工業(yè)自動控制系統(tǒng)是由計算機(jī)設(shè)備與工業(yè)過程控制部件組成的自動控制系統(tǒng)。工業(yè)過程控制部件對實(shí)時數(shù)據(jù)進(jìn)行采集、監(jiān)測，在計算機(jī)調(diào)配下，實(shí)現(xiàn)設(shè)施自動化運(yùn)行和業(yè)務(wù)流程管理與監(jiān)控。隨著制造業(yè)的發(fā)展和當(dāng)前市場劇烈的競爭，工業(yè)控制受到越來越多的關(guān)注，尤其是其安全問題，已是國家安全戰(zhàn)略的重要組成部分。

工業(yè)控制受重視

隨著工業(yè)自動化熱度不斷升溫，中國工業(yè)自動控制系統(tǒng)裝置制造行業(yè)取得了長足的發(fā)展，其發(fā)展產(chǎn)量一直保持在年增長20%以上。

工業(yè)自動控制系統(tǒng)裝置制造，指用于工業(yè)產(chǎn)品制造或加工過程中，連續(xù)自動測量、控制材料或產(chǎn)品的溫度、壓力、粘度等變量的工業(yè)控制用計算機(jī)系統(tǒng)、儀表和裝置的制造。

根據(jù)研究院發(fā)布的《2014-2018年中國工業(yè)自動控制系統(tǒng)裝置制造行業(yè)產(chǎn)銷需求預(yù)測與轉(zhuǎn)型升級分析報告》分析：2010年，中國工業(yè)自動控制系統(tǒng)裝置制造行業(yè)共完成工業(yè)總產(chǎn)值1495.02億元，同比增長45.71%；產(chǎn)品銷售收入1466.93億元，同比增長44.19%；實(shí)現(xiàn)利潤總額138.03億元，同比增長57.41%。國產(chǎn)自動控制系統(tǒng)相繼在火電、化肥、煉油領(lǐng)域取得了突破。

目前，中國的工業(yè)自動化市場主體主要由軟硬件制造商、系統(tǒng)集成商、產(chǎn)品分銷商等組成。中國擁有世界最大的工業(yè)自動控制系統(tǒng)裝置市場，傳統(tǒng)工業(yè)技術(shù)改造、工廠自動化、企業(yè)信息化需要大量的工業(yè)自動化系統(tǒng)，市場前景廣闊。

工業(yè)控制自動化技術(shù)正在向智能化、網(wǎng)絡(luò)化和集成化方向發(fā)展�；�于工業(yè)自動化控制較好的發(fā)展前景，預(yù)計2015年工業(yè)自動控制系統(tǒng)裝置制造行業(yè)市場規(guī)模將超過3500億元。

安全問題引擔(dān)憂

工業(yè)控制系統(tǒng)的使用范圍不僅僅限于制造業(yè)，在礦產(chǎn)、公用事業(yè)、航空航天行業(yè)中的使用也相當(dāng)廣泛。據(jù)不完全統(tǒng)計，超過80%涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動化作業(yè)，工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。

隨著企業(yè)內(nèi)外網(wǎng)對接、信息系統(tǒng)與客戶及供應(yīng)商的聯(lián)結(jié)、設(shè)備自動化的水平上升，企業(yè)的信息網(wǎng)絡(luò)變得更加的開放與智能化。以智能精密機(jī)床為例，其系統(tǒng)的通訊方面已經(jīng)配備了微機(jī)上才具備的USB接口與網(wǎng)線接口，未來的生產(chǎn)指令與調(diào)度程序?qū)⒔y(tǒng)一通過中央控制系統(tǒng)的方式加以推送，生產(chǎn)任務(wù)的建立、更換、取消也將更加智能。

然而開放與智能帶來的副作用就是安全威脅。有別于傳統(tǒng)的安全威脅，如果工業(yè)控制成為了攻擊的目標(biāo)導(dǎo)致系統(tǒng)無法正常工作或損壞，那么將不僅僅限于虛擬化的信息層面，而直接影響人員的生命安全。事實(shí)上，國外此類事件的發(fā)生已經(jīng)造成了嚴(yán)重的后果。

