工业4.0进程中的工控系统信息安全

　　找准风险落实防护定位

　　由工业4.0可以看出，工控系统必将与信息化融合。

　　普度大学很早就提出了自动化的经典五层普度模型(如下图所示)，这个模型其实把自动化与信息化已经关联在了一起。

　　普度模型

　　工控系统的信息安全问题，在各层上都面临着来自不同方面的威胁,企业网的管理信息层面临来自互联网的攻击，也有企业内部恶意的攻击通过企业网进入工控网，一直到现场网络;在控制层有系统管理人员非法操作，最严重的要属第三方运维人员的对现场设备的操作;还有远程拨号的攻击，有部分现场还有野外搭线的威胁。

　　国际NIST SP800-82《工业控制系统安全指南》中已经详细描述了各种威胁来源，也从策略程序、平台及网络等方面讲述了可能的风险和脆弱性。

　　当然不同行业面临的威胁和风险重点不同，比如军工行业主要强调工控网和涉密网连接时的信息保密;石化强调DCS系统生产的连续和非异常;电力强调SCADA调度系统的不中断等等。

　　总体上，明晰面临的风险才能进行有针对性的防护。信息安全防护的整体架构性必须要跟工业自动化体系保持一致，方可成为同一体系，因此在GT/T 26335-2010工业企业信息化集成系统规范中提到了工业企业信息化集成总体架构。

　　无论是从普度模型还是工业企业信息化集成架构图中都可以看出，防护必须全方位考虑。例如，早在2005年，电力系统的二次防护方案中就提出了“纵向隔离、横向分区”的概念。

　　虽然工业4.0已经非常明确工业系统将会互联网、物联网化，但距离现在各行业的实际情况还有一段时间，但由于事关生产就无小事，不能轻举妄动。作为信息安全建设方，要深入研究工业网络中使用的协议，以实现对工业网络的异常监测和防护，下表中列出部分通讯协议：