1　工業(yè)控制系統(tǒng)信息安全趨勢

    隨著工業(yè)控制系統(tǒng)的通用化、網(wǎng)絡(luò)化、智能化發(fā)展，工業(yè)控制系統(tǒng)信息安全形勢日漸嚴峻。一方面，傳統(tǒng)的互聯(lián)網(wǎng)信息安全威脅正在向工業(yè)控制系統(tǒng)蔓延，另一方面，針對關(guān)鍵基礎(chǔ)設(shè)施及其控制系統(tǒng)，以竊取敏感信息和破壞關(guān)鍵基礎(chǔ)設(shè)施運行為主要目的的攻擊愈演愈烈。主要原因是工業(yè)控制系統(tǒng)建設(shè)時更多的是考慮各自系統(tǒng)的可用性，并沒有充分考慮系統(tǒng)之間互聯(lián)互通的信息安全風(fēng)險和防護建設(shè)，使得國際國內(nèi)針對工業(yè)控制系統(tǒng)的攻擊事件層出不窮。“震網(wǎng)”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘，促使國家和社會逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。

    2010年以前，全球工業(yè)安全事件發(fā)生頻率還較少，但這個數(shù)據(jù)在2010年以后急劇上升。據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計，截止到2013年10 月，全球已發(fā)生300余起針對工業(yè)控制系統(tǒng)的攻擊事件，而且，這個數(shù)據(jù)還在不斷刷新。這說明黑客針對工業(yè)控制系統(tǒng)的關(guān)注度在不斷提升，嚴重威脅著生產(chǎn)安全。

    全球各地不斷發(fā)生的工控信息安全事件給我們3個啟示：一是黑客技術(shù)高超，制造的病毒不易被發(fā)現(xiàn)；二是針對工控系統(tǒng)的攻擊不是個人所為，而是團伙作案；三是針對工控系統(tǒng)的攻擊除了個人獲利因素外，更重要的是帶有敵對思想和很強的政治色彩。

    因此，如果對工控系統(tǒng)沒有嚴格的管控措施，在敵對勢力發(fā)動網(wǎng)絡(luò)攻擊，或是潛藏在工控系統(tǒng)中的木馬病毒發(fā)生作用時，其后果堪比一場戰(zhàn)爭帶來的災(zāi)難。目前，我國工控領(lǐng)域的法律規(guī)范和國家安全標準相對欠缺，也沒有嚴格的市場準入制度，國家對國產(chǎn)工控設(shè)備的產(chǎn)業(yè)支持力度還有待加強。這種局面必須得到徹底改觀，否則，國家安全、人民的安康都將籠罩在工控系統(tǒng)安全風(fēng)險的陰霾之中。

    近年來，國家非常重視工業(yè)控制系統(tǒng)信息安全問題，已經(jīng)把安全問題提升到與發(fā)展同等的高度來看待。中共中央總書記、國家主席、中央軍委主席、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長習(xí)近平2014年2月27日下午主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議并發(fā)表重要講話。會議中，習(xí)總書記指出，沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。

    工業(yè)和信息化部2011年9月發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（[2011]451號），通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導(dǎo)、技術(shù)保障、規(guī)章制度等方面的要求，并在工業(yè)控制系統(tǒng)的連接、組網(wǎng)、配置、設(shè)備選擇與升級、數(shù)據(jù)、應(yīng)急管理等六個方面提出了具體要求。

    2012年6月28號國務(wù)院《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)[2012]23號》中明確要求：保障工業(yè)控制系統(tǒng)安全；重點保障對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統(tǒng)。

    國家發(fā)改委從2011年開始開展工業(yè)控制系統(tǒng)信息安全專項，涉及到面向現(xiàn)場設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)產(chǎn)品、面向集散控制系統(tǒng)（DCS）的異常監(jiān)測產(chǎn)品、面向SCADA系統(tǒng)的安全采集遠程終端單元（RTU）產(chǎn)品以及工業(yè)應(yīng)用軟件漏洞掃描產(chǎn)品等產(chǎn)業(yè)化項目。在電力電網(wǎng)、石油石化、先進制造、軌道交通等領(lǐng)域，支持大型重點骨干企業(yè)，按照信息安全等級保護相關(guān)要求，開展工業(yè)控制系統(tǒng)信息安全建設(shè)的試點示范。

