工业控制系统（ICS）信息安全产品选型

工业控制系统信息安全是国家网络和信息安全的重要组成部分，是推动中国制造2025、制造业与互联网融合发展的基础保障。特别是随着物联网、云计算、大数据等新兴信息技术在企业逐步部署和应用，企业的信息安全防护模式和需求正在发生改变，传统的信息安全体系已很难适应新环境下的信息安全防护需求。

各领域内工控安全事件频发

电力

电厂遭USB病毒攻击，大量机密数据泄露

水利

污水处理厂遭非法入侵，污水直接排入自然水系

冶金

德国锅炉厂熔炉控制系统受攻击，导致熔炉无法正常关闭

智能制造

数控机床关键数据被窃取，损失难以估量

交通

黑客远程入侵智能汽车，汽车有可能随时遭遇"恐怖袭击"

医疗

黑客入侵药泵，输出致命药剂，危害人身安全

军工

代码即武器，美国政府控制漏洞市场

工控系统为什么不安全 ?

早期的工控系统和企业管理系统是封闭、隔离的。随着"两化融合"的发展，信息化与工业化交互融合，产生了新型工业化。企业为了实时数据采集与生产控制，需要将工控系统和企业管理系统直接通信交互，同时也就把传统IT风险延伸到了工控系统，使工控系统面临来自经营管理网和互联网的威胁。

与此同时，随着物联网技术的迅速发展，工业控制系统已由原来相对封闭、稳定的环境变得更加开放、多变。且随着互联网在工业领域的不断渗透，以及智能设备在各领域的广泛使用，工业控制系统的脆弱性暴露无遗，传统工业控制系统的潜在安全性正遭受严重的挑战。从工控领域被攻击所可能导致的后果来看，潜在威胁极大，工控安全正深刻地影响着工业控制网络产业的发展，也是智能制造顺利推进的前提保障。

安全防护易走入哪些误区？

我们的工控网络是与外界隔离的

我们架设了防火墙，会自动防护

单向通信100%安全

用传统的漏洞扫描工具去扫描工控网设备

供应商会保证产品的安全性

没有人会来攻击我们的系统

智能制造形势下工控安全风险

管控一体化

问题1

工厂物联网

问题2

工业云和大数据的应用

问题3

移动互联网的普及

问题4

服务外包、设备远程运维

问题5

工控系统攻击场景演示

《工控安全防护指南》解读

2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》，指导工业企业开展工控安全防护工作。《指南》以当前我国工业控制系统面临的安全问题为出发点，注重防护要求的可执行性，从管理、技术两方面明确工业企业工控安全防护要求，为制造业与互联网融合发展提供安全支撑。

安全软件
选择与管理

配置和
补丁管理

边界
安全防护

物理和环
境安全防护

落实责任

供应链安全

数据安全

资产安全

安全监测和
应急预案演练

远程
访问安全

身份认证

工控安全全生命周期保障策略

设计阶段
在设计阶段即融入信息安全防护

验证阶段
产品定制测试、产品选型测试、设计方案验证

建设阶段
集成测试，过程监理，协议一致性测试

退役阶段
数据备份，数据销毁

运维阶段
运维测试，升级检测，旁路监测，安全预警

验收阶段
信息安全验收测试，安全等级评估

工控安全产品选型要点

第一步

资质评估

1. 企业资质
2. 产品资质
3. 知识产权

第二步

需求评估

需求评估是产品选型最为关键的一步。企业需要根据内部工业控制系统的运行状态，并结合工控安全产品整体的实时性、易用性、完整性和机密性的要求进行综合评估。

第三步

功能评估

企业在决定购买工控安全产品时，可先向供应商提交试用申请，一般而言，供应商在确定企业有购买需求后，会提供几周到几个月不等的产品试用周期。

第四步

成本评估

在综合考虑供应商资质、企业自身需求及产品性能的前提下，综合评估供应商给出的报价，包括产品购买与实施，后续升级及维护费用等。

第五步

合同签订

1. 合同金额
2. 实施周期
3. 验收标准和方法
4. 双方责任
5. 违约责任

专家访谈

井柯：国家计算机网络与安全技术研究专项评审专家

要实现真正的智能工厂，必然要打通"筋脉"，开放自身的网络，开放工业控制网络，使其与设计网互联互通，最大程度满足产品设计与生产的自动化需求。在这一过程当中，保障工业生产安全，加强工控网络安全防范迫切性的日趋凸显，工控系统网络安全正在成为企业刚需。

胡浩：谷神星网络科技(北京)有限公司董事长兼CEO

保障工控网络安全的核心的环节就是要知己知彼。首先需要彻底了解工控网络存在什么样的缺陷和风险，我们需要什么样的管理人员；其次，假如对方知道我的这些问题后他们会采取什么样的攻击手段。知己知彼之后，需要将一整套完整的防护方案部署到我们的控制系统里面，这是通常加固工控网络安全需要做的几个步骤。

企业访谈

卢福军：格力电器（郑州）有限公司信息部部长

由于工控网络设计及应用环境较封闭，对信息安全方面考虑较少。但随着技术的演进，工控网络应用正逐步向数据采集、工业大数据分析、自主管理、以及与MES应用集成，这样势必使原有封闭环境中的重要基础设备设施暴露于Internet或办公网络的开放环境中，信息安全问题应运而生。

