隨著工業(yè)化與信息化的融合推進，以及以太網(wǎng)技術(shù)在工業(yè)控制系統(tǒng)中的大量應(yīng)用，病毒和木馬對SCADA系統(tǒng)的攻擊事件頻發(fā)，直接影響到公共基礎(chǔ)設(shè)施的安全，造成的損失不可估量。因此，目前國內(nèi)外生產(chǎn)企業(yè)都是否重視工業(yè)控制系統(tǒng)的安全防護建設(shè)。但由于工控網(wǎng)絡(luò)存在著特殊性，商用的信息安全技術(shù)無法完全適用，解決工業(yè)控制系統(tǒng)安全需要有針對性地實施特殊措施。

工業(yè)控制系統(tǒng)安全現(xiàn)狀

工業(yè)控制系統(tǒng)ICS(IndustrialControlSystems)由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成，包括智能電子設(shè)備(IED)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)以及確保各組件通信的接口技術(shù)。工業(yè)控制系統(tǒng)廣泛運用于石油石化、冶金、勘探、電力、燃氣以及市政等領(lǐng)域，用于控制關(guān)鍵生產(chǎn)設(shè)備的運行。當(dāng)前工控系統(tǒng)越來越開放，但也減弱了控制系統(tǒng)與外界的隔離程度，隨著黑客攻擊技術(shù)的不斷發(fā)展，工控系統(tǒng)的安全隱患問題日益嚴(yán)峻，任何一點受到攻擊都有可能導(dǎo)致整個系統(tǒng)癱瘓。

典型的工業(yè)系統(tǒng)控制過程通常由HMI、控制回路、遠程診斷與維護工具三部分組件共同完成，HMI執(zhí)行信息交互，控制回路用以控制邏輯運算，遠程診斷與維護工具確保工業(yè)控制系統(tǒng)能夠穩(wěn)定持續(xù)運行。同時，現(xiàn)場總線技術(shù)作為傳統(tǒng)的數(shù)據(jù)通訊方式廣泛地應(yīng)用在工業(yè)控制中，經(jīng)過多年的爭論后，現(xiàn)場總線國際標(biāo)準(zhǔn)IEC–61158放棄了其制定單一現(xiàn)場總線標(biāo)準(zhǔn)的初衷，最終發(fā)布了包括十種類型總線的國際標(biāo)準(zhǔn)。因此各大總線各具特點、不可互相替代的局面得到世界工控界的認可。但多種現(xiàn)場總線協(xié)議和標(biāo)準(zhǔn)的共存，意味著在各總線之間實現(xiàn)相互操作、相互兼容的代價是高昂的、困難的。

與傳統(tǒng)的信息系統(tǒng)安全需求不同，工業(yè)控制系統(tǒng)設(shè)計需要兼顧應(yīng)用場景與控制管理等多方面因素，以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計理念的影響下，缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。另外，目前控制器甚至遠程I/O支持以太網(wǎng)的功能越來越強，在有些控制器和遠程I/O模塊中已經(jīng)集成了Web服務(wù)器，從而允許信息層的用戶也可以和控制層的用戶一樣直接獲取控制器和遠程I/O模塊中的當(dāng)前狀態(tài)值，采用以太網(wǎng)架構(gòu)和開放的軟件系統(tǒng)的制造企業(yè)因而被稱為“透明工廠”。而由于通過Internet可以實現(xiàn)對工業(yè)生產(chǎn)過程的實時遠程監(jiān)控，將實時生產(chǎn)數(shù)據(jù)與ERP系統(tǒng)以及實時的用戶需求結(jié)合起來，使生產(chǎn)不只是面向訂單的生產(chǎn)，而是直接面向機會和市場，從而使企業(yè)能夠適應(yīng)經(jīng)濟全球化的要求，企業(yè)紛紛聯(lián)網(wǎng)，這就令工控系統(tǒng)更加開放，也減弱了控制系統(tǒng)與外界的隔離。隨著黑客攻擊技術(shù)的不斷發(fā)展，工控系統(tǒng)的安全隱患問題日益嚴(yán)峻，系統(tǒng)中任何一點受到攻擊都有可能導(dǎo)致整個系統(tǒng)的癱瘓。

