導(dǎo)語(yǔ)：工業(yè)自動(dòng)化系統(tǒng)信息安全思索一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1工業(yè)自動(dòng)化控制系統(tǒng)信息安全現(xiàn)狀

現(xiàn)代工業(yè)基礎(chǔ)設(shè)施包括電力、石油與天然氣、水利、工業(yè)制造，以及交通控制等重點(diǎn)行業(yè)，構(gòu)成了我國(guó)國(guó)民經(jīng)濟(jì)、現(xiàn)代社會(huì)以及國(guó)家安全的重要基礎(chǔ)。工業(yè)基礎(chǔ)設(shè)施的中關(guān)鍵應(yīng)用、系統(tǒng)故障可能導(dǎo)致：(1)人員傷亡，嚴(yán)重的甚至造成群死、群傷等嚴(yán)重的社會(huì)事件；(2)嚴(yán)重的經(jīng)濟(jì)損失，危及我國(guó)經(jīng)濟(jì)建設(shè)的秩序與成果；(3)基礎(chǔ)設(shè)施被破壞，導(dǎo)致無法繼續(xù)提供對(duì)國(guó)計(jì)民生至關(guān)重要的物質(zhì)產(chǎn)品與公共服務(wù)；(4)環(huán)境災(zāi)難，從而嚴(yán)重危害人民乃至子孫后代賴以生存、發(fā)展的根本物質(zhì)基礎(chǔ)；(5)危及公眾生活及國(guó)家安全，導(dǎo)致社會(huì)恐慌、政府公信力受損，甚至導(dǎo)致恐怖襲擊等極其嚴(yán)重的后果。而在現(xiàn)代工業(yè)基礎(chǔ)設(shè)施中，工業(yè)自動(dòng)化控制系統(tǒng)（IACS-IndustrialAutomationControlSystem）又構(gòu)成了其神經(jīng)系統(tǒng)。工業(yè)自動(dòng)化控制系統(tǒng)的安全直接關(guān)系到各重點(diǎn)工業(yè)行業(yè)的生產(chǎn)安全，因而，近年來成為信息安全研究的重點(diǎn)、熱點(diǎn)領(lǐng)域。傳統(tǒng)上，工業(yè)自動(dòng)化控制系統(tǒng)多采用專用技術(shù)的封閉網(wǎng)絡(luò)，其面臨的（信息）安全威脅不突出。各種工業(yè)控制設(shè)備、應(yīng)用、系統(tǒng)主要是針對(duì)專有的封閉環(huán)境而設(shè)計(jì)，對(duì)外沒有互聯(lián)互通。由于沒有現(xiàn)實(shí)的（信息）安全威脅，工業(yè)自動(dòng)化控制系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)與部署過程中，其主要指標(biāo)是可用性、功能、性能、（物理）安全性、實(shí)時(shí)性等，而無需過多考慮網(wǎng)絡(luò)攻擊、信息安全等問題。

但近幾十年來，各種工業(yè)自動(dòng)化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)（包括與傳統(tǒng)IT系統(tǒng)互聯(lián)），日益廣泛地采用以太網(wǎng)、TCP/IP網(wǎng)絡(luò)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將工業(yè)控制協(xié)議遷移到應(yīng)用層；采用包括IWLAN、GPRS等在內(nèi)的各種無線網(wǎng)絡(luò)；廣泛采用標(biāo)準(zhǔn)的Windows等商用操作系統(tǒng)、設(shè)備、中間件與各種通用技術(shù)。