本刊記者/宋慧欣

如果說2010年9月，“震網(wǎng)”病毒攻擊伊朗核電站工控系統(tǒng)，給全球工業(yè)界控制系統(tǒng)的信息安全問題敲響了警鐘，那么2011年11月，在拉斯維加斯舉行的黑客大會(huì)上，對(duì)于如何進(jìn)攻中國重要基礎(chǔ)行業(yè)正在使用的工控系統(tǒng)的演示無疑進(jìn)一步表明了我國工控系統(tǒng)信息安全所面臨的緊迫形勢(shì)。

當(dāng)前，國內(nèi)外工業(yè)企業(yè)都把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了日程。2011年10月，工信部印發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，明確提出：“重點(diǎn)加強(qiáng)核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)控制、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)信息安全管理，落實(shí)安全管理要求?！眴栴}已擺在面前，如何解決？當(dāng)然首要問題就是撥開迷霧，探尋問題實(shí)質(zhì)。

本期專題策劃，本刊記者特邀來自西門子、施耐德電氣、霍尼韋爾、ABB、和利時(shí)五家控制系統(tǒng)供應(yīng)商的信息安全專家共同破解工業(yè)控制系統(tǒng)的信息安全迷局。

工業(yè)自動(dòng)化生產(chǎn)領(lǐng)域在享受開放、互聯(lián)技術(shù)帶來的技術(shù)進(jìn)步、生產(chǎn)率提高與競(jìng)爭(zhēng)實(shí)力大大增強(qiáng)的利益的同時(shí)，也面臨著越來越嚴(yán)重的安全威脅。

——西門子

每個(gè)用戶的應(yīng)用不盡相同，因此需要分別評(píng)估各自的安全風(fēng)險(xiǎn)并找出其系統(tǒng)中的最大隱患，以便基于這些因素來構(gòu)建信息安全策略。

——David Doggett

傳統(tǒng)IT領(lǐng)域的影響范圍主要在虛擬的數(shù)字空間，需要借助人的作用才會(huì)對(duì)真實(shí)世界造成影響，工業(yè)領(lǐng)域是真實(shí)世界的重要組成部分，是現(xiàn)代人類文明的基礎(chǔ)，工業(yè)領(lǐng)域的信息安全問題直接對(duì)人類社會(huì)造成威脅。

——朱毅明

MES系統(tǒng)對(duì)信息安全的防護(hù)措施要更加嚴(yán)謹(jǐn)，既要保證各系統(tǒng)之間實(shí)時(shí)可靠的數(shù)據(jù)傳輸，也要限制企業(yè)管理系統(tǒng)網(wǎng)絡(luò)對(duì)下層控制網(wǎng)的不良影響。

——錢浩

建立企業(yè)安全管理長(zhǎng)效機(jī)制，充分認(rèn)識(shí)到安全防衛(wèi)是一個(gè)旅程，而不是一個(gè)目的地(Security is a journey not a destination)含義。

——黃天煌

破題一：為什么近來工業(yè)控制系統(tǒng)信息安全問題頻繁發(fā)生?

國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)日前發(fā)布《2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》，指出： 2011年國家信息安全漏洞共享平臺(tái)收錄了100多個(gè)對(duì)我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長(zhǎng)近10倍，對(duì)正常生產(chǎn)秩序形成嚴(yán)重威脅。毫無疑問，工業(yè)控制系統(tǒng)的信息安全威脅環(huán)境正處于急速變化的階段。正如施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò)安全項(xiàng)目總監(jiān)David Doggett所說：“過去，網(wǎng)絡(luò)安全僅僅是IT和管理系統(tǒng)的問題，而就新的攻擊和威脅來看，物理設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施都可能成為攻擊的目標(biāo)。資產(chǎn)所有人和供應(yīng)商必須盡快適應(yīng)這種環(huán)境?！?/p>

分析其中原因，和利時(shí)科技集團(tuán)技術(shù)總監(jiān)朱毅明認(rèn)為網(wǎng)絡(luò)技術(shù)的深入應(yīng)用使得當(dāng)前工業(yè)控制系統(tǒng)信息安全問題日益突出：“目前在役的工業(yè)控制系統(tǒng)大多是上個(gè)世紀(jì)末期開始研制的，由于當(dāng)時(shí)的工業(yè)控制系統(tǒng)大多采用專用實(shí)時(shí)操作系統(tǒng)、Arcnet、FDDI等網(wǎng)絡(luò)設(shè)備和令牌環(huán)、令牌總線等特殊的網(wǎng)絡(luò)協(xié)議，整個(gè)系統(tǒng)相對(duì)封閉，受到入侵的可能性不大，同時(shí)設(shè)計(jì)人員缺乏信息安全的意識(shí)，在系統(tǒng)架構(gòu)方面基本上沒有考慮信息安全設(shè)計(jì)。隨著計(jì)算機(jī)和網(wǎng)絡(luò)的廣泛應(yīng)用，不少廠家都對(duì)原系統(tǒng)進(jìn)行升級(jí)，PC Base系統(tǒng)、COTS軟件、TCP/IP和以太網(wǎng)逐漸引入到工業(yè)控制系統(tǒng)中，但這些升級(jí)大多屬于局部修改，未能全面考慮信息安全問題，導(dǎo)致了信息安全風(fēng)險(xiǎn)的逐步擴(kuò)大?！?/p>

