隨著工業(yè)化與信息化的融合推進，以及以太網(wǎng)技術(shù)在工業(yè)控制系統(tǒng)中的大量應(yīng)用，病毒和木馬對SCADA系統(tǒng)的攻擊事件頻發(fā)，直接影響到公共基礎(chǔ)設(shè)施的安全，造成的損失不可估量。因此，目前國內(nèi)外生產(chǎn)企業(yè)都是否重視工業(yè)控制系統(tǒng)的安全防護建設(shè)。但由于工控網(wǎng)絡(luò)存在著特殊性，商用的信息安全技術(shù)無法完全適用，解決工業(yè)控制系統(tǒng)安全需要有針對性地實施特殊措施。

　　工業(yè)控制網(wǎng)絡(luò)的安全漏洞

　　對工控系統(tǒng)而言，可能帶來直接隱患的安全漏洞主要包括以下幾種：

　　1、病毒與惡意代碼

　　病毒泛濫也是總所周知的安全隱患。在全球范圍內(nèi)，每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)，而全球現(xiàn)已發(fā)現(xiàn)數(shù)萬種病毒，每天還會新生數(shù)十余種。除了傳統(tǒng)意義上的具有自我復(fù)制能力、但必須寄生在其它實用程序中的病毒種類外，各種新型的惡意代碼更是層出不窮，如邏輯炸彈、特洛伊木馬、蠕蟲等，它們往往具有更強的傳播能力和破壞性。如蠕蟲病毒和傳統(tǒng)病毒相比，其最大的不同在于可以進行自我復(fù)制，傳統(tǒng)病毒的復(fù)制過程需要依賴人工干預(yù)，而蠕蟲卻可以自己獨立完成，破壞性和生命力自然強大得多。

　　2、 SCADA系統(tǒng)軟件的漏洞

　　國家信息安全漏洞共享平臺在2011年收錄了100多個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，這些漏洞涉及西門子等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。

　　3、操作系統(tǒng)安全漏洞

　　PC與Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機/操作站的主流，而在控制網(wǎng)絡(luò)中，操作站是實現(xiàn)與MES通信的主要網(wǎng)絡(luò)結(jié)點，因此其操作系統(tǒng)的漏洞就成為了整個控制網(wǎng)絡(luò)信息安全中的一個短板。

　　4、網(wǎng)絡(luò)通信協(xié)議安全漏洞

　　隨著TCP/IP協(xié)議被控制網(wǎng)絡(luò)普遍采用，網(wǎng)絡(luò)通信協(xié)議漏洞問題變得越來越突出。 TCP/IP協(xié)議簇最初設(shè)計的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問題，并未考慮也無法兼容解決來自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問題。當其推廣到社會的應(yīng)用環(huán)境后，安全問題就發(fā)生了。所以說，TCP/IP在先天上就存在著致命的設(shè)計性安全漏洞。

　　5、安全策略和管理流程漏洞

　　追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程，也給工業(yè)控制系統(tǒng)信息安全帶來了一定威脅。

　　應(yīng)該采取的安全防護策略

　　工業(yè)控制系統(tǒng)的安全防護需要考慮每一個細節(jié)。從現(xiàn)場I/O設(shè)備、控制器，到操作站的計算機操作系統(tǒng)，工業(yè)控制網(wǎng)絡(luò)中同時存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡(luò)，考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同，防御策略和保障措施應(yīng)該按照等級進行劃分，而實施分層次的縱深防御架構(gòu)需要分別采取不同的對應(yīng)手段，構(gòu)筑從整體到細節(jié)的立體防御體系。

　　首先，可實施網(wǎng)絡(luò)物理隔離。

　　根據(jù)公安部制定的《GA370-2001端設(shè)備隔離部件安全技術(shù)要求》的定義，物理隔離的含義是：公共網(wǎng)絡(luò)和專網(wǎng)在網(wǎng)絡(luò)物理連線上是完全隔離的，且沒有任何公用的存儲信息。物理隔離部件的安全功能應(yīng)保證被隔離的計算機資源不能被訪問(至少應(yīng)包括硬盤、軟盤和光盤)，計算機數(shù)據(jù)不能被重用(至少應(yīng)包括內(nèi)存)。

　　信息安全是一個體系防護的概念，網(wǎng)絡(luò)物理隔離技術(shù)不可能解決所有信息安全問題，但能大大提高網(wǎng)絡(luò)的安全性和可控性，能徹底消除內(nèi)部網(wǎng)絡(luò)遭受外部網(wǎng)絡(luò)侵入和破壞的可能性，從而大大減少網(wǎng)絡(luò)中的不安全因素，縮小追蹤網(wǎng)絡(luò)中非法用戶和黑客的范圍。目前存在的安全問題，對網(wǎng)絡(luò)隔離技術(shù)而言在理論上都不存在，這就是各國政府和軍方都大力推行網(wǎng)絡(luò)隔離技術(shù)的主要原因。

　　網(wǎng)絡(luò)隔離技術(shù)目前已經(jīng)發(fā)展到了第五代。第一代隔離技術(shù)實際上是將網(wǎng)絡(luò)進行物理上的分開，形成信息孤島;第二代采用硬件卡隔離技術(shù);第三代采用數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術(shù);第四代采用的是空氣開關(guān)隔離技術(shù);而第五代隔離技術(shù)采用了安全通道隔離技術(shù)?；诎踩ǖ赖淖钚赂綦x技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機制，來實現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問題，還能有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當前隔離技術(shù)的發(fā)展方向。