    目前已頒布了如下標準：

    GB/T 26333-2010《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》；

    GB/T 30976.1-2014-工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范；

    GB/T 30976.2-2014-工業(yè)控制系統(tǒng)信息安全 第2部分：驗收規(guī)范；

    此外，《工業(yè)控制系統(tǒng)信息安全等級保護設(shè)計技術(shù)指南(草稿)》、《工業(yè)控制系統(tǒng)信息安全等級保護基本要求(草稿）》正在編寫過程中。

    《集散控制系統(tǒng)（DCS）安全防護標準》正在征求意見中。

    在工控安全建設(shè)方面走在前列的電力行業(yè)早些年已經(jīng)在生產(chǎn)系統(tǒng)中建立了相關(guān)規(guī)范，如《電力二次系統(tǒng)安防護規(guī)定》（電監(jiān)會5號令）、《電力二次系統(tǒng)安全防護總體方案》（電監(jiān)會全34號文）等，發(fā)改委14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》。

    公安部、經(jīng)信委等也在不斷對影響國計民生的公共系統(tǒng)進行滲透檢查，發(fā)現(xiàn)了眾多問題。

    2　工業(yè)控制系統(tǒng)信息安全建設(shè)思路

    目前，工業(yè)控制系統(tǒng)信息安全建設(shè)思路是以風(fēng)險管理為核心，通過了解自身工業(yè)控制系統(tǒng)信息安全風(fēng)險，并
通過合適的管理和技術(shù)措施對這些風(fēng)險進行控制，達到企業(yè)工控系統(tǒng)信息安全風(fēng)險可控的目標。風(fēng)險管理是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略。

    眾所周知，工業(yè)控制系統(tǒng)信息安全風(fēng)險和事件不可能完全避免，沒有絕對的安全。信息安全本身是高技術(shù)的對抗，有別于傳統(tǒng)安全，呈現(xiàn)擴散速度快、難控制等特點。因此，管理工業(yè)控制系統(tǒng)信息安全必須以風(fēng)險管理的方式，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險，而不是完全消除風(fēng)險。好的風(fēng)險管理過程可以讓企業(yè)以最具成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平。好的風(fēng)險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風(fēng)險，而不是將寶貴的資源用于解決所有可能的風(fēng)險。

    風(fēng)險，通俗講是指不幸事件發(fā)生的概率。影響風(fēng)險的發(fā)生與兩個因素密不可分，即弱點和威脅。也就是說，要做到風(fēng)險可控，就必須非常清楚地了解自身的弱點和威脅源，通過對自身弱點進行加固，并有效阻止威脅源的入侵來實現(xiàn)風(fēng)險可控。

    2.1　工業(yè)控制系統(tǒng)面臨的主要威脅

    （1）外部攻擊的發(fā)展

    工業(yè)控制系統(tǒng)采用大量的IT技術(shù)，互聯(lián)性逐步加強，神秘的面紗逐步被揭開，工業(yè)控制信息安全日益進入黑客的研究范圍，國內(nèi)外大型的信息安全交流會議已經(jīng)把工業(yè)控制信息安全作為一個重要的討論議題。隨著黑客的攻擊技術(shù)不斷進步，攻擊的手段日趨多樣，對于他們來說，入侵到某個系統(tǒng)，成功破壞其完整性是很有可能的。例如近幾年的震網(wǎng)、duqu、火焰、havex等病毒攻擊證明黑客開始對工控系統(tǒng)感興趣。

    （2）內(nèi)部威脅的加劇

    根據(jù)FBI和CSI對484家公司進行的網(wǎng)絡(luò)安全專項調(diào)查結(jié)果顯示，超過70%的安全威脅來自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另據(jù)中國國家信息安全測評中心調(diào)查，信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客。

