《工业控制系统信息安全整体解决方案》

首先，也是说两句感谢的话，感谢赛可达实验室和工业机械一综所的李总提供了这么好的平台。虽然我觉得这次人不多，但毕竟也是一个声音，至少在我们整个大的信息安全的背景下来讲，是一个声音。也感谢我们的程总主持人。

我给大家从工业系统信息安全整体解决方案的领域，给大家做一个相对来讲比较触底的，但这里可能有一些很多的牵扯到工控的专业的名词，有时候不太好懂，尤其是对其他领域对工控不是特别了解的。

整体上刚才说到信息安全的确是一个非常大的话题，刚才程总说到春天就要来了，我们习总也是任小组的组长，整个参加了几次大会，我们国家的院士也都是说把我们的信息安全提高到第五空间的领域，以前是海陆空加上一些别的空间，现在出现了信息安全的空间，的确是另一个国土疆土保卫的概念。这个领域的安全问题越来越受到重视，但整体上来讲，在整个对于青岛多芬诺或者青岛海天炜业在整个信息安全领域，我们的确是一个新兵，来到这里也是向大家学习。但在工控领域，我们的确是一个老兵，包括在工业控制系统的信息安全领域，我们也是国内最早从事这个行业的企业之一。刚才讲为什么叫做海天炜业之前有一个公司叫做海天炜业自动化，我们是全面做工控系统的运维集成的公司，面向石油石化做DCS、PIC，DCS是集散控制系统，分散型的，大家可能看到的比较直观的就是很多我们叫做航空航天那种大的控制室，它那是比较偏重于遥测，当然也有控制，但相对来讲控制的实施性来讲，它不像化工或者是其他相关的行业控制来讲要求的，在回路的要求来讲比较快，或者是我们做DCS在回路控制要求比较苛刻，尤其是大型的模拟量一般大的控制室也是几百面的机柜，就像我们大机房一样，几百柜控制器，一般来讲做成冗余的，操作站也是上百个，大的一体化炼油和大的化工厂都是这样的规模。

在这个领域，我们有了十几年的积累。在2009年的时候我们遇到了用户来自它的信息安全问题的一个反映，因为我们做运维的时候用户出现了这方面的问题，我们作为服务商参与到这些问题的解决跟整个的调研当中，最后发现的确是工控系统内部出现了信息安全的问题，那时候我们就找解决方案、找思路、找方法，一步步也是从最初引进国外的一些技术或者产品，目前来讲我们也是推出了自己的一些产品和解决方案，在整个业界也是跟我们很多行业公司一起引领整个工控信息安全的发展。所以，为了更好的发展信息安全业务，我们就在2009年成立了多芬诺信息安全技术有限公司，专业做工控信息安全的一些相关的产品或者服务。

今天报告的内容分为四部分。

第一，信息安全现状。

这个问题可能来自我们底层的用户，因为我今天谈到的更多是只关注的是下层，我们待会儿可以看到一个网络，刚才李总也讲了，我们是工控里面相对一个工厂是分层的，不同的层级，一直到底层的控制层。我今天更多的关注底层的控制层的解决方案。这是来自于控制层我们现场的一些具体的操作或者是车间他们的一些困惑，包括了整个控制网内，包括U盘、来自管理网的病毒扩散，我们讲两化融合起来就是网络互通了，包括我们的工业控制系统也是现在不断的进行数字化，或者说是开放性，我们的平台可能都是用的工业以太网，原来传统的每家各自都有自己的特点，但现在慢慢大家都统一成了工业以太网，这和我们传统的商用网络就非常的接近，它的里面的一些数据的交互模式都非常接近，包括现在通用PC机的一些使用，我们的操作站以前也是专用的，但是这几年应该从2000年以后越来越多的厂家都是用的Windows的一个平台，只是在这个平台上的应用不一样，针对每家工控系统的应用都不一样。包括工控网络现在越来越大，刚才我讲了一个一千万吨的炼油，这个大网络有多大，操作站是有两三百台左右，底层的控制器150多对，大型的联合装置，这些基本上讲的是核心装置，中间的水处理、气可能还没有参与到这里面。核心装置就有这么大，所以，它的网络也是非常的庞大。这几年越来越多的信息安全问题出现在我们的工业控制网络，随后出现了一些事件，这些事件作为我们不管是工控人，或者是作为我们传统信息安全的人都知道这些事件，Stuxnex、Duqu、Flame、Havex、Drangonfly，这些都是专门针对工业控制系统研发的，或者说很有针对性，在这个领域通过这些问题反映出我们工业控制信息安全面临了非常大的挑战。