典型的工業(yè)自動(dòng)化控制系統(tǒng)——SCADA（SupervisoryControlAndDataAcquisition，數(shù)據(jù)采集與監(jiān)控系統(tǒng)）、DCS（DistributedControlSystem，分布式控制系統(tǒng)）、PLC（ProgrammableLogicController，可編程邏輯控制器）等正日益變得開放、通用和標(biāo)準(zhǔn)化。工業(yè)自動(dòng)化控制系統(tǒng)在享受開放、互聯(lián)技術(shù)帶來的進(jìn)步、效率與利益的同時(shí)，也開始面臨著越來越嚴(yán)重的安全威脅，具體包括：(1)由于病毒、惡意軟件等導(dǎo)致的工廠停產(chǎn)；(2)工業(yè)制造的核心數(shù)據(jù)、配方被竊取；(3)制造工廠及其關(guān)鍵工控生產(chǎn)流程被破壞；(4)惡意操縱工控?cái)?shù)據(jù)或應(yīng)用軟件；(5)對(duì)工控系統(tǒng)功能未經(jīng)授權(quán)的訪問等。由于長(zhǎng)期缺乏安全需求的推動(dòng)，對(duì)（采用TCP/IP等通用技術(shù)的）網(wǎng)絡(luò)環(huán)境下廣泛存在的安全威脅缺乏充分認(rèn)識(shí)，現(xiàn)有的工業(yè)自動(dòng)化控制系統(tǒng)過去在設(shè)計(jì)、研發(fā)中沒有充分考慮安全問題，在部署、運(yùn)維中又缺乏安全意識(shí)、管理、流程、策略與相關(guān)專業(yè)技術(shù)的支撐，導(dǎo)致許多工業(yè)自動(dòng)化控制系統(tǒng)中存在著這樣或那樣的安全問題，一旦被無意或惡意利用，就會(huì)造成各種安全事件。近年來，越來越多的工業(yè)信息安全事件見諸報(bào)端，充分說明工業(yè)自動(dòng)化控制系統(tǒng)所面臨的安全威脅絕非空穴來風(fēng)。目前，我國(guó)對(duì)工業(yè)自動(dòng)化控制系統(tǒng)信息安全工作的重要性與緊迫性也日益重視。2011年工信部了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)安全管理的通知》，明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求，并強(qiáng)調(diào)了“誰主管誰負(fù)責(zé)、誰運(yùn)營(yíng)誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，對(duì)連接管理、組網(wǎng)管理、配置管理、設(shè)備選擇與升級(jí)管理、數(shù)據(jù)管理、應(yīng)急管理等等提出了明確要求。國(guó)際上也早已意識(shí)到工業(yè)自動(dòng)化控制系統(tǒng)信息安全的重要性，包括美國(guó)、歐洲在內(nèi)的西方國(guó)家，早在上個(gè)世紀(jì)90年代左右就開始了相關(guān)的研究工作。而工控信息安全方面的國(guó)際標(biāo)準(zhǔn)，包括ISA-99（也即IEC62443）[1]、NERCCIP、NISTSP800-82、WIBM-2784、IEC62351等等。其中，ISA-99由InternationalSocietyofAutomation（ISA）WG4工作組負(fù)責(zé)制定，面向各種工業(yè)行業(yè)的工業(yè)自動(dòng)化控制系統(tǒng)（IACS）的安全。由于ISA-99充分考慮了工業(yè)領(lǐng)域的不同參與方（自動(dòng)化產(chǎn)品廠商、系統(tǒng)/產(chǎn)品提供商、系統(tǒng)集成商、終端用戶）的不同安全需求，比較符合各工業(yè)行業(yè)的對(duì)信息安全標(biāo)準(zhǔn)的需要。