隨著中國(guó)制造2025、兩化融合的工作逐步開(kāi)展，工業(yè)控制系統(tǒng)信息安全問(wèn)題日益突顯。為貫徹落實(shí)國(guó)家相關(guān)文件精神，應(yīng)對(duì)新時(shí)期工控信息安全形勢(shì)，提升工業(yè)企業(yè)工控安全防護(hù)水平，工信部于2016年10月發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(以下簡(jiǎn)稱《指南》)，指導(dǎo)工業(yè)企業(yè)開(kāi)展工控信息安全防護(hù)工作。本文就指南中涉及的主要工控信息安全技術(shù)防護(hù)，以及目前國(guó)內(nèi)提供該技術(shù)支持的工控信息安全企業(yè)進(jìn)行盤(pán)點(diǎn)，以供工業(yè)企業(yè)在進(jìn)行本企業(yè)的工控信息安全建設(shè)時(shí)參考。

《指南》從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問(wèn)安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任11個(gè)方面對(duì)工控信息安全建設(shè)內(nèi)容進(jìn)行了規(guī)定?！吨改稀飞婕暗降墓た匦畔踩夹g(shù)防護(hù)技術(shù)主要包括：

◆安全隔離

根據(jù)工控系統(tǒng)網(wǎng)絡(luò)系統(tǒng)縱向分層、橫向分域的原則，安全隔離技術(shù)主要用在工控系統(tǒng)層間以及域間的邊界隔離。安全隔離設(shè)備的選擇可綜合工控系統(tǒng)的業(yè)務(wù)需求、重要程度、現(xiàn)場(chǎng)環(huán)境、安全需求等多個(gè)因素進(jìn)行考慮，目前用于工控系統(tǒng)網(wǎng)絡(luò)安全隔離的設(shè)備主要有工業(yè)防火墻、工業(yè)網(wǎng)閘、單項(xiàng)隔離設(shè)備等。

目前，國(guó)內(nèi)能提供工控系統(tǒng)安全隔離技術(shù)的主要安全廠商及產(chǎn)品如下表所示：

◆主機(jī)外設(shè)管理

移動(dòng)存儲(chǔ)介質(zhì)、3G/4G無(wú)線網(wǎng)卡等外設(shè)在工控系統(tǒng)主機(jī)上的隨意使用，為計(jì)算機(jī)病毒、木馬、蠕蟲(chóng)等惡意代碼入侵工控網(wǎng)絡(luò)提供了途徑，因此對(duì)工控系統(tǒng)操作員站、工程師站等主機(jī)外接設(shè)備進(jìn)行管控勢(shì)在必行。

目前國(guó)內(nèi)能提供工控系統(tǒng)主機(jī)外設(shè)管理技術(shù)的主要安全廠商及產(chǎn)品如下表所示：

◆身份認(rèn)證

身份認(rèn)證技術(shù)主要用于操作人員登錄工業(yè)主機(jī)、訪問(wèn)應(yīng)用服務(wù)資源及工業(yè)云平臺(tái)時(shí)的身份識(shí)別，確認(rèn)用戶權(quán)限，防止攻擊者假冒合法用戶獲得資源的訪問(wèn)權(quán)限，保證工業(yè)控制系統(tǒng)的安全，以及授權(quán)訪問(wèn)者的合法利益。

目前國(guó)內(nèi)能提供身份認(rèn)證技術(shù)的主要安全廠商及產(chǎn)品如下表所示：

◆遠(yuǎn)程接入安全

遠(yuǎn)程接入技術(shù)主要對(duì)工業(yè)控制系統(tǒng)的遠(yuǎn)程維護(hù)、遠(yuǎn)程訪問(wèn)等業(yè)務(wù)操作時(shí)保護(hù)工業(yè)控制系統(tǒng)信息安全，遠(yuǎn)程接入的主要信息安全接入是采用VPN技術(shù)。

目前國(guó)內(nèi)能提供遠(yuǎn)程接入技術(shù)的主要安全廠商及產(chǎn)品如下表所示：

◆集中審計(jì)