刘勇：中车株洲电力机车有限公司信息管理部主管

随着"工业4.0"和"两化融合"脚步的加快，中车株机作为工信部智能制造试点企业，正在开展智能制造项目建设。"工业4.0"框架下的智慧工厂在典型工厂控制系统和管理系统信息集成的三层架的基础上，充分利用正在迅速发展的智能设备、物联网技术和互联网技术，将工业控制系统与企业办公网络、互联网结为一体。

工控安全典型应用案例

化工行业工控系统安全应用案例

鲁西化工是典型的化工企业，自动化程度较高。DCS和PLC数字化控制已经成为化工生产过程控制的主要手段，但是过程控制系统整呈开放的趋势，随着"两化"的深度融合，工控系统面临的安全形势越来越严峻。

汽车生产制造领域的工控安全应用案例

随着汽车行业的生产规模迅速扩大，使得总线技术、PLC、变频器、数控、机器人等自动化技术与设备在汽车制造行业得到越来越广泛的应用。然而，自动化技术应用的同时也带来了一些安全的隐患。

工控安全系统在数控机床领域的应用

目前，国内使用的主流数控设备的核心系统大部分来自国外厂家的产品，特别是专机和精机更是国外厂商全套引进，其核心技术受制于人，在两化融合数控机床联网构成DNC系统背景下大大增加了安全的不可控因素。

工业隔离网关在西藏725油库中的应用

西藏725油库项目实现以成品油库管理体系为标准，为防止病毒和黑客进入到油库生产作业层网络，进而影响整个油品存储的安全，在这种情况下必须重视数据传输的安全性，做好工业控制系统边界安全防护。

工控安全领域主流供应商

北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决方案研究的创新型高科技公司。公司致力于为企业客户提供工控安全整体解决方案与服务，为企业客户提供工控安全咨询培训、风险评估、漏洞挖掘、渗透测试、攻防演练、安全防护等软硬件产品及服务，帮助企业客户识别工控系统安全风险，掌控工控安全现状与趋势，提高工控安全防护与事件响应能力。

中国电子科技网络信息安全有限公司是中央直接管理的十大军工集团之一，根据国家安全战略发展需要，以深耕信息安全和物理安全为核心，凭借在密码保密、信息安全和物理安全领域的深厚积淀，奠定了坚实雄厚的行业地位，在国家信息安全核心和重要领域占据绝对领先的市场份额，打造了包括中国信息安全第一股"卫士通"在内的多家信息安全公司。

北京力控华康科技有限公司成立于2009年，是专业从事工业网络及安全产品研发，提供整体安全解决方案，通过"双软"认证的高新技术企业。借助多年积淀的工业领域行业经验，以及工控行业监控软件和工业协议分析处理技术，成功研发出适用于工业控制系统的工业隔离网关pSafetyLink®、工业通信网关pFieldComm®和工业防火墙HC-ISG®等系列产品。

北京匡恩网络科技有限责任公司是一家致力于为智能工业网络提供安全解决方案的高科技创新企业。公司深耕工业智能网络安全领域，独创了涵盖"结构安全性、本体安全性、行为安全性、基因安全性和持续性防护"的"4+1安全防护体系"，开发出目前业界最完善、覆盖工控系统全流程的保护、检测等产品系列，为用户提供"自主、可控、安全"的全生命周期解决方案。

青岛海天炜业过程控制技术股份有限公司成立于2003年，是工业信息安全领域的领军企业。公司致力于工业信息安全，自动化控制系统集成与运维，功能安全三个领域的整体解决方案，为石油、石化、电力、油气、冶金、制药、水处理、轻工、烟草、轨道交通、军工等行业提供"互联网＋"时代的"全厂工控系统一站式服务"。

北京立思辰科技股份有限公司创立于1999年。公司的主营业务为教育与信息安全两大板块。信息安全方面，公司与江南所、浙江清华长三角研究院合作，重点研发并形成了数据载体全生命周期安全管控系列产品、国产化平台整体解决方案、工控安全等集团三大产品体系。为客户提供全生命周期安全管控系列产品及解决方案。

北京神州绿盟信息安全科技股份有限公司成立于2000年。在国内外设有40多个分支机构，基于多年的安全攻防研究，绿盟科技在检测防御类、安全评估类、安全平台类、远程安全运维服务、安全SaaS服务等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及安全运营等专业安全服务。

北京中科网威信息技术有限公司是专门从事网络信息安全产品研发和销售，并为政府和企事业单位提供网络信息安全整体解决方案和安全服务的高科技企业。自2001年起，中科网威陆续参与编写了防火墙、漏洞扫描、入侵检测、安全审计、安全管理平台等多种产品的公安部标准和国家标准，产品和服务广泛应用于各个领域及各类大、中小企业。

谷神星网络科技有限公司成立于2011年，以强大技术实力和创新商业理念，加快工业控制网络安全核心技术国产化进程，不断加强我国工业基础设施网络安全自主可控能力，致力于工业控制系统与设备漏洞扫描与漏洞挖掘，软件白名单，工业控制网络风险评估与安全审计，搭建模拟工控网络安全攻防仿真试验验证环境，提供完全自主可控的安全防护产品及行业解决方案。

安点科技是中国领先的工业控制网络信息安全威胁识别与防御技术提供商。公司始终坚持安全创造价值的核心理念，不断引进先进的观念与技术力量，为用户提供针对工控信息安全领域的产品、咨询、培训、解决方案的全方位服务。目前，安点科技工控安全产品已广泛应用于电力、核工业、军工研究院所、石油化工、煤炭开采、先进制造等领域。