一、前言

　　工信部協(xié)【2011】451號通知明確指出：“SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領域，用于控制生產(chǎn)設備的運行。隨著計算機和網(wǎng)絡技術的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全問題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件，充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢。對此，各地區(qū)、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業(yè)控制系統(tǒng)信息安全管理?！薄?/P>

　　本文分析了當前工業(yè)控制系統(tǒng)的安全漏洞，并結合工業(yè)控制系統(tǒng)的網(wǎng)絡架構和多芬諾工業(yè)防火墻的“測試”模式功能，詳細介紹了工業(yè)控制系統(tǒng)信息安全的縱深防御策略，致力于建立一個“本質安全”的工業(yè)控制網(wǎng)，從而解決了困擾各公司的控制系統(tǒng)信息安全隱患，保證了企業(yè)各裝置控制系統(tǒng)的安全平穩(wěn)運行。

　　二、工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析

　　近十年來，隨著信息技術的迅猛發(fā)展，信息化在我們企業(yè)中的應用取得了飛速發(fā)展，互聯(lián)網(wǎng)技術的出現(xiàn)，使得工業(yè)控制網(wǎng)絡中大量采用通用 TCP/IP 技術，ICS 網(wǎng)絡和企業(yè)管理網(wǎng)的聯(lián)系越來越緊密。另一方面，傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，設計上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護功能都很弱或者甚至幾乎沒有隔離功能，因此在工控系統(tǒng)開放的同時，也減弱了控制系統(tǒng)與外界的隔離，工控系統(tǒng)的安全隱患問題日益嚴峻。系統(tǒng)中任何一點受到攻擊都有可能導致整個系統(tǒng)的癱瘓。

　　2.1 工業(yè)控制系統(tǒng)的安全漏洞

　　(1)通信協(xié)議漏洞

　　兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應用在工業(yè)控制網(wǎng)絡中，隨之而來的通信協(xié)議漏洞問題也日益突出。

　　例如，OPC Classic協(xié)議(OPC DA, OPC HAD和OPC A&E) 基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號，導致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)。

　　(2)操作系統(tǒng)漏洞

　　目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺的，為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，通?，F(xiàn)場工程師在系統(tǒng)開車后不會對Windows平臺安裝任何補丁，但是存在的問題是，不安裝補丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。

　　(3)安全策略和管理流程漏洞

　　追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

　　(4)殺毒軟件漏洞

　　為了保證工控應用軟件的可用性，許多工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發(fā)大規(guī)模的病毒攻擊，特別是新病毒。

　　(5)應用軟件漏洞

　　由于應用軟件多種多樣，很難形成統(tǒng)一的防護規(guī)范以應對安全問題；另外當應用軟件面向網(wǎng)絡應用時，就必須開放其應用端口。因此常規(guī)的IT防火墻等安全設備很難保障其安全性?；ヂ?lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。

　　2.2工業(yè)控制系統(tǒng)的安全防御措施要求

　　一般來說，公司的IT部門人員了解信息安全相關知識，但并不了解過程控制系統(tǒng)。而且傳統(tǒng)IT環(huán)境和工控系統(tǒng)環(huán)境之間存在著一些關鍵不同，例如，控制系統(tǒng)通常需要每周7天，每天24小時的長期運行。因此控制系統(tǒng)的特殊功能要求可能使原本合格的安全技術變得沒有效果。所以，簡單地將IT安全技術配置到工控系統(tǒng)中并不是高效可行的解決方案。

　　國際行業(yè)標準ANSI/ISA-99明確指出目前工業(yè)控制領域普遍認可的安全防御措施要求如下：

看大圖

　　即將具有相同功能和安全要求的控制設備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過控制區(qū)域間管道中的通信內容來確保工業(yè)控制系統(tǒng)信息安全。

　　2.3 “縱深防御”策略

　　“縱深防御”策略嚴格遵循ANSI/ISA-99標準，是提高工業(yè)控制系統(tǒng)信息安全的最佳選擇。建立“縱深防御”的最有效方法是采用ANSI/ISA-99.02.01和IEC-63443標準的區(qū)級防護，將網(wǎng)絡劃分為不同的安全區(qū)，在安全區(qū)之間按照一定規(guī)則安裝防火墻。

　　建立“縱深防御”策略的兩個主要目標：

　　(1)即使在某一點發(fā)生網(wǎng)絡安全事故，也能保證裝置或工廠的正常安全穩(wěn)定運行

　　對于現(xiàn)代計算機網(wǎng)絡，我們認為最可怕的是病毒的急速擴散，它會瞬間令整個網(wǎng)絡癱瘓，該防護目標在于當工業(yè)網(wǎng)絡 的某個局部存在病毒感染或者其它不安全因素時，不會向其它 設備或網(wǎng)絡擴散，從而保證裝置或工廠的安全穩(wěn)定運行。

　　(2)工廠操作人員能夠及時準確的確認故障點，并排除問題

　　怎樣能夠及時發(fā)現(xiàn)網(wǎng)絡中存在的感染及其他問題，準確找到故障的發(fā)生點，是維護控制系統(tǒng)信息安全的前提。

　　三、工業(yè)控制系統(tǒng)信息安全的縱深防御

　　3.1 工業(yè)系統(tǒng)網(wǎng)絡結構及安全區(qū)域的劃分

　　從總體結構上來講，工業(yè)系統(tǒng)網(wǎng)絡可分為三個層次：企業(yè)管理層、數(shù)采信息層和控制層。企業(yè)管理層主要是辦公自動化系統(tǒng)，一般使用通用以太網(wǎng)，可以從數(shù)采信息層提取有關生產(chǎn)數(shù)據(jù)用于制定綜合管理決策。數(shù)采信息層主要是從控制層獲取數(shù)據(jù)，完成各種控制、運行參數(shù)的監(jiān)測、報警和趨勢分析等功能。控制層負責通過組態(tài)設汁，完成數(shù)據(jù)采集、A/D轉換、數(shù)字濾波、溫度壓力補償、PID控制等各種功能。

　　系統(tǒng)的每一個安全漏洞都會導致不同的后果，所以將它們單獨隔離防護十分必要。對于額外的安全性和可靠性要求，在主要的安全區(qū)還可以根據(jù)操作功能進一步劃分成子區(qū)。這樣一旦發(fā)生信息安全事故，就能大大提高工廠生產(chǎn)安全運行的可靠性，同時降低由此帶來的其他風險及清除費用。