近幾年來的典型工業(yè)控制系統(tǒng)入侵事件包括：2011年，黑客通過入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞;2010年，“網(wǎng)絡(luò)超級武器”Stuxnet病毒通過針對性的入侵ICS系統(tǒng)，嚴(yán)重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運營;2008年，攻擊者入侵波蘭某城市的地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，導(dǎo)致4節(jié)車廂脫軌等。造成這些事件的主要原因在于，工業(yè)控制系統(tǒng)在考慮效率和實時性的同時，安全性卻沒有成為考量的主要指標(biāo)，安全漏洞導(dǎo)致整個控制系統(tǒng)的安全性相當(dāng)脆弱，隨著越來越多的控制網(wǎng)絡(luò)系統(tǒng)通過信息網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)上，所面臨的安全威脅必然日趨加大，解決安全防護問題刻不容緩。

工業(yè)控制網(wǎng)絡(luò)的安全漏洞

對工控系統(tǒng)而言，可能帶來直接隱患的安全漏洞主要包括以下幾種：

1、病毒與惡意代碼

病毒泛濫也是總所周知的安全隱患。在全球范圍內(nèi)，每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)，而全球現(xiàn)已發(fā)現(xiàn)數(shù)萬種病毒，每天還會新生數(shù)十余種。除了傳統(tǒng)意義上的具有自我復(fù)制能力、但必須寄生在其它實用程序中的病毒種類外，各種新型的惡意代碼更是層出不窮，如邏輯炸彈、特洛伊木馬、蠕蟲等，它們往往具有更強的傳播能力和破壞性。如蠕蟲病毒和傳統(tǒng)病毒相比，其最大的不同在于可以進行自我復(fù)制，傳統(tǒng)病毒的復(fù)制過程需要依賴人工干預(yù)，而蠕蟲卻可以自己獨立完成，破壞性和生命力自然強大得多。

2、SCADA系統(tǒng)軟件的漏洞

國家信息安全漏洞共享平臺在2011年收錄了100多個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，這些漏洞涉及西門子等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。

3、操作系統(tǒng)安全漏洞

PC與Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機/操作站的主流，而在控制網(wǎng)絡(luò)中，操作站是實現(xiàn)與MES通信的主要網(wǎng)絡(luò)結(jié)點，因此其操作系統(tǒng)的漏洞就成為了整個控制網(wǎng)絡(luò)信息安全中的一個短板。

4、網(wǎng)絡(luò)通信協(xié)議安全漏洞

隨著TCP/IP協(xié)議被控制網(wǎng)絡(luò)普遍采用，網(wǎng)絡(luò)通信協(xié)議漏洞問題變得越來越突出。TCP/IP協(xié)議簇最初設(shè)計的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問題，并未考慮也無法兼容解決來自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問題。當(dāng)其推廣到社會的應(yīng)用環(huán)境后，安全問題就發(fā)生了。所以說，TCP/IP在先天上就存在著致命的設(shè)計性安全漏洞。

5、安全策略和管理流程漏洞

追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程，也給工業(yè)控制系統(tǒng)信息安全帶來了一定威脅。

應(yīng)該采取的安全防護策略

工業(yè)控制系統(tǒng)的安全防護需要考慮每一個細節(jié)。從現(xiàn)場I/O設(shè)備、控制器，到操作站的計算機操作系統(tǒng)，工業(yè)控制網(wǎng)絡(luò)中同時存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡(luò)，考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同，防御策略和保障措施應(yīng)該按照等級進行劃分，而實施分層次的縱深防御架構(gòu)需要分別采取不同的對應(yīng)手段，構(gòu)筑從整體到細節(jié)的立體防御體系。

