如果說(shuō)2010年9月，“震網(wǎng)”病毒攻擊伊朗核電站工控系統，給全球工業(yè)界控制系統的信息安全問(wèn)題敲響了警鐘，那么2011年11月，在拉斯維加斯舉行的黑客大會(huì )上，對于如何進(jìn)攻中國重要基礎行業(yè)正在使用的工控系統的演示無(wú)疑進(jìn)一步表明了我國工控系統信息安全所面臨的緊迫形勢。

   當前，國內外工業(yè)企業(yè)都把工業(yè)控制系統安全防護建設提上了日程。2011年10月，工信部印發(fā)《關(guān)于加強工業(yè)控制系統信息安全管理的通知》，明確提出：“重點(diǎn)加強核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)控制、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統信息安全管理，落實(shí)安全管理要求。”問(wèn)題已擺在面前，如何解決？當然首要問(wèn)題就是撥開(kāi)迷霧，探尋問(wèn)題實(shí)質(zhì)。

   本期專(zhuān)題策劃，本刊記者特邀來(lái)自西門(mén)子、施耐德電氣、霍尼韋爾、ABB、和利時(shí)五家控制系統供應商的信息安全專(zhuān)家共同破解工業(yè)控制系統的信息安全迷局。

   工業(yè)自動(dòng)化生產(chǎn)領(lǐng)域在享受開(kāi)放、互聯(lián)技術(shù)帶來(lái)的技術(shù)進(jìn)步、生產(chǎn)率提高與競爭實(shí)力大大增強的利益的同時(shí)，也面臨著(zhù)越來(lái)越嚴重的安全威脅。——西門(mén)子

    每個(gè)用戶(hù)的應用不盡相同，因此需要分別評估各自的安全風(fēng)險并找出其系統中的最大隱患，以便基于這些因素來(lái)構建信息安全策略。——David Doggett

   傳統IT領(lǐng)域的影響范圍主要在虛擬的數字空間，需要借助人的作用才會(huì )對真實(shí)世界造成影響，工業(yè)領(lǐng)域是真實(shí)世界的重要組成部分，是現代人類(lèi)文明的基礎，工業(yè)領(lǐng)域的信息安全問(wèn)題直接對人類(lèi)社會(huì )造成威脅。——朱毅明

   MES系統對信息安全的防護措施要更加嚴謹，既要保證各系統之間實(shí)時(shí)可靠的數據傳輸，也要限制企業(yè)管理系統網(wǎng)絡(luò )對下層控制網(wǎng)的不良影響。——錢(qián)浩

   建立企業(yè)安全管理長(cháng)效機制，充分認識到安全防衛是一個(gè)旅程，而不是一個(gè)目的地(Security is a journey not a destination)含義。——黃天煌

   破題一：為什么近來(lái)工業(yè)控制系統信息安全問(wèn)題頻繁發(fā)生?

   國家互聯(lián)網(wǎng)應急中心(CNCERT)日前發(fā)布《2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢報告》，指出： 2011年國家信息安全漏洞共享平臺收錄了100多個(gè)對我國影響廣泛的工業(yè)控制系統軟件安全漏洞，較2010年大幅增長(cháng)近10倍，對正常生產(chǎn)秩序形成嚴重威脅。毫無(wú)疑問(wèn)，工業(yè)控制系統的信息安全威脅環(huán)境正處于急速變化的階段。正如施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò )安全項目總監DavidDoggett所說(shuō)：“過(guò)去，網(wǎng)絡(luò )安全僅僅是IT和管理系統的問(wèn)題，而就新的攻擊和威脅來(lái)看，物理設備和關(guān)鍵基礎設施都可能成為攻擊的目標。資產(chǎn)所有人和供應商必須盡快適應這種環(huán)境。”

