制造業(yè)細(xì)分行業(yè)眾多、企業(yè)數(shù)量龐大，各個(gè)公司的管理水平及技術(shù)實(shí)力差別也大相徑庭，安全防護(hù)難點(diǎn)和盲點(diǎn)均位列各個(gè)領(lǐng)域前茅。從2012年全球各個(gè)行業(yè)成為網(wǎng)絡(luò)安全目標(biāo)的份額來(lái)看，制造業(yè)占比為24%，位居各行業(yè)之首，成為安全威脅的“新寵”。

工業(yè)控制系統(tǒng)的使用范圍不僅僅限于制造業(yè)，在礦產(chǎn)、公用事業(yè)、航空航天行業(yè)中的使用也相當(dāng)廣泛。據(jù)不完全統(tǒng)計(jì)，超過(guò)80%涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)，工業(yè)控制系統(tǒng)已是國(guó)家安全戰(zhàn)略的重要組成部分。

隨著企業(yè)內(nèi)外網(wǎng)對(duì)接、信息系統(tǒng)與客戶及供應(yīng)商的聯(lián)結(jié)、設(shè)備自動(dòng)化的水平上升，企業(yè)的信息網(wǎng)絡(luò)變得更加的開(kāi)放與智能化。以智能精密機(jī)床為例，其系統(tǒng)的通訊方面已經(jīng)配備了微機(jī)上才具備的USB接口與網(wǎng)線接口，未來(lái)的生產(chǎn)指令與調(diào)度程序?qū)⒔y(tǒng)一通過(guò)中央控制系統(tǒng)的方式加以推送，生產(chǎn)任務(wù)的建立、更換、取消也將更加智能。然而開(kāi)放與智能帶來(lái)的副作用就是安全威脅。有別于傳統(tǒng)的安全威脅，如果工業(yè)控制成為了攻擊的目標(biāo)導(dǎo)致系統(tǒng)無(wú)法正常工作或損壞，那么將不僅僅限于虛擬化的信息層面，而直接影響人員的生命安全。事實(shí)上，國(guó)外此類事件的發(fā)生已經(jīng)造成了嚴(yán)重的后果。

工業(yè)控制系統(tǒng)需要進(jìn)行橫向分層、縱向分域、區(qū)域分等級(jí)進(jìn)行安全防護(hù)。橫向分層用來(lái)區(qū)分管理信息系統(tǒng)，每層系統(tǒng)有不同的信息系統(tǒng)管理需求，縱向分域用來(lái)分離各個(gè)不同的生產(chǎn)執(zhí)行業(yè)務(wù)線，而區(qū)域分等級(jí)將根據(jù)資產(chǎn)與生產(chǎn)過(guò)程的核心等級(jí)逐級(jí)建立層層嚴(yán)格防護(hù)屏障，一旦產(chǎn)生了安全威脅能夠?qū)⑼{控制在最小層面，防止其向其它層面擴(kuò)散，最大程度上保證整體工業(yè)生產(chǎn)系統(tǒng)的安全與穩(wěn)定。

通常橫向分層分為計(jì)劃管理層、制造執(zhí)行層、工業(yè)控制層。計(jì)劃管理層一般包括了以ERP為核心的管理信息系統(tǒng)。制造執(zhí)行層處于工業(yè)控制層與計(jì)劃管理層之間，主要負(fù)責(zé)生產(chǎn)管理和調(diào)度執(zhí)行，通過(guò)制造執(zhí)行層管理者可以及時(shí)掌握和了解生產(chǎn)工藝各流程的運(yùn)行狀況和工藝參數(shù)的變化，實(shí)現(xiàn)對(duì)工藝的過(guò)程監(jiān)視與控制。工業(yè)控制層是直接面向生產(chǎn)的終端層，由自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成，完成具體的加工作業(yè)、檢測(cè)和操控作業(yè)、作業(yè)管理等功能。

