許光濘

(中國(guó)電子科技集團(tuán)公司 第三十二研究所，上海 201808)

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)以及物聯(lián)網(wǎng)的快速發(fā)展，在工業(yè)化和信息化“兩化”融合的行業(yè)發(fā)展需求下，工控網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的互聯(lián)互通是一個(gè)必然趨勢(shì)。工業(yè)控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)，包括與傳統(tǒng)IT系統(tǒng)互聯(lián)，工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，廣泛地采用以太網(wǎng)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施。工業(yè)生產(chǎn)企業(yè)為了提高生產(chǎn)效率、管理效率，大力推進(jìn)工業(yè)控制系統(tǒng)自身的集成化、集中化管理，使得工業(yè)控制網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬(wàn)縷的聯(lián)系。

工業(yè)控制系統(tǒng)與其他網(wǎng)絡(luò)系統(tǒng)的互聯(lián)互通，拓展了工業(yè)控制的發(fā)展空間，同時(shí)也帶來(lái)了工業(yè)控制系統(tǒng)的信息安全等問(wèn)題。工業(yè)控制系統(tǒng)在建設(shè)之初時(shí)主要考慮的是各自系統(tǒng)的可用性，而系統(tǒng)之間互聯(lián)互通的安全風(fēng)險(xiǎn)和防護(hù)建設(shè)考慮的不多。工業(yè)控制系統(tǒng)的安全關(guān)系到各工業(yè)行業(yè)的生產(chǎn)安全。如何保證開(kāi)放性越來(lái)越廣的生產(chǎn)控制網(wǎng)絡(luò)的安全性，是目前擺在用戶及行業(yè)自動(dòng)化制造商面前的難題。

1 工業(yè)控制系統(tǒng)信息安全的內(nèi)涵

1.1 工業(yè)控制系統(tǒng)信息安全的定義

IEC 62443針對(duì)工業(yè)控制系統(tǒng)信息安全的定義[1]是： 保護(hù)系統(tǒng)所采取的措施；能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)和非授權(quán)或意外的變更、破壞或者損失；基于計(jì)算機(jī)系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無(wú)法修改軟件及其數(shù)據(jù)也無(wú)法訪問(wèn)系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止；防止對(duì)工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計(jì)劃的操作。

1.2 工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)的不同

最初的工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)并無(wú)相似之處，但隨著工業(yè)控制系統(tǒng)與其他系統(tǒng)的互聯(lián)互通，廣泛的使用低成本的互聯(lián)網(wǎng)協(xié)議設(shè)備取代專有的解決方案，它們已經(jīng)開(kāi)始類似于IT系統(tǒng)了。但是，工業(yè)控制系統(tǒng)是工業(yè)領(lǐng)域的生產(chǎn)運(yùn)行系統(tǒng)，而IT系統(tǒng)通常是信息化領(lǐng)域的管理運(yùn)行系統(tǒng)，從信息安全目標(biāo)這一根本原則來(lái)看，傳統(tǒng)的CIA原則(機(jī)密性、完整性和可用性)已不再適用于工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)的安全目標(biāo)應(yīng)遵循AIC(可用性、完整性、機(jī)密性)等原則[2]。工業(yè)控制系統(tǒng)與IT系統(tǒng)的綜合比較見(jiàn)表1所列[3]。