    工業(yè)控制系統(tǒng)普遍缺乏網(wǎng)絡(luò)準入和控制機制，上位機與下位機通訊缺乏身份鑒別和認證機制，只要能夠從協(xié)議層面跟下位機建立連接，即可以對下位機進行修改，普遍缺乏對系統(tǒng)最高權(quán)限的限制，高權(quán)限賬號往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露。并且缺乏事后追查的有效工具，也讓責(zé)任劃分和威脅追蹤變得更加困難。

    （3）應(yīng)用軟件的威脅

    設(shè)備提供商提供的應(yīng)用授權(quán)版本不可能十全十美，各種各樣的后門、漏洞等問題都有可能出現(xiàn)。出于成本的考慮，工業(yè)控制系統(tǒng)的組態(tài)軟件一般與其工控系統(tǒng)是同一家公司的產(chǎn)品，在測試節(jié)點問題容易隱藏，且組態(tài)軟件的不成熟也會為系統(tǒng)帶來威脅。

    （4）第三方維護人員的威脅

    第三方維護人員的威脅。工業(yè)控制系統(tǒng)建設(shè)在發(fā)展的過程中，因為戰(zhàn)略定位和人力等諸多原因，越來越多的會將非核心業(yè)務(wù)外包給設(shè)備商。如何有效地管控設(shè)備廠商和運維人員的操作行為，并進行嚴格的審計是系統(tǒng)運營面臨的一個關(guān)鍵問題。

    （5）多種病毒的泛濫

    病毒可通過移動存儲設(shè)備、外來運維的電腦，無線系統(tǒng)等進入工控系統(tǒng)，當(dāng)病毒侵入網(wǎng)絡(luò)后，自動收集有用信息，如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò)中傳輸?shù)拿魑目诹畹龋蚴翘綔y網(wǎng)內(nèi)計算機的漏洞，向網(wǎng)內(nèi)計算機傳播病毒。由于病毒在網(wǎng)絡(luò)中大規(guī)模的傳播與復(fù)制，極大地消耗網(wǎng)絡(luò)資源，嚴重時有可能造成網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)風(fēng)暴甚至網(wǎng)絡(luò)癱瘓，這是影響工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主要因素之一。

    2.2　工業(yè)控制系統(tǒng)自身弱點按管理和技術(shù)的分類

    （1）信息安全管理方面脆弱性

    ·組織結(jié)構(gòu)人員職責(zé)不完善，缺乏專業(yè)人員。大部分行業(yè)未設(shè)置工控系統(tǒng)信息安全管理部門，未明確建設(shè)運維相關(guān)部門的安全職責(zé)和技能要求。同時普遍缺乏信息安全人才。

    ·信息安全管理制度流程欠完善。現(xiàn)在大部分行業(yè)還未形成完整的政策制度保障信息安全，缺乏工業(yè)控制系統(tǒng)規(guī)劃、建設(shè)、運維、廢止全生命周期的信息安全需求和設(shè)計管理，欠缺配套的管理體系、處理流程、人員責(zé)任等規(guī)定。

    ·應(yīng)急響應(yīng)機制欠健全，需進一步提高信息安全事件的應(yīng)對能力。由于響應(yīng)機制不夠健全，缺乏應(yīng)急響應(yīng)組織和標準化的事件處理流程，發(fā)生信息安全事件后人員通常依靠經(jīng)驗判斷安全事件發(fā)生的設(shè)備和影響范圍，逐一進行排查，響應(yīng)能力不高。

    ·人員信息安全培訓(xùn)不足，技術(shù)和管理能力以及人員安全意識有待提高。大部分行業(yè)有針對工控系統(tǒng)的業(yè)務(wù)培訓(xùn)，但是面向全員的信息安全意識宣傳，信息安全技術(shù)和管理培訓(xùn)均比較薄弱，需加強信息安全體系化宣傳和培訓(xùn)。

