI等新技术的推动下，数字经济正在高速增长，与此同时，信息基础设施安全、数据安全、个人信息保护等一系列网络安全问题也成为数字经济 健康 、快速、持续发展的关键问题。

中国工程院院士、中国互联网协会咨询委员会主任邬贺铨在近日表示，与传统经济相比，数字经济更需要成为“可信经济”。“可信经济”是以可信网络为底座，以可信数据为关键生产要素，构建具有安全运行发展生态的新经济。数字经济的发展需要IPv6、5G、物联网、大数据、云计算、区块链和人工智能等新时代信息技术赋能，也要善于利用新技术打造安全可信的基础设施与应用系统。

在上述过程中，数据加密与隐私保护尤为重要。数据是生产要素，不仅要防止数据泄露也要防止数据被篡改，数据加密是一种手段。需要实时对数据进行审计与版本核对，防止因数据被恶意再加密导致资产被控或被勒索。在融合多方数据分析计算的同时，需保护敏感数据不外泄，需使用多方计算(MPC)、可信硬件和联邦学习等技术。

除此之外，更需要制度与管理来保障，强化网络安全意识才能居安思危。“网络安全永远在路上，网络安全创新永不停步。”

全国信安标委秘书长、中国电子技术标准化研究院党委书记杨建军指出，党和国家高度重视数据安全和个人信息保护工作，数据安全和网络安全已一并纳入总体国家安全观。

他进一步讲到：“全国信息安全标准化技术委员会秘书处作为标准化专业机构，一是加快推动重点急需标准研制，有效支撑数据安全和个人信息保护相关法律法规落地实施、行业管理和产业发展；二是加强标准宣贯实施，促进标准应用与技术产业协同联动，充分发挥标准在数据安全治理和个人信息保护中的基础性、规范性、引领性作用；三是发挥自身优势，为各行业领域搭建网络安全和数据安全标准化沟通交流平台，以标准为基础提升数据安全支撑服务能力，努力营造全民数据安全和个人信息保护的良好 社会 氛围。”

工业和信息化部网络安全管理局处长雷楠表示，面对日益严峻的数据安全风险，要按照成体系、有重点、分步骤的工作思路推进数据安全和个人信息保护工作。一是夯实数据安全管理的制度基石，健全工业和信息化领域数据分类分级、安全防护、风险评估、应急处置等重点制度和关键标准；二是完善数据安全治理工作机制，加快推进重要数据目录备案、安全信息共享、 社会 投诉举报等工作机制，打造协同联动的工作格局；三是提升数据安全技术能力和保障水平，整合优化行业资源，建设工业和信息化领域数据安全技术手段，形成数据监测溯源和应急处置能力；四是增强数据安全产业供给能力，推进产业园区、创新示范区、重点实验室的建设布局，培育优势骨干企业和专业人才队伍，壮大创新数据安全产业生态。

与此同时，国家市场监督管理总局标准技术管理司处长刘大山也指出，要深刻认识数据安全标准化工作的重大意义，筑牢保护国家安全和数字经济发展的标准之盾，应对各种可以预见和难以预见的风险挑战。此外，强化数据安全和个人信息保护标准顶层规划，加强新时期数据安全标准化研究和布局，明确本领域标准化技术发展趋势和演变路径。加快重点领域急需标准制定与实施，提升标准支撑网络安全审查、数据安全管理认证、个人信息保护认证等相关工作的能力。

谈及网络安全人才培养，邬贺铨认为，企业是一个很重要的环节，特别是互联网企业，企业为网络安全人才提供更多的锻炼机会。人才培养除了高校的培养以外，政府可以组织各种训练班、培训班，进行网络安全技术的交流以及案例的分析，包括组织一些大赛等，来发现网络安全人才，并且激发更多的互联网爱好者投身到网络安全行业里来。

‘陆’ 如何做好企业信息安全防护工作

目前越来越多的企业开始关注企业信息安全问题了，尤其是企业信息泄露这类事情，企业领导都不想员工干一天的工作之后将成果偷偷带走，然后发给他人或者同行，所以企业做好终端安全防护工作还是很有必要的。

进行企业信息安全防护工作其实并不难，需要考虑的就是如何在不影响员工正常办公情况下对数据进行保护，防止员工通过U盘会其他形式外发文件；比如用域之盾工具对电脑中的文件进行加密，经过加密后的文件就无法被员工拷贝出去或者是外发了，因为加密后的文件脱离局域网的话，会被自动加密变成乱码的。想要外发需要管理端审批，即使通过审批也可通过设置外发次数和打开次数的方式保护文件安全。