表1 工業(yè)控制系統(tǒng)與IT系統(tǒng)的比較

續(xù)表1

2 工業(yè)控制系統(tǒng)的安全現(xiàn)狀及安全事件

2.1 工業(yè)控制系統(tǒng)的安全現(xiàn)狀

工業(yè)控制系統(tǒng)安全不是“老系統(tǒng)碰上新問(wèn)題”，而是傳統(tǒng)信息安全問(wèn)題在工業(yè)控制領(lǐng)域的延伸。早期的工業(yè)控制系統(tǒng)信息安全問(wèn)題主要發(fā)生在上位機(jī)系統(tǒng)、工程師站、管理員或操作員站，因?yàn)檫@些設(shè)備的使用環(huán)境與傳統(tǒng)IT系統(tǒng)幾乎沒(méi)有差別，使用通用的硬件平臺(tái)和通用的操作系統(tǒng)，非常容易感染病毒，遭受黑客的攻擊。隨著“兩化”融合加快，工業(yè)控制系統(tǒng)面臨比傳統(tǒng) IT 系統(tǒng)更為嚴(yán)峻的內(nèi)外部威脅： 非法外部組織的潛在攻擊威脅；個(gè)人移動(dòng)電腦、智能移動(dòng)終端、U盤(pán)等設(shè)備的不受控接入；內(nèi)部人員的誤操作和惡意操作行為等。在智能制造時(shí)代，隨著接入信息系統(tǒng)的增加，工業(yè)控制系統(tǒng)的安全問(wèn)題體現(xiàn)得更加突出。工業(yè)控制系統(tǒng)的安全問(wèn)題主要體現(xiàn)在以下幾個(gè)方面：

1)工業(yè)控制系統(tǒng)涉及的范圍廣泛，安全工作量呈現(xiàn)指數(shù)型上升。以往傳統(tǒng)的信息安全大多數(shù)集中在傳輸層、數(shù)據(jù)交換層以及數(shù)據(jù)應(yīng)用層等技術(shù)層面，而工業(yè)控制系統(tǒng)安全除了涉及上層的管理層，還包括系統(tǒng)監(jiān)控層、數(shù)據(jù)交換傳輸層、設(shè)備現(xiàn)場(chǎng)過(guò)程控制層，工控安全更側(cè)重于工業(yè)過(guò)程控制層。隨著工業(yè)控制系統(tǒng)范圍的擴(kuò)大以及監(jiān)控重心的轉(zhuǎn)移導(dǎo)致了安全復(fù)雜性的指數(shù)級(jí)上升[4]。

2)傳統(tǒng)的安全手段使用受限。由于工業(yè)控制系統(tǒng)的安全目標(biāo)與傳統(tǒng)IT系統(tǒng)的目標(biāo)不同，導(dǎo)致一些原來(lái)對(duì)IT系統(tǒng)非常有效的安全手段在工業(yè)控制系統(tǒng)中并不適用，需要開(kāi)發(fā)新的技術(shù)體系來(lái)應(yīng)對(duì)日益復(fù)雜的安全挑戰(zhàn)。例如對(duì)系統(tǒng)進(jìn)行安全掃描，由于很多工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)協(xié)議對(duì)時(shí)延非常敏感，如果硬掃描，則可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，限制了安全掃描在工業(yè)控制系統(tǒng)中的應(yīng)用。

3)針對(duì)工業(yè)控制系統(tǒng)的攻擊更加具有針對(duì)性和目的性，攻擊的目標(biāo)由系統(tǒng)的管理層設(shè)備變?yōu)楝F(xiàn)場(chǎng)控制層設(shè)備。“震網(wǎng)”病毒是世界上首個(gè)專門(mén)針對(duì)工業(yè)控制系統(tǒng)的病毒，打破了人們一直認(rèn)為的“病毒不會(huì)感染現(xiàn)場(chǎng)控制設(shè)備”的理念，打破了“PLC與RTU不是運(yùn)行在現(xiàn)代的操作系統(tǒng)之上，沒(méi)有漏洞”的誤區(qū)。

4)工業(yè)控制信息應(yīng)用系統(tǒng)幾乎是傳統(tǒng)IT信息系統(tǒng)的拷貝，工業(yè)控制系統(tǒng)大量采用IT通用軟硬件，如PC服務(wù)器和終端產(chǎn)品、操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)，但安全防護(hù)遠(yuǎn)遠(yuǎn)落后于傳統(tǒng)IT系統(tǒng)的安全防護(hù)。由于工業(yè)控制系統(tǒng)兼容性的問(wèn)題，系統(tǒng)補(bǔ)丁和殺毒軟件的安全措施不到位，還是以隔離為主要防護(hù)手段。