这里的一个挑战解释一下安全问题，也是我昨天在一综所在银川举行的一次会议上，来自德国的一位专家也是讨论了安全的问题。传统的工控系统里就讲信息安全，讲究保密性，最早安全问题是密码学的一些东西，后来涉及到一些文档，不管是网络安全，其实它都是类似于叫做security信息安全的范围，但在工控里面扩展到了security的概念，这两边的确是我们在做工控信息安全的时候，现在来讲这两块是在一起的，它要综合考虑的，而且我们也感觉到工控信息安全的问题，的确能够导致我们Security功能安全问题的一些发生，比如车撞了，罐爆炸了，你家里使用的燃气、汽车、电梯都和我们的生活密切相关，工控信息安全问题直接导致了人受伤害或者是环境受伤害，这也是我国不管是工信部还是其他的很多的单位都非常重视这个问题的一个原因，因为它会导致一个Security的发生。这是我们和传统信息安全问题相对来讲区别比较大的地方，因为传统的不管是丢了信息还是少了钱，这个被窃或者那个被盗相对来讲没有直接涉及到security的问题。

这是我们讲整个工厂的整个网络的典型的架构，我们讲的是分层，一般是底层是控制网（Control），这个有时候我们叫做Mis网或者生产管理网（Mis-Configured），上层我们叫做信息管理网。上层层面和中间这个层面，其实我们传统的信息安全的东西在里面已经有应用，在这两个层面的时候，传统不管是防火墙还是杀毒软件都有涉及到，我们在工厂的整个架构中。但现在我们更多关注底层，底层有一些控制器，各种类似的控制器，下面我没有画就是一些仪表，我们叫做传感器，温度、流量等等，输入输出和我们的计算机键盘输入，屏幕输出，通过以太网的一些信息的输出，在工业系统内它分成卡板，我们分成数字量和模拟量，它直接控制阀门的开度，对于你的流量、加的压力和燃烧的控制，所有的东西就是这样。对应在汽车等方面，对应的你的刹车或者是输出一个控制信号，这里通常分成数字量和模拟量。

中间这个层是网络层，上层是一些操作站，我们叫做HMI，人机接口，HMI层面会让我们的操作工去参与一些工控系统的参数的调整，我们叫做自动化控制系统，但是真正实现比较好的这种自动控制的场合，不是说特别多，很多时候都要人工的一些干预。所以，在这个里面其实我们讲的病毒或黑客对控制系统的一些威胁，我们讲的一些传播的途径，可以看到非常的多，至少在目前我们的大背景下，我们现在叫做工业互联，德国提出来叫做工业4.0，大的背景下它是一个开放的，我觉得这个趋势也是不可逆的，不可能说像传统一样，我把它断开，即使断开，即使这个层面有些网络是断开的，相对控制系统内部的风险也是很大的，就像伊朗的核电站也是和外面什么都不连的，所以，它也是出现了问题，它是一个系统本身独立的区域。所以，在这个层面上来讲，目前来讲的确是需要在工业控制领域的一个信息安全方面，可能需要不断的进行加强这种防护。