    ·尚需完善第三方人員管理體制。大部分的行業(yè)會將設(shè)備建設(shè)運維工作外包給設(shè)備商或集成商，尤其針對國外廠商，業(yè)主不了解工控設(shè)備技術(shù)細節(jié)，對于所有的運維操作無控制、無審計，留有安全隱患。

    （2）信息安全技術(shù)方面脆弱性

    ·未進行安全域劃分，區(qū)域間未設(shè)置訪問控制措施。隨著工控系統(tǒng)的集成度越來越高，呈現(xiàn)統(tǒng)一管理、集中監(jiān)控的趨勢，系統(tǒng)的互聯(lián)程度大大提高。但是大部分行業(yè)的工控系統(tǒng)各子系統(tǒng)之間沒進行安全分區(qū)，系統(tǒng)邊界不清楚，邊界訪問控制策略缺失等。

    ·缺少信息安全風(fēng)險監(jiān)控技術(shù)，不能及時發(fā)現(xiàn)信息安全問題，出現(xiàn)問題后靠人員經(jīng)驗排查。在工控網(wǎng)絡(luò)上普遍缺少信息安全監(jiān)控機制，不能及時了解網(wǎng)絡(luò)狀況，一旦發(fā)生問題不能及時確定問題所在，及時排查到故障點，排查過程耗費大量人力成本、時間成本。

    ·系統(tǒng)運行后，操作站和服務(wù)器很少打補丁，存在系統(tǒng)漏洞，系統(tǒng)安全配置較薄弱，防病毒軟件安裝不全面。大部分行業(yè)工控系統(tǒng)投產(chǎn)后，對操作系統(tǒng)極少升級，而操作系統(tǒng)會不斷曝出漏洞，導(dǎo)致操作站和服務(wù)器暴露在風(fēng)險中。系統(tǒng)自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。

    ·工程師站缺少身份認證和接入控制，且權(quán)限很大。有些行業(yè)工程師站登陸過程缺少身份認證，且工程師站對操作站、控制器等進行組態(tài)時均缺乏身份認證，存在任意工程師站可以對操作站、現(xiàn)場設(shè)備直接組態(tài)的可能性。

    ·存在使用移動存儲介質(zhì)不規(guī)范問題，易引入病毒以及黑客攻擊程序。在工控系統(tǒng)運維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質(zhì)現(xiàn)象，有可能傳染病毒、木馬等威脅生產(chǎn)系統(tǒng)。

    ·第三方人員運維生產(chǎn)系統(tǒng)無審計措施。出現(xiàn)問題后無法及時準確定位問題原因、影響范圍及追究責(zé)任。

    ·上線前未進行信息安全測試。一些行業(yè)工控系統(tǒng)在上線前未進行安全性測試，系統(tǒng)在上線后存在大量安全風(fēng)險漏洞，安全配置薄弱，甚至有的系統(tǒng)帶毒工作。

    ·無線通信安全性不足。一些行業(yè)工控系統(tǒng)中大量使用無線網(wǎng)絡(luò)，在帶來方便的同時，隨之而來的是無線網(wǎng)絡(luò)安全方面的威脅。其中包括未授權(quán)用戶的非法接入、非法AP欺騙生產(chǎn)設(shè)備接入、數(shù)據(jù)在傳輸過程中被監(jiān)聽竊取、基于無線的入侵行為等。

    通過開展工控信息安全風(fēng)險評估工作，能夠詳細分析出上述威脅和弱點產(chǎn)生原因和安全風(fēng)險防御的方法，再選擇合適的管理措施和技術(shù)措施進行加固，從而實現(xiàn)工控信息安全風(fēng)險可控。

    3　工業(yè)控制系統(tǒng)信息安全解決方案

    啟明星辰工業(yè)控制系統(tǒng)信息安全解決方案，以工業(yè)控制信息安全管理系統(tǒng)為核心，以旁路檢測、串聯(lián)防護、現(xiàn)場防護三大引擎為支撐，全面實現(xiàn)全網(wǎng)工控設(shè)備的統(tǒng)一安全監(jiān)測和防護，安全風(fēng)險集中分析和展現(xiàn)。輔助以貫穿工業(yè)控制系統(tǒng)需求、設(shè)計、建設(shè)、運營、廢除全生命周期的工控安全風(fēng)險評估平臺，實現(xiàn)信息安全風(fēng)險的動態(tài)管理。工控信息安全防護體系如圖1所示。