　　總的來說，網(wǎng)絡(luò)隔離技術(shù)的主要目標是解決工業(yè)控制系統(tǒng)中的各種漏洞：操作系統(tǒng)漏洞、TCP/IP漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等，網(wǎng)絡(luò)隔離也是目前唯一能解決上述問題的安全技術(shù)。

　　另外還可以構(gòu)建網(wǎng)絡(luò)防火墻。

　　網(wǎng)絡(luò)防火墻通過設(shè)置不同的安全規(guī)則來控制設(shè)備或系統(tǒng)之間的數(shù)據(jù)流，在實際應(yīng)用中主要用于分析與互聯(lián)網(wǎng)連接的TCP/IP協(xié)議簇。防火墻在網(wǎng)絡(luò)中使用的前提是必須保證網(wǎng)絡(luò)的連通性，其通過規(guī)則設(shè)置和協(xié)議分析，來限制和過濾那些對管理比較敏感、不安全的信息，防止未經(jīng)授權(quán)的訪問。由于工業(yè)控制與商用網(wǎng)絡(luò)的差異，常規(guī)的網(wǎng)絡(luò)安全設(shè)置規(guī)則用在控制網(wǎng)絡(luò)上就會存在很多問題。只有正確地設(shè)計、配置和維護硬件防火墻的規(guī)則，才可以保護工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全環(huán)境。建議設(shè)置的特殊規(guī)則包括：

　　1、SCADA和工業(yè)協(xié)議。MODBUS/ TCP、EtherNet/ IP和DNP3等在工業(yè)控制系統(tǒng)中被大量使用，但是這些協(xié)議在設(shè)計時沒有安全加密機制，通常也不會要求任何認證便可以在遠程對一個控制裝置執(zhí)行命令。這些協(xié)議應(yīng)該只被允許在控制網(wǎng)絡(luò)單向傳輸，不準許在辦公網(wǎng)絡(luò)穿透到控制網(wǎng)絡(luò)。能夠完成這一功能的工業(yè)防火墻或者安全路由器，通常被部署在具有以太網(wǎng)接口的I/O設(shè)備和控制器上，從而避免因設(shè)備聯(lián)網(wǎng)而造成的病毒攻擊或廣播風暴，還可以避免各子系統(tǒng)間的病毒攻擊和干擾。

　　2、分布式組件對象模型(DCOM) 。在過程控制中，OLE和ProfiNet(OPC)是使用DCOM的，它運用了微軟的遠程過程調(diào)用服務(wù)。該服務(wù)有很多的漏洞，很多病毒都會利用這個弱點獲取系統(tǒng)權(quán)限。此外OPC也利用DCOM動態(tài)地打開任意端口，這在防火墻中進行過濾是非常困難的。通用防火墻無法完成對OPC協(xié)議的規(guī)則限制，如果必須需要該協(xié)議，則要求控制網(wǎng)絡(luò)、網(wǎng)絡(luò)之間必須物理分開，將控制網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)橫向隔離。

　　3、超文本傳輸協(xié)議(HTTP)。一般來說，HTTP不應(yīng)該被允許從企業(yè)管理網(wǎng)透過進入控制網(wǎng)絡(luò)，因為他們會帶來重大安全風險。如果HTTP服務(wù)到控制網(wǎng)絡(luò)是絕對必需的，那么在防火墻中需要通過HTTP代理配置來阻止所有執(zhí)行腳本和Java應(yīng)用程序，而且特定的設(shè)備使用HTTPS更安全。

　　4、限制文件傳輸協(xié)議(FTP)。FTP用于在設(shè)備之間傳輸、交換文件，在SCADA 、DCS、PLC、RTU等系統(tǒng)中都有應(yīng)用。FTP協(xié)議并沒有任何安全原則，登入密碼不加密，有些FTP為了實現(xiàn)歷史緩沖區(qū)而出現(xiàn)溢出的漏洞，所以應(yīng)配置防火墻規(guī)則阻塞其通信。如果FTP通訊不能被要求禁止，通過FTP輸出數(shù)據(jù)時，應(yīng)額外增加多個特征碼授權(quán)認證，并提供加密的通信隧道。

　　5、簡單郵件傳輸協(xié)議(SMTP)。SMTP在互聯(lián)網(wǎng)上是主要的電子郵件傳輸協(xié)議。電子郵件經(jīng)常包含惡意代碼程序，所以不應(yīng)允許以任何控制網(wǎng)絡(luò)設(shè)備接收電子郵件，SMTP郵件應(yīng)主要用于從控制網(wǎng)絡(luò)到辦公網(wǎng)絡(luò)之間輸出發(fā)送報警信息。

　　6、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)。SNMP是網(wǎng)絡(luò)管理服務(wù)中心，提供管理控制臺與設(shè)備如網(wǎng)絡(luò)設(shè)備、打印機、PLC之間的監(jiān)控，并制定管理的會話規(guī)則。從運維角度看，SNMP是非常有用的服務(wù)，但在安全方面存在很多問題。SNMP V1和SNMP V2C的安全機制比較脆弱，通信不加密，所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信，就可以利用各種嗅探軟件直接獲取通信字符串，即使用戶改變了通信字符串的默認值也無濟于事。SNMP V3解決了上述安全性問題，但卻沒有被廣泛使用。從控制網(wǎng)中使用SNMP V1和V2C的命令都應(yīng)被禁止，除非它是一個完全獨立的信任管理網(wǎng)絡(luò)。而即使設(shè)備已經(jīng)支持SNMP V3，許多廠商使用的還是標準的通信字符串，存在重大安全隱患。因此，雖然SNMP V3比以前的版本提供了更多的安全特性，如果配置不當，其實際效果仍舊有限，這一點也需要引起足夠的重視。