工业里面简单讲一下，第一个是USB，这个很常见了，但现在有很多管理的手段，要求每一次都用新的，或者我说每一次都必须查毒，但现在看到零DAY漏洞等新的病毒层出不穷，杀毒软件在这个层面是不适用的，所以这个层面有一些特殊性。

有的时候包括外来的维护，很多工控系统需要做定期的维护，像海天炜业传统的一个业务就要做定期的点检，我们需要外来的一些接入、测试、外来的交互，这是上层的一个互联，这个目前来讲是非常普遍的，因为以前的报表都是手动抄的，现在都是通过我们的一些应用软件和优化软件，这些数据可以实时的建立数据库），实时数据库不管是有十万点还是一百万点的大型数据库都会上去。

还有一些第三方的，刚才我说有一些是核心的主控系统，外围的PIC、ITU有可能有无线，也都可能通过这个接入到网络中。所以，它的整个的风险和接入点也是非常多的。

第二，问题总结与解决方案

针对前面提出的问题我们的整体思路和解决方案分成了三大类。

一是来自网络访问控制方面的是一类，我们现在对应的解决方案是工控防火墙，细节上我之后有介绍，它是包括网络层面的信息网络的病毒扩散，包括第三方网络的病毒扩散或者区域之间的隔离，现在都可以通过工控防火墙来做的，但这里面有一些工控协议的深度解析，是这个层面做的一些工作。

二是来自计算机自身的安全问题。工控系统有自身的一些特殊性，它本身对杀毒软件或者对其他的一些外来的东西不兼容性，包括我们在工控系统内你都想象不到，包括现在windows2000都用得非常多，windows  xp现在使用最多的，2003年也非常的普遍，而且基本上从控制系统一装上以后，这个操作站从来不打补丁的，因为一打补丁有可能就不好用了，不好用了就会影响到生产。因为生产是实时运行的，一般我们讲流程工业，我们工控系统分成流程自动化和工厂自动化，工厂自动化相对来讲是离散的，加工一些件你可以停了，在上面再起这个机器可以顺着往下走。但流程物业，比如说炼油加到100度，停了就坏了，你重新开起来还要需要五百万多的投入才能开起来，所以，流程自动化对宕机是不可能接受的，像地铁停一下还可以，但如果发生事故撞车是不可接受的。

工控系统内有很多自身的局限性，这个层面也有很多的局限性，在这个里面我总结了，在工控系统内它的行业和品牌又有很强的独特性，每个品牌和每个行业自身都有很强的独特性，导致我们的策略及应用所有都是白名单化，我们曾经和一些工控系统的开发人员聊天，他们说工控系统是什么？工控系统的软件就是流氓软件。什么流氓软件，它基本上把你的计算机和控制系统的能力要用到最底层、用到最大，都是最快捷的方式来实现，因为它要讲究实时性或可靠性，它从来不关心其他的一些流程或者这种东西，他说它本身感觉到自己就是一个流氓软件。

在这里我们讲究的都是应用的白名单化，所以，我们所有的产品和设计、跟整个的思路上走的架构上也全部是一种工控运行白名单的模式，我让你整个工控的运行环境、访问策略和整个的应用来讲都是让你是可控的，然后在这个层面下，其他未知的，我们工控系统自从用上以后15年或者10年都有可能不动，不改。所以，你不用说未来是不是我改一个东西，你这种东西我再重新做一下相关的工作，基本上是不用改的。你去看北京地铁最早投入的线路，windows32还是几，它用的还是那个平台，从来没有升级改变过，所以，只要它好用和稳定，在工控系统内就是第一位的，你的一些新的技术、新理念可以加入，但都是在可控条件下一步步的来进行发展。它不是排斥先进的技术，我们的工控领域也有一些先进的东西，包括总线、无线都在探索用，但每个应用的历程都是非常长的，它需要验证。