西門子（中國）有限公司信息安全專家對(duì)此觀點(diǎn)表示認(rèn)同并給予了具體分析：“為了提高生產(chǎn)率和生產(chǎn)的靈活性，標(biāo)準(zhǔn)的自動(dòng)化技術(shù)與聯(lián)系自動(dòng)化“孤島”的網(wǎng)絡(luò)技術(shù)正得到日益廣泛的應(yīng)用。具體表現(xiàn)在工業(yè)自動(dòng)化控制系統(tǒng)正逐漸從封閉、孤立的系統(tǒng)轉(zhuǎn)化為開放互聯(lián)，工業(yè)自動(dòng)化生產(chǎn)開始在所有網(wǎng)絡(luò)層次上橫向與垂直集成；將工業(yè)自動(dòng)化控制網(wǎng)絡(luò)與IT網(wǎng)絡(luò)相連，以及為實(shí)現(xiàn)遠(yuǎn)程維護(hù)與Internet連接；越來越多地采用開放標(biāo)準(zhǔn)以及基于PC的系統(tǒng)。工業(yè)自動(dòng)化生產(chǎn)領(lǐng)域在享受開放、互聯(lián)技術(shù)帶來的技術(shù)進(jìn)步、生產(chǎn)率提高與競(jìng)爭(zhēng)實(shí)力大大增強(qiáng)的利益的同時(shí)，也面臨著越來越嚴(yán)重的安全威脅。包括：未授權(quán)人員的非法訪問；間諜活動(dòng)、非法操縱控制數(shù)據(jù)，由于惡意軟件導(dǎo)致的數(shù)據(jù)丟失、損壞，等等?！?/p>

破題二：工業(yè)控制系統(tǒng)信息安全漏洞有哪些?

近年來，越來越多的工業(yè)自動(dòng)化控制系統(tǒng)安全事件的出現(xiàn)充分說明了自動(dòng)化工廠存在著安全脆弱性，而要面對(duì)這一挑戰(zhàn)，首先應(yīng)當(dāng)充分了解潛在的安全威脅到底出自何處。對(duì)此，各位專家從不同的角度給予了解讀。

霍尼韋爾中國公司高級(jí)系統(tǒng)顧問黃天煌認(rèn)為工業(yè)控制系統(tǒng)安全漏洞來自管理、工業(yè)控制系統(tǒng)供應(yīng)商、工業(yè)控制系統(tǒng)本身多個(gè)方面：“從管理來說，決策部門不夠重視，企業(yè)沒有制定安全政策，沒有安全管理機(jī)制，技術(shù)人員嚴(yán)重缺乏安全知識(shí)；而目前有相當(dāng)一部分工業(yè)控制系統(tǒng)供應(yīng)商沒有完整的工業(yè)安全解決方案也是造成信息安全問題的原因所在；另外，工業(yè)控制系統(tǒng)自身存在安全漏洞，包括：過程控制網(wǎng)絡(luò)架構(gòu)混亂，控制網(wǎng)絡(luò)與IT網(wǎng)絡(luò)隔離不正確，缺少防病毒保護(hù)和及時(shí)更新，缺少Windows安全補(bǔ)丁更新，個(gè)人賬號(hào)或角色管理不合理等?！?/p>

ABB控制技術(shù)部高級(jí)工程師錢浩認(rèn)為工業(yè)控制系統(tǒng)是由軟件與硬件構(gòu)成的，理論上，這些軟件與硬件都有被攻擊的危險(xiǎn)：“常見的安全漏洞包括操作系統(tǒng)平臺(tái)的漏洞例如Windows操作系統(tǒng)、工業(yè)控制系統(tǒng)的漏洞；硬件例如PLC控制器、電腦工作站、網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器等?！?/p>

和利時(shí)科技集團(tuán)技術(shù)總監(jiān)朱毅明則認(rèn)為：“目前工業(yè)控制系統(tǒng)信息安全主要有兩個(gè)關(guān)注點(diǎn)，一是在網(wǎng)絡(luò)傳輸過程中的保密信息泄漏；二是外部入侵影響系統(tǒng)可靠運(yùn)行。工業(yè)控制系統(tǒng)由于對(duì)于傳輸?shù)膶?shí)時(shí)性要求很高，網(wǎng)絡(luò)數(shù)據(jù)傳輸一般不采用加密的方式，在數(shù)據(jù)格式、傳輸協(xié)議方面的特點(diǎn)，也造成了基本上無安全性可言?！?/p>