集中審計(jì)用于工業(yè)控制系統(tǒng)設(shè)備、應(yīng)用等訪問(wèn)日志的集中收集、分析、存儲(chǔ)、備份，通過(guò)對(duì)日志信息的審計(jì)能及時(shí)發(fā)現(xiàn)對(duì)工業(yè)控制系統(tǒng)的潛在攻擊行為，也可用于對(duì)工控信息安全事件的原因進(jìn)行分析、追蹤定位非授權(quán)訪問(wèn)行為、追責(zé)等事項(xiàng)。

目前國(guó)內(nèi)能提供工控系統(tǒng)集中審計(jì)技術(shù)的主要安全廠商及產(chǎn)品如下表所示：

◆惡意代碼防護(hù)

惡意代碼防護(hù)既是工控信息安全防護(hù)的重點(diǎn)，也是防護(hù)難點(diǎn)，傳統(tǒng)IT的黑名單查殺病毒模式的防病毒方法應(yīng)用在工控系統(tǒng)容易出現(xiàn)誤殺、誤刪工控程序等問(wèn)題，由于工控主機(jī)安裝的程序相對(duì)比較固定，因此基因白名單機(jī)制的惡意代碼防護(hù)軟件比較適用于工控環(huán)境。

目前國(guó)內(nèi)能提供基于白名單的惡意代碼防護(hù)技術(shù)主要安全廠商及產(chǎn)品如下表所示：

◆工業(yè)協(xié)議深度包檢測(cè)

目前廣泛應(yīng)用的工控協(xié)議大多不具備信息安全功能，攻擊者很容易利用這些協(xié)議漏洞對(duì)工控系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊，因此有必要對(duì)工控系統(tǒng)控制單元的通信數(shù)據(jù)進(jìn)行深度分析和過(guò)濾防護(hù)，阻斷不符合協(xié)議標(biāo)準(zhǔn)結(jié)構(gòu)以及不符合業(yè)務(wù)要求的數(shù)據(jù)內(nèi)容。

目前國(guó)內(nèi)能提供工業(yè)協(xié)議深度包檢測(cè)技術(shù)主要安全廠商及產(chǎn)品如下表所示：

◆網(wǎng)絡(luò)安全監(jiān)測(cè)

在工控網(wǎng)絡(luò)中部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備對(duì)網(wǎng)絡(luò)攻擊和異常行為進(jìn)行識(shí)別、報(bào)警、記錄，對(duì)網(wǎng)絡(luò)流量進(jìn)行分析及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)異常行為是工控網(wǎng)絡(luò)安全行之有效的技術(shù)手段，網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)能與網(wǎng)絡(luò)安全防護(hù)技術(shù)形成有效的互補(bǔ)，共同提高工控系統(tǒng)信息安全保障能力。

目前國(guó)內(nèi)能提工控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)的主要安全廠商及產(chǎn)品如下表所示：

◆數(shù)據(jù)備份

對(duì)工控系統(tǒng)關(guān)鍵業(yè)務(wù)數(shù)據(jù)，如工藝參數(shù)、產(chǎn)品配方、系統(tǒng)配置文件、生產(chǎn)數(shù)據(jù)等進(jìn)行定期備份關(guān)系到工控系統(tǒng)發(fā)生系統(tǒng)損壞、數(shù)據(jù)丟失等重大安全事件是能否及時(shí)恢復(fù)生產(chǎn)的關(guān)鍵所在。

目前國(guó)內(nèi)能提工控系統(tǒng)數(shù)據(jù)備份技術(shù)的主要安全廠商及產(chǎn)品如下表所示：

以上小編就《指南》涉及到的工控信息安全技術(shù)防護(hù)技術(shù)的9個(gè)技術(shù)點(diǎn)做了盤(pán)點(diǎn)。工控網(wǎng)絡(luò)安全防護(hù)技術(shù)到底哪家實(shí)力功底硬?小編拋磚引玉，希望為工業(yè)企業(yè)信息安全建設(shè)提供參考，同時(shí)也為產(chǎn)業(yè)健康發(fā)展探路。