   分析其中原因，和利時(shí)科技集團技術(shù)總監朱毅明認為網(wǎng)絡(luò )技術(shù)的深入應用使得當前工業(yè)控制系統信息安全問(wèn)題日益突出：“目前在役的工業(yè)控制系統大多是上個(gè)世紀末期開(kāi)始研制的，由于當時(shí)的工業(yè)控制系統大多采用專(zhuān)用實(shí)時(shí)操作系統、Arcnet、FDDI等網(wǎng)絡(luò )設備和令牌環(huán)、令牌總線(xiàn)等特殊的網(wǎng)絡(luò )協(xié)議，整個(gè)系統相對封閉，受到入侵的可能性不大，同時(shí)設計人員缺乏信息安全的意識，在系統架構方面基本上沒(méi)有考慮信息安全設計。隨著(zhù)計算機和網(wǎng)絡(luò )的廣泛應用，不少廠(chǎng)家都對原系統進(jìn)行升級，PCBase系統、COTS軟件、TCP/IP和以太網(wǎng)逐漸引入到工業(yè)控制系統中，但這些升級大多屬于局部修改，未能全面考慮信息安全問(wèn)題，導致了信息安全風(fēng)險的逐步擴大。”

   西門(mén)子（中國）有限公司信息安全專(zhuān)家對此觀(guān)點(diǎn)表示認同并給予了具體分析：“為了提高生產(chǎn)率和生產(chǎn)的靈活性，標準的自動(dòng)化技術(shù)與聯(lián)系自動(dòng)化“孤島”的網(wǎng)絡(luò )技術(shù)正得到日益廣泛的應用。具體表現在工業(yè)自動(dòng)化控制系統正逐漸從封閉、孤立的系統轉化為開(kāi)放互聯(lián)，工業(yè)自動(dòng)化生產(chǎn)開(kāi)始在所有網(wǎng)絡(luò )層次上橫向與垂直集成；將工業(yè)自動(dòng)化控制網(wǎng)絡(luò )與IT網(wǎng)絡(luò )相連，以及為實(shí)現遠程維護與Internet連接；越來(lái)越多地采用開(kāi)放標準以及基于PC的系統。工業(yè)自動(dòng)化生產(chǎn)領(lǐng)域在享受開(kāi)放、互聯(lián)技術(shù)帶來(lái)的技術(shù)進(jìn)步、生產(chǎn)率提高與競爭實(shí)力大大增強的利益的同時(shí)，也面臨著(zhù)越來(lái)越嚴重的安全威脅。包括：未授權人員的非法訪(fǎng)問(wèn)；間諜活動(dòng)、非法操縱控制數據，由于惡意軟件導致的數據丟失、損壞，等等。”

   破題二：工業(yè)控制系統信息安全漏洞有哪些?

   近年來(lái)，越來(lái)越多的工業(yè)自動(dòng)化控制系統安全事件的出現充分說(shuō)明了自動(dòng)化工廠(chǎng)存在著(zhù)安全脆弱性，而要面對這一挑戰，首先應當充分了解潛在的安全威脅到底出自何處。對此，各位專(zhuān)家從不同的角度給予了解讀。

   霍尼韋爾中國公司高級系統顧問(wèn)黃天煌認為工業(yè)控制系統安全漏洞來(lái)自管理、工業(yè)控制系統供應商、工業(yè)控制系統本身多個(gè)方面：“從管理來(lái)說(shuō)，決策部門(mén)不夠重視，企業(yè)沒(méi)有制定安全政策，沒(méi)有安全管理機制，技術(shù)人員嚴重缺乏安全知識；而目前有相當一部分工業(yè)控制系統供應商沒(méi)有完整的工業(yè)安全解決方案也是造成信息安全問(wèn)題的原因所在；另外，工業(yè)控制系統自身存在安全漏洞，包括：過(guò)程控制網(wǎng)絡(luò )架構混亂，控制網(wǎng)絡(luò )與IT網(wǎng)絡(luò )隔離不正確，缺少防病毒保護和及時(shí)更新，缺少Windows安全補丁更新，個(gè)人賬號或角色管理不合理等。”

   ABB控制技術(shù)部高級工程師錢(qián)浩認為工業(yè)控制系統是由軟件與硬件構成的，理論上，這些軟件與硬件都有被攻擊的危險：“常見(jiàn)的安全漏洞包括操作系統平臺的漏洞例如Windows操作系統、工業(yè)控制系統的漏洞；硬件例如PLC控制器、電腦工作站、網(wǎng)絡(luò )設備如交換機、路由器等。”

