工業(yè)控制系統(tǒng)（IndustrialControlSystems,ICS），是由各種自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED），以及確保各組件通信的接口技術(shù)。典型的ICS控制過(guò)程通常由控制回路、HMI、遠(yuǎn)程診斷與維護(hù)工具三部分組件共同完成，控制回路用以控制邏輯運(yùn)算，HMI執(zhí)行信息交互，遠(yuǎn)程診斷與維護(hù)工具確保ICS能夠穩(wěn)定持續(xù)運(yùn)行。

1.1工業(yè)控制系統(tǒng)潛在的風(fēng)險(xiǎn)

（1）操作系統(tǒng)的安全漏洞問(wèn)題

由于考慮到工控軟件與操作系統(tǒng)補(bǔ)丁兼容性的問(wèn)題，系統(tǒng)開(kāi)車(chē)后一般不會(huì)對(duì)Windows平臺(tái)打補(bǔ)丁，導(dǎo)致系統(tǒng)帶著風(fēng)險(xiǎn)運(yùn)行。

（2）殺毒軟件安裝及升級(jí)更新問(wèn)題

用于生產(chǎn)控制系統(tǒng)的Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴(kuò)散留下了空間。（3）使用U盤(pán)、光盤(pán)導(dǎo)致的病毒傳播問(wèn)題

由于在工控系統(tǒng)中的管理終端一般沒(méi)有技術(shù)措施對(duì)U盤(pán)和光盤(pán)使用進(jìn)行有效的管理，導(dǎo)致外設(shè)的無(wú)序使用而引發(fā)的安全事件時(shí)有發(fā)生。

（4）設(shè)備維修時(shí)筆記本電腦的隨便接入問(wèn)題

工業(yè)控制系統(tǒng)的管理維護(hù)，沒(méi)有到達(dá)一定安全基線的筆記本電腦接入工業(yè)控制系統(tǒng)，會(huì)對(duì)工業(yè)控制系統(tǒng)的安全造成很大的威脅。

（5）存在工業(yè)控制系統(tǒng)被有意或無(wú)意控制的風(fēng)險(xiǎn)問(wèn)題

如果對(duì)工業(yè)控制系統(tǒng)的操作行為沒(méi)有監(jiān)控和響應(yīng)措施，工業(yè)控制系統(tǒng)中的異常行為或人為行為會(huì)給工業(yè)控制系統(tǒng)帶來(lái)很大的風(fēng)險(xiǎn)。

（6）工業(yè)控制系統(tǒng)控制終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備故障沒(méi)有及時(shí)發(fā)現(xiàn)而響應(yīng)延遲的問(wèn)題

對(duì)工業(yè)控制系統(tǒng)中IT基礎(chǔ)設(shè)施的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，是工業(yè)工控系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。

1.2"兩化融合"給工控系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)

工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的，但近年來(lái)為了實(shí)現(xiàn)實(shí)時(shí)的數(shù)據(jù)采集與生產(chǎn)控制，滿足"兩化融合"的需求和管理的方便，通過(guò)邏輯隔離的方式，使工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)可以直接進(jìn)行通信，而企業(yè)管理系統(tǒng)一般直接連接Internet，在這種情況下，工業(yè)控制系統(tǒng)接入的范圍不僅擴(kuò)展到了企業(yè)網(wǎng)，而且面臨著來(lái)自Internet的威脅。同時(shí)，企業(yè)為了實(shí)現(xiàn)管理與控制的一體化，提高企業(yè)信息化合綜合自動(dòng)化水平，實(shí)現(xiàn)生產(chǎn)和管理的高效率、高效益，引入了生產(chǎn)執(zhí)行系統(tǒng)MES，對(duì)工業(yè)控制系統(tǒng)和管理信息系統(tǒng)進(jìn)行了集成，管理信息網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)之間實(shí)現(xiàn)了數(shù)據(jù)交換。導(dǎo)致生產(chǎn)控制系統(tǒng)不再是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)，而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進(jìn)行互通、互聯(lián)。

1.3工控系統(tǒng)采用通用軟硬件帶來(lái)的風(fēng)險(xiǎn)

工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展，開(kāi)放性越來(lái)越強(qiáng)?；赥CP/IP以太網(wǎng)通訊的OPC技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。在工業(yè)控制系統(tǒng)中，由于工業(yè)系統(tǒng)集成和使用的便利性，大量使用了工業(yè)以太環(huán)網(wǎng)和OPC通信協(xié)議進(jìn)行了工業(yè)控制系統(tǒng)的集成；同時(shí)，也大量的使用了PC服務(wù)器和終端產(chǎn)品，操作系統(tǒng)和數(shù)據(jù)庫(kù)也大量的使用了通用的系統(tǒng)，很容易遭到來(lái)自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊?二、工業(yè)控制系統(tǒng)安全防護(hù)設(shè)計(jì)。通過(guò)以上對(duì)工業(yè)控制系統(tǒng)安全狀況分析，我們可以看到，工控系統(tǒng)采用通用平臺(tái)，加大了工控系統(tǒng)面臨的安全風(fēng)險(xiǎn)，而"兩化融合"和工控系統(tǒng)自身的缺陷造成的安全風(fēng)險(xiǎn)，主要從兩個(gè)方面進(jìn)行安全防護(hù)。通過(guò)"三層架構(gòu)，二層防護(hù)"的體系架構(gòu)，對(duì)工業(yè)企業(yè)信息系統(tǒng)進(jìn)行分層、分域、分等級(jí)，從而對(duì)工控系統(tǒng)的操作行為進(jìn)行嚴(yán)格的、排他性控制，確保對(duì)工控系統(tǒng)操作的唯一性。通過(guò)工控系統(tǒng)安全管理平臺(tái)，確保HMI、管理機(jī)、控制服務(wù)工控通信設(shè)施安全可信。

