“智改數轉”工業生產網絡信息安全

一、樹立認知，了解“智改數轉”概念

“智改數轉”是一種復合概念，特指制造業智能化改造和數字化轉型。智能化改造是企業著力發展應用智能裝備和產品，在“機器換人”基礎上進一步推動建設數字車間、智能工廠的必然技術路徑，從根本上改變原有的工業生產方式；數字化轉型是企業借助數字化解決方案，將物聯網、云計算、大數據、移動化、智能化技術應用于企業，重塑業務模式。“智改數轉”目的是對企業進行全鏈路的資源優化整合，提高企業經濟效益或形成新的商業模式，它不僅僅是技術革新，更是經營理念、戰略規劃、組織運營等全方位的變革。

二、加強理解，探索“智改數轉”背景

在新一代的信息技術廣泛普及及推動生產方式變革下，各國紛紛提出數字制造、工業互聯網、能源互聯網等制造業發展新理念，德國和美國作為傳統的工業強國，也是率先提出“工業4.0”和“工業互聯網”概念。在這種數字化轉型發展浪潮中，我國也明確信息技術是數字化轉型的內核，工信部根據信息技術發展程度，將我國數字化轉型分為信息化（1956-2003年）、業務數字化（2003-2016年）和數字化轉型（2016年至今）3個階段。信息化階段以政府政策引領信息技術促進產業創新發展；業務數字化階段為了推動行業發展，主動通過信息技術進行業務數字化發展；數字化轉型階段是信息技術高度發展奠定數字化轉型生態環境階段。其中，在數字化轉型的階段，2015年我國提出“中國制造2025”戰略，明確以信息技術與制造技術深度融合的數字化、網絡化、智能化制造為主線，促進產業轉型升級，培育有中國特色的制造文化，實現制造業由大變強的歷史跨越。2021年11月4日，工信部、發改委、財政部和市場監管總局聯合對外發布《智能制造試點示范行動實施方案》，提出到2025年，建設一批技術水平高、示范作用顯著的智能制造示范工廠，探索形成具有行業區域特色的智能轉型升級路徑。

三、明確目標，推動“智改數轉”進程

以江蘇省為例，為夯實工業互聯網平臺、工業軟件、智能硬件和裝備、網絡設施及安全等基礎支撐，加大優秀服務商培育和典型案例推廣應用力度，推動“智改數轉”各項任務加快落地落實，2021年12月30日，江蘇省政府印發《江蘇省制造業智能化改造和數字化轉型三年行動計劃（2022-2024年）》，提出通過三年的努力，全省制造業數字化、網絡化、智能化水平顯著提升，新業態、新模式、新動能顯著壯大，制造業綜合實力顯著增強，率先建成全國制造業高質量發展示范區。并在行動計劃中明確提出大力實施“十大工程”，快速推動龍頭骨干企業、中小企業、產業鏈“智改數轉”，詳細包括：

1)龍頭骨干企業引領工程；

2)中小企業“智改數轉”推進工程；

3)產業鏈“智改數轉”升級工程；

4)工業互聯網創新工程；

5)領軍服務商培育工程；

6)自主可控工業軟件應用工程；

7)智能硬件和裝備攻堅工程；

8)工業互聯網支撐工程；

9)工業信息安全保障工程；

10)優秀解決方案推廣工程。

四、理清思路，完善“智改數轉”建設

“智改數轉”是現代化企業提質增效、搶占發展制高點的關鍵之舉，也是實現制造業高質量發展必由之路，我們需要在這條“必經之路”上打好“地基”，讓企業具備防范新一代信息技術與制造業深度融合所帶來的工業生產系統運行風險，加強企業工業信息安全建設，堅持貫徹《江蘇省制造業智能化改造和數字化轉型三年行動計劃（2022-2024年）》中“工業信息安全保障工程”的指導方針，即“完善工業信息安全風險評估、信息通報、應急處置等制度。建設省級工業互聯網安全信息共享與應急服務協同保障平臺，培育工業信息安全防護星級企業”。

威努特作為中國工控安全領軍者，始終專注于守護我國關鍵信息基礎設施網絡空間安全，并持續關注和參與到“智改數轉”的建設，助力工業信息安全的發展。“智改數轉”工業信息安全詳細建設內容如下：

4.1 構建“1246”安全防護體系

如何降低“工業信息安全”風險是各工控安全廠家一直在研究的課題，威努特作為國內工控安全的領軍者，能夠運用科學的方法和手段，識別和分析工業控制系統所面臨的威脅及其存在的脆弱性，梳理出工業控制系統安全現狀，依托于率先獨創的工業網絡“白環境”核心技術理念，為工業企業客戶構建出“1246”網絡安全防護體系，該體系以風險管理為核心目標，以國內“兩個要求”體系合規、與國際“技術體系”接軌為兩個視角，形成可防御、可檢測、可響應、可預測的全生命周期的四大體系，孵化出動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的六大安全能力。