目前，ISA-99已經(jīng)完成了三部分，其他部分也正在制定中，而我國(guó)也已開始積極參與到該標(biāo)準(zhǔn)的制定工作中。因此，在可以預(yù)見的將來，工業(yè)自動(dòng)化控制系統(tǒng)的信息安全將會(huì)成為信息安全研究及相關(guān)工作的一個(gè)重點(diǎn)研究領(lǐng)域。針對(duì)工業(yè)自動(dòng)化控制系統(tǒng)的特點(diǎn)，研制并部署相應(yīng)的工業(yè)自動(dòng)化控制系統(tǒng)信息安全解決方案，保障我國(guó)工業(yè)基礎(chǔ)設(shè)施的安全運(yùn)營(yíng)，已成為迫在眉睫的需求。

2工業(yè)自動(dòng)化控制系統(tǒng)的特點(diǎn)

雖然工業(yè)自動(dòng)化控制系統(tǒng)的安全威脅源自IT、網(wǎng)絡(luò)技術(shù)在工業(yè)領(lǐng)域日益廣泛的應(yīng)用，但工控系統(tǒng)仍具有自身的特點(diǎn)，簡(jiǎn)單采用標(biāo)準(zhǔn)的IT安全技術(shù)很難適應(yīng)于工控環(huán)境下控制協(xié)議、設(shè)備、應(yīng)用、標(biāo)準(zhǔn)的特殊安全需求。本文將以典型的DCS為例（其網(wǎng)絡(luò)拓?fù)淙鐖D1所示），具體分析工業(yè)自動(dòng)化控制系統(tǒng)的特點(diǎn)。首先，在工業(yè)自動(dòng)化控制系統(tǒng)中，直接執(zhí)行現(xiàn)場(chǎng)控制操作的通常為PLC、分布式I/O這樣的嵌入式設(shè)備。這些設(shè)備專為現(xiàn)場(chǎng)控制環(huán)境而設(shè)計(jì)、制造，多用于執(zhí)行關(guān)鍵的實(shí)時(shí)控制，易受到DoS攻擊的影響。同時(shí)，由于當(dāng)前廣泛應(yīng)用的PLC多設(shè)計(jì)于十幾年前，多數(shù)僅集成了簡(jiǎn)單的口令安全等機(jī)制。設(shè)計(jì)、生產(chǎn)并推廣具有強(qiáng)安全措施的新型PLC尚待時(shí)日。與此同時(shí)，當(dāng)前工業(yè)自動(dòng)化控制領(lǐng)域還大量使用工業(yè)PC（IndustrialPC）作為工程師站、HMI、服務(wù)器等的硬件平臺(tái)。IPC實(shí)際上是一種針對(duì)工業(yè)作業(yè)環(huán)境進(jìn)行了加固的PC機(jī)，具有在粉塵、高/低溫、潮濕、震動(dòng)、腐蝕環(huán)境下連續(xù)不間斷工作的能力。由于易用性、用戶友好方面的考慮，目前工控領(lǐng)域的大多數(shù)IPC都使用Windows操作系統(tǒng)，通過專門的I/O卡、協(xié)議芯片等硬件使之具備工業(yè)控制、通信功能。由于是基于Windows的PC系統(tǒng)，IPC也面臨著與普通PC類似的安全威脅。圖1典型DCS的網(wǎng)絡(luò)拓?fù)淦浯危I(yè)自動(dòng)化控制系統(tǒng)中采用了許多特有的工業(yè)控制通信協(xié)議。這些協(xié)議或是針對(duì)特定的控制環(huán)境與應(yīng)用場(chǎng)景（如工業(yè)以太網(wǎng)通信）而設(shè)計(jì)，其安全需求與可用性、實(shí)時(shí)性、功能等關(guān)鍵需求有沖突之處，因此無法簡(jiǎn)單地修改協(xié)議，而需要有針對(duì)性地部署附加（add-on）安全解決方案；有些協(xié)議在設(shè)計(jì)之初未考慮安全方面的需求，或未考慮廣泛互聯(lián)所帶來的更高的安全需求，因而需要在為防護(hù)遺產(chǎn)系統(tǒng)提供防護(hù)解決方案的同時(shí)，逐漸遷移到新的、更安全的規(guī)范。