圖1 工業(yè)控制信息安全管理系統(tǒng)

    啟明星辰工控信息安全解決方案主要特點：一是縱深防御，集防護、監(jiān)測、管理于一體；二是基于全生命周期管理，即工控系統(tǒng)軟件開發(fā)全生命周期管理、攻擊過程全生命周期管理。

    3.1　縱深防御，集防護、監(jiān)測、管理于一體

    啟明星辰縱深防御思想，主要體現(xiàn)在保證系統(tǒng)可用性前提下，對工業(yè)控制系統(tǒng)進行防護，實現(xiàn)“垂直分層，水平分區(qū)；邊界控制，內(nèi)部監(jiān)測；集中展現(xiàn)”。

    “垂直分層、水平分區(qū)”，即按照工業(yè)控制系統(tǒng)的層次結(jié)構(gòu)，垂直方向化分為四層：現(xiàn)場設(shè)備層、現(xiàn)場控制層、監(jiān)督控制層、生產(chǎn)管理層。水平分區(qū)指各工業(yè)控制系統(tǒng)之間應(yīng)該從網(wǎng)絡(luò)上隔離開，處于不同的安全區(qū)。

    “邊界控制，內(nèi)部監(jiān)測”，即對系統(tǒng)邊界，即各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡(luò)等要進行邊界防護和準入控制等。對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務(wù)異常、訪問關(guān)系異常和流量異常等問題。

    “集中展現(xiàn)”，即對工控系統(tǒng)中可能涉及的各類設(shè)備，包括工業(yè)防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、操作員站、工程師站、適時數(shù)據(jù)庫、歷史數(shù)據(jù)庫、PLC、路由器、交換機等，進行統(tǒng)一采集和識別這些設(shè)備產(chǎn)生的安全事件和告警信息、日志信息等，并通過多維度可視化的界面進行綜合展示，使監(jiān)控人員一站式的查詢檢索安全及威脅信息，了解安全態(tài)勢，指導(dǎo)企業(yè)進行工控系統(tǒng)信息安全建設(shè)。

    系統(tǒng)面臨的主要安全威脅來自于黑客攻擊、惡意代碼（病毒蠕蟲）、越權(quán)訪問（非授權(quán)接入）、移動介質(zhì)、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務(wù)異常等，因此，其安全防護應(yīng)在以下方面予以重點完善和強化。

    ·入侵檢測及防御；

    ·惡意代碼防護；

    ·內(nèi)部網(wǎng)絡(luò)異常行為的檢測；

    ·邊界訪問控制和系統(tǒng)訪問控制策略；

    ·工業(yè)控制系統(tǒng)開發(fā)與維護的安全；

    ·身份認證和行為審計；

    ·賬號唯一性和口令安全，尤其是管理員賬號和口令的管理；

    ·操作站操作系統(tǒng)安全；

    ·移動存儲介質(zhì)的標記、權(quán)限控制和審計；

    ·設(shè)備物理安全。

    結(jié)合工業(yè)控制系統(tǒng)信息安全防護思路，將典型工業(yè)控制系統(tǒng)分為四層，即生產(chǎn)管理層、監(jiān)督控制層、現(xiàn)場控制層、現(xiàn)場設(shè)備層。每一個工業(yè)控制系統(tǒng)應(yīng)單獨劃分在一個區(qū)域里。

    生產(chǎn)管理層主要是生產(chǎn)調(diào)度，詳細生產(chǎn)流程，可靠性保證和站點范圍內(nèi)的控制優(yōu)化相關(guān)的系統(tǒng)。