在这个层面上基于它的自身局限性，我们推出了一个可信计算的平台，也是基于白名单的模式。

三是安全管理平台，其实是一个在小的工控领域里形成了网络状态的可视化，我们讲类似于可视化和智能化，未来这都是走的一些路线，我们在其他平台上是这么走，工控领域也是这么走的，类似于可视化和智能化，相对来讲给我们的安全人员或者管理人员提供了一个比较好的支撑或决策的平台。

工控网络安全防护及预报技术架构。

前两天我们参加一个石油化工行业的安全会议时，他们也是讲究预报，当你发生的时候，当你真正事故发生的时候的确已经晚了，但是说怎么能够提前预防一些事情的发生，包括我们现在在工控领域也是做了很多时候的预诊断，在工控信息安全上我们也是提出了预报，整个的架构。在底层我们是有防火墙，包括其他研发的一些产品，我们认为可以在工控领域使用的一些产品和技术未来都会集成到SMP，SMP是安全管理平台，这个平台可以从网络层面的日志或者审计的情况，包括在我们的可信计算平台自身的、操作站自身的安全日志或者审计的情况都会上升到这个平台上，包括其他家的安全产品都会集成到我们这个平台上，从而提供一个可视化的网络状态展示，基于模型的一些统计报告，包括自动化的一些安全报告。

ISC风险引入分析及解决方案–技术层

我们不管讲解决方案或者是类似于刚才李总他们出的评估规范和验收规范，其实核心有两大方面，一个是技术层面，一个是管理层面。管理层面，关键我们讲的是一种服务，就是说包括你是规章制度，其他的一些策略或者是一些管理的文档，我相信这个和我们传统的信息安全是一个思路，也是对应的。

今天我着重还是从技术层面，技术层面整个我们提出了一个理念，叫做风险隔离，纵深防御。

纵深防御是略微的加了一些中国的色彩叫做纵深，其实其他的一些标准里也是叫做深度防御。我们对应工控可以看到它是分层的，从上层的管理网到生产网、到底层控制网甚至到控制器的前端，我们一层层往下深入，我们叫做纵深防御的一种策略。它无非是把我们的一些风险、接入点进行隔离或者安全防护。

Guard/Tofino工业防火墙

前面三大块是具体的方案。第一，从网络层面解决叫做防火墙，我们有两款，分别是我们自主的叫做Guard防火墙，我们在今年年初4月份的时候开了我们整个新产品的发布会，当时是行业内第一家推出的工控防火墙，现在也是取得了我们相关的销售许可证和工控的技术等级安全防护证书。所以，也是属于我们国内在这块比较领先的。另一款是我们最早从国外引入代理的一个产品，叫做Tofino，这是国际上领先的一款产品，这两个防火墙各有特色，但整体的理念目前都是这样做的。我们里面有一些内置的工业控制协议和一些模型，方便工控人员在这种场合里使用。因为你也知道，工控人员相对来讲对计算机和IT技术掌握不是那么深。

我们有一个工业协议包的深度检测，这个里面还是针对不同的工业协议，我们可以管控到指令层，你是个读命令/写命令/下装命令，所以从这里我们可以解析到它的指令层面。当然还可以解析掉类似于寄存器，那些寄存器是受保护的，那些是只读不允许你写的，我们这里面都可以做到这样一些深度的安全防护。

我们有一个叫做无IP的连接技术，我们整个工业防火墙可以采取无IP的配置管理模式，可以在网络上进行配置，但本身这个防火墙没有IP地址，这样把两边的网络也能够区分隔离开，在这个网络探测不到另外一个网络，但两边我们通过内置的策略是相互通信的，实时性非常高。当然我也可以采取USB的配置模式，也可以采取网络的配置模式，可以布置在一个场内，不管是一百台还是几百台也是可以控制所有的防火墙，也可以采取拖拽式的网络模式，把协议拖上去就可以了，不需要深入的对IT技术的特别深的了解。当然其他的一些是工控的特点，它的可靠性、MTBF、它的防腐、冗余供电都是在工业设计里考虑得非常多的设计，因为本身我们也是做工控的。