2.1構(gòu)建"三層架構(gòu)，二層防護(hù)"的安全體系

工業(yè)控制系統(tǒng)需要進(jìn)行橫向分層、縱向分域、區(qū)域分等級(jí)進(jìn)行安全防護(hù)，否則管理信息系統(tǒng)、生產(chǎn)執(zhí)行系統(tǒng)、工業(yè)控制系統(tǒng)處于同一網(wǎng)絡(luò)平面，層次不清，你中有我、我中有你。來(lái)自于管理信息系統(tǒng)的入侵或病毒行為很容易對(duì)工控系統(tǒng)造成損害，網(wǎng)絡(luò)風(fēng)暴和拒絕式服務(wù)攻擊很容易消耗系統(tǒng)的資源，使得正常的服務(wù)功能無(wú)法進(jìn)行。

2.1.1工控系統(tǒng)的三層架構(gòu)

一般工業(yè)企業(yè)的信息系統(tǒng)，可以劃分為管理層、制造執(zhí)行層、工業(yè)控制層。在管理信層與制造執(zhí)行系統(tǒng)層之間，主要進(jìn)行身份鑒別、訪問(wèn)控制、檢測(cè)審計(jì)、鏈路冗余、內(nèi)容檢測(cè)等安全防護(hù)；在制造執(zhí)行系統(tǒng)層和工業(yè)控制系統(tǒng)層之間，主要避免管理層直接對(duì)工業(yè)控制層的訪問(wèn)，保證制造執(zhí)行層對(duì)工業(yè)控制層的操作唯一性。工控系統(tǒng)三層架構(gòu)如下圖所示：

近些年，業(yè)內(nèi)提出了深度防御策略[1，6-7]來(lái)對(duì)一個(gè)典型的ICS系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù)，主要包括以下內(nèi)容：

1)為ICS系統(tǒng)實(shí)現(xiàn)多層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在最安全和可靠的層執(zhí)行最嚴(yán)格的

2)在企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)間提供邏輯隔離(即在兩個(gè)網(wǎng)絡(luò)間配置狀態(tài)檢測(cè)防火墻)。

3)配置DMZ網(wǎng)絡(luò)結(jié)構(gòu)(即阻止企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)的直接通信)。

4)確保關(guān)鍵的部件是冗余的，并且部署在冗余網(wǎng)絡(luò)上。

5)在經(jīng)過(guò)測(cè)試能夠確保不影響ICS操作的情況下，禁止ICS設(shè)備未使用的端口和服務(wù)。

6)嚴(yán)格限制物理設(shè)備接入ICS網(wǎng)絡(luò)。

7)建立基于角色的訪問(wèn)控制規(guī)則，根據(jù)最小化特權(quán)的原則配置每個(gè)角色的權(quán)力。

8)考慮對(duì)ICS網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的用戶采用獨(dú)立的鑒權(quán)機(jī)制。

9)在技術(shù)可行的情況下實(shí)現(xiàn)安全控制，如防病毒軟件、文件完整性檢查軟件，以阻止、發(fā)現(xiàn)和減少惡意軟件的進(jìn)入和傳播。

10)在ICS數(shù)據(jù)的存儲(chǔ)和通信中，應(yīng)用加密等安全技術(shù)。

11)在現(xiàn)場(chǎng)環(huán)境中，必須在測(cè)試系統(tǒng)上測(cè)試所有的補(bǔ)丁，然后再安裝到ICS系統(tǒng)并配置安全的補(bǔ)丁。

12)在ICS的重要區(qū)域跟蹤和監(jiān)控審計(jì)日志。這里認(rèn)為在ICS的3層網(wǎng)絡(luò)體系中，應(yīng)進(jìn)行多層-多級(jí)安全防護(hù)。在各層邊界部署防火墻以進(jìn)行有效隔離。其中信息管理層部署商業(yè)防火墻，商用IDS、IPS，以過(guò)濾、監(jiān)控、聯(lián)動(dòng)處理2-7層網(wǎng)絡(luò)的攻擊；在生產(chǎn)管理層部署面向生產(chǎn)過(guò)程控制的工業(yè)防火墻，同時(shí)對(duì)信息管理層的外部用戶、第三方的連接需求采用專(zhuān)用VPN設(shè)備，在生產(chǎn)管理層部署具有物理隔離功能的單向網(wǎng)閘，通過(guò)其單向的數(shù)據(jù)導(dǎo)入和物理隔離能力保證工業(yè)過(guò)程的信息流嚴(yán)格可控。此外，在接入?yún)^(qū)部署防病毒服務(wù)器及終端管理系統(tǒng)，并對(duì)商用數(shù)據(jù)庫(kù)部署審計(jì)系統(tǒng)，滿足數(shù)據(jù)管理要求；在管理運(yùn)維客戶端部署運(yùn)維操作審計(jì)系統(tǒng)，滿足配置管理要求，強(qiáng)化口令及權(quán)限管理；針對(duì)PC/服務(wù)器的操作系統(tǒng)級(jí)漏洞實(shí)現(xiàn)有效管理，部署商用漏洞掃描產(chǎn)品；針對(duì)采用無(wú)線連接的系統(tǒng)，部署無(wú)線安全產(chǎn)品。通過(guò)上述的多層-多級(jí)防護(hù)，可以基本滿足《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))的要求。