導語：工業控制體系網絡安全的思考一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

2010年，震網病毒Stuxnet通過針對性的入侵ICS系統，嚴重威脅到伊朗布什爾核電站核反應堆的安全運營。4)2011年，黑客通過入侵數據采集與監控系統SCADA，使得美國伊利諾伊州城市供水系統的供水泵遭到破壞。5)2012年，中東地區發生了一系列網絡攻擊，摧毀了該地區石油平臺的計算機系統，發動這些攻擊的惡意軟件被稱為“Wiper”。以上安全事件的出現均與SCADA系統本身的特征及脆弱性密切相關，因此對工業控制系統的安全風險進行及時有效的評估、管理和預防，對全面提高和保障工業系統的信息安全具有重要的意義。

ICS的網絡威脅與脆弱性

ICS系統的網絡威脅工業控制系統的網絡架構朝著工業以太網的方向發展，其開放性逐漸增強，基于TCP/IP以太網通訊的OPC(OLEforProcessControl，用于過程控制的一個工業標準)技術在該領域得到廣泛應用。從工業控制系統的網絡現狀分析，ICS網絡面臨兩類安全威脅：1)開放性引入的安全風險。例如TCP/IP協議和OPC協議等通用協議的漏洞很容易遭到來自外部或內部網絡的攻擊。2)連接性引入的安全風險。早期，工業控制系統和企業管理系統是物理隔離的，但近年來為了管理與生產的方便，兩個網絡系統間以邏輯隔離的方式存在，因此ICS系統也面臨來自企業網絡和Internet的威脅。表2總結了ICS系統存在的幾種網絡威脅[1]。

ICS系統的脆弱性工業控制系統的漏洞存在多個方面，如物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等，其中可以造成網絡入侵攻擊的漏洞主要包括以下一些問題[1，5]。

工業控制系統安全防護設計

近些年，業內提出了深度防御策略[1，6-7]來對一個典型的ICS系統進行網絡安全防護，主要包括以下內容：1)為ICS系統實現多層的網絡拓撲結構，在最安全和可靠的層執行最嚴格的通信。2)在企業網絡和ICS網絡間提供邏輯隔離(即在兩個網絡間配置狀態檢測防火墻)。3)配置DMZ網絡結構(即阻止企業網絡和ICS網絡的直接通信)。4)確保關鍵的部件是冗余的，并且部署在冗余網絡上。5)在經過測試能夠確保不影響ICS操作的情況下，禁止ICS設備未使用的端口和服務。6)嚴格限制物理設備接入ICS網絡。7)建立基于角色的訪問控制規則，根據最小化特權的原則配置每個角色的權力。8)考慮對ICS網絡和企業網絡的用戶采用獨立的鑒權機制。9)在技術可行的情況下實現安全控制，如防病毒軟件、文件完整性檢查軟件，以阻止、發現和減少惡意軟件的進入和傳播。10)在ICS數據的存儲和通信中，應用加密等安全技術。11)在現場環境中，必須在測試系統上測試所有的補丁，然后再安裝到ICS系統并配置安全的補丁。12)在ICS的重要區域跟蹤和監控審計日志。這里認為在ICS的3層網絡體系中，應進行多層-多級安全防護。在各層邊界部署防火墻以進行有效隔離。其中信息管理層部署商業防火墻，商用IDS、IPS，以過濾、監控、聯動處理2-7層網絡的攻擊；在生產管理層部署面向生產過程控制的工業防火墻，同時對信息管理層的外部用戶、第三方的連接需求采用專用VPN設備，在生產管理層部署具有物理隔離功能的單向網閘，通過其單向的數據導入和物理隔離能力保證工業過程的信息流嚴格可控。此外，在接入區部署防病毒服務器及終端管理系統，并對商用數據庫部署審計系統，滿足數據管理要求；在管理運維客戶端部署運維操作審計系統，滿足配置管理要求，強化口令及權限管理；針對PC/服務器的操作系統級漏洞實現有效管理，部署商用漏洞掃描產品；針對采用無線連接的系統，部署無線安全產品。通過上述的多層-多級防護，可以基本滿足《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)的要求。

結語

文中針對工業控制系統的網絡安全問題，從ICS與IT系統的區別上分析了信息安全的主要差異，并探討了引起ICS網絡威脅的來源，表述了ICS系統網絡架構存在的脆弱性，同時提出了工業控制系統安全防護的總體設計方案，為從根源防護ICS網絡的安全提供了一些參考思路。

作者：郭春梅，畢學堯單位：北京網御星云信息技術有限公司