根據(jù)業(yè)界專業(yè)觀點(diǎn)，工控系統(tǒng)的三層橫向分層中需要對(duì)層與層之間的數(shù)據(jù)交換和信息處理進(jìn)行防護(hù)，催生了工控系統(tǒng)的兩層防護(hù)體系。首先是計(jì)劃管理層與制造執(zhí)行層之間進(jìn)行的防護(hù)，避免這兩層系統(tǒng)通訊交換帶來(lái)的威脅，具體表現(xiàn)形式為避免非授權(quán)訪問(wèn)和濫用、對(duì)操作失誤篡改數(shù)據(jù)及抵賴行為的可控制、可追溯性、避免終端違規(guī)操作、及時(shí)發(fā)現(xiàn)非法入侵行為、過(guò)濾惡意代碼。其次是制造執(zhí)行層與工業(yè)控制層之間的安全防護(hù)，通過(guò)部署工業(yè)安全防火墻的方式能夠避免從計(jì)劃管理層未經(jīng)授權(quán)的指令或者有害代碼，完成區(qū)域隔離、通信管控、實(shí)時(shí)報(bào)警等重要功能。

相對(duì)于其他行業(yè)信息安全防護(hù)，工控安全防護(hù)在實(shí)時(shí)性、可靠性及安全性方面的需求等級(jí)更高，要求也更加嚴(yán)格。一旦發(fā)生了安全威脅，需要在最短的時(shí)間內(nèi)進(jìn)行發(fā)現(xiàn)、矯正或者停止作業(yè)，防止危害進(jìn)一步向其他系統(tǒng)或者層級(jí)滲透，同時(shí)能夠第一時(shí)間發(fā)出警報(bào)供安全管理人員和生產(chǎn)執(zhí)行人員知曉，及時(shí)采取行動(dòng)應(yīng)對(duì)特殊事件?；诠た匕踩奶攸c(diǎn)，需要通過(guò)四類產(chǎn)品對(duì)此領(lǐng)域安全進(jìn)行全面防護(hù)：網(wǎng)關(guān)類安全產(chǎn)品、異常檢測(cè)類產(chǎn)品、安全管理類產(chǎn)品、日志審批類產(chǎn)，而這四類產(chǎn)品均需對(duì)于工業(yè)安全進(jìn)行針對(duì)性的調(diào)整和優(yōu)化才能保證整體的安全。

工控安全在設(shè)計(jì)及應(yīng)用方面具有其特殊性，例如工業(yè)管理系統(tǒng)中通常不會(huì)采用TCP/IP或者IPX這樣的常用協(xié)議，而采用系統(tǒng)間或者生產(chǎn)廠商自建的專門協(xié)議，這類協(xié)議的建立一方面是生產(chǎn)廠商對(duì)于自身商業(yè)利益產(chǎn)品閉環(huán)的考慮，另一方面是出于對(duì)安全的考慮。在傳統(tǒng)協(xié)議上傳播的安全威脅難以對(duì)專用協(xié)議產(chǎn)生影響，但隨著威脅程度不斷加劇，攻擊水平不斷提高，而專用協(xié)議由于沒(méi)有被公開(kāi)環(huán)境所熟識(shí)并加以監(jiān)督完善而存在更多安全隱患，對(duì)于安全廠商的發(fā)現(xiàn)和控制難度進(jìn)一步加劇。因此，網(wǎng)絡(luò)監(jiān)控除了在傳統(tǒng)協(xié)議層面上推行，各種各樣的專用協(xié)議也需要納入分析管控的范圍，并對(duì)其中的數(shù)據(jù)進(jìn)行深入精確的判別。

同時(shí)由于工業(yè)控制將極有可能出現(xiàn)在極端情況下，溫度、濕度的適應(yīng)能力、電磁防護(hù)能力等在普通環(huán)境下極少檢測(cè)的指標(biāo)，在這一領(lǐng)域卻會(huì)顯得異常重要。這些要求對(duì)廠商的技術(shù)實(shí)力提出了新的挑戰(zhàn)，也成為未來(lái)產(chǎn)品發(fā)展的方向所在。