所以，它解决的问题是阻止了一些病毒的扩散或者是阻止了一些攻击 渗透，实现了边界的隔离和区域的防护，从网络的层面给我们的工控设备创造了这么一个比较安全的运行的环境，这是从网络层面。

它的应用的展示，这是以我们的石化厂为例，应用的一个展示，它可以保护关键型的控制器，有一些仪器仪表系统或者关键型的控制器一旦瘫痪会造成整个生产的失控、造成一些安全事故，它可以隔离APC，就是说高级过程控制，我们叫做先进控制站，它是基于一种模型和算法的，它是多变量预估型的控制的一个模块。它还可以对上层网络的隔离视线，网络区域的隔离，这是对它的保护上我们列出的一些应用。

第二大的解决方案叫做InTrust工控可信计算安全平台。

这个目前我们已经推出了，市场的响应非常好。因为在整个控制领域，大家还是希望通过加强自身的免疫力，因为现在看了漏洞、病毒层出不穷，尤其在工控环境内，虽然现在发现了一些工控的问题，但是核心点还是通过计算机引入的，未来我相信也可以实现在嵌入式系统本身内也可以做一些后门或者叫做类似于这种病毒，你像类似于植入到打印机里或者控制器里，或者植入到其他外部的第三方嵌入式设备里都可以实现，但现在核心的威胁还是来源于我们的计算机，来源于我们的操作站本身，我们的工控操作站非常的脆弱，我刚才说了自它投用以后就不打补丁，一开始用的时候有杀毒软件，因为做我们的组态、工厂FAT的时候很多人都会介入到这里面，你来编一个程序，他来拷一个东西，我们的厂商也说自投用开始系统就带着病毒，因为很多人都接触的。所以，在这个层面上来讲，通过操作站本身引入的，这种对控制系统发生的一些攻击或者未来在这里面潜在的一些风险是很大的。我们怎么去保护这些操作站，从传统意义上的一些产品看来，包括一个考察，包括技术分析来讲觉得的确是存在了一些技术的缺陷，对工控环境来讲确实存在了技术的一些限制。所以我们通过分析论证，最后银行团队也是推出了可信计算安全平台，通过我们的可信安全芯片，我们建立一个信任根，建立一个信任链，最后通过对所有计算机启动的安全的度量就会给它保护起来，所以，我们叫做类似于基于可信计算的解决方案，我们分成两个部分，有服务器和客户端。

它的架构是这样的，这是一套控制系统的网络，我们底层是控制器，可信计算的产品就是装在上层操作站的一个层面。我们有可信的授权的服务器，还有客户端，客户端是装在整个操作站的平台上，客户端可以从底层的启动开始，从操作系统启动都可以进行完整的度量。工控系统内这块也是一个难点，有很多专家说你怎么保证第一次启动或者你预装的系统就是可信的，这里面的确是没有达到完全的绝对，但我们认为在某一种时刻和状态下，我们达到那个标准是可接受的环境下做整个的一个可信完整的架构度量，最终来讲，我们的服务器和我们的执行端它是分离的，服务器这边主要采取了授权，授权和执行是分离的模式，保证了我们整个系统的可靠性。

我们的优势。一是利用可信计算的技术，可信计算的理念推出了很多年，但在传统应用领域很少，可能在金融行业有一些应用，但整体来讲应用很少，因为它比较死，它不是那么灵活，对于我们普通的民众或者普通的商用来讲是非常的不方便。但是在工控领域，它有非常大的独特性，它只要是好用了，可能它十年都不需要变。所以，基于这样一些环节来讲，我们认为这项技术在我们整个工控环境里的应用有非常大的优势。当然这里面也有一些USB的管控，包括这里面核心来讲，就是我们有一个工控知识库的建立，我刚才讲了，工控系统有非常大的独特性，每家的产品、应用和一些协议、它的一些处理的机制都是不一样的，所以，在这里面我们也是建立了非常庞大的工控知识库，对应的放到每一个不同的工控环境中它可以对我们的度量非常的方便。当然也是基于白名单的模式。

