工業(yè)控制系統(tǒng)，由一系列自動(dòng)化控制組件以及實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過程控制組件共同構(gòu)成，在電力設(shè)施、水力油氣、交通運(yùn)輸?shù)戎匾袠I(yè)和領(lǐng)域有著廣泛的應(yīng)用，主要利用信息化手段，實(shí)現(xiàn)物理過程的監(jiān)測(cè)和控制。

早期的工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)是封閉、隔離的，隨著時(shí)代發(fā)展，為了實(shí)時(shí)數(shù)據(jù)采集與生產(chǎn)控制，需要將工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)直接通信交互。

電力、石化、交通、市政及關(guān)鍵基礎(chǔ)行業(yè)對(duì)信息網(wǎng)絡(luò)的依賴越來越強(qiáng)，相關(guān)行業(yè)的工業(yè)控制系統(tǒng)間也日益通過信息網(wǎng)絡(luò)來實(shí)現(xiàn)信息互聯(lián)互通及遠(yuǎn)程控制。因此工業(yè)控制系統(tǒng)將不能僅關(guān)注系統(tǒng)功能安全問題，更要注意防范來自網(wǎng)絡(luò)空間的安全問題。

《2016工業(yè)控制系統(tǒng)漏洞趨勢(shì)報(bào)告》顯示，工業(yè)控制系統(tǒng)漏洞正在增多，在2014到2015年之間存在著49%高速增長(zhǎng)。如何把控工控安全、提升防護(hù)能力已成為業(yè)界關(guān)注的焦點(diǎn)，業(yè)內(nèi)分析，工控安全將成為政策部署的重點(diǎn)之一。

一、近兩年主要工業(yè)控制系統(tǒng)(ICS)安全事件

BLACKENERGY(黑暗力量)攻擊導(dǎo)致的斷電事故

2015年12月23日，烏克蘭電力供應(yīng)商Prykarpattyaoblenergo通報(bào)了持續(xù)三個(gè)小時(shí)的大面積停電事故，受影響地區(qū)涉及伊萬諾-弗蘭科夫斯克、卡盧什、多利納等多個(gè)烏克蘭城市。后經(jīng)調(diào)查發(fā)現(xiàn)，停電事故為網(wǎng)絡(luò)攻擊導(dǎo)致。攻擊者使用附帶有惡意代碼的Excel郵件附件滲透了某電網(wǎng)工作站人員系統(tǒng)，向電網(wǎng)網(wǎng)絡(luò)植入了BlackEnergy惡意軟件，獲得對(duì)發(fā)電系統(tǒng)的遠(yuǎn)程接入和控制能力。

2016年12月17日晚，該公司再次遭到攻擊，影響到基輔附近諾威佩特里夫茨村的北部變電站自動(dòng)化控制系統(tǒng)，再次造成大規(guī)模停電事故，該停電事故主要影響的范圍是基輔（烏克蘭首都）北部及其周邊地區(qū)。

Operation GHOUL(食尸鬼)行動(dòng)

2016年8月，卡巴斯基安全實(shí)驗(yàn)室揭露了針對(duì)工控行業(yè)的“食尸鬼”網(wǎng)絡(luò)攻擊活動(dòng)，攻擊通過偽裝阿聯(lián)酋國(guó)家銀行電郵，使用魚叉式釣魚郵件，對(duì)中東和其它國(guó)家的工控組織發(fā)起了定向網(wǎng)絡(luò)入侵。攻擊中使用鍵盤記錄程序HawkEye收集受害系統(tǒng)相關(guān)信息。

伊朗黑客攻擊美國(guó)大壩事件

2016年3月24日，美國(guó)司法部公開指責(zé)7名伊朗黑客入侵了紐約鮑曼水壩(Bowman Avenue Dam)的一個(gè)小型防洪控制系統(tǒng)。幸運(yùn)的是，經(jīng)執(zhí)法部門后期調(diào)查確認(rèn)，黑客還沒有完全獲得整個(gè)大壩計(jì)算機(jī)系統(tǒng)的控制權(quán)，僅只是進(jìn)行了一些信息獲取和攻擊嘗試。