以目前得到廣泛應(yīng)用的工業(yè)以太網(wǎng)標(biāo)準(zhǔn)化PROFINET[2]為例。PROFINET是標(biāo)準(zhǔn)化組織PI（PROFIBUSInternational）為工業(yè)自動(dòng)化制定的開放工業(yè)以太網(wǎng)標(biāo)準(zhǔn)，PROFINET符合TCP/IP和IT標(biāo)準(zhǔn)，可實(shí)現(xiàn)與現(xiàn)場(chǎng)總線系統(tǒng)的多層次無縫集成，并保證實(shí)時(shí)通信。PROFINET實(shí)際上是一個(gè)協(xié)議族，采用了不同的通信方式，用于滿足不同的通信需求，(1)基于以太網(wǎng)第二層（Layer2）的實(shí)時(shí)數(shù)據(jù)通信，包括實(shí)時(shí)RT通信（響應(yīng)時(shí)間為5~10ms）；基于第二層的同步實(shí)時(shí)交換芯片的同步實(shí)時(shí)IRT通信通道（在100個(gè)節(jié)點(diǎn)下，響應(yīng)時(shí)間小于1ms，抖動(dòng)誤差小于1μs）；以及用于第二層網(wǎng)絡(luò)管理與配置的DCP（DiscoveryandConfigurationProtocol）、LLDP（LinkLayerDiscoveryProtocol）等子協(xié)議。(2)非實(shí)時(shí)的TCP/IP通信，包括基于UDP/DCOM的PN-CM（ContextManagement，用于建立并維護(hù)PROFINET通信上下文）等。由于要保證RT、IRT控制通信的實(shí)時(shí)性，在PROFINET中集成復(fù)雜的內(nèi)嵌安全機(jī)制并不現(xiàn)實(shí)。但PROFINET實(shí)際上是工業(yè)以太網(wǎng)通信協(xié)議標(biāo)準(zhǔn)，其RT、IRT等實(shí)時(shí)控制通道都屬于第二層通信協(xié)議，其互聯(lián)的控制設(shè)備需要位于同一以太網(wǎng)內(nèi)，才能保證實(shí)時(shí)控制通信。因此，完全可以在保障物理安全的前提下，通過有針對(duì)性地部署防火墻、網(wǎng)關(guān)、VPN，將PROFINET網(wǎng)絡(luò)隔離為獨(dú)立的安全域，從而保證其安全。再以得到廣泛應(yīng)用的ClassicOPC（OLEforProcessControl）[3]為例。19951996年，為了避免單獨(dú)定義專門的網(wǎng)絡(luò)通信協(xié)議與進(jìn)程間的通信機(jī)制，加快OPC規(guī)范的制定工作，ClassicOPC的通信接口直接采用了微軟的COM/DCOM。目前，OPCDA（DataAccess）服務(wù)器被廣泛用于（在控制域中）從PLC等控制設(shè)備中采集控制數(shù)據(jù)，再以C/S模式供（位于監(jiān)控區(qū)或辦公區(qū)的）OPCDA客戶端訪問。但由于ClassicOPC是基于COM/DCOM的，所以客戶端在訪問OPCDA服務(wù)器數(shù)據(jù)時(shí)采用的是動(dòng)態(tài)端口，ClassicOPCDA的協(xié)議通信過程如下（如圖2所示）：(1)OPC客戶端首先基于DCOM通過TCP135端口向OPC服務(wù)器發(fā)送連接請(qǐng)求，而OPC服務(wù)器動(dòng)態(tài)分配一個(gè)1024~65536之間的動(dòng)態(tài)端口號(hào)發(fā)送給OPC客戶端；(2)然后OPC客戶端才通過這個(gè)動(dòng)態(tài)端口向OPC服務(wù)器發(fā)送數(shù)據(jù)請(qǐng)求，并獲得對(duì)應(yīng)的控制數(shù)據(jù)。