随着全球工业数字化进程的加快以及物联网应用的深入，企业IT网络和工业控制系统的融合越来越紧密，可以说，传统的IT安全风险已越来越多威胁着封闭的工控环境。

       在曙光网络科技有限公司副总工程师李彦宾看来，“随着工业数字化转型的推进，传统工业界的资产正逐渐变成数字化资产，这些资产越来越多暴露在整个公网领域。从这个意义上说，工业数字化转型放大了工业控制系统遭受网络攻击的风险，工控安全建设不容忽视。”
       2024年工博会上，曙光网络重磅首发了全自研的工业物联网融合平台，以软件定义工控安全，全面解决传统安全方案中分支边缘端点脆弱、数字资产分散安全隐患、系统运维管理难题、防御边界扩展不足等诸多痛点。

01 工控安全防护刻不容缓

       近年来，我国明确提出了“坚持把发展经济着力点放在实体经济上，坚定不移的建设制造强国”。随着脱虚向实的政策导向明显，数字化转型已成为国内制造业企业高质发展的必由之路。

       在这一背景下，工业企业呈现出网络架构分布、分散、暴露面大等特点：一方面，国内工业企业往往分布在大型园区，诸多企业有多个厂区，每个厂区又有多个车间；另一方面，一些企业在全国多地建厂，跨国企业则在全球范围内建厂；此外，随着无人值守新场景的出现，安全暴露面越来越多。

       李彦宾告诉e-works记者，“现阶段，大多数企业受限于投资和紧急程度影响，一般仅完成IT安全防护，比如部署有防火墙、上网行为审计、杀毒软件等，ICS/OT防护几乎未有投入。”

       这导致工业企业面临着层出不穷的安全挑战和威胁，包括新兴勒索病毒、IT/OT安全威胁、暗网威胁、恶意软件、雇佣黑客和现代网络钓鱼等等。某种角度上来看，这些威胁利用了工业企业数字化转型的快速兴起。

       正是认识到工控安全防护刻不容缓，我国正在加大工控安全防护相关策略的制订。2024年1月，工信部印发《工业控制系统网络安全防护指南》适应新型工业化发展形势，提高我国工业控制系统网络安全保障水平，指导工业企业开展工控安全防护工作，以高水平安全护航新型工业化高质量发展。

02 曙光打造工业物联网融合平台

       李彦宾说，“为应对这些安全挑战与威胁，我们认为要有一个融合平台。这个融合平台可以海纳百川，将业内所有做的不错的安全能力集成在一起——包括密码安全、网络安全、数据安全、主机安全、杀毒等等融合在一起，再面向不同的场景，譬如智能制造、水利发电等等，去实现相应的安全防护。曙光通过软件定义工控安全架构，打造的工业物联网融合平台，可实现工控安全应用的按需安装、弹性部署。

       这正是曙光网络打造全自研的工业物联网融合平台的初衷。

       具体来看，融合平台以虚拟化技术为核心基础，通过软件定义工控安全架构，把CPU、内存、硬盘、网络等硬件资源统一起来，并将工控安全流量监测审计、工控入侵检测、工控堡垒机变成各项安全应用，通过一套融合平台，实现工控安全应用的按需安装、弹性部署、高效运维。再结合先进的机密计算技术以及智能化的资源调度与管理机制，工业物联网融合平台可为IT/OT域边界提供全方位、高可靠性、高扩展性的网络安全保障。

03 软件定义工控安全

       如何理解软件定义工控安全？首先需要厘清传统安全方案中的诸多痛点：如防御边界扩展不足、分支边缘端点脆弱、低流量高密度监控难题、数字资产分散安全隐患、高昂的硬件成本、复杂的运维管理、安全加密能力不足以及容错能力有限等问题。

       李彦宾说，“软件定义工控安全架构提供了很好的思路，得益于曙光提供的安全底座，我们自研了物联网融合平台，将安全能力变成一个个APP装在平台之上，快速实现安全能力的融合，实现全面的安全。”
       李彦宾进一步解释称，曙光工业物联网融合平台是一个功能强大且技术先进的系统，其核心就是将统一硬件平台资源上实现工业物联网边缘各种能力，其技术核心在于充分利用虚拟化，为工业物联网环境提供了一站式的解决方案。该平台第一个就应用在工控安全领域，不仅提供了虚拟机可视化管理和虚拟机应用间的可视化网络编排，还通过整合各种工控安全应用，构建了一个完善的工控安全生态。

       从功能亮点上来看：首先，工业物联网融合平台采用了全面自主研发技术。从底层的硬件设备到上层的软件应用，平台均采用了国内自主研发的技术和方案。这种自主化特点不仅确保了平台在国内市场的适用性和可靠性，还促进了国内工业物联网技术的快速发展。全面自主平台能够更好地满足国内工业企业的实际需求，推动工业物联网技术的普及和应用。

       其次，虚拟化技术是工业物联网融合平台的核心基础。通过虚拟化技术，平台将物理资源抽象成逻辑资源，实现了资源的动态管理和灵活调配。这种技术使得企业可以根据业务需求，快速部署和扩展虚拟机，提高了资源的利用率和扩展能力。同时，虚拟机可视化管理和虚拟机应用间的可视化网络编排功能，为管理员提供了直观、便捷的管理工具，使得资源管理更加高效、便捷。

       在安全保障方面，工业物联网融合平台同样表现出色。平台提供了工控堡垒机、工控安管中心、工控安全日志审计、工控防火墙等常见应用解决方案，这些应用为企业的工业物联网环境提供了全方位的安全防护。特别值得一提的是，平台采用了芯片级虚拟机加密技术，为虚拟机提供了更高级别的安全保障，确保虚拟机在运行过程中的数据安全和隐私保护。这种加密技术有效地防止了数据泄露和非法访问，为企业的敏感信息提供了强大的保护。

       李彦宾强调，“工业企业在推进数字化转型的同时，一定要重视工控安全的同步建设。在工业企业高质量发展进程中，用户迫切需要更加完善、安全的工业数智底座，曙光打造的工业物联网融合平台，可以为产业跃升提供坚实有力的支撑。”