工业网络安全管理全文(5篇)

摘要：随着两化融合的不断深入，传统网络安全威胁加速向工业控制系统渗透，智能制造领域工业控制系统“信息孤岛”逐步被打破，信息安全问题日益突出。面对频发的工业控制系统网络安全事件，亟须研究、制定的适合业务特点的网络安全防护措施，确保工业控制系统安全、稳定运行。本文结合智能制造领域工业控制系统网络安全现状，从威胁和脆弱性两个方面就工业控制系统面临的风险进行分析，同时结合智能制造领域工业控制系统网络特点和国家相关网络安全法律法规要求，提出一种基于纵深防御理念的工业控制系统安全防护措施，通过用户生产现场功能性验证测试，该措施能够帮助用户有效识别并解决工业控制系统中存在的主要安全风险，对同类型工业控制系统安全防护建设具有借鉴意义。

关键词：智能制造；工业控制系统；网络安全；纵深防御

近年来，智能制造生产网和企业网之间数据交互越来越频繁，传统的人工刻录、数据拷贝的交换方式严重制约着智能制造企业生产效率的提升，生产网与企业网互联互通需求迫切。但是，作为生产网重要组成部分的工业控制系统（以下简称“工控系统”），其安全防护严重不足，互联互通进一步增大系统暴露面，从而严重威胁工控系统安全稳定运行。同时，新一代信息技术的出现和大量应用，工控系统日趋数字化、网络化、智能化，工控生产网络边界日益模糊，网络安全问题凸显。

1工控系统网络安全现状

工控系统是智能制造企业关键基础设施的“神经中枢”，工控系统的安全稳定运行是企业生产业务正常开展的前提。近年来，随着工业互联的深入开展，针对工控系统的网络攻击呈逐年增加趋势，潜在攻击源不乏黑客组织、利益集团甚至是国家层面发起的网络战，攻击手段多样，病毒、木马等传统网络威胁持续向工控系统蔓延，勒索攻击等新型攻击模式不断涌现，安全事件频发，严重威胁工控系统安全稳定运行。通过对行业内工控系统现场调研和问卷访谈，工控系统网络安全防护方面普遍存在如下四方面问题：一是工控系统关键设备以国外品牌为主，核心技术受制于人。我国智能制造生产企业出于稳定性、精确度考虑，其生产过程使用的工控系统组态软件、控制器、检测装置等核心软硬件大部分依赖国外产品，核心技术大多掌握在欧美及日本等发达国家厂商手中，存在“卡脖子”、后门利用等安全隐患。二是生产企业对工控系统安全问题重视不够，安全意识薄弱。生产企业普遍存在重应用、轻安全的情况，对工控系统网络安全缺乏足够认识，信息安全管理制度不够完善，缺少工控系统网络安全专职人员，存在工控系统信息安全管理缺位、人员职责不明、网络安全培训教育不到位等安全问题，一旦发生网络安全事件，无法及时采取有效应对措施。三是工控系统缺乏有效安全防护措施，安全防护长效机制难落实。工控系统在设计、研发、集成阶段重点关注系统的可用性，未充分考虑安全问题，系统普遍存在弱口令、通信报文明文传输等安全隐患。现有存量工控系统，出于兼容性考虑，轻易不敢打补丁或安装防病毒软件，大部分工控系统处于“裸奔”状态。同时，工控系统网络缺少监测手段，无法为安全防护、应急响应、系统恢复等环节提供有效输入，很大程度上制约安全防护能力的提升。四是暴露在互联网上的工控设备与日俱增，安全隐患凸显。全球暴露在互联网上的工控系统及设备数量持续上升，工业信息安全风险点不断增加。国家工信安全中心监测发现，2017年以来全球多个国家的IP地址对我国工控设备及系统发起过网络探测与攻击，对我国工业信息安全造成极大威胁[1]。针对频发的工控安全事件，党中央、国务院高度重视，分别在法律法规、政策、工作要求等方面积极部署并出台了一系列安全政策。2016年10月17日工信部《工业控制系统信息安全防护指南》，要求工控系统开展信息安全防护工作[2]；2017年网信办了《关键信息基础设施安全保护条例（征求意见稿）》，要求开展关键信息基础设施安全保护工作，工控系统作为生产企业智能制造的重要组成部分，需从技术手段上加强安全防护；2017年6月1日，《网络安全法》正式实施，提出我国实行网络安全等级保护制度，进一步明确网络安全责任制；2019年全国信息安全标准化技术委员会《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）正式实施，提出对工控系统等5个扩展要求实行网络安全等级保护工作[3]。