2.2 工業(yè)控制系統(tǒng)的重大安全事件

近年來(lái)，各個(gè)工業(yè)行業(yè)的工業(yè)控制系統(tǒng)信息安全事故頻發(fā)，對(duì)企業(yè)生產(chǎn)運(yùn)營(yíng)、企業(yè)名譽(yù)甚至對(duì)社會(huì)和國(guó)家層面都造成了重大影響。工業(yè)控制系統(tǒng)的重大網(wǎng)絡(luò)安全事件見(jiàn)表2所列。

表2 重大工業(yè)網(wǎng)絡(luò)安全事件

3 工業(yè)控制系統(tǒng)模型

根據(jù)ANSI/ISA-99： 2007[5-7]標(biāo)準(zhǔn)、GB/T 20720—2019《企業(yè)控制系統(tǒng)集成》、IEC62264整理出的工業(yè)控制系統(tǒng)分層參考模型如圖1所示。

圖1 工業(yè)控制系統(tǒng)分層參考模型示意

在工業(yè)控制系統(tǒng)參考模型中，現(xiàn)場(chǎng)執(zhí)行層是實(shí)際的物理過(guò)程，屬于物理空間，包括各種不同類型的生產(chǎn)設(shè)施，典型設(shè)備包括直接連接到過(guò)程和過(guò)程設(shè)備的傳感器和執(zhí)行器等。由于該層的物理空間過(guò)程對(duì)實(shí)時(shí)性、完整性等要求導(dǎo)致工業(yè)控制系統(tǒng)特有的特點(diǎn)和安全需求。

現(xiàn)場(chǎng)控制層，主要包括： 分散型控制系統(tǒng)(DCS)，安全儀表系統(tǒng)(SIS)，可編程控制器(PLC)以及其他控制設(shè)備等，控制各種類型的機(jī)械或生產(chǎn)過(guò)程的控制設(shè)備，同時(shí)實(shí)現(xiàn)工廠控制系統(tǒng)中報(bào)警和安全聯(lián)鎖功能?，F(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)執(zhí)行層是典型的實(shí)時(shí)系統(tǒng)。

生產(chǎn)監(jiān)控層，是以計(jì)算機(jī)為基礎(chǔ)的生產(chǎn)過(guò)程控制與調(diào)度自動(dòng)化系統(tǒng)，由數(shù)據(jù)采集與監(jiān)控系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫(kù)和服務(wù)器組成，實(shí)現(xiàn)人機(jī)交互、組態(tài)軟件、實(shí)時(shí)數(shù)據(jù)管理以及各類控制任務(wù)的規(guī)劃與監(jiān)控，它是弱實(shí)時(shí)系統(tǒng)。

運(yùn)行管理層，主要包括： 企業(yè)資源計(jì)劃系統(tǒng)、供應(yīng)鏈管理和客戶關(guān)系管理系統(tǒng)、制造執(zhí)行系統(tǒng)等,它是非實(shí)時(shí)的通用系統(tǒng)，負(fù)責(zé)管理生產(chǎn)所需最終產(chǎn)品的工作流，包括運(yùn)行/系統(tǒng)管理、具體生產(chǎn)調(diào)度管理、可靠性保障等。

規(guī)劃決策層，包括企業(yè)組織機(jī)構(gòu)管理工業(yè)生產(chǎn)所需業(yè)務(wù)相關(guān)活動(dòng)的功能。企業(yè)規(guī)劃決策系統(tǒng)屬于傳統(tǒng)IT管理系統(tǒng)的范疇，系統(tǒng)中使用的都是傳統(tǒng)的IT技術(shù)、設(shè)備等，在當(dāng)前工業(yè)領(lǐng)域中企業(yè)管理系統(tǒng)等企業(yè)系統(tǒng)同工業(yè)控制系統(tǒng)之間的連接和聯(lián)系越來(lái)越多。