二、工控安全面臨的根源問題

工業(yè)控制系統(tǒng)(ICS)安全事關(guān)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全和民生安全，智能樓宇系統(tǒng)、自來水廠控制系統(tǒng)、核電站管理系統(tǒng)，每一個(gè)工業(yè)控制系統(tǒng)都影響著人們的生產(chǎn)生活，網(wǎng)絡(luò)安全已不僅存在于電腦中，對(duì)生活同樣有重要影響。

目前來說，工控安全問題的最大根源在于信息安全從來不是工業(yè)控制系統(tǒng)的設(shè)計(jì)目標(biāo)。從產(chǎn)品設(shè)計(jì)上看，大量工控設(shè)備都缺少安全機(jī)制，包括最基本的安全功能，如身份鑒別、訪問控制、通信保護(hù)、安全審計(jì)等。

工業(yè)控制系統(tǒng)面臨著安全挑戰(zhàn)。從管理角度看，工業(yè)控制系統(tǒng)存在職責(zé)不清晰、安全意識(shí)薄弱、“重safety輕security”的問題，工控信息安全長(zhǎng)期處于“三不管”地帶，所有設(shè)備在上線前未經(jīng)安全測(cè)評(píng)，上線后也很少進(jìn)行安全評(píng)估。這些原因最終造成了當(dāng)前工業(yè)控制系統(tǒng)惡意代碼無防護(hù)，網(wǎng)絡(luò)連接無隔離、系統(tǒng)漏洞難修補(bǔ)、網(wǎng)絡(luò)狀況無監(jiān)測(cè)、遠(yuǎn)程通信無保護(hù)的狀況。

在人員管理方面，隨著工業(yè)與IT的融合，企業(yè)內(nèi)部人員，如：工程師、管理人員、現(xiàn)場(chǎng)操作員、企業(yè)高層管理人員等，其“有意識(shí)”或“無意識(shí)”的行為，可能破壞工業(yè)控制系統(tǒng)、傳播惡意軟件、忽略工作異常等，而針對(duì)人的社會(huì)工程學(xué)、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。

三、IT系統(tǒng)安全技術(shù)在工控領(lǐng)域的挑戰(zhàn)

長(zhǎng)期以來，在我國(guó)信息安全不是工業(yè)控制系統(tǒng)的首要設(shè)計(jì)目標(biāo)，以“保密性-完整性-可用性”為設(shè)計(jì)要求的信息安全解決方案和標(biāo)準(zhǔn)很難滿足工控行業(yè)對(duì)信息安全的需求，因此存在著適用程度低等問題。

工業(yè)控制系統(tǒng)與IT系統(tǒng)差別很大。工業(yè)控制系統(tǒng)強(qiáng)調(diào)實(shí)時(shí)性、可靠性，有些系統(tǒng)甚至要求毫秒級(jí)，系統(tǒng)不會(huì)輕易重啟，且更新很慢。工業(yè)控制系統(tǒng)安全首先強(qiáng)調(diào)可用性，其次是完整性，最后是保密性。IT系統(tǒng)則更強(qiáng)調(diào)保密性、完整性，最后才是可用性。這兩種安全目標(biāo)的反差直接使得現(xiàn)有信息安全技術(shù)在工控領(lǐng)域面臨很大的挑戰(zhàn)。

比如漏洞掃描、滲透測(cè)試、補(bǔ)丁更新、主機(jī)監(jiān)控等技術(shù)都由于可能會(huì)影響工業(yè)控制系統(tǒng)可用性而不被行業(yè)用戶所接受。再加上工控網(wǎng)絡(luò)大量采用私有通信協(xié)議，而且設(shè)備本身的處理能力低、對(duì)實(shí)時(shí)要求高，這些導(dǎo)致了防護(hù)隔離、入侵檢測(cè)、通信加密、網(wǎng)絡(luò)監(jiān)控等傳統(tǒng)信息安全技術(shù)都需要改變。

