中國是全球最大、增長最快、最為復雜的制造業(yè)國家，制造業(yè)企業(yè)轉型需求和工業(yè)互聯(lián)網平臺供給能力不足是我國發(fā)展工業(yè)互聯(lián)網平臺主要挑戰(zhàn)。軟板小編了解到，近年來，國家也是高度重視工業(yè)互聯(lián)網的發(fā)展，各大制造業(yè)企業(yè)也開始建立符合自身的智能車間。工業(yè)互聯(lián)網、機床聯(lián)網越來越多的成為互聯(lián)網相關人員和企業(yè)管理者談論的話題。

先來看看我們在打造職能車間,工業(yè)互聯(lián)網的時候遇到的問題:

1、 終端無線發(fā)射器信號不穩(wěn)定，或有無線信號盲區(qū)的存在；

2、 無線信號管理薄弱，自帶手機隨意連接無線信號導致工業(yè)用無線設備資源被搶占；

3、 網絡準入管理松散，病毒乘機而入；

4、 因物理位置上工控網絡與管理網絡交叉重疊存在，為聯(lián)網方便，工控網絡與管理網絡之間沒有邊界。

針對上述問題，我們要求我們的工控網絡要遵循以下設計原則：

1、 工業(yè)以太網主干網絡基于環(huán)網或星型雙鏈路結構構建，主干網中配置具有管理環(huán)網功能交換機（以太網管理器）；

2、 現(xiàn)場設備需具備工業(yè)以太網接口接入工業(yè)以太網。

3、 采用工業(yè)級以太網設備構建，包含交換機、路由器、網絡隔離產品等，確保工業(yè)以太網在網絡通訊的穩(wěn)定性、抗干擾能力以及防護等級等方面要求。

4、工控網絡與管理網絡之間必須設置邊界防火墻，邊界防火墻要求：為保證可用性，工控網與管理網絡邊界的防火墻要求雙機部署；

5、 防火墻要求設置DMZ區(qū)，可用于部署與MES業(yè)務對接相關的服務器。

6、 接入邊界及線路要求：工控網接入IT網絡的邊界可在IT網絡的匯聚或核心上；

7、 接入線路要求：接入線路要求至少千兆線路；

8、 安全策略要求：防火墻策略按需開通，默認關閉；

9、 無線AC可在工業(yè)網獨立部署，采用5G頻段無線組網。

工控網安全建設目標：

1、工控網絡安全防護原則：以區(qū)域劃分、深度防御為基礎進行防護，主用手段包括防護軟件的部署、防護設備的部署、技術防護及深層防御。

2、注重網絡結構安全的可行性，確保與生產工藝的結合。

3、對工控網絡各個層級間進行邏輯隔離，防止網絡中病毒代碼的傳播，對設備進行保護；

4、對工控系統(tǒng)現(xiàn)場設備層與生產控制層和管理執(zhí)行層間進行防護，形成縱深防御的安全部署；

5、保障工控網絡能夠對入侵行為進行詳細完整的記錄，為以后的調查取證提供有力保障；

6、保障工控網絡不受偽裝成合法訪問的攻擊行為的安全威脅；

  結合工業(yè)控制系統(tǒng)信息安全防護思路，FPC廠發(fā)現(xiàn)，可以將典型工業(yè)控制系統(tǒng)分為四層，即生產管理層（IT）、監(jiān)督控制層（傳輸）、現(xiàn)場控制層、現(xiàn)場設備層每一個工業(yè)控制系統(tǒng)應單獨劃分在一個區(qū)域里。在區(qū)域邊界處部署工業(yè)防火墻設備，實現(xiàn)IP\端口的訪問控制、應用層協(xié)議訪問控制、流量控制等?；蛘卟渴鹁W閘設備，切斷網絡鏈路層鏈接，完成兩個網絡的數(shù)據(jù)交換。

  在操作站、工程師站部署操作站安全管理系統(tǒng)實現(xiàn)移動存儲介質使用的管理、軟件黑白名單管理、聯(lián)網控制、網絡準入控制、安全配置管理等。工控運維審計系統(tǒng)由運維管理服務器和運維審計設備組成，運維人員運維現(xiàn)場設備時先接入運維審計設備，再連接現(xiàn)場設備。運維審計設備可審計運維操作命令、運維工具使用錄像等，亦可進行防病毒、訪問控制等安全防護。

  Wifi入侵檢測與防護設備是放在基于wifi組網的現(xiàn)場設備網絡中，可實現(xiàn)非法AP阻斷，非法外來設備接入生產網絡，基于Wifi的入侵檢測等。電路板廠覺得，在工業(yè)以太網匯聚交換機上部署工控異常監(jiān)測系統(tǒng)及工控網絡流秩序分析診斷系統(tǒng)。檢測工業(yè)控制系統(tǒng)內部入侵行為，異常操作行為，發(fā)現(xiàn)異常流量和異常訪問關系等。

  部署工控漏洞掃描系統(tǒng)，在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行漏洞掃描，對漏洞進行修補。部署安全配置基線核查系統(tǒng)，在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行配置基線檢查，重點關注操作站、工程師站、服務器等開放的服務，賬號密碼策略、協(xié)議的安全配置等問題，對風險進行安全加固。