調(diào)查數(shù)據(jù)顯示，2017年，有54%的企業(yè)至少遭遇一起網(wǎng)絡(luò)攻擊事件、74%的認為所在的工業(yè)控制系統(tǒng)極可能遭遇網(wǎng)絡(luò)攻擊、55%的企業(yè)承認，合作伙伴或服務(wù)提供商擁有訪問企業(yè)工業(yè)控制網(wǎng)絡(luò)的權(quán)限。調(diào)查還顯示，制造企業(yè)平均每年花費的無效網(wǎng)絡(luò)安全費用高達約338萬元。針對當(dāng)前制造企業(yè)面臨的安全現(xiàn)狀，卡巴實驗室關(guān)鍵基礎(chǔ)設(shè)施保護負責(zé)人安德烈蘇沃洛夫表示，IT和OT系統(tǒng)日益互連增加了新的安全挑戰(zhàn)，企業(yè)需要充分了解威脅格局、考慮周全的保護措施以及提高員工的意識，做足準(zhǔn)備應(yīng)對ICS環(huán)境中的網(wǎng)絡(luò)威脅，善于利用滿足ICS需求的定制安全解決方案，緩解安全事件才會更加容易。

e-works認為，針對當(dāng)前制造企業(yè)工業(yè)控制系統(tǒng)面臨的安全挑戰(zhàn)，企業(yè)首先需要走出技術(shù)誤區(qū)，然后針對性的選擇安全解決方案，從不同的層面杜絕可能存在的安全隱患，為工業(yè)控制系統(tǒng)的安全構(gòu)建堅實的防護體系。

第一，構(gòu)建網(wǎng)絡(luò)邊界防護，實現(xiàn)邏輯隔離。當(dāng)前，很多人認為只要實現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)絡(luò)的物理隔離就可以杜絕工控控制系統(tǒng)安全風(fēng)險。但是隨著智能工廠的推進，實現(xiàn)辦公網(wǎng)絡(luò)和工廠網(wǎng)絡(luò)的物理隔離已經(jīng)變得不太可能。一方面，智能工廠的基礎(chǔ)設(shè)施不僅包括生產(chǎn)控制系統(tǒng)，還必須包括上層的管理系統(tǒng)，這是工業(yè)控制系統(tǒng)的基本架構(gòu)。其次，隨著無線技術(shù)和移動終端融入到工業(yè)生產(chǎn)，傳統(tǒng)的物理隔離也不可避免的被打破。

面對這種情況，企業(yè)需要做的是構(gòu)建網(wǎng)絡(luò)邊界防護，實現(xiàn)辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)的邏輯隔離。主要采取的方式是在企業(yè)辦公網(wǎng)和工業(yè)控制網(wǎng)絡(luò)之間的關(guān)鍵節(jié)點構(gòu)建工業(yè)防火墻，通過工業(yè)防火墻內(nèi)置的工業(yè)通訊協(xié)議白名單技術(shù)進行有選擇的協(xié)議隔離，然后配合數(shù)據(jù)包深度檢查技術(shù)，為網(wǎng)絡(luò)數(shù)據(jù)交換進行深層次的檢測。

第二，構(gòu)建工業(yè)級和通用級結(jié)合的綜合安全防護體系。隨著IT與OT的融合，工業(yè)控制系統(tǒng)中開始廣泛的使用商用標(biāo)準(zhǔn)件和通用IT技術(shù)，通信網(wǎng)絡(luò)開始采用以太網(wǎng)和TCP/IP協(xié)議。監(jiān)控站和嵌入式設(shè)備、HMI人機交互系統(tǒng)也開始以Windows和Linux為主。這使得黑客只需利用傳統(tǒng)的攻擊手段就可以對企業(yè)的工業(yè)控制系統(tǒng)進行攻擊。

針對核心的工業(yè)控制系統(tǒng)仍然是采用工業(yè)級的安全防護體系，構(gòu)建工業(yè)防火墻和工業(yè)級協(xié)議的數(shù)據(jù)審計和異常監(jiān)測，及時檢測工業(yè)網(wǎng)絡(luò)中出現(xiàn)的工業(yè)攻擊、蠕蟲病毒及非法入侵、設(shè)備異常等情況，并對危及系統(tǒng)網(wǎng)絡(luò)安全的因素做出智能預(yù)警分析，為工業(yè)網(wǎng)絡(luò)信息安全故障的及時排查、分析提供可靠地依據(jù)。針對通用型系統(tǒng)逐步采用以密碼硬件為核心的可信計算技術(shù)，用于實現(xiàn)計算環(huán)境和網(wǎng)絡(luò)環(huán)境安全可信，免疫未知惡意代碼破壞，應(yīng)對高級別的惡意攻擊。

第三，基于可信計算構(gòu)建移動存儲介質(zhì)的管控體系。移動存儲介質(zhì)是工業(yè)控制系統(tǒng)安全的重要防護部分。由“震網(wǎng)”病毒引發(fā)的伊朗核設(shè)施離心停機事件就是通過移動介質(zhì)做擺渡而實現(xiàn)對系統(tǒng)的攻擊。利用可信計算機技術(shù)構(gòu)建移動存儲介質(zhì)管控系統(tǒng)，其主要功能包括：主機對移動存儲機制的身份認證、準(zhǔn)入控制、下載更新等。首先，由可信服務(wù)器為主機及移動存儲設(shè)備頒發(fā)準(zhǔn)入證書，然后可信服務(wù)器將統(tǒng)一產(chǎn)生并發(fā)布主機對移動存儲介質(zhì)的準(zhǔn)入策略，形成主機能插入的介質(zhì)列表，最后主機準(zhǔn)入控制將基于兩個方面的策略實施，一方面移動存儲介質(zhì)的身份位于主機準(zhǔn)入策略列表中，另一方面，主機身份必須位于移動存儲介質(zhì)準(zhǔn)入策略列表中。此外，移動設(shè)備接入和使用行為也將被嚴格審計和記錄。