四、工業(yè)控制系統(tǒng)安全解決方向

隨著工業(yè)化和信息化的深度融合，信息安全將成為工控網(wǎng)絡(luò)安全的重要問題，而工控網(wǎng)絡(luò)安全防護(hù)，應(yīng)從管理和技術(shù)兩方面進(jìn)行：

從管理上，理順“工控信息安全到底歸誰管”的問題，也就是明確工控信息安全組織機(jī)構(gòu)。在具體措施上可借鑒已有成熟的信息安全管理標(biāo)準(zhǔn)規(guī)范，并與現(xiàn)行的生產(chǎn)安全管理制度進(jìn)行對(duì)照，查漏補(bǔ)缺，確保管理制度具備可行性。此外，還需加強(qiáng)人員的安全意識(shí)培訓(xùn)，覆蓋信息安全領(lǐng)域和自動(dòng)控制領(lǐng)域。

從技術(shù)上，加強(qiáng)工控網(wǎng)絡(luò)防護(hù)及邊界防護(hù)。在工控網(wǎng)絡(luò)中部署工業(yè)防火墻及工業(yè)隔離產(chǎn)品，對(duì)工控網(wǎng)絡(luò)進(jìn)行安全防護(hù)，配置相應(yīng)安全策略，做到對(duì)工控設(shè)備的訪問控制，對(duì)工控協(xié)議數(shù)據(jù)的深度過濾。

企業(yè)整體工控網(wǎng)絡(luò)可分為三層次：信息網(wǎng)、管理網(wǎng)和控制網(wǎng)。企業(yè)管理者通過從信息網(wǎng)ERP系統(tǒng)中提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策；從管理網(wǎng)MES系統(tǒng)中獲取數(shù)據(jù)，完成各種控制、運(yùn)行參數(shù)的監(jiān)測(cè)、報(bào)警和趨勢(shì)分析等功能；控制網(wǎng)負(fù)責(zé)通過組態(tài)設(shè)計(jì)，完成過程控制及數(shù)據(jù)采集等各種功能。

在工控網(wǎng)絡(luò)不同區(qū)域分別部署力控華康ISG工業(yè)防火墻、PSL工業(yè)隔離網(wǎng)關(guān)、PFC工業(yè)通訊網(wǎng)關(guān)、工控安全管理平臺(tái)進(jìn)行整體網(wǎng)絡(luò)防護(hù)，如下圖：

可實(shí)現(xiàn)以下功能：

1） 管理網(wǎng)和控制網(wǎng)之間的安全防護(hù)

本案中大量使用OPC 通訊協(xié)議，由于OPC 通訊采用不固定的端口號(hào)，使用傳統(tǒng)的IT 防火墻進(jìn)行防護(hù)時(shí)，不得不開放大規(guī)模范圍內(nèi)的端口號(hào)。在這種情況下，防火墻提供的安全保障被降至最低。因此，在管理網(wǎng)和控制網(wǎng)之間部署力控華康PSL隔離網(wǎng)關(guān)，解決OPC 通訊采用動(dòng)態(tài)端口帶來的安全防護(hù)瓶頸問題，阻止病毒和任何其它的非法訪問，這樣來自防護(hù)區(qū)域內(nèi)的病毒感染就不會(huì)擴(kuò)散到相鄰的工控網(wǎng)絡(luò)及其他網(wǎng)絡(luò)，提升網(wǎng)絡(luò)區(qū)域劃分能力的同時(shí)從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。

