关于工业控制网络的一些设计思路

中国是全球最大、增长最快、最为复杂的制造业国家，制造业企业转型需求和工业互联网平台供给能力不足是我国发展工业互联网平台主要挑战。

近年来，国家也是高度重视工业互联网的发展，各大制造业企业也开始建立符合自身的智能车间。工业互联网、机床联网越来越多的成为互联网相关人员和企业管理者谈论的话题。

先来看看我们在打造职能车间,工业互联网的时候遇到的问题:1、 终端无线发射器信号不稳定，或有无线信号盲区的存在；2、 无线信号管理薄弱，自带手机随意连接无线信号导致工业用无线设备资源被抢占；3、 网络准入管理松散，病毒乘机而入；4、 因物理位置上工控网络与管理网络交叉重叠存在，为联网方便，工控网络与管理网络之间没有边界。

针对上述问题，我们要求我们的工控网络要遵循以下设计原则：1、 工业以太网主干网络基于环网或星型双链路结构构建，主干网中配置具有管理环网功能交换机（以太网管理器）；2、 现场设备需具备工业以太网接口接入工业以太网。3、 采用工业级以太网设备构建，包含交换机、路由器、网络隔离产品等，确保工业以太网在网络通讯的稳定性、抗干扰能力以及防护等级等方面要求。

4、 工控网络与管理网络之间必须设置边界防火墙，边界防火墙要求：为保证可用性，工控网与管理网络边界的防火墙要求双机部署；5、 防火墙要求设置DMZ区，可用于部署与MES业务对接相关的服务器。6、 接入边界及线路要求：工控网接入IT网络的边界可在IT网络的汇聚或核心上；7、 接入线路要求：接入线路要求至少千兆线路；8、 安全策略要求：防火墙策略按需开通，默认关闭；9、 无线AC可在工业网独立部署，采用5G频段无线组网。

工控网安全建设目标：1、工控网络安全防护原则：以区域划分、深度防御为基础进行防护，主用手段包括防护软件的部署、防护设备的部署、技术防护及深层防御。2、注重网络结构安全的可行性，确保与生产工艺的结合。3、对工控网络各个层级间进行逻辑隔离，防止网络中病毒代码的传播，对设备进行保护；4、对工控系统现场设备层与生产控制层和管理执行层间进行防护，形成纵深防御的安全部署；5、保障工控网络能够对入侵行为进行详细完整的记录，为以后的调查取证提供有力保障；6、保障工控网络不受伪装成合法访问的攻击行为的安全威胁。

结合工业控制系统信息安全防护思路，将典型工业控制系统分为四层，即生产管理层（IT）、监督控制层（传输）、现场控制层、现场设备层每一个工业控制系统应单独划分在一个区域里。在区域边界处部署工业防火墙设备，实现IP端口的访问控制、应用层协议访问控制、流量控制等。或者部署网闸设备，切断网络链路层链接，完成两个网络的数据交换。

在操作站、工程师站部署操作站安全管理系统实现移动存储介质使用的管理、软件黑白名单管理、联网控制、网络准入控制、安全配置管理等。工控运维审计系统由运维管理服务器和运维审计设备组成，运维人员运维现场设备时先接入运维审计设备，再连接现场设备。运维审计设备可审计运维操作命令、运维工具使用录像等，亦可进行防病毒、访问控制等安全防护。

Wifi入侵检测与防护设备是放在基于wifi组网的现场设备网络中，可实现非法AP阻断，非法外来设备接入生产网络，基于Wifi的入侵检测等。在工业以太网汇聚交换机上部署工控异常监测系统及工控网络流秩序分析诊断系统。检测工业控制系统内部入侵行为，异常操作行为，发现异常流量和异常访问关系等。

部署工控漏洞扫描系统，在系统检修、停机或新系统上线时进行漏洞扫描，对漏洞进行修补。部署安全配置基线核查系统，在系统检修、停机或新系统上线时进行配置基线检查，重点关注操作站、工程师站、服务器等开放的服务，账号密码策略、协议的安全配置等问题，对风险进行安全加固。