IT與OT的融合、工業互聯網、大數據與云計算......，工業領域 這些明顯的推動趨勢中，都指向一個更加互聯互通的透明工廠目 標——這既給工業企業賦予了數字化轉型的機遇，又帶來了一些挑戰，其中工業網絡的安全性便是重要內容之一。

事實上，從近年來全球頻發的工業網絡安全事件可以發現，針 對工業企業/工廠的攻擊目標、攻擊策略和攻擊破壞性正在變得嚴 峻，而且所使用的攻擊手段和工具變得更加有威脅。這種變化的威 脅情況，迫使工業企業需要從根本上重新思考整個工業網絡防御理 念和更完整的安全保護措施，最大程度地降低安全風險。

2019 年 12 月，由中國國家市場監督管理總局、中國國家標 準化管理委員會發布的國家標準《信息安全技術—網絡安全等級保 護基本要求》(GB/T 22239-2019)開始正式執行，標志著等級保護進入了 2.0 時代，新的等級保護基本要求中新增了關于工業控 制系統的擴展要求，對工業控制系統的網絡安全工作提出了更為具

體細致的要求。 那么，對于工業網絡技術而言，什么樣的防御體系值得提倡?而目前可以重點考慮哪些方面的網絡安全措施? 網絡安全專家紅獅控制有如下建議。

(1)劃分安全域

分層安全防御體系首先將系統按照不同的權重劃分為 不同的安全域，每個安全域被賦予不同的安全級別，在安 全域的邊界部署工業防火墻。這一過程中，常常通過劃分 非軍事區(DMZ)的方式，在不降低自動化網絡層安全 性的同時，允許外部其他網絡訪問服務器中的數據，實現 數字化運營。

(2)網絡分段保護

通過將工廠網絡劃分成獨立的子網絡，并通過一個安 全設備來保護，每個子網的設備可以防止來自外部未經 授權的訪問且不影響實時性能或者其它功能，各個子網 絡之間的數據傳輸通過安全設備的 VPN 進行加密處理， 既滿足了子網絡內部的實時通訊，又實現了各網段之間的 安全通信。

(3)實施安全措施

分層安全防御還要實施一系列連續但獨立的網絡安全 保護措施，如VPN、狀態防火墻、端口安全、密碼保護設 置、利用虛擬局域網實現雙重隔離、使用警報進行實時監 控等，通過層層加固的方式讓網絡攻擊者耗費巨大的精力 和時間，從而降低各個環節的風險，保護工業網絡的相對安全性和不易攻擊性。

業內知名的工業網絡技術專家——紅獅控制在其核 心的工業以太網交換機解決方案中，按照分層安全的防御 理念，通過一系列關鍵網絡安全技術，為全面保護工業網 絡提供了支撐，例如:

01.VPN——通過虛擬專用網絡(VPN)加密傳輸 功能，保證網絡傳輸數據信息的機密性、完整 性與可用性。紅獅路由器在默認情況下是安全的，發貨 時每個設備都具有唯一的密碼標識，并支持2,048位加密 方式(相比之下銀行通常僅使用128位加密方式進行網絡交易)。

02.狀態防火墻——利用工業防火墻啟用安全遠程訪問，從而對安全域邊界進行監視， 根據狀 態、端口或協議實現數據通信的流通和屏蔽，可以監視接 口開放前的所有活動，直至其最終關閉。

03.端口安全——通過端口安全實現基于MAC地址對網絡接入進行安全控制，通過檢測從端口發 出的數據幀中的目的MAC地址來控制對非授權設備的訪 問，既方便用戶的管理又提高了系統的安全性。

當然，紅獅控制的工業網絡產品還提供密碼保護設 置、雙重隔離、警報監控等更全面的網絡安全保護措 施。而為了進一步加強安全的遠程網絡解決方案，2022 年4月紅獅控制公司進一步宣布收購MB connect line GmbH，大幅擴展了紅獅控制的產品組合。

作為安全遠程訪問、工業物聯網和工業安全服務領域 的領軍企業，MB connect line高度安全的硬件和軟件解 決方案廣泛應用于遠程訪問、數據收集和M2M通信，為 客戶提供遠程監測和遠程配置的遠程服務門戶 (Remote Service Portal) 加入，有利于紅獅控制更好地為客戶提供 安全、易用的邊緣連接解決方案，助力實現數據的實時可 見性并提高生產力。

從技術、產品到解決方案，紅獅控制始終將安全放在 第一位，始終致力于為工業客戶打造更全面、更先進的工 業網絡安全體系，為IT與OT的融合鋪平道路，最終實現 數字化轉型目標。