西門子（中國）有限公司信息安全專家表示：“到目前為止，真正的網(wǎng)絡(luò)攻擊還是比較罕見的。在大多數(shù)情況下，人們多數(shù)談?wù)摰氖菨撛诘墓I(yè)控制系統(tǒng)安全漏洞。目前已知的典型ICS漏洞主要包括，拒絕服務(wù)（Denial of Service)，易受暴力攻擊的弱口令，以及基于PC的Windows系統(tǒng)易受病毒感染等。這些安全漏洞使得ICS系統(tǒng)暴露于安全攻擊之下，因此應(yīng)當(dāng)盡快采取安全措施。”

施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò)安全項(xiàng)目總監(jiān)David Doggett則認(rèn)為：“在最終用戶的系統(tǒng)中，主要安全漏洞來自于工廠物理設(shè)備，因此在工廠內(nèi)加強(qiáng)廠級(jí)安全策略尤為重要。然而，每個(gè)用戶的應(yīng)用不盡相同，因此需要分別評(píng)估各自的安全風(fēng)險(xiǎn)并找出其系統(tǒng)中的最大隱患，以便基于這些因素來構(gòu)建信息安全策略?！?/p>

破題三：工業(yè)控制系統(tǒng)信息安全問題發(fā)生有何特點(diǎn)?在哪些領(lǐng)域易于發(fā)生?

工業(yè)控制系統(tǒng)信息安全問題的發(fā)生有其必然性，這其中也必然有規(guī)律可循，西門子（中國）有限公司信息安全專家分析近些年出現(xiàn)的工控系統(tǒng)安全問題認(rèn)為：“除少數(shù)特別復(fù)雜的攻擊外，主要的問題還是集中在工業(yè)PC感染IT病毒后導(dǎo)致工業(yè)應(yīng)用失效，或影響到工業(yè)以太網(wǎng)，其次是各種工控設(shè)備、應(yīng)用在部署中普遍采用弱口令、空口令、靜態(tài)口令，再有就是利用工程師站上網(wǎng)或從事其他無關(guān)用途等管理脆弱性所帶來的安全問題?！?/p>

從應(yīng)用領(lǐng)域上來看，西門子（中國）有限公司信息安全專家表示：“聯(lián)網(wǎng)程度高、復(fù)雜的（存在大量的子網(wǎng)與控制單元）工控系統(tǒng)，特別是過程控制系統(tǒng)，與企業(yè)IT辦公網(wǎng)有直接、間接互聯(lián)的工控系統(tǒng)，存在（通過Internet或其他公共網(wǎng)絡(luò)）遠(yuǎn)程維護(hù)接口的工控系統(tǒng)，一旦管理不善，都更易于發(fā)生安全問題?！?/p>

雖然有一定規(guī)律可循，但工業(yè)控制系統(tǒng)信息安全問題是一個(gè)普遍問題，不存在避風(fēng)港，不能存有僥幸心理，因?yàn)楣I(yè)控制系統(tǒng)信息安全問題可能造成控制器的性能受影響，或癱瘓，也可能造成控制策略混亂或輸出錯(cuò)誤，從而造成生產(chǎn)安全故障。正如霍尼韋爾中國公司高級(jí)系統(tǒng)顧問黃天煌所言：“只要是使用開放的以太網(wǎng)、基于微軟Windows操作系統(tǒng)的數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC），基于控制系統(tǒng)的高級(jí)應(yīng)用等等，都是易于發(fā)生信息安全問題的領(lǐng)域?！?/p>

ABB控制技術(shù)部高級(jí)工程師錢浩也持相同觀點(diǎn)：“由于工控系統(tǒng)廣泛應(yīng)用于如電力、石化、鋼鐵、造紙、水泥等各種工業(yè)行業(yè)，只要企業(yè)的安全措施沒有做到位，都有可能發(fā)生上述信息安全事故?！?/p>

而和利時(shí)科技集團(tuán)技術(shù)總監(jiān)朱毅明則表示工業(yè)控制系統(tǒng)信息安全問題不但在能源、化工、石化、交通運(yùn)輸?shù)葒窠?jīng)濟(jì)關(guān)鍵領(lǐng)域要關(guān)注，對(duì)于中小型制造企業(yè)方面更要引起重視：“中小型制造業(yè)信息安全問題可能相對(duì)影響較小，但由于中小型企業(yè)技術(shù)能力較大型企業(yè)相對(duì)不足，如果出現(xiàn)信息安全問題，容易出現(xiàn)危險(xiǎn)失控或大面積擴(kuò)散?！?/p>