力控華康PSL隔離網(wǎng)關(guān)內(nèi)部采用2+1的雙獨(dú)立主機(jī)架構(gòu)，控制端接入工業(yè)控制網(wǎng)絡(luò)，通過采集接口完成各子系統(tǒng)數(shù)據(jù)的采集；信息接入到管理網(wǎng)絡(luò)，完成數(shù)據(jù)到MES的傳輸。雙主機(jī)之間通過專有的PSL網(wǎng)絡(luò)隔離傳輸技術(shù)，截?cái)?TCP 連接，徹底割斷穿透性的 TCP 連接。PSL的物理層采用專用隔離硬件，鏈路層和應(yīng)用層采用私有通信協(xié)議，數(shù)據(jù)流采用128 位以上加密方式傳輸，更加充分保障數(shù)據(jù)安全。PSL技術(shù)實(shí)現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查，傳輸機(jī)制具有徹底不可攻擊性，從根本上杜絕了非法數(shù)據(jù)的通過，確保子系統(tǒng)控制系統(tǒng)不會(huì)受到攻擊、侵入及病毒感染。

2） 管理網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間的安全防護(hù)

由于信息網(wǎng)絡(luò)使用人員、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用服務(wù)及系統(tǒng)的復(fù)雜性且與互聯(lián)網(wǎng)相聯(lián)，受病毒攻擊和入侵的概率很大，存在較高的安全隱患。所以在和MES系統(tǒng)前端部署力控華康ISG工業(yè)防火墻，只允許相關(guān)工業(yè)協(xié)議的授權(quán)訪問，防止病毒擴(kuò)散，保證了控制網(wǎng)絡(luò)的通訊安全。

3） PLC、DCS控制系統(tǒng)及控制設(shè)備之間安全防護(hù)

考慮到PLC、DCS控制系統(tǒng)及控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議，或者其它工業(yè)通信標(biāo)準(zhǔn)如Modbus 等。由于常規(guī)的IT 防火墻等安全防護(hù)產(chǎn)品不支持工業(yè)通訊協(xié)議，因此，對(duì)關(guān)鍵的控制器和控制系統(tǒng)的保護(hù)應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對(duì)工業(yè)防火墻進(jìn)行規(guī)則組態(tài)時(shí)只允許制造商專有工業(yè)協(xié)議通過，阻擋來自操作站的任何非法訪問；另一方面可以對(duì)網(wǎng)絡(luò)通訊流量進(jìn)行管控，可以指定只有某個(gè)專有操作站才能訪問指定的控制器；第三方面也可以管控局部網(wǎng)絡(luò)的訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響，從而避免控制器死機(jī)。

4） 現(xiàn)場(chǎng)工業(yè)儀器設(shè)備統(tǒng)一數(shù)采及轉(zhuǎn)發(fā)

在控制網(wǎng)中，現(xiàn)場(chǎng)存在儀器、儀表等接口類型及通訊協(xié)議復(fù)雜多樣的情況，數(shù)據(jù)集中管理、維護(hù)存在很大的難度，因此，對(duì)現(xiàn)場(chǎng)工業(yè)儀器使用力控華康PFC工業(yè)通訊網(wǎng)關(guān)，可采集現(xiàn)場(chǎng)多種不同子系統(tǒng)、設(shè)備、智能儀表等的數(shù)據(jù)，進(jìn)行數(shù)據(jù)集中匯總、分類和預(yù)處理，并向多個(gè)不同應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

5） 安全設(shè)備統(tǒng)一管理

在整個(gè)網(wǎng)絡(luò)中部署了多臺(tái)安全設(shè)備，各安全設(shè)備還是以孤立的單點(diǎn)防御為主，彼此間缺乏有效的協(xié)作，不同的設(shè)備之間的信息也無法共享，通過力控華康工控安全管理平臺(tái)，對(duì)網(wǎng)絡(luò)中的安全設(shè)備進(jìn)行統(tǒng)一管理，收集相關(guān)信息，進(jìn)行關(guān)聯(lián)分析，形成安全事件報(bào)表輸出，有效的幫助管理員了解網(wǎng)絡(luò)中的安全現(xiàn)狀與風(fēng)險(xiǎn)，提供相關(guān)解決辦法和建議。