4 工業(yè)控制系統(tǒng)信息安全防護(hù)體系

4.1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)理念

國(guó)內(nèi)外的工控網(wǎng)絡(luò)安全防護(hù)理念經(jīng)歷了以下幾個(gè)階段過(guò)程：

1)強(qiáng)調(diào)隔離。在物理隔離的理念基礎(chǔ)上強(qiáng)調(diào)隔離。一般使用網(wǎng)關(guān)、網(wǎng)閘、單向隔離等設(shè)備來(lái)實(shí)現(xiàn)，把被保護(hù)的對(duì)象與其他設(shè)備或系統(tǒng)隔離。但是被隔離系統(tǒng)在面對(duì)現(xiàn)代高端持續(xù)性的攻擊APT(advanced persistent threat)中，單純使用隔離技術(shù)就顯得力不從心了。

2)縱深防御體系[8]。工業(yè)控制系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)，僅依賴于單一的安全技術(shù)和解決方案無(wú)法滿足其信息安全需求，必須綜合使用多種安全技術(shù)來(lái)提升系統(tǒng)的整體防御能力。基于此目的，美國(guó)國(guó)土安全部DHS提出了工業(yè)控制系統(tǒng)“縱深防御”戰(zhàn)略，將工業(yè)控制網(wǎng)絡(luò)劃分為不同的安全區(qū)[9]，部署防火墻、入侵檢測(cè)等多種安全措施，形成整體防護(hù)能力。“縱深防御”體系得到了傳統(tǒng)信息安全廠商的大力推崇，但是在實(shí)現(xiàn)過(guò)程中，大多數(shù)項(xiàng)目演變?yōu)樾畔踩a(chǎn)品的簡(jiǎn)單堆砌，并不能完全適應(yīng)工業(yè)網(wǎng)絡(luò)安全的特點(diǎn)。

3)由工業(yè)控制系統(tǒng)內(nèi)部建立的主動(dòng)防御體系。該體系主要被工控廠商所推崇，通過(guò)基礎(chǔ)硬件創(chuàng)新來(lái)實(shí)現(xiàn)，針對(duì)工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)，基于數(shù)字證書(shū)的身份認(rèn)證、融合可信計(jì)算技術(shù)的工業(yè)控制器等一系列信息安全主動(dòng)防護(hù)能力來(lái)構(gòu)建工業(yè)信息安全的主動(dòng)防御體系[10]。結(jié)合功能安全與信息安全的冗余容錯(cuò)與可信增強(qiáng)開(kāi)發(fā)，對(duì)控制裝備與軟件平臺(tái)可信增強(qiáng)、軟硬件多變體生成、運(yùn)行時(shí)動(dòng)態(tài)實(shí)現(xiàn)、基于指令序列的設(shè)備狀態(tài)檢測(cè)、層次化工控威脅態(tài)勢(shì)感知融合以及近年來(lái)出現(xiàn)的擬態(tài)安全防御，都是屬于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全主動(dòng)防御的范疇。

4)以攻為守的國(guó)家戰(zhàn)略支持。以美國(guó)、以色列為代表，在國(guó)家層面注重攻擊技術(shù)的研究、實(shí)驗(yàn)、突破和攻防演示實(shí)驗(yàn)的建設(shè)，以攻擊技術(shù)的提高，帶動(dòng)防御技術(shù)的提高，以攻擊威懾力換取安全性。中國(guó)也制定了一系列的安全法規(guī)和制度來(lái)保障重大工業(yè)控制系統(tǒng)的安全，對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行監(jiān)管，大力推進(jìn)依法治網(wǎng)。

4.2 工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)

從整個(gè)工業(yè)控制系統(tǒng)架構(gòu)上看，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)體系包括服務(wù)器、終端、前端的實(shí)時(shí)操作系統(tǒng)，同樣涉及物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層等傳統(tǒng)信息安全問(wèn)題。為保證工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行，工業(yè)控制系統(tǒng)的安全防護(hù)必須達(dá)到通信可控、區(qū)域隔離、報(bào)警追蹤這三個(gè)目標(biāo)。工業(yè)控制系統(tǒng)中的各種安全防護(hù)技術(shù)都是圍繞這三個(gè)目標(biāo)來(lái)實(shí)現(xiàn)的。