工業信息安全的最終落地，需要明確“四大體系”的安全建設，詳細如下：

• 構建工業信息系統網絡安全防御體系

工業信息系統安全防御體系以“面向失效的設計”基本原則，從計算環境、區域邊界以及通信網絡三個環節，分別進行安全防護，并通過統一的安全管理中心來協調工作，從而實現基于系統訪問全過程的閉環控制，構建“深度結合、全面覆蓋”的縱深防護安全防護體系。

• 構建工業信息系統網絡安全檢測體系

工業信息系統中網絡安全檢測體系的建設需做好工業信息系統全路、全網、全流量的流量實時檢測和告警。首先基于未知文件行為檢測的方法，在各工業信息系統內部署工業系統蜜罐系統，利用沙箱技術對惡意程序、非法行為進行模擬執行，通過對主體的行為分析來判斷未知文件是否存在惡意威脅。同時基于終端應用監控的方法，采用文件信譽與黑、白名單技術在終端上檢測應用和進程。最后結合預測體系中的威脅情報以及大量的日志來分析可能存在的APT攻擊。

• 構建工業信息系統網絡運維響應體系

工業信息系統網絡運維響應體系圍繞制訂和完善各種流程規范，制訂階段性工作計劃，開展工控網絡安全風險評估，規范產品與服務采購流程，同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作，以保證安全管理措施和安全技術措施的有效執行。

• 構建工業信息系統網絡評估預測體系

工業信息系統網絡評估預測體系應實現態勢感知、安全運營、數據關聯、威脅預測，將靜態防御轉為積極動態防御；同時構建威脅情報共享體系，建立全路協同聯動機制；并且能做做到定期對保護對象進行隱患排查與安全評估。

4.2 工業信息安全整體解決方案

工業信息安全防護設備整體部署圖如下：

• 安全通信網絡

通過串聯部署工業互聯防火墻和工業防火墻，對通信網絡協議進行深度過濾，保障通信傳輸在被允許的情況下，傳輸的數據是安全可靠的；同時，通過加密傳輸功能，實現對通信鏈路的風險管控，保證網絡和通信內容的安全。

• 安全區域邊界

通過部署工業互聯防火墻和工業防火墻對不同區域之間進行安全區域邊界隔離防護，對不同區域間的訪問行為進行管控，對區域內部和區域外部之間非授權連接行為進行審計記錄；

通過部署入侵檢測系統、高級威脅檢測系統和工控安全監測與審計系統，對網絡中的通信流量進行監測，對區域內已知和未知入侵行為等威脅進行感知預警，避免遭受DDos攻擊等網絡攻擊。

• 安全計算環境

通過在工程師站、操作員站、服務器上部署工控主機衛士，采用基于進程的白名單防護技術，將工業主機中的應用程序、進程等可執行文件加入白名單庫中，僅允許白名單庫中的應用運行，阻止其它一切惡意程序、病毒木馬，以及與業務無關的應用運行，為生產系統網絡工作站和服務器等設備提供安全可靠的運行環境。

• 安全管理中心

通過部署安全運維管理平臺、日志審計與分析系統、統一安全管理平臺、工控漏洞掃描系統和工業安全態勢感知平臺，對全網的安全設備、安全事件、安全策略、安全運維進行統一集中的監控、調度、預警和管理，對運維操作員進行身份授權與鑒別，要求根據權限進行操作及操作審計，并記錄安全日志，上傳至工業安全態勢感知平臺，通過安全大數據建模分析，幫助用戶看清現在面臨的網絡威脅，并對防護策略進行評估。

4.3 工業信息安全解決方案價值

通過構建工業信息安全縱深防御體系，助力企業“數改智轉”，并為企業帶來以下經濟和社會效益：

• 滿足網絡安全法、等級保護2.0、工業控制系統信息安全防護能力成熟度模型等政策法規要求，從政策合規性層面保障企業生產系統網絡安全
• 提升企業工業生產系統網絡安全防護水平，確保設備、系統、網絡的可靠性、穩定性和安全性；
• 通過對外部網絡、應用軟件、外設的管控，可以實現對操作人員的管控，有利于規范員工日常工作行為和上網行為；
• 通過工業控制系統安全體系建設，確保企業生產業務的安全運營，提升企業競爭力和企業形象；
• 通過工業信息安全縱深防御體系建設，幫助企業實現工業信息安全防護星級的申報與評定。