破題四：相比IT信息安全，工業(yè)控制系統(tǒng)信息安全提出了哪些新需求？

其實(shí)信息安全問題已經(jīng)不是一個(gè)新的話題，但在過去信息安全問題一直是IT領(lǐng)域所關(guān)注的熱點(diǎn)，也針對(duì)此問題提出了一系列的應(yīng)對(duì)策略。但對(duì)于工業(yè)控制系統(tǒng)來說，其信息傳輸具有特殊性，工業(yè)控制系統(tǒng)信息安全與IT系統(tǒng)信息安全自然也存在著差別，霍尼韋爾中國公司高級(jí)系統(tǒng)顧問黃天煌認(rèn)為：“最大的區(qū)別是造成的后果不同，工業(yè)控制系統(tǒng)的信息安全不僅可能造成信息的丟失，還可能造成工業(yè)過程生產(chǎn)故障的發(fā)生，從而造成人員損害及設(shè)備損壞，其直接財(cái)產(chǎn)的損失是巨大的，甚至有可能引起環(huán)境問題和社會(huì)問題。”

與其持相同觀點(diǎn)的還有和利時(shí)科技集團(tuán)技術(shù)總監(jiān)朱毅明：“傳統(tǒng)IT領(lǐng)域與工業(yè)領(lǐng)域相比最大的不同在于：傳統(tǒng)IT領(lǐng)域的影響范圍主要在虛擬的數(shù)字空間，需要借助人的作用才會(huì)對(duì)真實(shí)世界造成影響，工業(yè)領(lǐng)域是真實(shí)世界的重要組成部分，是現(xiàn)代人類文明的基礎(chǔ)，工業(yè)領(lǐng)域的信息安全問題直接對(duì)人類社會(huì)造成威脅?！?/p>

目前，已經(jīng)有許多安全產(chǎn)品可以用于實(shí)現(xiàn)工業(yè)控制系統(tǒng)的“縱深防御”，如最新的病毒掃描軟件及防火墻、網(wǎng)關(guān)等。但安全產(chǎn)品需要充分考慮工業(yè)控制系統(tǒng)的特殊性，包括工控領(lǐng)域使用的是特殊的網(wǎng)絡(luò)協(xié)議，工控設(shè)備多為嵌入式系統(tǒng)，以及SCADA、DCS等工控應(yīng)用的特點(diǎn)，才能提供有效的防護(hù)，簡(jiǎn)單地將原先純粹為IT領(lǐng)域設(shè)計(jì)的安全產(chǎn)品原封不動(dòng)地引入到工業(yè)控制領(lǐng)域，具有相當(dāng)大的局限性，有時(shí)甚至?xí)硇碌膯栴}。西門子（中國）有限公司信息安全專家就此分析認(rèn)為兩者之間需求不同是首先需要考慮的問題：“在辦公I(xiàn)T領(lǐng)域中，其數(shù)據(jù)的最重要的安全需求是機(jī)密性。但在工業(yè)控制領(lǐng)域，更關(guān)鍵的需求是實(shí)時(shí)通信或99.99%的工廠可用性，所以在工控領(lǐng)域，首要的安全需求是可用性?！?/p>

ABB控制技術(shù)部高級(jí)工程師錢浩認(rèn)為工業(yè)控制系統(tǒng)對(duì)信息安全的要求會(huì)更嚴(yán)格，對(duì)系統(tǒng)數(shù)據(jù)的完整性、可用性以及實(shí)時(shí)訪問均有高要求：“首先，工控系統(tǒng)的受控對(duì)象是物理的生產(chǎn)過程，生產(chǎn)受到影響會(huì)導(dǎo)致財(cái)務(wù)、人員、環(huán)境等方面的損失，也會(huì)受國家法規(guī)約束；其次，工控系統(tǒng)信息安全的重點(diǎn)是保護(hù)受控對(duì)象的高度穩(wěn)定性，其可用性要達(dá)到99.9%以上；再次，一旦發(fā)生信息安全的事故，工控系統(tǒng)要求很短時(shí)間內(nèi)解決，手段包括冗錯(cuò)機(jī)制，在線修復(fù)等等?！?/p>

施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò)安全項(xiàng)目總監(jiān)David Doggett則從更具體的角度給予了分析，他認(rèn)為：“首先，對(duì)于IT領(lǐng)域來說，已裝機(jī)系統(tǒng)的更換或升級(jí)頻率一般是兩到三年，此外每個(gè)月還要進(jìn)行例行補(bǔ)丁安裝或修正；而對(duì)于工業(yè)控制系統(tǒng)來說，系統(tǒng)一旦安裝完畢投入運(yùn)行，將進(jìn)行10-20年不間斷的可靠運(yùn)行。但是，由于外部環(huán)境的信息安全威脅不斷變化，某些年代久遠(yuǎn)的已裝機(jī)系統(tǒng)在更換之前必須不斷升級(jí)改造以確保其安全性。越來越多工業(yè)控制系統(tǒng)的安全性不斷提高，而這些系統(tǒng)的生命周期將比之前預(yù)計(jì)的更短，以跟上不斷變化的外部威脅環(huán)境的步伐。工業(yè)控制系統(tǒng)的升級(jí)或補(bǔ)丁安裝過程也與IT領(lǐng)域有很大差別，系統(tǒng)只能接受很短的計(jì)劃停機(jī)時(shí)間。其次，最終用戶工業(yè)控制部門的工作人員所掌握的安全技能往往是比較有限的，所以在設(shè)計(jì)與實(shí)施安全系統(tǒng)時(shí)往往要求低維護(hù)率?！?/p>