2工控系统网络安全风险分析

工控系统网络安全风险是指由于工控系统自身存在脆弱性，潜在攻击者通过适当的攻击路径导致工控系统发生安全事件的可能性以及由此产生的后果和影响。伴随两化融合的实施，智能制造行业工控系统发生信息安全事件的可能性增加，一旦生产网络被攻陷，轻则影响工控系统稳定运行，重则会对国家利益、国计民生造成严重影响。下面从工控系统面对的威胁和自身脆弱性两个方面对工控系统网络安全风险进行分析。

摘要:随着互联网和传统工业的深度融合，今天的工业互联网已经覆盖而不局限于住宅供暖、国家电气、车辆制造、石油勘探、化工制造等方面。工业互联网的新元素智能机器、高级分析、工作人员的涌现，也给工业网络平台终端带来了终端安全问题、控制安全问题、业务安全问题等新的安全威胁。本文从技术和人为两个方面提出针对安全漏洞的解决办法，阐述工业互联网在局域网中的安全发展趋势。

关键词:工业互联网;局域网;网络安全;防范

作为工业互联网的支撑，互联网极大地拓展了网络空间的应用范围和领域，但是工业化和信息化的领域越来越变得重合，工业控制系统不再是一个密封的状态，增加了设备、控制、网络等方面受到损害的风险。尽管工业互联网在上述新兴行业有着巨大的应用前景，但由于工业互联网固有的网络广泛开放和移动终端资源的局限性以及对网络拓扑动态变化的限制，使得新兴工业互联网网络不仅面临着更大的网络安全威胁和用户隐私泄露风险，也给工业互联网网络安全和用户隐私保护方案的设计增加了很多障碍。

一、工业互联网中局域网网络安全的相关概念

(1)局域网(alareanetwork，LAN)，主要是指由各种计算机、外部设备和数据库组成的计算机通信网络，这些计算机和数据库在当地的地理范围内相互连接，覆盖范围一般是几千米之内，如学校、工厂和企业机构。(2)工业互联网一般以一个工厂或者企业为基础建构为工业局域网或者企业局域网，这相当于是一个“内网”，网内可以实现用户的数据共享和分布处理。为工业局域网内部用户提供数据共享是建设工业局域网的初衷，也是局域网最鲜明的特色。近年来网络硬件设备的更新换代为互联网行业飞速发展提供了硬件保障，但是飞速发展也给工业带来许多安全挑战。(3)工业互联网网络安全通俗来讲就是保护用户的软件、硬件和系统的数据不因受到非法攻击而受到更改、破坏和泄露，同时为用户网络连接和日常办公操作连续稳定地进行。目前国内对工业互联网的研究方向大多集中在网络通信协议和路由算法的设计上，忽视了新兴场景下的工业安全和数据隐私保护的研究，这导致了工业互联网在当前新兴工业领域的发展进入瓶颈期。

二、工业互联网在局域网中的连接方式

局域网在工业领域一般分为有线连接和无线连接。(1)有线连接。因为局域网的覆盖范围在几千米之内，距离相对来说比较短，所以使用铜线很适合作为传输介质，但是也有一部分局域网采用光纤作为传输介质。有线局域网的基础采用点对点链路的拓扑结构，局域网交换机是有线局域网的核心。采用有线连接的工业局域网，在数据传输、分布处理、共享打印等诸多方面均由于无线局域网，这是有线连接的本质特色。(2)无线连接。由于许多工业场地不适合用传输介质连接工业局域网，例如化工工厂、石油平台等，往往可以采用简单的Wi-Fi，只需要一个路由器，就可以搭建一个无线工业局域网。中等规模的工厂可以通过利用多个路由器和交换机搭配来完成工业局域网建构，大规模的工厂则需要中心化的无线控制器来控制大量的工厂终端。无线局域网由于可以实现在无法铺设传输介质的领域实现传输，省时省力，在工业方面的应用更加广泛，例如在化工工厂通过无线定位可以知道化工原料的具体位置。