不想对文件加密也可以用U盘管理、邮件外发进行管理的，通过文档备份也能够保证对修改后删除的文件自动做备份处理。

‘柒’ 如何构建工业互联网安全体系

2018年中国工业互联网行业分析：万亿级市场规模，五大建议构建安全保障体系

工业互联网安全问题日益凸现

工业互联网无疑是这个寒冬中最热的产业经济话题。“BAT们”视之为“互联网的下半场”，正在竞相“+工业”“+制造业”而工业企业、制造业企业们也在积极“+互联网”，希望借助互联网的科技力量，为工业、制造业的发展配备上全新引擎，从而打造“新工业”。

不难看出，工业互联网正面临着一个重要的高速发展期，预计至2020年将达万亿元规模。但与此同时，工业互联网所面临的安全问题日益凸现。在设备、控制、网络、平台、数据等工业互联网主要环节，仍然存在传统的安全防护技术不能适应当前的网络安全新形势、安全人才不足等诸多问题。

工业互联网万亿级市场模引发安全隐患

据前瞻产业研究院发布的《中国工业互联网产业发展前景预测与投资战略规划分析报告》统计数据显示，2017年中国工业互联网直接产业规模约为5700亿元，预计2017年到2019年，产业规模将以18%的年均增速高速增长，到2020年将达到万亿元规模。随着国家出台相关工业互联网利好政策，中国工业互联网行业发展增速加快，截止到2018年3月，中国工业互联网平台数量超250家。世界各国正加速布局工业互联网，围绕工业互联网发展的国际竞争日趋激烈。

预计2020年我国工业互联网产业规模将达到万亿元

数据来源：公开资料、前瞻产业研究院整理

一方面，加快工业互联网发展是制造业转型升级的必然要求;另一方面，工业互联网是构筑现代化经济体系的必然趋势。

工业互联网是深化“互联网+先进制造业”的重要基石，也是发展数字经济的新动力。发展工业互联网，实现互联网与制造业深度融合，将催生更多新业态、新产业、新模式，创造更多新兴经济增长点。

伴随着工业互联网的发展，越来越多的工业控制系统及设备与互联网连接，网络空间边界和功能极大扩展，以及开放、互联、跨域的制造环境，使得工业互联网安全问题日益凸显：

1、网络攻击威胁向工业互联网领域渗透。近年来，工业控制系统漏洞呈快速增长趋势，相关数据显示，2017年新增信息安全漏洞4798个，其中工控系统新增漏洞数351个，相比2016年同期，新增数量几乎翻番，漏洞数量之大，使整个工业系统的生产网络面临巨大安全威胁。

2、新技术的运用带来新的安全威胁。大数据、云计算、人工智能、移动互联网等新一代信息技术本身存在一定的安全问题，导致工业互联网安全风险多样化。

3、工业互联网安全保障能力薄弱。目前，传统的安全保障技术不足以解决工业互联网的安全问题，同时，针对工业互联网的安全防护资金投入较少，相应安全管理制度缺乏，责任体系不明确等，难以为工业互联网安全提供有力支撑。

如何构建工业互联网安全体系?

那么，如何铸造工业互联网的安全基石，加快构建可信的工业互联网安全保障体系呢?

1、突破关键核心技术。要紧跟工业互联网最新发展趋势，努力引领前沿技术和颠覆性技术发展。

2、推动工业互联网安全技术标准落地实施。全面推广技术合规性检测，促进工业互联网产业良性发展。

3、完善监管和评测体系。

4、切实推进工业互联网安全技术发展。加强全生命周期安全管理，构建覆盖系统建设各环节的安全防护体系。

5、联合行业力量打造工业互联网安全生态。

在工业互联网的安全防护能力建议：

1、顶层设计：出台系列文件，形成顶层设计;

2、标准引导：构建工业互联网安全标准体系框架，推进重点领域安全标准的研制;

3、技术保障：夯实基础，强化技术实力;

4、系统布局：依托联盟，打造产业促进平台;

5、产业应用：加强产业推进，推广安全最佳实践。

近年来，中国也陆续出台了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》、《工业互联网发展行动计划(2018-2020年)》等文件，明确提出工业互联网安全工作内容，从制度建立、标准研制、安全防护、数据保护、手段建设、安全产业发展、人员培养等方面，要求建立涵盖设备安全、控制安全、网络安全、平台安全、数据安全的工业互联网多层次安全保障体系。

