工業控制系統，由一系列自動化控制組件以及實時數據采集、監測的過程控制組件共同構成，在電力設施、水力油氣、交通運輸等重要行業和領域有著廣泛的應用，主要利用信息化手段，實現物理過程的監測和控制。

早期的工業控制系統和企業管理系統是封閉、隔離的，隨著時代發展，為了實時數據采集與生產控制，需要將工業控制系統和企業管理系統直接通信交互。

電力、石化、交通、市政及關鍵基礎行業對信息網絡的依賴越來越強，相關行業的工業控制系統間也日益通過信息網絡來實現信息互聯互通及遠程控制。因此工業控制系統將不能僅關注系統功能安全問題，更要注意防范來自網絡空間的安全問題。

《2016工業控制系統漏洞趨勢報告》顯示，工業控制系統漏洞正在增多，在2014到2015年之間存在著49%高速增長。如何把控工控安全、提升防護能力已成為業界關注的焦點，業內分析，工控安全將成為政策部署的重點之一。

一、近兩年主要工業控制系統(ICS)安全事件

BLACKENERGY(黑暗力量)攻擊導致的斷電事故

2015年12月23日，烏克蘭電力供應商Prykarpattyaoblenergo通報了持續三個小時的大面積停電事故，受影響地區涉及伊萬諾-弗蘭科夫斯克、卡盧什、多利納等多個烏克蘭城市。后經調查發現，停電事故為網絡攻擊導致。攻擊者使用附帶有惡意代碼的Excel郵件附件滲透了某電網工作站人員系統，向電網網絡植入了BlackEnergy惡意軟件，獲得對發電系統的遠程接入和控制能力。

2016年12月17日晚，該公司再次遭到攻擊，影響到基輔附近諾威佩特里夫茨村的北部變電站自動化控制系統，再次造成大規模停電事故，該停電事故主要影響的范圍是基輔（烏克蘭首都）北部及其周邊地區。

Operation GHOUL(食尸鬼)行動

2016年8月，卡巴斯基安全實驗室揭露了針對工控行業的“食尸鬼”網絡攻擊活動，攻擊通過偽裝阿聯酋國家銀行電郵，使用魚叉式釣魚郵件，對中東和其它國家的工控組織發起了定向網絡入侵。攻擊中使用鍵盤記錄程序HawkEye收集受害系統相關信息。

伊朗黑客攻擊美國大壩事件

2016年3月24日，美國司法部公開指責7名伊朗黑客入侵了紐約鮑曼水壩(Bowman Avenue Dam)的一個小型防洪控制系統。幸運的是，經執法部門后期調查確認，黑客還沒有完全獲得整個大壩計算機系統的控制權，僅只是進行了一些信息獲取和攻擊嘗試。

二、工控安全面臨的根源問題

工業控制系統(ICS)安全事關國家關鍵基礎設施安全和民生安全，智能樓宇系統、自來水廠控制系統、核電站管理系統，每一個工業控制系統都影響著人們的生產生活，網絡安全已不僅存在于電腦中，對生活同樣有重要影響。

目前來說，工控安全問題的最大根源在于信息安全從來不是工業控制系統的設計目標。從產品設計上看，大量工控設備都缺少安全機制，包括最基本的安全功能，如身份鑒別、訪問控制、通信保護、安全審計等。

工業控制系統面臨著安全挑戰。從管理角度看，工業控制系統存在職責不清晰、安全意識薄弱、“重safety輕security”的問題，工控信息安全長期處于“三不管”地帶，所有設備在上線前未經安全測評，上線后也很少進行安全評估。這些原因最終造成了當前工業控制系統惡意代碼無防護，網絡連接無隔離、系統漏洞難修補、網絡狀況無監測、遠程通信無保護的狀況。

在人員管理方面，隨著工業與IT的融合，企業內部人員，如：工程師、管理人員、現場操作員、企業高層管理人員等，其“有意識”或“無意識”的行為，可能破壞工業控制系統、傳播惡意軟件、忽略工作異常等，而針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。

三、IT系統安全技術在工控領域的挑戰

長期以來，在我國信息安全不是工業控制系統的首要設計目標，以“保密性-完整性-可用性”為設計要求的信息安全解決方案和標準很難滿足工控行業對信息安全的需求，因此存在著適用程度低等問題。

工業控制系統與IT系統差別很大。工業控制系統強調實時性、可靠性，有些系統甚至要求毫秒級，系統不會輕易重啟，且更新很慢。工業控制系統安全首先強調可用性，其次是完整性，最后是保密性。IT系統則更強調保密性、完整性，最后才是可用性。這兩種安全目標的反差直接使得現有信息安全技術在工控領域面臨很大的挑戰。

比如漏洞掃描、滲透測試、補丁更新、主機監控等技術都由于可能會影響工業控制系統可用性而不被行業用戶所接受。再加上工控網絡大量采用私有通信協議，而且設備本身的處理能力低、對實時要求高，這些導致了防護隔離、入侵檢測、通信加密、網絡監控等傳統信息安全技術都需要改變。

