中國(guó)是全球最大、增長(zhǎng)最快、最為復(fù)雜的制造業(yè)國(guó)家，制造業(yè)企業(yè)轉(zhuǎn)型需求和工業(yè)互聯(lián)網(wǎng)平臺(tái)供給能力不足是我國(guó)發(fā)展工業(yè)互聯(lián)網(wǎng)平臺(tái)主要挑戰(zhàn)。軟板小編了解到，近年來(lái)，國(guó)家也是高度重視工業(yè)互聯(lián)網(wǎng)的發(fā)展，各大制造業(yè)企業(yè)也開(kāi)始建立符合自身的智能車間。工業(yè)互聯(lián)網(wǎng)、機(jī)床聯(lián)網(wǎng)越來(lái)越多的成為互聯(lián)網(wǎng)相關(guān)人員和企業(yè)管理者談?wù)摰脑掝}。

先來(lái)看看我們?cè)诖蛟炻毮苘囬g,工業(yè)互聯(lián)網(wǎng)的時(shí)候遇到的問(wèn)題:

1、 終端無(wú)線發(fā)射器信號(hào)不穩(wěn)定，或有無(wú)線信號(hào)盲區(qū)的存在；

2、 無(wú)線信號(hào)管理薄弱，自帶手機(jī)隨意連接無(wú)線信號(hào)導(dǎo)致工業(yè)用無(wú)線設(shè)備資源被搶占；

3、 網(wǎng)絡(luò)準(zhǔn)入管理松散，病毒乘機(jī)而入；

4、 因物理位置上工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)交叉重疊存在，為聯(lián)網(wǎng)方便，工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間沒(méi)有邊界。

針對(duì)上述問(wèn)題，我們要求我們的工控網(wǎng)絡(luò)要遵循以下設(shè)計(jì)原則：

1、 工業(yè)以太網(wǎng)主干網(wǎng)絡(luò)基于環(huán)網(wǎng)或星型雙鏈路結(jié)構(gòu)構(gòu)建，主干網(wǎng)中配置具有管理環(huán)網(wǎng)功能交換機(jī)（以太網(wǎng)管理器）；

2、 現(xiàn)場(chǎng)設(shè)備需具備工業(yè)以太網(wǎng)接口接入工業(yè)以太網(wǎng)。

3、 采用工業(yè)級(jí)以太網(wǎng)設(shè)備構(gòu)建，包含交換機(jī)、路由器、網(wǎng)絡(luò)隔離產(chǎn)品等，確保工業(yè)以太網(wǎng)在網(wǎng)絡(luò)通訊的穩(wěn)定性、抗干擾能力以及防護(hù)等級(jí)等方面要求。

4、工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間必須設(shè)置邊界防火墻，邊界防火墻要求：為保證可用性，工控網(wǎng)與管理網(wǎng)絡(luò)邊界的防火墻要求雙機(jī)部署；

5、 防火墻要求設(shè)置DMZ區(qū)，可用于部署與MES業(yè)務(wù)對(duì)接相關(guān)的服務(wù)器。

6、 接入邊界及線路要求：工控網(wǎng)接入IT網(wǎng)絡(luò)的邊界可在IT網(wǎng)絡(luò)的匯聚或核心上；

7、 接入線路要求：接入線路要求至少千兆線路；

8、 安全策略要求：防火墻策略按需開(kāi)通，默認(rèn)關(guān)閉；

9、 無(wú)線AC可在工業(yè)網(wǎng)獨(dú)立部署，采用5G頻段無(wú)線組網(wǎng)。

工控網(wǎng)安全建設(shè)目標(biāo)：

1、工控網(wǎng)絡(luò)安全防護(hù)原則：以區(qū)域劃分、深度防御為基礎(chǔ)進(jìn)行防護(hù)，主用手段包括防護(hù)軟件的部署、防護(hù)設(shè)備的部署、技術(shù)防護(hù)及深層防御。