一、计算机信息管理技术在网络安全管理中的应用

随着时代经济的飞速发展，计算机信息管理技术在我国各个领域均有着较为广泛的应用，尤其是网络安全管理中的应用，同时网络信息安全不仅仅对人们的财产权有着一定的影响作用，同时对于人们的生命权也有着一定的影响作用，因此加强网络信息的安全管理,更要对网络信息安全管理体系进行合理化的建立，具体体现如下：

1对网络信息安全管理模型加以建立

计算机信息管理技术在网络安全管理中的应用中，更要对网络信息安全管理模型加以建立，并对全面的计划进行制定，进而做出相对详细的安排，并对高效和高质量的管理模型加以建立，并做好信息的执行和维护工作，加强混合型模型的建立，并对大量的相关资料进行查阅，加强对信息网络安全控制的研究力度。

2做好技术的控制

计算机网络在实际的安全管理过程中，就要做好技术的控制工作，并将网络安全管理的关键技术进行管理，对健全信息的安全系统加以建立，并在对各个方面的因素进行综合性的考虑，加强技术管理人员的培训，做好相关人员专业知识的培训，进而提高技术管理人员对突发情况的处理能力，在实际的工作中，将责任加以落实，并对系统运行的安全性和合理性加以保证，从根本上使得系统处于一种良性发展的过程。

3将安全防范管理加强

摘要：在智慧水务建设过程中，保障网络空间安全问题尤为重要，其安全领域可分为工业控制系统网络安全和传统网络信息安全两大类。其中，工业控制系统网络安全主要包括物理感知数据采集和设备自动控制两部分，直接和人民生命财产安全相关。通过分析智慧水务建设中的工业控制系统网络安全问题，探讨了问题根源，并提出合理的解决途径，为实际智慧水务建设提供了借鉴参考。

关键词：智慧水务；网络空间；工业控制；信息安全

0引言

根据马太效应，随着人类社会的飞速发展，未来城市发展将日趋巨大，人口日趋密集。目前，我国城市涉及民生公共服务等相关问题日趋严重。自IBM2008年提出智慧地球的概念后，利用智慧手段管理城市成为热门话题之一。为解决城市发展难题，实现城市可持续发展，智慧城市的理念应运而生。所谓智慧城市就是充分运用工业自动控制、城域网、大数据分析技术、云计算、移动支付等信息化和通信技术手段，以数字化、智能分析、整合城市运营的各项关键信息，从而实现智能化管理和运营各类城市公共服务、民生生活和各类工商业活动，满足人民日益增长的美好生活需求。在智慧城市的大框架下，智慧水务应运而生。智慧水务是利用现代化技术将传统水务的水源管理、供水、排水、水质监测、污水处理及回收利用等所有涉水业务流程数字化管理[1]，以达到优化资源配置、增强水资源利用效率、满足不同用户的用水需求、保障城市用水安全的目的。然而随着现代化技术的广泛应用，也带来了新一轮的安全问题，即网络空间安全问题。“没有网络安全，就没有国家安全”，网络空间已成为继陆海空天之后的第五空间，网络空间安全已经上升到国家安全的高度[2]。我国在中央和各省市大力推进智慧城市建设的过程中，城市的网络空间安全问题研究显得尤为重要。正如前文所说，智慧水务就是利用现代化技术将传统水务的水源管理、供水、排水、水质监测、污水处理及回收利用等所有涉水业务流程的数字化管理，这里的现代化技术包括工业自动控制、大数据分析、网络支付等。本文主要从工业控制系统网络安全的角度来探讨智慧水务建设过程的网络空间安全问题。