解决的问题，我们尤其对于未知的或者类似于杀毒软件基于黑名单的，我们是基于一种白名单的模式，包括对于XP目前有一些漏洞，或者国外的产品我们工控系统80%以上的设备都来源于国外，对于这种类型的我们不是自主的，怎么达到一定程度的可控呢？我们认为可以通过我们的可信计算做到一定程度的解决。在这方面你可以有后门和漏洞，但我不会让你发作，也就是说你启动不起来。这是我们解决的问题。

实现的效果，一个是从USB方面，一个是提高它自身的免疫力。

部署就不讲了。

这个是我们上层的安全管理平台，这个平台整个来讲我们的模式还是可视化和智能化的模式，也是提供了一个预测或者预警的分析，这个东西我们在燕山石化也已经部署过，而且也成功的帮助燕山石化和广州石化发现了一些问题，通过这个平台反馈给我们的用户发现了一些问题。发现问题他们去查，后来的确发现了有一些病毒。所以，通过这个平台，当然这个平台也是在不断的完善当中，因为目前我们感觉到也是数据量非常大，相对来讲在局域的一些控制系统内部它比较小，但对于相对较大的网络来说它的网络区域也比较大。我们解决的问题也是审计、安全事件追踪、网络状态的一些监控，尤其是一些关键点上的，所以，实现了我们的实时监控、智能报警和自动化的报告。

这是一个应用的展示，基本我们分为两大层面来进行部署。

一是控制网内部我们可以单独布置一台机器。还有一种是在数采网（MES）生产执行系统，现在MES在各个行业都有应用，在MES网络也可以进行相关部署。

第三部分，案例分享。

我们在工控信息安全领域不是一个新的成员，我们经过了五年多来的现场的实际解决方案的安装或实施，我们也是整理出了很多的对用户非常实用的解决方案，当然这里面也是抛砖引玉，我们以我们的产品或思路希望对大家有所帮助。

石化行业

石化行业是我们目前做得最多的一个行业，石化的信息化走在前列，他们高温高压易燃易爆，他们相对来说各项的人员和技术比较先进一点。在这里我们采取了几个层面，特别是底层的控制层，我们有关键控制器的一些防护，工程师站的隔离，包括在这个层面我们讲的可信计算的应用，包括通过两个网的隔离，也是通过工业防火墙进行隔离，这里应用了我们OPC的一个通讯协议进行了深度的隔离，包括上层的APC、MSP的部署，这个层面可能是管到各个通道上，它从整个全场，因为像燕山石化底下可能有十来个分厂，化一到化八厂，再加上其他的电厂和相关的辅助厂，可能有十几个分厂。在每个分厂内部，我们每一套控制系统对应现场有一个装置，炼油有单塔精馏、有催化炼化，不同的装置是不同的一套系统。这套系统在地域上可能也有一些差别。所以，从这个层面主要是我们管理在这个口上的整个的安全的分析和状态。

这个层面的两个是不同部门的，上层我们叫做信息管理部管的，底层是移控部门管的。这个层面我们的部署是主要管理内部的，这个内部我们来自可信计算平台的一些日志，是不是有人用了这些USB，这里面很常见，操作工闲着晚上没事了要看看电影，这个在石化里管理比较严，因为石化相对来讲岗位比较珍惜，但很多小的化工厂管理就没有那么严了，很多人到了晚上以后就自己看电影，或者插上手机充电，曾经有一个石化就是因为给手机充电染病毒了。所以，在这个层面，来自于操作站层面的一些管理由原来的非常被动现在管理成主动，定期的这边所有的日志会对整个的操作站平台的一些状况有一些了解，包括是不是有一些病毒或者非法进程要启动，或者有一些其他的安全事件都会被它收集过来。