工業(yè)控制系統(tǒng)需要進(jìn)行橫向分層、縱向分域、區(qū)域分等級進(jìn)行安全防護(hù)。橫向分層用來區(qū)分管理信息系統(tǒng)，每層系統(tǒng)有不同的信息系統(tǒng)管理需求，縱向分域用來分離各個不同的生產(chǎn)執(zhí)行業(yè)務(wù)線，而區(qū)域分等級將根據(jù)資產(chǎn)與生產(chǎn)過程的核心等級逐級建立層層嚴(yán)格防護(hù)屏障，一旦產(chǎn)生了安全威脅能夠?qū)⑼�脅控制在最小層面，防止其向其它層面擴(kuò)散，最大程度上保證整體工業(yè)生產(chǎn)系統(tǒng)的安全與穩(wěn)定。

通常橫向分層分為計劃管理層、制造執(zhí)行層、工業(yè)控制層。計劃管理層一般包括了以ERP為核心的管理信息系統(tǒng)。制造執(zhí)行層處于工業(yè)控制層與計劃管理層之間，主要負(fù)責(zé)生產(chǎn)管理和調(diào)度執(zhí)行，通過制造執(zhí)行層管理者可以及時掌握和了解生產(chǎn)工藝各流程的運(yùn)行狀況和工藝參數(shù)的變化，實(shí)現(xiàn)對工藝的過程監(jiān)視與控制。

工業(yè)控制層是直接面向生產(chǎn)的終端層，由自動化控制組件和實(shí)時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成，完成具體的加工作業(yè)、檢測和操控作業(yè)、作業(yè)管理等功能。

根據(jù)業(yè)界專業(yè)觀點(diǎn)，工控系統(tǒng)的三層橫向分層中需要對層與層之間的數(shù)據(jù)交換和信息處理進(jìn)行防護(hù)，催生了工控系統(tǒng)的兩層防護(hù)體系。首先是計劃管理層與制造執(zhí)行層之間進(jìn)行的防護(hù)，避免這兩層系統(tǒng)通訊交換帶來的威脅，具體表現(xiàn)形式為避免非授權(quán)訪問和濫用、對操作失誤篡改數(shù)據(jù)及抵賴行為的可控制、可追溯性、避免終端違規(guī)操作、及時發(fā)現(xiàn)非法入侵行為、過濾惡意代碼。

其次是制造執(zhí)行層與工業(yè)控制層之間的安全防護(hù)，通過部署工業(yè)安全防火墻的方式能夠避免從計劃管理層未經(jīng)授權(quán)的指令或者有害代碼，完成區(qū)域隔離、通信管控、實(shí)時報警等重要功能。

相對于其他行業(yè)信息安全防護(hù)，工控安全防護(hù)在實(shí)時性、可靠性及安全性方面的需求等級更高，要求也更加嚴(yán)格。一旦發(fā)生了安全威脅，需要在最短的時間內(nèi)進(jìn)行發(fā)現(xiàn)、矯正或者停止作業(yè)，防止危害進(jìn)一步向其他系統(tǒng)或者層級滲透，同時能夠第一時間發(fā)出警報供安全管理人員和生產(chǎn)執(zhí)行人員知曉，及時采取行動應(yīng)對特殊事件。

基于工控安全的特點(diǎn)，需要通過四類產(chǎn)品對此領(lǐng)域安全進(jìn)行全面防護(hù)：網(wǎng)關(guān)類安全產(chǎn)品、異常檢測類產(chǎn)品、安全管理類產(chǎn)品、日志審批類產(chǎn)，而這四類產(chǎn)品均需對于工業(yè)安全進(jìn)行針對性的調(diào)整和優(yōu)化才能保證整體的安全。

工控安全在設(shè)計及應(yīng)用方面具有其特殊性，例如工業(yè)管理系統(tǒng)中通常不會采用TCP/IP或者IPX這樣的常用協(xié)議，而采用系統(tǒng)間或者生產(chǎn)廠商自建的專門協(xié)議，這類協(xié)議的建立一方面是生產(chǎn)廠商對于自身商業(yè)利益產(chǎn)品閉環(huán)的考慮，另一方面是出于對安全的考慮。在傳統(tǒng)協(xié)議上傳播的安全威脅難以對專用協(xié)議產(chǎn)生影響，但隨著威脅程度不