圖2ClassicOPCDA通信如OPC客戶端部署于（圖1中的）辦公網(wǎng)絡(luò)，而OPC服務(wù)器則位于（圖1中的監(jiān)控域。ClassicOPC的這種動(dòng)態(tài)端口協(xié)商機(jī)制將導(dǎo)致在兩個(gè)網(wǎng)絡(luò)之間無法部署傳統(tǒng)IT防火墻，為工控網(wǎng)絡(luò)提供有效的防護(hù)。OPCFoundation早已意識(shí)到ClassicOPC的局限性，了新一代的OPCUA（UniversalArchitecture）。OPCUA的傳輸機(jī)制不再基于COM/DCOM，而是采用二進(jìn)制TCP通信，或防火墻友好的WebService通信，因此成為未來OPC發(fā)展的方向。因此，一方面對(duì)現(xiàn)存的大量ClassicOPC遺產(chǎn)應(yīng)用，迫切需要能夠提供動(dòng)態(tài)端口防護(hù)的網(wǎng)關(guān)產(chǎn)品；另一方面在新的工控系統(tǒng)中，則應(yīng)當(dāng)盡可能地采用OPCUA。最后，工業(yè)自動(dòng)化控制系統(tǒng)信息安全保障的對(duì)象，是集散控制系統(tǒng)DCS、過程控制系統(tǒng)PCS、監(jiān)控與采集系統(tǒng)SCADA等。這些系統(tǒng)并非傳統(tǒng)的IT系統(tǒng)，與電信系統(tǒng)也相去甚遠(yuǎn)，簡(jiǎn)單采用標(biāo)準(zhǔn)的IT安全技術(shù)也無法為工控應(yīng)用系統(tǒng)提供周全的保護(hù)。因此需要深入地研究工業(yè)自動(dòng)化控制應(yīng)用的特點(diǎn)與特殊的安全需求，才能真正確保工業(yè)自動(dòng)化控制系統(tǒng)的安全。

3工控信息安全需求分析

工控信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，不僅涉及到技術(shù)、產(chǎn)品、系統(tǒng)，更取決于工業(yè)企業(yè)的安全管理的水平。在工業(yè)應(yīng)用多元化發(fā)展需求的強(qiáng)勁推動(dòng)下，隨著工業(yè)自動(dòng)化控制網(wǎng)絡(luò)正逐步演變?yōu)殚_放系統(tǒng)，大規(guī)模采用IT技術(shù)，其集成化網(wǎng)絡(luò)系統(tǒng)與IT網(wǎng)絡(luò)基礎(chǔ)設(shè)施充分互聯(lián)，IT部門與自動(dòng)化生產(chǎn)部門共同負(fù)責(zé)自動(dòng)化網(wǎng)絡(luò)運(yùn)營(yíng)。在這一背景下，工業(yè)企業(yè)是否經(jīng)常性地組織安全培訓(xùn)與意識(shí)培養(yǎng)，是否根據(jù)其系統(tǒng)特點(diǎn)制訂了相關(guān)的安全策略，是否建立了正規(guī)、可備案的安全流程，是否設(shè)計(jì)、維護(hù)了工業(yè)自動(dòng)化控制系統(tǒng)的安全架構(gòu)，是否根據(jù)相關(guān)實(shí)施指南貫徹了工控設(shè)備安全配置，是否建立了常規(guī)的安全審計(jì)制度，是否建立了安全事件監(jiān)控與應(yīng)急響應(yīng)制度與預(yù)案，都直接關(guān)系著相應(yīng)的安全技術(shù)及解決方案是否能真正起到作用。與傳統(tǒng)IT信息安全相比，工控信息安全有著其自身的特點(diǎn)，主要體現(xiàn)為安全防護(hù)的重點(diǎn)有所不同。