    監(jiān)督控制層包括了監(jiān)督和控制實際生產(chǎn)過程的相關(guān)系統(tǒng)。包括如下設(shè)備：

    ·人機界面HMI，操作員站，負責(zé)組態(tài)的工程師站等；

    ·報警服務(wù)器及報警處理；

    ·監(jiān)督控制功能；

    ·實時數(shù)據(jù)收集與歷史數(shù)據(jù)庫，用于連接的服務(wù)器客戶機等。

    現(xiàn)場控制層是對來自現(xiàn)場設(shè)備層的傳感器所采集的數(shù)據(jù)進行操作，執(zhí)行控制算法，輸出到執(zhí)行器（如控制閥門等）執(zhí)行，該層通過現(xiàn)場總線或?qū)崟r網(wǎng)絡(luò)與現(xiàn)場設(shè)備層的傳感器和執(zhí)行器形成控制回路。該層控制功能可以是連續(xù)控制、順序控制、批量控制和離散控制等類型。設(shè)備包括但不限于如下所示：

    ·DCS控制器；

    ·可編程邏輯控制器PLC；

    ·遠程終端單元RTU。

    現(xiàn)場設(shè)備層對生產(chǎn)設(shè)施的現(xiàn)場設(shè)備進行數(shù)據(jù)采集和輸出操作的功能，包括所有連在現(xiàn)場總線或?qū)崟r網(wǎng)絡(luò)的傳感器（模擬量和開關(guān)量輸入）和執(zhí)行器（模擬量和開關(guān)量輸出）。

    對單一工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全域劃分如圖2所示。

圖2 單一工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全域

    根據(jù)“邊界控制，內(nèi)部監(jiān)測，集中展現(xiàn)”的防護思路，典型的工業(yè)控制網(wǎng)絡(luò)安全防護如圖3所示。

圖3 典型的工業(yè)控制網(wǎng)絡(luò)安全防護

    通過工業(yè)控制信息安全管理系統(tǒng)對整個工業(yè)控制系統(tǒng)內(nèi)的各個子系統(tǒng)和安全設(shè)備進行統(tǒng)一安全監(jiān)控和管理。對工業(yè)控制現(xiàn)場控制設(shè)備、信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站等進行統(tǒng)一資產(chǎn)管理，并對各設(shè)備的信息安全監(jiān)控和報警、信息安全日志信息進行集中管理。根據(jù)安全審計策略對各類安全信息進行分類管理與查詢，系統(tǒng)對各類信息安全報警和日志信息進行關(guān)聯(lián)分析，展現(xiàn)全網(wǎng)的安全風(fēng)險分布和趨勢。

    防護類措施如下：

    （1）在區(qū)域邊界處部署工業(yè)防火墻設(shè)備，實現(xiàn)IP/端口的訪問控制、應(yīng)用層協(xié)議訪問控制、流量控制等。或者部署網(wǎng)閘設(shè)備，切斷網(wǎng)絡(luò)鏈路層鏈接，完成兩個網(wǎng)絡(luò)的數(shù)據(jù)交換。

    （2）在操作站、工程師站部署操作站安全系統(tǒng)實現(xiàn)移動存儲介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò)準入控制、安全配置管理等。

    （3）現(xiàn)場運維審計與管理系統(tǒng)是手持移動設(shè)備，運維人員運維現(xiàn)場設(shè)備時，先接入審計系統(tǒng)，再連接現(xiàn)場設(shè)備。審計系統(tǒng)可審計運維操作命令、運維工具使用錄像等，亦可進行防病毒、訪問控制等安全防護。

    （4）WiFi入侵檢測與防護設(shè)備是放在基于ＷiFi組網(wǎng)的現(xiàn)場設(shè)備網(wǎng)絡(luò)中，可實現(xiàn)非法AP阻斷，非法外來設(shè)備接入生產(chǎn)網(wǎng)絡(luò)，基于ＷiFi的入侵檢測等。

    監(jiān)控檢查類措施如下：

    （1）在工業(yè)以太網(wǎng)交換機上部署工控異常監(jiān)測系統(tǒng)，監(jiān)測工業(yè)控制系統(tǒng)內(nèi)部入侵行為，異常操作行為，發(fā)現(xiàn)異常流量和異常訪問關(guān)系等。