4.2.1 工業(yè)控制系統(tǒng)防火墻技術(shù)

防火墻是基于訪問(wèn)控制技術(shù)，它可以保障不同安全區(qū)域之間進(jìn)行安全通信，通過(guò)設(shè)置訪問(wèn)控制規(guī)則，管理和控制出入不同安全區(qū)域的信息流，保障資源在合法范圍內(nèi)得以有效使用和管理。根據(jù)所建立的“區(qū)域”與“管道”模型，工業(yè)防火墻一般部署在關(guān)鍵數(shù)據(jù)通路上，對(duì)不同“區(qū)域”之間的數(shù)據(jù)流進(jìn)行訪問(wèn)控制，對(duì)工業(yè)通信協(xié)議進(jìn)行深度過(guò)濾檢查，對(duì)違反安全規(guī)則的網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)報(bào)警，并且將異常事件上傳至異常事件數(shù)據(jù)庫(kù)。工業(yè)防火墻的工作原理如圖2所示。

圖2 工業(yè)防火墻工作原理示意

工業(yè)防火墻中一般用到的規(guī)則是“白名單”規(guī)則，即可以設(shè)置允許規(guī)則，只有符合該規(guī)則的數(shù)據(jù)流才能通過(guò)，其他的任何數(shù)據(jù)流都可以被過(guò)濾掉，這樣就保障了資源的合法使用。通過(guò)工業(yè)防火墻可以劃分控制系統(tǒng)安全區(qū)域，對(duì)安全區(qū)域進(jìn)行隔離保護(hù)，保護(hù)合法用戶訪問(wèn)網(wǎng)絡(luò)資源。此外，工業(yè)防火墻還支持控制協(xié)議深度解析功能，支持異常報(bào)文過(guò)濾、阻斷、報(bào)警、審計(jì)等各類功能。如解析Modbus，DNP3等應(yīng)用層異常數(shù)據(jù)流量，動(dòng)態(tài)追蹤OPC端口，保護(hù)關(guān)鍵寄存器和操作，還可以根據(jù)實(shí)際設(shè)備配置參數(shù)的合理范圍，監(jiān)控和分析實(shí)際的配置指令，進(jìn)行報(bào)警和阻斷等。

4.2.2 入侵檢測(cè)/防御技術(shù)

工業(yè)控制系統(tǒng)信息安全防護(hù)一般會(huì)在系統(tǒng)邊界處布置入侵檢測(cè)/防御系統(tǒng)，它是在檢測(cè)風(fēng)險(xiǎn)和攻擊行為(包括已知和未知攻擊)的基礎(chǔ)上，根據(jù)規(guī)則有效地阻斷攻擊的硬件或軟件系統(tǒng)。一般利用包過(guò)濾、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)等手段來(lái)發(fā)現(xiàn)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)流量是否正常，應(yīng)用于工業(yè)控制領(lǐng)域的入侵檢測(cè)技術(shù)隨著信息技術(shù)的發(fā)展而不斷發(fā)展?，F(xiàn)在的入侵檢測(cè)除了能實(shí)現(xiàn)拒絕服務(wù)、命令注入、響應(yīng)注入等檢測(cè)[11]外，還能實(shí)現(xiàn)角色管理、遠(yuǎn)程管理等功能[12]，除了傳統(tǒng)的入侵檢測(cè)技術(shù)外，還融合了大數(shù)據(jù)分析方法[13]和機(jī)器學(xué)習(xí)模型[14]。

4.2.3準(zhǔn)入控制技術(shù)