首先，可實施網(wǎng)絡(luò)物理隔離。

根據(jù)公安部制定的《GA370-2001端設(shè)備隔離部件安全技術(shù)要求》的定義，物理隔離的含義是：公共網(wǎng)絡(luò)和專網(wǎng)在網(wǎng)絡(luò)物理連線上是完全隔離的，且沒有任何公用的存儲信息。物理隔離部件的安全功能應(yīng)保證被隔離的計算機資源不能被訪問(至少應(yīng)包括硬盤、軟盤和光盤)，計算機數(shù)據(jù)不能被重用(至少應(yīng)包括內(nèi)存)。

信息安全是一個體系防護的概念，網(wǎng)絡(luò)物理隔離技術(shù)不可能解決所有信息安全問題，但能大大提高網(wǎng)絡(luò)的安全性和可控性，能徹底消除內(nèi)部網(wǎng)絡(luò)遭受外部網(wǎng)絡(luò)侵入和破壞的可能性，從而大大減少網(wǎng)絡(luò)中的不安全因素，縮小追蹤網(wǎng)絡(luò)中非法用戶和黑客的范圍。目前存在的安全問題，對網(wǎng)絡(luò)隔離技術(shù)而言在理論上都不存在，這就是各國政府和軍方都大力推行網(wǎng)絡(luò)隔離技術(shù)的主要原因。

網(wǎng)絡(luò)隔離技術(shù)目前已經(jīng)發(fā)展到了第五代。第一代隔離技術(shù)實際上是將網(wǎng)絡(luò)進行物理上的分開，形成信息孤島;第二代采用硬件卡隔離技術(shù);第三代采用數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術(shù);第四代采用的是空氣開關(guān)隔離技術(shù);而第五代隔離技術(shù)采用了安全通道隔離技術(shù)。基于安全通道的最新隔離技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機制，來實現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問題，還能有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。

總的來說，網(wǎng)絡(luò)隔離技術(shù)的主要目標(biāo)是解決工業(yè)控制系統(tǒng)中的各種漏洞：操作系統(tǒng)漏洞、TCP/IP漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等，網(wǎng)絡(luò)隔離也是目前唯一能解決上述問題的安全技術(shù)。

另外還可以構(gòu)建網(wǎng)絡(luò)防火墻。

網(wǎng)絡(luò)防火墻通過設(shè)置不同的安全規(guī)則來控制設(shè)備或系統(tǒng)之間的數(shù)據(jù)流，在實際應(yīng)用中主要用于分析與互聯(lián)網(wǎng)連接的TCP/IP協(xié)議簇。防火墻在網(wǎng)絡(luò)中使用的前提是必須保證網(wǎng)絡(luò)的連通性，其通過規(guī)則設(shè)置和協(xié)議分析，來限制和過濾那些對管理比較敏感、不安全的信息，防止未經(jīng)授權(quán)的訪問。由于工業(yè)控制與商用網(wǎng)絡(luò)的差異，常規(guī)的網(wǎng)絡(luò)安全設(shè)置規(guī)則用在控制網(wǎng)絡(luò)上就會存在很多問題。只有正確地設(shè)計、配置和維護硬件防火墻的規(guī)則，才可以保護工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全環(huán)境。建議設(shè)置的特殊規(guī)則包括：

1、SCADA和工業(yè)協(xié)議。MODBUS/TCP、EtherNet/IP和DNP3等在工業(yè)控制系統(tǒng)中被大量使用，但是這些協(xié)議在設(shè)計時沒有安全加密機制，通常也不會要求任何認證便可以在遠程對一個控制裝置執(zhí)行命令。這些協(xié)議應(yīng)該只被允許在控制網(wǎng)絡(luò)單向傳輸，不準(zhǔn)許在辦公網(wǎng)絡(luò)穿透到控制網(wǎng)絡(luò)。能夠完成這一功能的工業(yè)防火墻或者安全路由器，通常被部署在具有以太網(wǎng)接口的I/O設(shè)備和控制器上，從而避免因設(shè)備聯(lián)網(wǎng)而造成的病毒攻擊或廣播風(fēng)暴，還可以避免各子系統(tǒng)間的病毒攻擊和干擾。