   和利時(shí)科技集團技術(shù)總監朱毅明則認為：“目前工業(yè)控制系統信息安全主要有兩個(gè)關(guān)注點(diǎn)，一是在網(wǎng)絡(luò )傳輸過(guò)程中的保密信息泄漏；二是外部入侵影響系統可靠運行。工業(yè)控制系統由于對于傳輸的實(shí)時(shí)性要求很高，網(wǎng)絡(luò )數據傳輸一般不采用加密的方式，在數據格式、傳輸協(xié)議方面的特點(diǎn)，也造成了基本上無(wú)安全性可言。”

    西門(mén)子（中國）有限公司信息安全專(zhuān)家表示：“到目前為止，真正的網(wǎng)絡(luò )攻擊還是比較罕見(jiàn)的。在大多數情況下，人們多數談?wù)摰氖菨撛诘墓I(yè)控制系統安全漏洞。目前已知的典型ICS漏洞主要包括，拒絕服務(wù)（Denial of Service)，易受暴力攻擊的弱口令，以及基于PC的Windows系統易受病毒感染等。這些安全漏洞使得ICS系統暴露于安全攻擊之下，因此應當盡快采取安全措施。”

   施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò )安全項目總監Da v i dDoggett則認為：“在最終用戶(hù)的系統中，主要安全漏洞來(lái)自于工廠(chǎng)物理設備，因此在工廠(chǎng)內加強廠(chǎng)級安全策略尤為重要。然而，每個(gè)用戶(hù)的應用不盡相同，因此需要分別評估各自的安全風(fēng)險并找出其系統中的最大隱患，以便基于這些因素來(lái)構建信息安全策略。”

   破題三：工業(yè)控制系統信息安全問(wèn)題發(fā)生有何特點(diǎn)?在哪些領(lǐng)域易于發(fā)生?

   工業(yè)控制系統信息安全問(wèn)題的發(fā)生有其必然性，這其中也必然有規律可循，西門(mén)子（中國）有限公司信息安全專(zhuān)家分析近些年出現的工控系統安全問(wèn)題認為：“除少數特別復雜的攻擊外，主要的問(wèn)題還是集中在工業(yè)PC感染IT病毒后導致工業(yè)應用失效，或影響到工業(yè)以太網(wǎng)，其次是各種工控設備、應用在部署中普遍采用弱口令、空口令、靜態(tài)口令，再有就是利用工程師站上網(wǎng)或從事其他無(wú)關(guān)用途等管理脆弱性所帶來(lái)的安全問(wèn)題。”

    從應用領(lǐng)域上來(lái)看，西門(mén)子（中國）有限公司信息安全專(zhuān)家表示：“聯(lián)網(wǎng)程度高、復雜的（存在大量的子網(wǎng)與控制單元）工控系統，特別是過(guò)程控制系統，與企業(yè)IT辦公網(wǎng)有直接、間接互聯(lián)的工控系統，存在（通過(guò)Internet或其他公共網(wǎng)絡(luò )）遠程維護接口的工控系統，一旦管理不善，都更易于發(fā)生安全問(wèn)題。”

   雖然有一定規律可循，但工業(yè)控制系統信息安全問(wèn)題是一個(gè)普遍問(wèn)題，不存在避風(fēng)港，不能存有僥幸心理，因為工業(yè)控制系統信息安全問(wèn)題可能造成控制器的性能受影響，或癱瘓，也可能造成控制策略混亂或輸出錯誤，從而造成生產(chǎn)安全故障。正如霍尼韋爾中國公司高級系統顧問(wèn)黃天煌所言：“只要是使用開(kāi)放的以太網(wǎng)、基于微軟Windows操作系統的數據采集與監控（SCADA）系統、分布式控制系統（DCS）、過(guò)程控制系統（PCS）、可編程邏輯控制器（PLC），基于控制系統的高級應用等等，都是易于發(fā)生信息安全問(wèn)題的領(lǐng)域。”

    ABB控制技術(shù)部高級工程師錢(qián)浩也持相同觀(guān)點(diǎn)：“由于工控系統廣泛應用于如電力、石化、鋼鐵、造紙、水泥等各種工業(yè)行業(yè)，只要企業(yè)的安全措施沒(méi)有做到位，都有可能發(fā)生上述信息安全事故。”