準(zhǔn)入控制技術(shù)主要針對(duì)工業(yè)控制系統(tǒng)中工程師站、操作員站等終端，服務(wù)器等設(shè)備采取相關(guān)的準(zhǔn)入控制。準(zhǔn)入控制包括設(shè)備準(zhǔn)入、應(yīng)用軟件準(zhǔn)入、用戶識(shí)別及用戶權(quán)限管理等。在實(shí)際操作設(shè)備和計(jì)算機(jī)時(shí)，需要使用指定的筆記本、U盤(pán)等，管理人員只信任可識(shí)別的身份[15]，未經(jīng)授權(quán)的行為將被拒絕。只有可信任的設(shè)備，才允許接入控制網(wǎng)絡(luò)；只有可信任的命令，才能在網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才能在終端或服務(wù)器上執(zhí)行；對(duì)沒(méi)有安裝殺毒軟件的終端或服務(wù)器禁止接入控制網(wǎng)絡(luò)。

4.2.4主動(dòng)防御技術(shù)

工業(yè)控制系統(tǒng)中的工業(yè)防火墻技術(shù)、入侵檢測(cè)技術(shù)等，都屬于靜態(tài)的被動(dòng)防御技術(shù)，在一定程度上滿足了對(duì)外部網(wǎng)絡(luò)威脅的抵御需求，但針對(duì)未知的威脅和來(lái)自于內(nèi)部的威脅卻難以發(fā)揮作用。為解決信息安全防護(hù)在工業(yè)控制系統(tǒng)中存在的問(wèn)題，一些學(xué)者和廠商提出了主動(dòng)防御理念，出現(xiàn)了“改變游戲規(guī)則”的網(wǎng)絡(luò)安全防御技術(shù)、移動(dòng)目標(biāo)防御(MTD)等，提出了控制裝備內(nèi)建安全、擬態(tài)防御、自重構(gòu)可信賴、可信計(jì)算等創(chuàng)新性的主動(dòng)防御技術(shù)，例如采用可信計(jì)算和數(shù)字證書(shū)體系作為主動(dòng)防護(hù)的基礎(chǔ)[10]，解決設(shè)備固件更新階段的合法性和完整性度量，進(jìn)一步賦予工業(yè)控制系統(tǒng)控制層的核心防護(hù)能力。

4.2.5安全審計(jì)

在對(duì)工業(yè)協(xié)議報(bào)文深度解析的基礎(chǔ)上，結(jié)合實(shí)際的工藝和設(shè)備的安全配置參數(shù)，監(jiān)測(cè)工業(yè)控制系統(tǒng)的異常行為，可以發(fā)現(xiàn)某些參數(shù)超限、命令執(zhí)行方式異常等問(wèn)題，產(chǎn)生報(bào)警信號(hào)，提醒操作人員采取適當(dāng)?shù)拇胧┙鉀Q異常。此外還可以記錄各種用戶的操作日志以及軟件的運(yùn)行日志數(shù)據(jù)，當(dāng)發(fā)生異常時(shí)，提供分析異常的依據(jù)。

4.2.6自主可控技術(shù)

目前國(guó)內(nèi)工業(yè)控制系統(tǒng)中大量核心設(shè)備依然依賴進(jìn)口，不能實(shí)現(xiàn)自主可控，需要重點(diǎn)構(gòu)建從安全芯片、安全嵌入式操作系統(tǒng)、嵌入式安全計(jì)算平臺(tái)，到控制設(shè)備的自主可控關(guān)鍵產(chǎn)品，融合功能安全與信息安全，實(shí)現(xiàn)實(shí)時(shí)性、可靠性、安全性的統(tǒng)一。工業(yè)企業(yè)在有條件的情況下盡量采用自主工業(yè)控制系統(tǒng)和設(shè)備；在條件暫不具備的情況下，盡量在應(yīng)用層實(shí)現(xiàn)安全加固，提升安全免疫能力。

4.3 工業(yè)控制系統(tǒng)安全防護(hù)體系結(jié)構(gòu)