四、工業控制系統安全解決方向

隨著工業化和信息化的深度融合，信息安全將成為工控網絡安全的重要問題，而工控網絡安全防護，應從管理和技術兩方面進行：

從管理上，理順“工控信息安全到底歸誰管”的問題，也就是明確工控信息安全組織機構。在具體措施上可借鑒已有成熟的信息安全管理標準規范，并與現行的生產安全管理制度進行對照，查漏補缺，確保管理制度具備可行性。此外，還需加強人員的安全意識培訓，覆蓋信息安全領域和自動控制領域。

從技術上，加強工控網絡防護及邊界防護。在工控網絡中部署工業防火墻及工業隔離產品，對工控網絡進行安全防護，配置相應安全策略，做到對工控設備的訪問控制，對工控協議數據的深度過濾。

企業整體工控網絡可分為三層次：信息網、管理網和控制網。企業管理者通過從信息網ERP系統中提取有關生產數據用于制定綜合管理決策；從管理網MES系統中獲取數據，完成各種控制、運行參數的監測、報警和趨勢分析等功能；控制網負責通過組態設計，完成過程控制及數據采集等各種功能。

在工控網絡不同區域分別部署力控華康ISG工業防火墻、PSL工業隔離網關、PFC工業通訊網關、工控安全管理平臺進行整體網絡防護，如下圖：

可實現以下功能：

1） 管理網和控制網之間的安全防護

本案中大量使用OPC 通訊協議，由于OPC 通訊采用不固定的端口號，使用傳統的IT 防火墻進行防護時，不得不開放大規模范圍內的端口號。在這種情況下，防火墻提供的安全保障被降至最低。因此，在管理網和控制網之間部署力控華康PSL隔離網關，解決OPC 通訊采用動態端口帶來的安全防護瓶頸問題，阻止病毒和任何其它的非法訪問，這樣來自防護區域內的病毒感染就不會擴散到相鄰的工控網絡及其他網絡，提升網絡區域劃分能力的同時從本質上保證了網絡通訊安全。

力控華康PSL隔離網關內部采用2+1的雙獨立主機架構，控制端接入工業控制網絡，通過采集接口完成各子系統數據的采集；信息接入到管理網絡，完成數據到MES的傳輸。雙主機之間通過專有的PSL網絡隔離傳輸技術，截斷 TCP 連接，徹底割斷穿透性的 TCP 連接。PSL的物理層采用專用隔離硬件，鏈路層和應用層采用私有通信協議，數據流采用128 位以上加密方式傳輸，更加充分保障數據安全。PSL技術實現了數據完全自我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根本上杜絕了非法數據的通過，確保子系統控制系統不會受到攻擊、侵入及病毒感染。

2） 管理網絡和信息網絡之間的安全防護

由于信息網絡使用人員、網絡結構、應用服務及系統的復雜性且與互聯網相聯，受病毒攻擊和入侵的概率很大，存在較高的安全隱患。所以在和MES系統前端部署力控華康ISG工業防火墻，只允許相關工業協議的授權訪問，防止病毒擴散，保證了控制網絡的通訊安全。

3） PLC、DCS控制系統及控制設備之間安全防護

考慮到PLC、DCS控制系統及控制器之間的通訊一般都采用制造商專有工業通訊協議，或者其它工業通信標準如Modbus 等。由于常規的IT 防火墻等安全防護產品不支持工業通訊協議，因此，對關鍵的控制器和控制系統的保護應使用專業的工業防火墻。一方面對工業防火墻進行規則組態時只允許制造商專有工業協議通過，阻擋來自操作站的任何非法訪問；另一方面可以對網絡通訊流量進行管控，可以指定只有某個專有操作站才能訪問指定的控制器；第三方面也可以管控局部網絡的訊速率，防止控制器遭受網絡風暴及其它攻擊的影響，從而避免控制器死機。

4） 現場工業儀器設備統一數采及轉發

在控制網中，現場存在儀器、儀表等接口類型及通訊協議復雜多樣的情況，數據集中管理、維護存在很大的難度，因此，對現場工業儀器使用力控華康PFC工業通訊網關，可采集現場多種不同子系統、設備、智能儀表等的數據，進行數據集中匯總、分類和預處理，并向多個不同應用系統進行數據轉發。

5） 安全設備統一管理

在整個網絡中部署了多臺安全設備，各安全設備還是以孤立的單點防御為主，彼此間缺乏有效的協作，不同的設備之間的信息也無法共享，通過力控華康工控安全管理平臺，對網絡中的安全設備進行統一管理，收集相關信息，進行關聯分析，形成安全事件報表輸出，有效的幫助管理員了解網絡中的安全現狀與風險，提供相關解決辦法和建議。