隨著工業化與信息化的深度融合，我國進入了工業轉型的快速發展期，智能制造推動著兩化的不斷融合，導致工業控制系統的信息安全問題更加突出。近年來生產事故的頻發，工業生產運行面臨的安全形勢越來越嚴峻，因此，構建工控網絡防護體系意義重大。

眾所周知，我國基礎設施和高端制造企業中存在大量的國外工業設備，這些工業系統在相當長的時間內還會繼續使用；同時，由于技術水平和制造能力的限制，國內高端數控機床、高端發動機、發電控制系統，以及高端PLC器件等工控設備依賴國外發達國家，這些核心元器件和設備的內部機理和通信協議往往不被我們掌握，以及自身存在設計漏洞和被植入后門的問題，造成重要工業資產和裝備制造信息可能被國外非法收集。

  相關資料顯示，目前我國的工控系統存在的以下安全問題：

一、組織與人員

未實安全責任：管理層重視不足，部門間安全職責不清晰，無明確安全部門或崗位。

安全意識薄弱：員工對工控系統的安全意識相對薄弱，特別是生產或一線員工。傳統型企業的“隱匿式安全”（security by obscurity），認為嚴格物理安全和訪問管理即可確保安全，認為未發生安全事件即是安全，這往往使得企業忽略對網絡安全的建設，未能及時補救隱患。

二、管理與監督

“經驗式”管理：工控系統自身缺乏安全設計與考量，是很多企業存在的普遍現象，通過實施適當安全保障措施，可以有效彌補。但很多企業并沒有建立有效的安全策略和措施，僅依靠個人經驗和歷史經驗進行管理。

應急響應機制缺失：缺少應急響應機制，出現突發事件時無法快速組織人力和部署應對措施來控制事件進一步蔓延，并在最短時間內解決問題和恢復生產。

缺少恰當的口令策略：未設置恰當的口令策略和管理，如弱口令，共享口令，多臺主機或設備共用一個口令，以及口令共享給第三方供應商等情形，增加密碼泄露風險。

缺乏安全審計日志：系統出現安全事件后，無法追蹤和分析事件源頭和原因，以避免類似情形的再次發生。

三、網絡與架構

“防君子式”網絡隔離：內部辦公網絡和工廠網絡缺乏有效隔離，未劃分安全域進行防護，導致辦公網絡的攻擊或病毒蔓延至工廠網絡，造成生產影響。

不安全的通訊協議：工業控制協議非標準化，且大多存在安全隱患，例如CAN、DNP3.0、Modbus、IEC60870-5-101。

不安全的遠程訪問：為方便維修工程師和供應商的遠程調試，未對遠程訪問部署安全措施和監控，此類遠程訪問功能可能是攻擊者利用率最高的漏洞之一。

復雜的結構：工控系統的結構相對于IT環境而言更為復雜，攻擊面較多。典型的工控環境一般會有以下組成部件：控制器（PLC、數控車床、DCS）、SCADA系統、工業計算機、工業軟件、HMI、網絡、交換機、路由器、工業數據庫等，其中任意一個環節或者部件出現問題就有可能導致整個工控系統被攻擊。

四、主機與設備

認證與授權：為了日常使用方便，重要控制系統未設置密碼、設置弱密碼或共用密碼，將密碼貼在現場機器上，這些“便利”往往也為攻擊者的入侵提供了極大的便利。

防病毒軟件：未安裝病毒防護軟件，未及時更新病毒庫，非正版軟件等。

操作系統陳舊性：現在的工廠環境中，使用越來越多的計算機系統，然而由于工業控制系統的更新迭代的時間相比于IT系統要長很多，使得工業控制系統中存在大量陳舊的計算機系統，如windows xp、windows 2003等操作系統，存在大量可被攻擊利用的高危漏洞。

默認配置：許多工廠在安裝設備時，使用了默認口令、默認路徑，開啟不必要且不安全的端口和服務等默認配置。

離線設備管理：對于離線設備，往往認為是安全的，忽視網絡安全保護措施。但隨著企業數字化的推進或在業務需要時進行網絡連接時，此類設備可能會成為安全體系的短板和缺口。

五、物理防護

硬件調試接口：重要控制系統的機架未上鎖，或暴露在外的調試接口未有效防護。

物理端口：未對IPC等通用接口進行有效管理或禁用，如USB、PS/2等外部接口，可能存在設備未授權接入風險，導致病毒感染或者程序非法修改。

外部人員訪問：人員進出車間管控不嚴，特別是外部人員，如供應商等。

盡管如上所述工控系統存在很多安全問題，但推進制造業數字化、網絡化、智能化發展進程的腳步不能停止，應重視蘊含的網絡安全風險，做好頂層設計，強化統籌協調，確保工業互聯網安全健康發展。結合現階段我國關鍵基礎設施情況,特別是采用國外工控設備的重要設施的高端制造企業，如何檢測是否已被攻擊、發現現有系統存在安全隱患，是企業首先要解決的心頭之患。

航天大道遵照工信部印發的《加強工業互聯網安全工作的指導意見》，結合我國工業互聯網的現狀和技術水平，面向工業生產運行安全這個現實重大需求，開展可信工控系統基礎技術研究，建設“長征云工業互聯網平臺”，以5G、邊緣計算、工業互聯網等新一代信息化技術，建立從產線的自主控制、設備身份與整體運行狀態可信、生產工藝工況的監測、工控系統網絡安全實時監測與在線處置等服務平臺，通過典型行業、典型企業的示范創新應用，建立“面向工業生產運行安全”的工業互聯網創新服務平臺模板和解決方案，推動在工業企業中應用。

長征云平臺以“極簡、安全、價值”為宗旨，打造工業互聯網平臺與生態，以安全生產為行業應用，構建安全生產平臺社區。深入挖掘安全、自主、可控的軟硬件底層核心能力，在突破“微服務化的PaaS云平臺構建技術”、“數據挖掘多引擎集成”等關鍵技術基礎上，積極開展“安全級自主可控PLC雙核硬解題芯片”、“全國產化高可靠可信PLC控制器研制技術”、“面向安全可信工控系統的輕量級密碼應用技術”、“5G+云邊端一體化安全可信工業互聯網架構技術”、“面向工控互聯的5G+云邊端跨域數據協同安全”等國產自主核心關鍵技術的攻關。

同時，基于長征云平臺成立的DAO安全技術實驗室，將聯合國內安全技術專家，強化工業控制系統安全自主可控技術，立足產品與技術的自主研發，從基礎防護、設備安全、控制系統安全、數據安全等方面，為工業客戶提供安全、可信的工業互聯網控制系統產品和系統解決方案；構建工業互聯網安全測評能力，為客戶提供一站式的評測服務。

未來，長征云平臺將充分發揮DAO安全技術實驗室的研發作用，以科技創新手段使工業互聯網更安全，做到“三跟綜、一搭建”。跟蹤國際工業互聯網先進技術，不斷增加國產自主可控（可信）的軟硬件產品研制能力；跟蹤國際工業互聯網攻擊技術，具備國際先進的工控安全掃描與評估能力； 跟蹤國際工業互聯網防護技術，構建國際先進的工控安全防護體系；搭建工業互聯網安全技術產學研合作平臺，促進特種行業工業互聯網安全技術應用落地，進一步服務保障工業生產運行安全。