IT安全一般針對(duì)的是辦公自動(dòng)化環(huán)境，需要首先保證機(jī)密性，其次才是完整性和可用性（即通常所說的CIA）。而工控信息安全的防護(hù)對(duì)象則是現(xiàn)場(chǎng)的PLC、RTU等控制設(shè)備，工業(yè)控制（實(shí)時(shí)）網(wǎng)絡(luò)通信，以及DCS、SCADA等工業(yè)控制應(yīng)用，其特點(diǎn)可以總結(jié)為：(1)必須優(yōu)先保障24/7/365的可用性，提供不間斷的可操作性，并確保工業(yè)自動(dòng)化控制系統(tǒng)可訪問；(2)保證系統(tǒng)性能；(3)保證數(shù)據(jù)的實(shí)時(shí)傳輸；(4)系統(tǒng)與數(shù)據(jù)的完整性；(5)為實(shí)現(xiàn)無縫的通信與功能交互而采用開放標(biāo)準(zhǔn)(6)采用通用組件（如微軟OS）作為自動(dòng)化解決方案的基礎(chǔ)；(7)辦公環(huán)境與生產(chǎn)IT系統(tǒng)間的不間斷通信以保障對(duì)生產(chǎn)的實(shí)時(shí)監(jiān)控；(8)對(duì)工廠全生命周期的支持；(9)防止誤操作與蓄意破壞；(10)保護(hù)專有技術(shù)；(11)安全日志與變更管理等。對(duì)工業(yè)信息安全而言，首先需要滿足控制系統(tǒng)的高可用性的要求，其次是完整性。由于在工控環(huán)境下，多數(shù)數(shù)據(jù)都是設(shè)備與設(shè)備之間的通信，因此，再次的安全目標(biāo)才是機(jī)密性。所以，可以將工業(yè)自動(dòng)化控制系統(tǒng)信息安全的關(guān)鍵需求總結(jié)為：(1)開展工業(yè)安全風(fēng)險(xiǎn)評(píng)估，建設(shè)全面的信息安全管理；(2)實(shí)現(xiàn)安全域的劃分與隔離，不同安全域之間的網(wǎng)絡(luò)接口需遵從清晰的安全規(guī)范；(3)部署集成安全措施的保護(hù)基于工業(yè)PC的控制系統(tǒng)；(4)保護(hù)工業(yè)自動(dòng)化控制系統(tǒng)的控制單元，防御安全攻擊；(5)實(shí)現(xiàn)對(duì)工業(yè)自動(dòng)化控制通信的可感知與可控制。

4解決方案：縱深防御

根據(jù)工業(yè)自動(dòng)化控制系統(tǒng)的特點(diǎn)，要滿足上述安全需求，需要引入工業(yè)自動(dòng)化控制系統(tǒng)“縱深防御”的概念作為解決方案。縱深防御就是要通過部署多層次的、具有不同針對(duì)性的安全措施，保護(hù)關(guān)鍵的工業(yè)自動(dòng)化控制過程與應(yīng)用的安全，其特點(diǎn)在于：(1)攻擊者將不得不滲透或繞過不同的多層安全機(jī)制，大大增加了攻擊的難度；(2)安全架構(gòu)中存在于某一層次上的安全脆弱性，可被其他防護(hù)措施所彌補(bǔ)，從而避免“一點(diǎn)突破，滿盤皆輸”的危險(xiǎn)。建立工業(yè)自動(dòng)化控制系統(tǒng)縱深防御，首先需要對(duì)具體工業(yè)自動(dòng)化控制系統(tǒng)安全需求進(jìn)行系統(tǒng)地分析，制定相應(yīng)的安全規(guī)劃；并對(duì)工控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，切合實(shí)際地識(shí)別出該系統(tǒng)的安全脆弱性，面臨的安全威脅，以及風(fēng)險(xiǎn)的來源。在此基礎(chǔ)上，借助于產(chǎn)品安全、安全操作指南以及專業(yè)的工業(yè)安全服務(wù)，建立、部署層次化的多重安全措施（如圖3所示）。