破題五：作為現(xiàn)代工廠三層結(jié)構(gòu)中承上啟下的MES系統(tǒng)，其信息安全防范有何特殊性？

在現(xiàn)代工廠三層網(wǎng)絡(luò)架構(gòu)中，承上啟下的MES作為聯(lián)接工業(yè)控制系統(tǒng)與企業(yè)管理系統(tǒng)之間的橋梁，使得底層工控系統(tǒng)與上層的企業(yè)管理系統(tǒng)進(jìn)行信息交互，其信息安全防范又需有哪些特殊考慮？各位專家提出了具有針對(duì)性的策略。

西門子（中國）有限公司信息安全專家表示：“MES其特殊性在于既要考慮與工業(yè)控制系統(tǒng)通信的高可靠性方面的需求，保證MES系統(tǒng)本身的故障、安全問題不會(huì)波及到工業(yè)控制系統(tǒng)；還要考慮企業(yè)管理系統(tǒng)在機(jī)密性方面的需求，采用VPN、強(qiáng)認(rèn)證等技術(shù)保護(hù)企業(yè)生產(chǎn)的關(guān)鍵性數(shù)據(jù)。因此，在實(shí)際中可以考慮將企業(yè)管理系統(tǒng)、MES、工業(yè)控制系統(tǒng)劃分為不同的安全域，并采用防火墻、安全網(wǎng)關(guān)等技術(shù)將其隔離，并在不同的安全域根據(jù)其需求的不同定義不同的安全策略（包括邊界防火墻、網(wǎng)關(guān)的策略），部署不同的安全產(chǎn)品進(jìn)行防護(hù)?！?/p>

ABB控制技術(shù)部高級(jí)工程師錢浩認(rèn)為：“ MES系統(tǒng)對(duì)信息安全的防護(hù)措施要更加嚴(yán)謹(jǐn)，既要保證各系統(tǒng)之間實(shí)時(shí)可靠的數(shù)據(jù)傳輸，也要限制企業(yè)管理系統(tǒng)網(wǎng)絡(luò)對(duì)下層控制網(wǎng)的不良影響。例如在不同網(wǎng)絡(luò)之間架設(shè)硬件防火墻、采用域策略進(jìn)行管理并給予用戶相應(yīng)的訪問策略、外網(wǎng)的連接采用VPN技術(shù)、服務(wù)器與客戶端需要有軟件防火墻及殺毒軟件、完善的數(shù)據(jù)備份機(jī)制、必要時(shí)可對(duì)數(shù)據(jù)庫文件進(jìn)行加密等措施?！?/p>

霍尼韋爾中國公司高級(jí)系統(tǒng)顧問黃天煌表示：“MES與控制系統(tǒng)不同，它沒有與生產(chǎn)過程直接連接，只是通過網(wǎng)絡(luò)及軟件接口，如實(shí)時(shí)數(shù)據(jù)庫，OPC接口等連接，所以MES除了本身必須具備信息安全的防護(hù)以外，還必須注意與控制系統(tǒng)接口安全問題。MES應(yīng)用不要直接訪問控制系統(tǒng)，最好通過由控制廠商提供的專門實(shí)時(shí)數(shù)據(jù)庫，再由該實(shí)時(shí)數(shù)據(jù)庫使用廠商提供的專用通訊接口與控制系統(tǒng)進(jìn)行通訊。同時(shí)在網(wǎng)絡(luò)架構(gòu)上，實(shí)時(shí)數(shù)據(jù)庫必須通過專門的網(wǎng)絡(luò)隔離設(shè)備進(jìn)行隔離，如網(wǎng)絡(luò)防火墻?！?/p>

施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò)安全項(xiàng)目總監(jiān)David Doggett則提出具有針對(duì)性的DMA策略：“保護(hù)三層結(jié)構(gòu)的最常見的解決方案是采用DMZ策略，即安全隔離區(qū)策略。這對(duì)橋接工廠控制層和管理層的MES來說，特別有效。把數(shù)據(jù)放在DMZ安全隔離區(qū)可以保證數(shù)據(jù)通訊不會(huì)直接在企業(yè)層和工廠控制層之間發(fā)生。防火墻也會(huì)放在安全隔離區(qū)的兩側(cè)來阻止未授權(quán)的沖突。如果安全隔離區(qū)計(jì)算機(jī)被采用，則會(huì)把工廠生產(chǎn)隔離開，以阻止可能的潛在隱患。”