2、注重網(wǎng)絡(luò)結(jié)構(gòu)安全的可行性，確保與生產(chǎn)工藝的結(jié)合。

3、對(duì)工控網(wǎng)絡(luò)各個(gè)層級(jí)間進(jìn)行邏輯隔離，防止網(wǎng)絡(luò)中病毒代碼的傳播，對(duì)設(shè)備進(jìn)行保護(hù)；

4、對(duì)工控系統(tǒng)現(xiàn)場(chǎng)設(shè)備層與生產(chǎn)控制層和管理執(zhí)行層間進(jìn)行防護(hù)，形成縱深防御的安全部署；

5、保障工控網(wǎng)絡(luò)能夠?qū)θ肭中袨檫M(jìn)行詳細(xì)完整的記錄，為以后的調(diào)查取證提供有力保障；

6、保障工控網(wǎng)絡(luò)不受偽裝成合法訪問(wèn)的攻擊行為的安全威脅；

  結(jié)合工業(yè)控制系統(tǒng)信息安全防護(hù)思路，FPC廠發(fā)現(xiàn)，可以將典型工業(yè)控制系統(tǒng)分為四層，即生產(chǎn)管理層（IT）、監(jiān)督控制層（傳輸）、現(xiàn)場(chǎng)控制層、現(xiàn)場(chǎng)設(shè)備層每一個(gè)工業(yè)控制系統(tǒng)應(yīng)單獨(dú)劃分在一個(gè)區(qū)域里。在區(qū)域邊界處部署工業(yè)防火墻設(shè)備，實(shí)現(xiàn)IP\端口的訪問(wèn)控制、應(yīng)用層協(xié)議訪問(wèn)控制、流量控制等?；蛘卟渴鹁W(wǎng)閘設(shè)備，切斷網(wǎng)絡(luò)鏈路層鏈接，完成兩個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換。

  在操作站、工程師站部署操作站安全管理系統(tǒng)實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò)準(zhǔn)入控制、安全配置管理等。工控運(yùn)維審計(jì)系統(tǒng)由運(yùn)維管理服務(wù)器和運(yùn)維審計(jì)設(shè)備組成，運(yùn)維人員運(yùn)維現(xiàn)場(chǎng)設(shè)備時(shí)先接入運(yùn)維審計(jì)設(shè)備，再連接現(xiàn)場(chǎng)設(shè)備。運(yùn)維審計(jì)設(shè)備可審計(jì)運(yùn)維操作命令、運(yùn)維工具使用錄像等，亦可進(jìn)行防病毒、訪問(wèn)控制等安全防護(hù)。

  Wifi入侵檢測(cè)與防護(hù)設(shè)備是放在基于wifi組網(wǎng)的現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò)中，可實(shí)現(xiàn)非法AP阻斷，非法外來(lái)設(shè)備接入生產(chǎn)網(wǎng)絡(luò)，基于Wifi的入侵檢測(cè)等。電路板廠覺(jué)得，在工業(yè)以太網(wǎng)匯聚交換機(jī)上部署工控異常監(jiān)測(cè)系統(tǒng)及工控網(wǎng)絡(luò)流秩序分析診斷系統(tǒng)。檢測(cè)工業(yè)控制系統(tǒng)內(nèi)部入侵行為，異常操作行為，發(fā)現(xiàn)異常流量和異常訪問(wèn)關(guān)系等。

  部署工控漏洞掃描系統(tǒng)，在系統(tǒng)檢修、停機(jī)或新系統(tǒng)上線時(shí)進(jìn)行漏洞掃描，對(duì)漏洞進(jìn)行修補(bǔ)。部署安全配置基線核查系統(tǒng)，在系統(tǒng)檢修、停機(jī)或新系統(tǒng)上線時(shí)進(jìn)行配置基線檢查，重點(diǎn)關(guān)注操作站、工程師站、服務(wù)器等開(kāi)放的服務(wù)，賬號(hào)密碼策略、協(xié)議的安全配置等問(wèn)題，對(duì)風(fēng)險(xiǎn)進(jìn)行安全加固。