这个是我们在SCADA领域，SCADA也是目前国家比较关注的一个行业，它的特点是跨地域非常广，通常情况下一个管线一千公里，几百公里都是少的，每隔一百公里左右可能都有一个控制站和门站，这里有调控中心，有站控系统，整个SCADA领域对通信要求也是比较高。在这里，大家非常直观的知道在我们青岛有一次爆炸，就是管线，当然它不是因为信息安全问题导致的，它是因为管道腐蚀漏油，漏到了城市管网中，因为是轻质原油挥发非常强，非常容易爆炸，结果流到海面上，先在海上起火了，发现漏油了，是从海里面漏出来了，才发现漏油了，因为在管网下面一开始没看到，但是后来就开始钻，找到漏油点，有一个现场施工的过去一看海上那边起火了，他就往回赶，但还没到那儿呢，整个马路就爆炸了，事故非常大。包括青岛出事以后，高行（音）出了一次事，那个是瓦斯爆炸，都是危害非常大的。但中石化在青岛出事以后，对整个行业绝对是帮助非常大。

紧跟着中石油在大连，有一个公司，马路两边都是它的厂房，它要铺设一根电缆过去，要做定向的打水平钻，钻的时候，一开始评估说管道没问题，后来钻钻，钻不过去，就不停的把钻的高度提高，提高到了和他的管线差半米左右的地方，因为距离比较长，就钻偏了，钻到了石油管线上，也是发现了管线泄露。但有了中石化的那次教训以后，中石油的应急处理非常的专业，从管线的梳理到赶紧把底下的各个古力盖弄开，往里通风，所以中石油的那个就没有出事。这里我就强调一下SCADA信息安全的重要性，包括现在解密，最早前苏联的那次大爆炸，SCADA解密，也是老美往里植入了东西。所以，SCADA在我们的领域也是非常重要的。这块有调控中心有站控，也有隔离，包括上层我们统一配置了安全管理平台。

工业以太环网信息安全整体解决方案

以太环网底下是挂着各个工段的控制器，我们在各个控制器底下加上了一些安全防护，包括上层的设备上。

钢铁行业

这也是类似于以太环网的，但也类似于信息架构，我们是在高炉做的解决方案。它也发生一个事故，在底下分料厂的操作工操作的时候，因为他要修改一些程序，结果它下载的时候下载到了主控室里，就是一个误操作，后来我们在访问权限和一些操作上都给它做了一些管控。

第四部分，我们针对这么多年来在工控领域做的事情提出了我们的全生命周期工控信息安全整体解决方案。

中间是我们的工控系统，大环境下是保护关键基础设施，这些是控制那些基础设施的，它是关键的我们的核心资产。外围是我们的产品加固层，最外层是我们的服务体系，整个构成了闭环的产品和体系，我们有可信计算、加固等等，包括其他一些产品我们有工控信息安全实验室，在实验室中我们不断有新技术和新产品都在进行研发和实验、测试，这个环节我们走得还是比较早，目前国内的，不管国内外的十几家品牌的工业控制系统我们实验室都是具备的，我们的实验室也是开放的，包括和我们的科研机构和合作伙伴都是开放的。

外层从评估咨询、组织管理到工控信息安全培训，我们这里也是讲一点信息安全培训，现在很多单位也在搞，但我们是偏重于工控，很多安全企业偏重于攻防或渗透，但我们针对工控的东西讲得比较多，未来我们准备和李总他们结合一下，肯定是要把Safety的东西加进来，因为Safety和Security也是联系紧密的。

最后我们提供了信息安全服务，我们觉得在工控安全领域不能通过一次投入一次就把问题全部解决，它需要一个闭环流程，需要再评估，需要再改进，不管是在策略上还是在产品上可能都需要不断的改进，最后为我们的工业用户提供一个非常好的产品和服务。

下面是我们做的一些项目。谢谢大家。