具體包括物理安全，制定安全策略與流程，部署防火墻進(jìn)行隔離、防護(hù)不同的安全單元（安全域），采用VPN保護(hù)單元間通信，進(jìn)行系統(tǒng)加固，部署賬號(hào)管理等訪問控制措施，以及補(bǔ)丁管理、惡意軟件檢測(cè)與防護(hù)等。目前，縱深防御的工業(yè)信息安全理念覆蓋了工業(yè)自動(dòng)化控制系統(tǒng)的所有級(jí)別，是滿足工業(yè)信息安全領(lǐng)域的關(guān)鍵需求的現(xiàn)實(shí)解決方案。

本文以圖1.中的基于PROFINET的DCS系統(tǒng)為例，扼要探討一下如何根據(jù)PROFINET的特點(diǎn)，建立工業(yè)自動(dòng)化控制系統(tǒng)的縱深防御：(1)建立PROFINET的物理防護(hù)邊界物理安全是工業(yè)自動(dòng)化控制系統(tǒng)信息安全的前提，首先需要確保PROFINET網(wǎng)絡(luò)處于可控的物理環(huán)境中，只有經(jīng)過授權(quán)的人員才能接觸網(wǎng)絡(luò)、設(shè)備。(2)安全策略與流程工業(yè)自動(dòng)化控制系統(tǒng)縱深防御不僅依賴于技術(shù)、產(chǎn)品，更需要完備的安全策略與規(guī)范的安全流程。近年來，許多工業(yè)自動(dòng)化控制系統(tǒng)被病毒感染都是由于工程師在IPC上使用被病毒感染的USB移動(dòng)存儲(chǔ)所致。類似的問題，簡(jiǎn)單依靠技術(shù)手段很難完全防止，更需要依靠安全管理措施與流程的貫徹。(3)建立安全的控制單元，確保PROFINET的邊界安全在工業(yè)自動(dòng)化控制系統(tǒng)中，每個(gè)控制單元（圖1中controlcell）都是相對(duì)獨(dú)立的子系統(tǒng)，不同的控制單元之間通過PROFINET進(jìn)行集成、互聯(lián)。而PROFINET的日常生產(chǎn)控制又相對(duì)獨(dú)立于操作站、維護(hù)站等維護(hù)應(yīng)用，以及HMI、OPC服務(wù)器、應(yīng)用服務(wù)器等監(jiān)控系統(tǒng)或應(yīng)用。因此，需要將基于PROFINET的DCS按其用途、特點(diǎn)劃分為不同的安全域（控制單元、PROFINET網(wǎng)絡(luò)與與監(jiān)控域），定義清晰的安全域邊界。還可根據(jù)其應(yīng)用、通信業(yè)務(wù)的不同之處，進(jìn)一步將PROFINET中用于組態(tài)、調(diào)試、維護(hù)的操作站、維護(hù)站等劃分為一個(gè)獨(dú)立的安全域。并在安全域之間的接口處部署防火墻、安全網(wǎng)關(guān)等隔離設(shè)備。此外，對(duì)遠(yuǎn)程接入、遠(yuǎn)程維護(hù)、無線接入等，也需要在其接口處針對(duì)性地部署邊界訪問控制。(4)采用VPN技術(shù)保護(hù)不同控制單元之間的通信對(duì)于不同控制單元、安全域之間的通信，可以通過在安全單元之間部署VPN保護(hù)單元間的通信，保證相關(guān)業(yè)務(wù)通信的認(rèn)證、完整性與機(jī)密性，阻止非法業(yè)務(wù)通信。同時(shí)，借助于VPN隧道技術(shù)，還可在安全單元內(nèi)將維護(hù)、調(diào)試等組態(tài)通信業(yè)務(wù)，數(shù)據(jù)采集等監(jiān)控業(yè)務(wù)與實(shí)時(shí)控制業(yè)務(wù)隔離開，避免組態(tài)、數(shù)據(jù)采集等被濫用后對(duì)實(shí)時(shí)控制通信產(chǎn)生影響。