工業(yè)控制系統(tǒng)的信息安全不是傳統(tǒng)信息系統(tǒng)的信息安全疊加，必須結(jié)合工業(yè)控制系統(tǒng)自身的特點(diǎn)，在被動(dòng)防御機(jī)制和縱深防護(hù)機(jī)制的基礎(chǔ)上，構(gòu)建多層防御體系，融入主動(dòng)防御技術(shù)。工業(yè)控制系統(tǒng)信息安全多層防護(hù)體系結(jié)構(gòu)如圖3所示。

圖3 工控系統(tǒng)信息安全多層防護(hù)體系結(jié)構(gòu)示意

工業(yè)控制系統(tǒng)的信息安全多層防護(hù)體系結(jié)構(gòu)是在工業(yè)控制系統(tǒng)模型的基礎(chǔ)上構(gòu)建的，縱向分層，橫向分域?？v向分成現(xiàn)場(chǎng)執(zhí)行層、現(xiàn)場(chǎng)控制層、生產(chǎn)監(jiān)控層、運(yùn)行管理層和規(guī)劃決策層，橫向按不同的車間、不同的生產(chǎn)線進(jìn)行邏輯隔離，分成不同的安全域。不同層和不同域之間由工業(yè)防火墻來(lái)實(shí)現(xiàn)安全隔離防護(hù)。在各層之間的邊界上，實(shí)施鏈路加密、入侵檢測(cè)和威脅評(píng)估，收集各類異常信息，異常信息匯總到安全監(jiān)測(cè)中心，實(shí)現(xiàn)安全監(jiān)測(cè)審計(jì)。

針對(duì)控制設(shè)備主要實(shí)現(xiàn)設(shè)備的自主可控、設(shè)備的準(zhǔn)入控制、構(gòu)建軟硬件的可信計(jì)算、設(shè)備安全加固、介質(zhì)安全管理等。在生產(chǎn)監(jiān)控層和現(xiàn)場(chǎng)控制層主要關(guān)注控制器、存儲(chǔ)、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信[16]、自主可控，基于國(guó)產(chǎn)密碼算法和技術(shù)進(jìn)行安全可信平臺(tái)建設(shè)。針對(duì)工業(yè)控制系統(tǒng)中使用的IT設(shè)備和軟件，部署實(shí)施傳統(tǒng)IT系統(tǒng)的信息安全手段。

5 結(jié)束語(yǔ)

“震網(wǎng)”病毒事件為全球工業(yè)控制系統(tǒng)安全問(wèn)題敲響了警鐘，促使國(guó)家和社會(huì)逐漸重視工業(yè)控制系統(tǒng)的信息安全問(wèn)題。工業(yè)控制系統(tǒng)作為能源、制造、軍工等國(guó)家命脈行業(yè)的重要基礎(chǔ)設(shè)施，在信息攻防戰(zhàn)的陰影下針對(duì)工業(yè)控制系統(tǒng)的攻擊事件層出不窮，對(duì)企業(yè)生產(chǎn)運(yùn)營(yíng)、企業(yè)名譽(yù)甚至對(duì)社會(huì)和國(guó)家層面都造成了重大影響。本文主要研究了工業(yè)控制系統(tǒng)的信息安全內(nèi)涵，闡述了工業(yè)控制系統(tǒng)的安全現(xiàn)狀，分析了工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)，在被動(dòng)防御機(jī)制和縱深防護(hù)機(jī)制的基礎(chǔ)上，構(gòu)建多層防御體系，融入主動(dòng)防御技術(shù)，提出了工業(yè)控制系統(tǒng)信息安全多層防護(hù)體系結(jié)構(gòu)。工業(yè)控制系統(tǒng)的信息安全不是傳統(tǒng)信息安全的漏洞掃描、打補(bǔ)丁、防病毒等安全手段的疊加，需要結(jié)合生產(chǎn)安全、功能安全、信息安全等多方面要求統(tǒng)籌開(kāi)展工業(yè)控制系統(tǒng)安全防護(hù)，提升工業(yè)控制系統(tǒng)用戶安全意識(shí)。