    （2）部署工控漏洞掃描系統(tǒng)，在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行漏洞掃描，對漏洞進行修補。

    （3）部署安全配置基線核查系統(tǒng)，在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行配置基線檢查，重點關(guān)注操作站、工程師站、服務(wù)器等開放的服務(wù)，賬號密碼策略、協(xié)議的安全配置等問題，對風(fēng)險進行安全加固。

    縱深防御的工控信息安全防護體系是建立在整體工業(yè)控制網(wǎng)絡(luò)各個關(guān)鍵環(huán)節(jié)的基礎(chǔ)之上，能夠有效發(fā)現(xiàn)、防護、監(jiān)測和審計網(wǎng)絡(luò)安全活動，對企業(yè)工控系統(tǒng)正常生產(chǎn)運行起到了非常關(guān)鍵的作用。但是對于工控系統(tǒng)本身而言，系統(tǒng)自身存在的安全缺陷卻容易被威脅利用，從根本上解決這類問題還需要從軟件開發(fā)全生命周期管理來盡可能地實現(xiàn)軟件本身的安全性。

    3.2　基于全生命周期管理

    3.2.1　工業(yè)控制系統(tǒng)軟件開發(fā)全生命周期管理

    工業(yè)控制系統(tǒng)開發(fā)商在需求、設(shè)計、編碼、測試、上線、運行和持續(xù)完善的各個階段，存在的主要問題是重功能實現(xiàn)，輕安全功能，這樣就造成了工業(yè)控制系統(tǒng)本身存在許多可以被威脅利用的漏洞，從而產(chǎn)生工控信息安全風(fēng)險。

    下面通過說明應(yīng)用程序設(shè)計風(fēng)險、編碼缺陷與配置缺陷來重點闡述工業(yè)控制系統(tǒng)應(yīng)用程序的安全風(fēng)險。

    （1）工業(yè)控制系統(tǒng)應(yīng)用程序設(shè)計風(fēng)險

    ·設(shè)計復(fù)雜，沒有達到簡單性與附加安全特征間的平衡。在系統(tǒng)中通過少數(shù)的瓶頸點實現(xiàn)安全關(guān)鍵的操作，運用少量的、復(fù)雜的、多功能軟件組件操作，在多個安全級別，在不需要時調(diào)用了組件的安全功能。

    過多的用戶接口與輸出，沒有確保用戶接口僅包含需要的功能，設(shè)計接口沒有考慮是否會被用戶繞過。沒有集中向下寫到一個程序，沒有做程序信息流的分析。

    ·設(shè)計層次沒有防御概念，在系統(tǒng)中僅有很少的安全層次，當(dāng)一個層次被破壞的情況下，不能有效地阻止安全違背行為。沒有一系列的防御層，使得一個單層被滲透的情況下能夠造成整個系統(tǒng)被破壞的可能性。如表1所示，隨著防御機制的增強，攻擊者需要偷取數(shù)據(jù)所花費的代價也相應(yīng)加大。

    ·用戶與應(yīng)用數(shù)據(jù)的驗證，沒有考察所有的潛在區(qū)域，有可能通過這些區(qū)域，不可信的信息輸入進入應(yīng)用程序，沒有驗證通過應(yīng)用程序的任意數(shù)值，沒有檢查接收的數(shù)值是否是允許的數(shù)據(jù)類型或格式。

    ·沒有限制特權(quán)，允許不必要的特權(quán)給應(yīng)用和功能，可能會潛在地導(dǎo)致未授權(quán)的信息進入敏感區(qū)域。特權(quán)沒有給予時間限制，沒有實現(xiàn)角色概念，實現(xiàn)不同的角色關(guān)聯(lián)不同的特權(quán)。

    ·信任開源軟件，使用前沒有進行評估。目前由于使用開源軟件帶來的問題遠遠高于商業(yè)軟件，所以這也是導(dǎo)致應(yīng)用系統(tǒng)風(fēng)險的重要因素之一。