在国家政策以及业界的一致努力下，相信我国工业互联网在取得快速发展的同时在安全层面的保障也会更上一层楼。

‘捌’ 工业互联网安全包括什么

工业互联网安全防护内容包括：
设备安全
设备安全包括工厂内单点智能器件、成套智能终端等智能设备的安全，以及智能产品的安全，具体涉及操作系统 / 应用软件安全与硬件安全两方面。
工业互联网的发展使得现场设备由机械化向高度智能化转变，并产生了嵌入式操作系统微处理器应用软件的新模式，这就使得未来海量智能设备可能会直接暴露在网络中，面临攻击范围扩大、扩散速度增加和漏洞影响扩大等威胁。
工业互联网设备安全具体应分别从操作系统 / 应用软件安全与硬件安全两方面出发部署安全防护措施，可采用的安全机制包括固件安全增强、恶意软件防护、设备身份鉴别、访问控制和漏洞修复等。
控制安全
控制安全包括控制协议安全、控制软件安全及控制功能安全。
工业互联网使得生产控制由分层、封闭、局部逐步向扁平、开放、全局方向发展。其中在控制环境方面表现为 IT 与 OT 融合，控制网络由封闭走向开放；在控制布局方面表现为控制范围从局部扩展至全局，并伴随着控制监测上移与实时控制下移。上述变化改变了传统生产控制过程封闭、可信的特点，造成安全事件危害范围扩大、危害程度加深，以及网络安全与功能安全问题交织等。
对于工业互联网控制安全，主要从控制协议安全、控制软件安全及控制功能安全三个方面考虑，可采用的安全机制包括协议安全加固、软件安全加固、恶意软件防护、补丁升级、漏洞修复和安全监测审计等。
网络安全
网络安全包括承载工业智能生产和应用的工厂内部网络、外部网络及标识解析系统等的安全。
工业互联网的发展使得工厂内部网络呈现出 IP 化、无线化、组网方式灵活化与全局化的特点，工厂外部网络呈现出信息网络与控制网络逐渐融合、企业专网与互联网逐渐融合、产品服务日益互联网化的特点。这就使得传统互联网中的网络安全问题开始向工业互联网蔓延，具体表现为以下几方面：工业互联协议由专有协议向以太网（Ethernet）或基于 IP 的协议转变，导致攻击门槛极大降低；现有的一些工业以太网交换机（通常是非管理型交换机）缺乏抵御日益严重的 DDoS 攻击的能力；工厂网络互联、生产、运营逐渐由静态转变为动态，安全策略面临严峻挑战等。此外，随着工厂业务的拓展和新技术的不断应用，今后还会面临由于 5G/SDN 等新技术引入、工厂内外网互联互通进一步深化等带来的安全风险。
网络安全防护应面向工厂内部网络、外部网络及标识解析系统等方面，具体包括网络结构优化、边界安全防护、接入认证、通信内容防护、通信设备防护、安全监测审计等多种防护措施，构筑全面高效的网络安全防护体系。
应用安全
工业互联网应用主要包括工业互联网平台与软件两大类，其范围覆盖智能化生产、网络化协同、个性化定制、服务化延伸等方面。目前工业互联网平台面临的安全风险主要包括数据泄露、篡改、丢失、权限控制异常、系统漏洞利用、账户劫持和设备接入安全等。对软件而言，最大的风险来自安全漏洞，包括开发过程中编码不符合安全规范而导致的软件本身的漏洞，以及由于使用不安全的第三方库而出现的漏洞等。
相应地，应用安全也应从工业互联网平台安全与软件安全两方面考虑。对于工业互联网平台，可采取的安全措施包括安全审计、认证授权和 DDoS 攻击防护等。对于软件，建议采用全生命周期的安全防护，在软件的开发过程中进行代码审计，并对开发人员进行培训，以减少漏洞的引入；对运行中的软件定期进行漏洞排查，对其内部流程进行审核和测试，并对公开漏洞和后门加以修补；对软件的行为进行实时监测，以发现可疑行为并进行阻止，从而降低未公开漏洞带来的危害。
数据安全
数据安全包括生产管理数据安全、生产操作数据安全、工厂外部数据安全，涉及采集、传输、存储、处理等各个环节的数据及用户信息的安全。工业互联网相关的数据按照其属性或特征，可以分为四大类：设备数据、业务系统数据、知识库数据和用户个人数据。根据数据敏感程度的不同，可将工业互联网数据分为一般数据、重要数据和敏感数据三种。随着工厂数据由少量、单一和单向向大量、多维和双向转变，工业互联网数据体量不断增大、种类不断增多、结构日趋复杂，并出现数据在工厂内部与外部网络之间的双向流动共享。由此带来的安全风险主要包括数据泄露、非授权分析和用户个人信息泄露等。
对于工业互联网的数据安全防护，应采取明示用途、数据加密、访问控制、业务隔离、接入认证、数据脱敏等多种防护措施，覆盖包括数据采集、传输、存储和处理等在内的全生命周期的各个环节。