2、分布式組件對象模型(DCOM)。在過程控制中，OLE和ProfiNet(OPC)是使用DCOM的，它運用了微軟的遠程過程調(diào)用服務(wù)。該服務(wù)有很多的漏洞，很多病毒都會利用這個弱點獲取系統(tǒng)權(quán)限。此外OPC也利用DCOM動態(tài)地打開任意端口，這在防火墻中進行過濾是非常困難的。通用防火墻無法完成對OPC協(xié)議的規(guī)則限制，如果必須需要該協(xié)議，則要求控制網(wǎng)絡(luò)、網(wǎng)絡(luò)之間必須物理分開，將控制網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)橫向隔離。

3、超文本傳輸協(xié)議(HTTP)。一般來說，HTTP不應(yīng)該被允許從企業(yè)管理網(wǎng)透過進入控制網(wǎng)絡(luò)，因為他們會帶來重大安全風(fēng)險。如果HTTP服務(wù)到控制網(wǎng)絡(luò)是絕對必需的，那么在防火墻中需要通過HTTP代理配置來阻止所有執(zhí)行腳本和Java應(yīng)用程序，而且特定的設(shè)備使用HTTPS更安全。

4、限制文件傳輸協(xié)議(FTP)。FTP用于在設(shè)備之間傳輸、交換文件，在SCADA、DCS、PLC、RTU等系統(tǒng)中都有應(yīng)用。FTP協(xié)議并沒有任何安全原則，登入密碼不加密，有些FTP為了實現(xiàn)歷史緩沖區(qū)而出現(xiàn)溢出的漏洞，所以應(yīng)配置防火墻規(guī)則阻塞其通信。如果FTP通訊不能被要求禁止，通過FTP輸出數(shù)據(jù)時，應(yīng)額外增加多個特征碼授權(quán)認證，并提供加密的通信隧道。

5、簡單郵件傳輸協(xié)議(SMTP)。SMTP在互聯(lián)網(wǎng)上是主要的電子郵件傳輸協(xié)議。電子郵件經(jīng)常包含惡意代碼程序，所以不應(yīng)允許以任何控制網(wǎng)絡(luò)設(shè)備接收電子郵件，SMTP郵件應(yīng)主要用于從控制網(wǎng)絡(luò)到辦公網(wǎng)絡(luò)之間輸出發(fā)送報警信息。

6、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)。SNMP是網(wǎng)絡(luò)管理服務(wù)中心，提供管理控制臺與設(shè)備如網(wǎng)絡(luò)設(shè)備、打印機、PLC之間的監(jiān)控，并制定管理的會話規(guī)則。從運維角度看，SNMP是非常有用的服務(wù)，但在安全方面存在很多問題。SNMPV1和SNMPV2C的安全機制比較脆弱，通信不加密，所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信，就可以利用各種嗅探軟件直接獲取通信字符串，即使用戶改變了通信字符串的默認值也無濟于事。SNMPV3解決了上述安全性問題，但卻沒有被廣泛使用。從控制網(wǎng)中使用SNMPV1和V2C的命令都應(yīng)被禁止，除非它是一個完全獨立的信任管理網(wǎng)絡(luò)。而即使設(shè)備已經(jīng)支持SNMPV3，許多廠商使用的還是標(biāo)準(zhǔn)的通信字符串，存在重大安全隱患。因此，雖然SNMPV3比以前的版本提供了更多的安全特性，如果配置不當(dāng)，其實際效果仍舊有限，這一點也需要引起足夠的重視。