一、超八成關鍵基礎設施依靠工業控制系統實現自動化作業

　　8月27日，中央電視臺的《焦點訪談》播出了名為《共筑網絡安全防火墻》的節目。節目中提到，“據國家安全機關工作掌握，上述提到境外針對我國的網絡攻擊事件，其中有相當一部分就是由境外間諜情報機關這樣的專門機構所實施。他們的攻擊目標不僅僅包括我黨政軍等涉密單位的計算機網絡，還包括了我國的許多關鍵信息基礎設施?！笨梢?，保護關鍵信息基礎設施信息安全的緊迫性。

　　據有關數據顯示，我國超八成關鍵基礎設施依靠工業控制系統實現自動化作業。所以，要保護關鍵信息基礎設施的重中之中是保護工控系統的信息安全。

　　二、工控安全面臨五方面的安全形勢

　　中國科學院院士、計算機軟件專家、華東師范大學教授何積豐院士從專業的角度，分析了現在的工控系統面臨著嚴峻的安全形勢，包括五個方面：一是安全問題的矛盾主要集中于軟件，軟件安全性面臨嚴峻形勢;二是工控信息安全標準需求強烈，標準制定工作正全面推進;三是隨著自動化系統IT化，傳統邊界防護難以滿足工業控制環境;四是行業內尚未形成統一氣侯，需要整合自動化與信息安全公司優勢，帶動產業全面發展;五是工控安全防護技術雖然正迅速發展并在局部開始試點，但距離大規模部署和應用有一定差距。

　　三、為什么工業控制系統需要“縱深防御”

　　工業控制系統同IT系統最本質的區別是：從系統特征來看，工業控制系統屬于信息物理融合系統，而IT系統通常屬于信息系統。 工業控制系統，一般分為企業層、管理層、控制層、現場層、設備層。所以，單個安全產品、技術不能足夠保護工業控制系統。此時，一個涉及兩種或多種重疊安全機理的多層策略，技術上稱為縱深防護，是普遍需要的。

　　四、什么是工控領域的縱深防御

　　在信息安全領域，縱深防御指的是管理者將信息資產分層防御，阻止偶然攻擊者試圖得到非授權的訪問。根據不同的安全需求，將系統劃分為不同的安全域。工業控制網絡要實現縱深防御策略，需要整體設計。首先是安全域的設計，根據工控系統分層參考模型(圖1)，工控網絡縱深防御體系結構(圖2)分為：外部域、企業域、數據域、控制域;其次是域內的安全機制的設計;最后是冗余設計，冗余技術在縱深防御策略中也起著重要作用。整體設計之后，工業控制網絡中部署防火墻、入侵檢測等多種安全措施，形成整體防護能力。

　　此外，有效的縱深防護架構策略需要一個對控制系統可能攻擊媒介的全面了解，這些包括：1)、網絡周邊的后門和漏洞;2)、通用協議漏洞;3)、現場設備攻擊;4)、通信黑客和“中間人”攻擊。

　　五、天地和興的縱深防御理念及解決方案

　　基于上述提到的工控安全面臨五方面的實際問題，天地和興結合自動化控制系統自身特點和先進可靠的信息安全技術提出縱深防御理念，在網絡邊界、主機邊界以及工控系統內部逐層布防，形成多層安全部署結構。

　　首先對已知威脅(已知惡意行為、已知惡意代碼)和可信對象進行過濾，大幅縮小APT攻擊隱蔽空間;然后，針對捕獲的風險載荷與可疑文件，進行深度靜態向量判斷與動態相結合的綜合智能分析，從中發現未知威脅并進行處置;新發現的未知威脅相關信息可以作為威脅信標輸出，達到全體系共享，提高整體反APT效率。針對用戶網絡中的不同安全等級需求的資產，方案可以采取不同防護級別的保護措施，深度保護核心資產信息。

　　天地和興的解決方案不僅包括了工控網絡安全審計平臺、工控威脅檢測平臺、工控防火墻平臺、主機防護系統、入侵檢測等幾大類工控安全平臺，而且為客戶提供從安全風險評估、等級保護評測等服務挖掘系統漏洞與隱患、中期針對安全問題定制化設計解決方案與實施方案并實施到后期提供系統運維、信息安全培訓、應急響應等安全服務，形成工控系統全生命周期的信息安全解決方案。