中國是全球最大、增長最快、最為復雜的制造業國家，制造業企業轉型需求和工業互聯網平臺供給能力不足是我國發展工業互聯網平臺主要挑戰。軟板小編了解到，近年來，國家也是高度重視工業互聯網的發展，各大制造業企業也開始建立符合自身的智能車間。工業互聯網、機床聯網越來越多的成為互聯網相關人員和企業管理者談論的話題。

先來看看我們在打造職能車間,工業互聯網的時候遇到的問題:

1、 終端無線發射器信號不穩定，或有無線信號盲區的存在；

2、 無線信號管理薄弱，自帶手機隨意連接無線信號導致工業用無線設備資源被搶占；

3、 網絡準入管理松散，病毒乘機而入；

4、 因物理位置上工控網絡與管理網絡交叉重疊存在，為聯網方便，工控網絡與管理網絡之間沒有邊界。

針對上述問題，我們要求我們的工控網絡要遵循以下設計原則：

1、 工業以太網主干網絡基于環網或星型雙鏈路結構構建，主干網中配置具有管理環網功能交換機（以太網管理器）；

2、 現場設備需具備工業以太網接口接入工業以太網。

3、 采用工業級以太網設備構建，包含交換機、路由器、網絡隔離產品等，確保工業以太網在網絡通訊的穩定性、抗干擾能力以及防護等級等方面要求。

4、工控網絡與管理網絡之間必須設置邊界防火墻，邊界防火墻要求：為保證可用性，工控網與管理網絡邊界的防火墻要求雙機部署；

5、 防火墻要求設置DMZ區，可用于部署與MES業務對接相關的服務器。

6、 接入邊界及線路要求：工控網接入IT網絡的邊界可在IT網絡的匯聚或核心上；

7、 接入線路要求：接入線路要求至少千兆線路；

8、 安全策略要求：防火墻策略按需開通，默認關閉；

9、 無線AC可在工業網獨立部署，采用5G頻段無線組網。

工控網安全建設目標：

1、工控網絡安全防護原則：以區域劃分、深度防御為基礎進行防護，主用手段包括防護軟件的部署、防護設備的部署、技術防護及深層防御。

2、注重網絡結構安全的可行性，確保與生產工藝的結合。

3、對工控網絡各個層級間進行邏輯隔離，防止網絡中病毒代碼的傳播，對設備進行保護；

4、對工控系統現場設備層與生產控制層和管理執行層間進行防護，形成縱深防御的安全部署；

5、保障工控網絡能夠對入侵行為進行詳細完整的記錄，為以后的調查取證提供有力保障；

6、保障工控網絡不受偽裝成合法訪問的攻擊行為的安全威脅；

  結合工業控制系統信息安全防護思路，FPC廠發現，可以將典型工業控制系統分為四層，即生產管理層（IT）、監督控制層（傳輸）、現場控制層、現場設備層每一個工業控制系統應單獨劃分在一個區域里。在區域邊界處部署工業防火墻設備，實現IP\端口的訪問控制、應用層協議訪問控制、流量控制等?；蛘卟渴鹁W閘設備，切斷網絡鏈路層鏈接，完成兩個網絡的數據交換。

  在操作站、工程師站部署操作站安全管理系統實現移動存儲介質使用的管理、軟件黑白名單管理、聯網控制、網絡準入控制、安全配置管理等。工控運維審計系統由運維管理服務器和運維審計設備組成，運維人員運維現場設備時先接入運維審計設備，再連接現場設備。運維審計設備可審計運維操作命令、運維工具使用錄像等，亦可進行防病毒、訪問控制等安全防護。

  Wifi入侵檢測與防護設備是放在基于wifi組網的現場設備網絡中，可實現非法AP阻斷，非法外來設備接入生產網絡，基于Wifi的入侵檢測等。電路板廠覺得，在工業以太網匯聚交換機上部署工控異常監測系統及工控網絡流秩序分析診斷系統。檢測工業控制系統內部入侵行為，異常操作行為，發現異常流量和異常訪問關系等。

  部署工控漏洞掃描系統，在系統檢修、停機或新系統上線時進行漏洞掃描，對漏洞進行修補。部署安全配置基線核查系統，在系統檢修、停機或新系統上線時進行配置基線檢查，重點關注操作站、工程師站、服務器等開放的服務，賬號密碼策略、協議的安全配置等問題，對風險進行安全加固。