破題六：IT系統(tǒng)供應(yīng)商、用戶、工業(yè)控制系統(tǒng)供應(yīng)商、設(shè)計(jì)院如何協(xié)同應(yīng)對(duì)？

由于工業(yè)控制系統(tǒng)所涵蓋的產(chǎn)品廣泛，其信息安全問題是一項(xiàng)綜合性的方案，因此需要用戶、IT系統(tǒng)供應(yīng)商及控制系統(tǒng)廠商緊密地協(xié)作。正如施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò)安全項(xiàng)目總監(jiān)David Doggett表示：“IT供應(yīng)商和IT公司應(yīng)對(duì)信息安全問題多年，對(duì)于技術(shù)、威脅和部署方法十分熟悉，能夠確保企業(yè)、網(wǎng)絡(luò)和計(jì)算機(jī)數(shù)據(jù)的安全。IT供應(yīng)商通常不了解工控系統(tǒng)客戶對(duì)于所需的系統(tǒng)集成性和可靠性的敏感程度。最好的辦法就是各部門協(xié)作，集合掌握技術(shù)、了解環(huán)境、了解潛在隱患及其解決辦法的人員，從而確保系統(tǒng)的可用性和集成性?！?/p>

西門子（中國）有限公司信息安全專家認(rèn)為工業(yè)控制系統(tǒng)的信息安全涉及到工控系統(tǒng)的管理者、運(yùn)營(yíng)者、系統(tǒng)集成商和產(chǎn)品廠商，需要多方協(xié)作才能保護(hù)工業(yè)控制系統(tǒng)免受各種安全威脅的侵害，其具體分析到：“對(duì)工業(yè)控制系統(tǒng)的管理者，其安全需求包括：采取措施與流程防止對(duì)工廠的未經(jīng)授權(quán)的訪問、提供對(duì)關(guān)鍵自動(dòng)化組件物理訪問的防護(hù)等等；而對(duì)運(yùn)營(yíng)者安全需求，則包括：在運(yùn)營(yíng)過程中建立并貫徹安全指南與流程規(guī)范，實(shí)施安全風(fēng)險(xiǎn)管理 ，重視信息與文檔的管理使得安全審計(jì)成為可能等等；對(duì)系統(tǒng)集成商，需要在建立工業(yè)控制系統(tǒng)之初就考慮：訪問控制、用戶控制，數(shù)據(jù)完整性與機(jī)密性，可控的數(shù)據(jù)流等安全需求；而對(duì)工業(yè)控制系統(tǒng)廠商，則需要考慮自動(dòng)化系統(tǒng)組件的安全需求：建立并貫徹安全產(chǎn)品開發(fā)流程、產(chǎn)品功能安全等等。 ”

ABB控制技術(shù)部高級(jí)工程師錢浩則以ABB公司為例告訴我們IT系統(tǒng)供應(yīng)商、用戶、工業(yè)控制系統(tǒng)供應(yīng)商如何協(xié)同應(yīng)對(duì)：“所有與ABB的控制系統(tǒng)有直接聯(lián)系的軟硬件均需要通過ABB Industrial IT認(rèn)證，該認(rèn)證能夠最小化用戶在使用ABB控制系統(tǒng)過程中的信息安全風(fēng)險(xiǎn)；同時(shí)，ABB與Microsoft、IBM、Lenovo、HP、DELL、Cisco、Hirschmann、MOXA、Phoenix、Westermo、McAfee等軟硬件廠商有密切聯(lián)系，定期發(fā)布經(jīng)過ABB研發(fā)部門測(cè)試過的安全補(bǔ)丁與認(rèn)證產(chǎn)品列表供用戶選擇，用戶也能通過信息反饋與ABB工程師進(jìn)行及時(shí)溝通。”

破題七：應(yīng)對(duì)工業(yè)控制系統(tǒng)信息安全，當(dāng)前最緊迫的問題是什么？

盡管工業(yè)控制系統(tǒng)信息安全已成為一個(gè)全球性的問題，但是我國用戶與發(fā)達(dá)國家相比，在安全意識(shí)和防范措施等方面仍存在著巨大的差距，標(biāo)準(zhǔn)與法規(guī)尚未健全，第三方認(rèn)證機(jī)構(gòu)沒有得到系統(tǒng)管理。應(yīng)對(duì)當(dāng)前日益嚴(yán)重的信息安全形勢(shì)，最緊迫的問題是什么？培養(yǎng)人的安全意識(shí)和完善安全風(fēng)險(xiǎn)評(píng)估機(jī)制成為諸位專家的共識(shí)。