1工业控制系统网络安全

工业控制实际上是利用计算机设备控制工业过程，达到降低人力成本，提高工作效率或是用以替代人类在恶劣环境工作。传统的工业控制系统是封闭系统，即使出现安全问题影响范围也十分有限，例如一台传统的数控加工机床，即使数控模块出现了病毒，影响范围也仅局限于这台机床加工出来的产品，后续的质量检测可以很快发现问题。然而随着网络技术的飞速发展，工业控制系统已成为物联网的主要组成部分，大多和国计民生相关的关键基础设施依靠工业控制系统来实现自动化作业，包括基础设施、民生智慧城市、先进制造业和军队军工等。当前以工业控制系统为基础的工业网络安全面临着巨大威胁，直接威胁到国家安全。从早期澳大利亚昆士兰的马卢奇污水处理厂事件（2000年3月）、美国俄亥俄州Davis-Besse核电站SQLSlammer蠕虫病毒攻击事件（2003年1月的）到最近的“超级电厂”病毒事件（2014年）、乌克兰的年“BlackEnergy”病毒事件（2015）、乌克兰机场受攻击事件（2016年）[3-4]都表明：工业控制系统不再安全，工业控制系统安全事件造成的社会影响也越来越大，大量证据表明工业安全事件背后有着巨大的经济利益和国家政治利益。

2智慧水务

摘要：随着城市轨道交通的高速发展，各类安全问题也日益突出，其中城市轨道交通综合监控系统由于需要处理大量外部接口数据，所面临的安全风险尤为突出。详细介绍了基于三级等保的信息安全管理体系，并在此基础上提出了综合监控系统信息安全建设的要求及目标，并从技术方案和管理方案两个层面入手，详细阐述了综合监控系统安全防护的设计及建设方案。

关键词：城市轨道交通；综合监控系统；安全防护；三级等保

进入21世纪后，大型城市在城市空间结构的优化、城市交通拥挤状况的缓解、城市环境保护等诸多方面均面临着不少的挑战和难题，而城市轨道交通的高速发展为解决上述问题提供了一条有益的途径。但与城市轨道交通高速发展相伴而生的各种安全问题及安全风险也日渐突显。其中，综合监控系统集成和互联了轨道交通众多信息化系统，往往面临较之传统信息化系统更为严峻的网络安全问题。因此对于城市轨道交通综合监控系统的建设，要从系统规划、设计、实施、上线、生产、运维到废弃的整个漫长生命周期的各个阶段考虑网络安全问题，要在综合监控系统建设的同时，同步做好系统的信息安全建设工作。

1综合监控信息安全建设目标

综合监控系统的信息安全建设目标，应结合相应的政策法规、国家标准、行业成功经验及项目建设面临的实际安全风险出发。综合上述视角，要真正做到综合监控系统的网络安全，应按照《计算机信息系统安全保护等级划分准则》中相关要求，将等级保护建设的思路作为最佳实践，以组织制度保障结合有效的技术措施：建立健全综合监控系统的信息安全管理制度和信息安全管理机构，完善信息安全管理体制；建立综合监控系统信息安全纵深防御技术体系，从网络结构到内部流量行为、再到主机本体的全方位技术防护措施，提供三级等级保护要求的相应软硬件及完整的信息安全设计，从而保障综合监控系统平稳、安全、高效运行。

2基于三级等保的信息安全管理体系

根据GB／T22239－2008《信息安全技术信息系统安全等级保护基本要求》、GB／T22240－2008《信息安全技术信息系统安全等级保护定级指南》、GB／T28448－2012《信息安全技术信息系统安全等级保护测评要求》等相关标准，将等级保护分为技术和管理两大模块，其中技术部分包含：网络安全、主机安全、应用安全、数据安全及备份恢复、运维管理共五个方面；管理部分包含：安全管理机构、安全管理制度、人员安全管理、系统建设管理、物理环境管理五个方面。如图1所示。信息安全管理以多个子策略构成了三层结构的完备体系，采用自顶向下的树型结构，顶部把握原则方向等宏观层面，向下逐步过渡到具体措施等微观层面。在信息安全管理树型结构中，树顶代表了信息安全管理体系的最高纲领，是对整个安全管理体系的必要性、基本原则及宏观策略的阐述，以凝练的语言描述了信息安全在技术和管理两个方面的内容。树干部分代表了一系列的管理规定和技术规范，是对最高纲领的分解和进一步阐述，侧重于具体要求的实现方法及途径，并总结在技术和管理方面的共性问题，以更好的指导安全工作；树根部分代表了操作层面，基于树顶和树干的相关策略要求，在树根层面要与实际的网络和应用环境相结合，以闭环、动态作为基本的管理原则，编制具体的细则、流程，具备最直观的可操作性。