對(duì)于ClassicOPCDA服務(wù)器，必要時(shí)還需要部署專門應(yīng)用網(wǎng)關(guān)保護(hù)其免受來自（OPC客戶端所在的）其他域的攻擊。(5)系統(tǒng)加固與補(bǔ)丁管理目前用于組態(tài)/維護(hù)的工程師站、HMI終端、OPC、SCADA、應(yīng)用服務(wù)器等都采用的是安裝了Windows的IPC，加之在IPC上運(yùn)行的工業(yè)控制軟件、應(yīng)用，以及相關(guān)中間件等，都可能存在相應(yīng)的安全漏洞，因此在條件允許的情況下，需要及時(shí)地進(jìn)行補(bǔ)丁升級(jí)與系統(tǒng)加固。同時(shí)，雖然PLC等工控設(shè)備多數(shù)基于專有的嵌入式系統(tǒng)，但其固件也存在補(bǔ)丁升級(jí)的問題。(5)賬號(hào)管理對(duì)PLC、IPC上的關(guān)鍵工控應(yīng)用、過程、資源，為防止未經(jīng)授權(quán)的訪問或?yàn)E用，對(duì)不同人員的訪問權(quán)限進(jìn)行細(xì)粒度的控制，并在安全審計(jì)中對(duì)安全事件進(jìn)行溯源，需要將管理措施與技術(shù)手段相結(jié)合，針對(duì)PLCCPU口令，工業(yè)WLAN口令、IPCWindows口令、HMI口令等建立系統(tǒng)的賬號(hào)管理，強(qiáng)化基于口令的訪問控制。(7)惡意軟件防護(hù)技術(shù)對(duì)采用Windows系統(tǒng)的IPC工作站與服務(wù)器，病毒、蠕蟲等惡意軟件的攻擊是其面臨的最普遍的安全威脅之一。所以不僅需要在工控網(wǎng)絡(luò)中所有的IPC主機(jī)上全面部署病毒監(jiān)控，如有更高的安全需求，還需要在安全域的入口處進(jìn)一步部署防病毒網(wǎng)關(guān)。此外，根據(jù)ISA-99，工業(yè)自動(dòng)化控制系統(tǒng)縱深防御還需要建立安全日志的搜集、備案與審計(jì)機(jī)制；并建立安全事件處理及應(yīng)急響應(yīng)預(yù)案，做到一旦發(fā)生安全事件，能夠迅速定位脆弱點(diǎn)，追溯攻擊源，并迅速恢復(fù)系統(tǒng)正常功能。從而實(shí)現(xiàn)對(duì)工業(yè)自動(dòng)化控制通信的可感知與可控制。

5總結(jié)

工業(yè)自動(dòng)化控制系統(tǒng)信息安全不是一個(gè)單純的技術(shù)問題，而是一個(gè)從意識(shí)培養(yǎng)開始，涉及到管理、流程、架構(gòu)、技術(shù)、產(chǎn)品等各方面的系統(tǒng)工程，需要工業(yè)自動(dòng)化控制系統(tǒng)的管理方、運(yùn)營(yíng)方、集成商與組件供應(yīng)商的共同參與，協(xié)同工作，并在整個(gè)工業(yè)基礎(chǔ)設(shè)施生命周期的各個(gè)階段中持續(xù)實(shí)施，不斷改進(jìn)才能保障我國(guó)工業(yè)基礎(chǔ)設(shè)施的安全運(yùn)營(yíng)。最后，與在IT信息安全中類似，工業(yè)自動(dòng)化控制系統(tǒng)的安全是一個(gè)動(dòng)態(tài)過程，設(shè)備變更、系統(tǒng)升級(jí)等都會(huì)導(dǎo)致工業(yè)自動(dòng)化控制系統(tǒng)自身處于動(dòng)態(tài)演化之中，而各種安全威脅、安全攻擊技術(shù)的復(fù)雜性和技巧性也在不斷演變，防范難度也會(huì)與日俱增，因此在工控信息安全也無法達(dá)到100%，信息安全需要工業(yè)自動(dòng)化控制系統(tǒng)生命周期的各個(gè)階段中持續(xù)實(shí)施、不斷改進(jìn)。