ABB控制技術(shù)部高級(jí)工程師錢浩認(rèn)為：“工業(yè)控制系統(tǒng)的正常運(yùn)行離不開人的因素，因此，其信息安全與人員因素息息相關(guān)。明確信息安全目標(biāo)、制訂信息安全政策、劃分信息安全區(qū)域都是當(dāng)前的首要問題?！?/p>

西門子（中國）有限公司信息安全專家認(rèn)為：“對(duì)于人的安全意識(shí)的培養(yǎng)，不僅要意識(shí)到工業(yè)控制系統(tǒng)信息安全問題的迫切性，后果的嚴(yán)重性，更要了解工業(yè)控制系統(tǒng)信息安全不是一個(gè)單純的技術(shù)問題，而是一個(gè)從意識(shí)培養(yǎng)開始，涉及到管理、流程、架構(gòu)、技術(shù)、產(chǎn)品等各方面的系統(tǒng)工程；以及工業(yè)控制系統(tǒng)信息安全是一個(gè)動(dòng)態(tài)過程，需要在整個(gè)工業(yè)基礎(chǔ)設(shè)施生命周期的各個(gè)階段中持續(xù)實(shí)施，不斷改進(jìn)的理念，不可能一蹴而就，也不可能一勞永逸?！?/p>

和利時(shí)科技集團(tuán)技術(shù)總監(jiān)朱毅明則認(rèn)為：“面對(duì)越來越頻繁發(fā)生的工業(yè)控制系統(tǒng)信息安全問題，當(dāng)前最緊迫的事情認(rèn)識(shí)到其嚴(yán)重性，新建或改造的工控系統(tǒng)應(yīng)該具備信息安全特性，全面滿足信息安全需求；對(duì)于在役系統(tǒng)，應(yīng)該針對(duì)各企業(yè)的工業(yè)控制系統(tǒng)的實(shí)際情況進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，設(shè)計(jì)出符合不同工業(yè)企業(yè)實(shí)際情況的工業(yè)控制系統(tǒng)安全解決方案，分期分步開展工控信息安全升級(jí)，從隔離危險(xiǎn)源、切斷危險(xiǎn)進(jìn)入和擴(kuò)散的路徑入手逐步提升工控系統(tǒng)的信息安全水平。

霍尼韋爾中國公司高級(jí)系統(tǒng)顧問黃天煌給出的五大緊迫任務(wù)正是對(duì)以上的最好總結(jié)：目前當(dāng)務(wù)之急就是大力進(jìn)行安全教育，特別是各級(jí)領(lǐng)導(dǎo)及技術(shù)人員要有安全隱患意識(shí)，應(yīng)從以下方面著手：參照IEC 62443 / ISA99標(biāo)準(zhǔn)，由工信部牽頭制定相應(yīng)國家標(biāo)準(zhǔn)；要求企業(yè)建立信息安全專業(yè)小組，制定企業(yè)控制系統(tǒng)信息安全政策(Policies)和實(shí)踐(practices)；對(duì)已有工業(yè)控制系統(tǒng)進(jìn)行全面評(píng)估，及早發(fā)現(xiàn)安全隱患，并采取安全保護(hù)措施；對(duì)新上工業(yè)控制系統(tǒng)項(xiàng)目必須要求充分考慮安全保護(hù)；建立企業(yè)安全管理長(zhǎng)效機(jī)制，充分認(rèn)識(shí)到安全防衛(wèi)是一個(gè)旅程，而不是一個(gè)目的地(Security is a journey not a destination)含義。

工業(yè)控制系統(tǒng)供應(yīng)商信息安全應(yīng)對(duì)策略

對(duì)于新建或升級(jí)改造的工控系統(tǒng)，面對(duì)不同的應(yīng)用場(chǎng)合和利時(shí)提供不同等級(jí)的信息安全解決方案。對(duì)于大型SCADA系統(tǒng)，由于地理上分散部署，網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量多，部分通訊鏈路采用無線通訊或公網(wǎng)，使用COTS軟件較多，信息安全風(fēng)險(xiǎn)較大，在系統(tǒng)架構(gòu)設(shè)計(jì)上就要重點(diǎn)考慮信息安全問題，在設(shè)計(jì)實(shí)現(xiàn)方面，采用權(quán)限認(rèn)證、傳輸加密、完整性檢查、安全分區(qū)、主動(dòng)行為檢查、漏洞掃描等手段降低信息安全風(fēng)險(xiǎn)。對(duì)于PLC和DCS，地理分散度相對(duì)SCADA較低，網(wǎng)絡(luò)以電纜和光纜介質(zhì)為主，COTS軟件主要用于非關(guān)鍵系統(tǒng)，主要采用廣播風(fēng)暴抑制、通訊流量控制、過濾特殊報(bào)文、封閉空閑端口、關(guān)鍵代碼和數(shù)據(jù)加密冗余存儲(chǔ)等信息安全措施。