    ·無失效保護。應(yīng)用系統(tǒng)沒有考慮失效保護問題，通常攻擊者會等待他們期待的系統(tǒng)失效類型，進而來挖掘系統(tǒng)的脆弱性，比如說系統(tǒng)失效時是否允許訪問，是否恢復(fù)到安全狀態(tài)等。

    ·無敏感信息保護。對應(yīng)用系統(tǒng)來說阻止訪問敏感信息是非常重要的，以防止信息泄露。這方面的設(shè)計通常需要注意：當(dāng)敏感信息不再使用時沒有立即刪除；加密密鑰沒有存儲在安全區(qū)域；沒有運用CRC或SHA算法進行完整性保護；沒有關(guān)閉調(diào)試代碼，從而導(dǎo)致應(yīng)用系統(tǒng)的關(guān)鍵信息對外部接口是開放的。

    ·沒有安全的保護網(wǎng)絡(luò)接口，應(yīng)用系統(tǒng)的進出點沒有很好的定義、文檔化，網(wǎng)絡(luò)端口在通信完成后還處于激活狀態(tài)，通信發(fā)生時沒有相應(yīng)的審計與日志。

    （2）工業(yè)控制系統(tǒng)編碼缺陷

    工業(yè)控制系統(tǒng)編碼缺陷包括如下幾個方面:

    ·未驗證的輸入。比如緩沖區(qū)溢出、整形溢出、注入缺陷（命令、SQL、LDAP）等。

    ·數(shù)據(jù)保護或存儲失效。在安全存儲數(shù)據(jù)時，需要考慮：需要訪問數(shù)據(jù)的權(quán)限；數(shù)據(jù)加密問題；存儲密鑰的威脅。

    ·不正確的錯誤處理。通常包含幾個方面：不能處理一個錯誤的條件；程序停留在一個不安全的狀態(tài)；由拒絕服務(wù)導(dǎo)致應(yīng)用程序死掉。

    ·信息泄露。通常導(dǎo)致信息泄露的主要方式有兩種：一種是無意的，比如由于代碼或非顯而易見的通道問題導(dǎo)致有價值的信息輸出，或由于代碼中的注釋或冗長的錯誤信息導(dǎo)致；另一種是故意的，比如沒有適當(dāng)?shù)谋Ｗo機密信息。防止信息泄露需要深入理解黑客通常所用的技術(shù)與方法，以及對他們有用的信息類型。

    ·競爭條件。指的是應(yīng)用系統(tǒng)如果采用多任務(wù)的方式，需要考慮系統(tǒng)資源的管理，需要考慮不同任務(wù)的優(yōu)先級，任務(wù)的調(diào)度機制，內(nèi)存的分配，避免任務(wù)間的死鎖等情況。

    ·惡意代碼。有意地插入代碼以破壞應(yīng)用的安全性，通常能夠隱藏在調(diào)試軟件、加載程序、時間炸彈、特洛伊木馬等程序中。

    （3）工業(yè)控制系統(tǒng)配置缺陷

    工業(yè)控制系統(tǒng)配置缺陷通常是由于沒有好的配置管理導(dǎo)致，沒有建立一個專門的配置管理團隊負責(zé)不同項目配置管理分支的創(chuàng)建、更改、撤銷與維護。沒有設(shè)置不同的配置管理級別，以禁止對配置項目未授權(quán)的更改，比如說禁止測試人員在開發(fā)分支上更改代碼。另外，好的配置管理禁止開發(fā)與測試人員刪除配置項，只允許添加，對測試文檔，測試過程中使用的任何工具都需要在配置管理中進行維護。

    工控系統(tǒng)本身的健壯性對工業(yè)生產(chǎn)起到?jīng)Q定性的作用，只有工控系統(tǒng)軟件在需求、設(shè)計、編碼、測試、上線、運行和不斷完善的各個階段在考慮功能實現(xiàn)的同時，充分考慮安全功能需求，才能加強工控系統(tǒng)本身的健壯性，避免漏洞被威脅利用。