工業企業主要面臨哪些方面的網絡安全風險

工業企業主要面臨以下方面的網絡安全風險：

• 設備安全風險:傳統工業設備更多注重業務連續性需求，日常運行維護主要也是針對安全生產內容開展相關工作，各個環節對網絡安全內容涉及較少，基本不具備防護各種網絡攻擊的能力。但是，工業互聯網將越來越多的智能化設備引入到工業控制系統中，直接參與生產，使得工業控制系統面臨嚴重的設備安全風險。

• 網絡安全風險:網絡IP化、無線化、組網靈活化，給工業互聯網環境下的工業控制系統帶來更大的安全風險。TCP\IP等通用的網絡協議在工業網絡中的應用，大大降低了網絡攻擊門檻，傳統的工業控制系統防護策略無法抵御多數網絡攻擊。為了滿足生產需要，無線通信網絡在各工業生產場景下得到廣泛使用，趨于單一的安全防護機制讓攻擊者極易通過無線網絡入侵，并實施網絡攻擊。同時，網絡的互相融合，使得工業組網越來越靈活復雜，傳統的防護策略面臨攻擊手段動態化的嚴峻挑戰。

• 控制安全風險:傳統控制過程、控制軟件主要注重功能安全，并且基于IT和OT技術相對隔離、可信的基礎上進行設計。同時，為了滿足工業控制系統實時性和高可靠性需求，對于身份認證、傳輸加密、授權訪問等方面安全功能進行極大地弱化甚至丟棄，導致工業控制系統面臨極大的控制安全風險。

• 數據安全風險:工業互聯網業務結構復雜，工業數據更是種類多樣、體量巨大、流向復雜，而且涉及大量用戶隱私數據，導致工業數據保護難度增大。

• 應用安全風險:隨著工業互聯網不斷催生新的商業模式和工業產業生態，工業互聯網相關應用無論從數量還是種類將會出現迅速增長。這對工業互聯網安全防護在應用方面提出了更高的要求，以應對工業互聯網應用種類多樣化、數量巨大化和程序復雜化帶來的挑戰。

工業企業應該從以下方面開展網絡安全防護工作：

• 設備安全：工業企業需根據自身需求，使用采取措施對設備固件進行安全加固的設備，并建立設備、操作系統漏洞發現和補丁更新機制，確保及時發現相關安全漏洞、進行補丁升級。必要時，采用基于硬件的可信驗證技術，為設備的安全啟動以及數據傳輸機密性和完整性保護提供支持。

• 網絡分區與邊界隔離：針對網絡融合帶來的風險，企業應根據業務開展需求和相應風險評估結論，優化網絡結構設計，調整網絡安全區域，重新定義網絡邊界及防護策略以適應網絡結構變化。并且在網絡接入認證，重要數據傳輸加密等方面加大投入力度，確保網絡通信的安全性。

• 控制安全與防護：對于控制安全與防護，主要應從控制協議、控制軟件和控制功能入手。加強認證授權、協議加密、協議過濾和惡意篡改等方面技術，并在使用前確保開展控制協議健壯性測試、軟件安全測試及加固等工作。在惡意代碼防護、補丁升級和漏洞修復方面還應建立切實可行的防護機制，確保落實到位。

• 數據保護：對于工業互聯網的數據安全防護，工業企業可采取數據加密、訪問控制、身份認證、數據脫敏及業務數據隔離等多種防護措施協同聯動的方式進行防護，覆蓋包括數據收集、傳輸、存儲、處理、脫敏和銷毀等全生命周期。

• 應用防控與檢測：工業互聯網應用安全需從工業互聯網平臺與工業應用程序兩方面進行防護。對于工業互聯網平臺，可采取的安全措施包括安全審計、身份認證、訪問授權、抗DDoS攻擊等。對于工業應用程序，可采用全生命周期的安全防護，在應用程序的開發過程中進行代碼審計，以減少漏洞的引入和安全功能缺陷；“運維”過程中需定期進行漏洞檢測、流程審核及滲透測試等安全測試和功能測試，及時針對安全漏洞和后門進行評估與修復。

• 監測感知：工業企業可部署所需的監測措施，針對典型網絡攻擊（病毒傳播、DoS）、異常網絡行為、設備非授權接入、APT攻擊、關鍵操作指令、關鍵工藝參數等進行分析，發現工業控制系統內部及外部存在的安全威脅。可與邊界防護措施形成互補、聯動，也可為安全事件分析提供證據支撐，進而有效提高整體網絡安全防護水平。

回答所涉及的環境：聯想天逸510S、Windows 10。