☆ 保證自動(dòng)化工廠的物理安全；

☆ 建立安全策略與流程；

☆ 進(jìn)行網(wǎng)絡(luò)分區(qū)與（控制單元間的）邊界防護(hù)；

☆ 建立安全的單元間通信；

☆ 系統(tǒng)加固與補(bǔ)丁管理；

☆ 惡意軟件的檢測(cè)與防護(hù)；

☆ 訪問控制與賬號(hào)管理；

☆ 記錄設(shè)備訪問日志，并進(jìn)行必要的審計(jì)。

簡(jiǎn)而言之，就是要確保只有絕對(duì)必要的人員才能在物理上接觸到關(guān)鍵工控系統(tǒng)，將工控設(shè)備在網(wǎng)絡(luò)上與其他不必要相聯(lián)的系統(tǒng)斷開，維護(hù)防火墻的完整性，堅(jiān)持打上最新的軟件安全補(bǔ)丁，等等。

西門子將向客戶提供全面的工業(yè)控制系統(tǒng)信息安全支持，包括產(chǎn)品、系統(tǒng)、解決方案，以及專業(yè)的咨詢服務(wù)。

與此同時(shí)，西門子還在全球的重點(diǎn)國家建立了安全專家網(wǎng)絡(luò)。目前，西門子安全網(wǎng)絡(luò)的中心設(shè)立在德國，并在美國、中國、俄羅斯、法國建立了分支，并計(jì)劃在英國、印度設(shè)立另外兩個(gè)分支。西門子安全專家職責(zé)是第一時(shí)間掌握安全漏洞與網(wǎng)絡(luò)攻擊的相關(guān)信息，與本地客戶、工業(yè)合作伙伴、以及政府權(quán)威機(jī)構(gòu)密切合作，共同分析問題，控制問題的影響范圍，盡快提供相應(yīng)的解決方案。

☆ Honeywell已經(jīng)建立起一個(gè)獨(dú)立的業(yè)務(wù)部門，主動(dòng)幫助用戶實(shí)現(xiàn)安全與防衛(wèi) ；

☆ 與全球重要客戶密切合作，共同研究安全策略；

☆ 參與在標(biāo)準(zhǔn)委員會(huì)的領(lǐng)導(dǎo)層工作，包括：ISA-SP99、IEC-65C、MS-MUG；

☆ 在Honeywell工廠內(nèi)部，不斷進(jìn)行控制系統(tǒng)弱點(diǎn)攻擊測(cè)試 ；

☆ 計(jì)劃對(duì)所有用戶實(shí)施工廠實(shí)現(xiàn)綜合縱深“防御計(jì)劃”。

Honeywell 自動(dòng)化控制系統(tǒng)實(shí)行縱深安全防衛(wèi)策略：

☆ 在控制系統(tǒng)內(nèi)部的每一層內(nèi)置安全防護(hù)功能，包括：

（1）安全可靠且具有完整的網(wǎng)絡(luò)安全性：網(wǎng)絡(luò)分層分區(qū)（FTE社區(qū)），每一層具備不同安全特性。Level1連接使用Honeywell專用的的控制防火墻，保證過程控制器絕對(duì)安全。每一FTE社區(qū)采用虛擬專用網(wǎng)絡(luò)，私有IP地址，F(xiàn)TE社區(qū)只允許通過路由器互聯(lián)。充分使用智能交換機(jī)安全機(jī)制，壓制大量廣播/組播/單播通訊，實(shí)行過程控制信號(hào)優(yōu)先級(jí)通訊，保證監(jiān)控信息傳輸在任何不被中斷。與工廠信息網(wǎng)絡(luò)使用單一網(wǎng)絡(luò)防火墻進(jìn)行隔離。

（2）PC機(jī)安全防護(hù)：基于角色的安全管理，保護(hù)重要文件,注冊(cè)鍵, 目錄；要求使用域服務(wù)器，根據(jù)用戶角色，預(yù)先設(shè)定好域用戶組(Group)，和角色安全模板。

（3）保持控制統(tǒng)處于最新的安全防護(hù)狀態(tài)：強(qiáng)制要求防病毒軟件，建立防病毒數(shù)據(jù)自動(dòng)更新服務(wù)器，及系統(tǒng)安全補(bǔ)丁自動(dòng)更新服務(wù)器。

☆ 提供《控制系統(tǒng)安全最優(yōu)實(shí)踐(Best Practices)》正式文本資料；

☆ 保持警戒(Maintain vigilance)，定期進(jìn)行安全評(píng)估與測(cè)試，不斷維持安全旅程(security journey)；

☆ 提供災(zāi)難性故障的恢復(fù)工具與程序 ；

☆ 與我們的客戶與用戶保持密切合作 ；

☆ 集成化的安全防衛(wèi)方案， 包括物理(Physical), 電子(electronic)和計(jì)算機(jī)(cyber)。