    而和利時(shí)科技集團技術(shù)總監朱毅明則表示工業(yè)控制系統信息安全問(wèn)題不但在能源、化工、石化、交通運輸等國民經(jīng)濟關(guān)鍵領(lǐng)域要關(guān)注，對于中小型制造企業(yè)方面更要引起重視：“中小型制造業(yè)信息安全問(wèn)題可能相對影響較小，但由于中小型企業(yè)技術(shù)能力較大型企業(yè)相對不足，如果出現信息安全問(wèn)題，容易出現危險失控或大面積擴散。”

    破題四：相比IT信息安全，工業(yè)控制系統信息安全提出了哪些新需求？

    其實(shí)信息安全問(wèn)題已經(jīng)不是一個(gè)新的話(huà)題，但在過(guò)去信息安全問(wèn)題一直是IT領(lǐng)域所關(guān)注的熱點(diǎn)，也針對此問(wèn)題提出了一系列的應對策略。但對于工業(yè)控制系統來(lái)說(shuō)，其信息傳輸具有特殊性，工業(yè)控制系統信息安全與IT系統信息安全自然也存在著(zhù)差別，霍尼韋爾中國公司高級系統顧問(wèn)黃天煌認為：“最大的區別是造成的后果不同，工業(yè)控制系統的信息安全不僅可能造成信息的丟失，還可能造成工業(yè)過(guò)程生產(chǎn)故障的發(fā)生，從而造成人員損_害及設備損壞，其直接財產(chǎn)的損失是巨大的，甚至有可能引起環(huán)境問(wèn)題和社會(huì )問(wèn)題。”

    與其持相同觀(guān)點(diǎn)的還有和利時(shí)科技集團技術(shù)總監朱毅明：“傳統IT領(lǐng)域與工業(yè)領(lǐng)域相比最大的不同在于：傳統IT領(lǐng)域的影響范圍主要在虛擬的數字空間，需要借助人的作用才會(huì )對真實(shí)世界造成影響，工業(yè)領(lǐng)域是真實(shí)世界的重要組成部分，是現代人類(lèi)文明的基礎，工業(yè)領(lǐng)域的信息安全問(wèn)題直接對人類(lèi)社會(huì )造成威脅。”

    目前，已經(jīng)有許多安全產(chǎn)品可以用于實(shí)現工業(yè)控制系統的“縱深防御”，如最新的病毒掃描軟件及防火墻、網(wǎng)關(guān)等。但安全產(chǎn)品需要充分考慮工業(yè)控制系統的特殊性，包括工控領(lǐng)域使用的是特殊的網(wǎng)絡(luò )協(xié)議，工控設備多為嵌入式系統，以及SCADA、DCS等工控應用的特點(diǎn)，才能提供有效的防護，簡(jiǎn)單地將原先純粹為IT領(lǐng)域設計的安全產(chǎn)品原封不動(dòng)地引入到工業(yè)控制領(lǐng)域，具有相當大的局限性，有時(shí)甚至會(huì )帶來(lái)新的問(wèn)題。西門(mén)子（中國）有限公司信息安全專(zhuān)家就此分析認為兩者之間需求不同是首先需要考慮的問(wèn)題：“在辦公IT領(lǐng)域中，其數據的最重要的安全需求是機密性。但在工業(yè)控制領(lǐng)域，更關(guān)鍵的需求是實(shí)時(shí)通信或99.99%的工廠(chǎng)可用性，所以在工控領(lǐng)域，首要的安全需求是可用性。”

    ABB控制技術(shù)部高級工程師錢(qián)浩認為工業(yè)控制系統對信息安全的要求會(huì )更嚴格，對系統數據的完整性、可用性以及實(shí)時(shí)訪(fǎng)問(wèn)均有高要求：“首先，工控系統的受控對象是物理的生產(chǎn)過(guò)程，生產(chǎn)受到影響會(huì )導致財務(wù)、人員、環(huán)境等方面的損失，也會(huì )受?chē)曳ㄒ幖s束；其次，工控系統信息安全的重點(diǎn)是保護受控對象的高度穩定性，其可用性要達到99.9%以上；再次，一旦發(fā)生信息安全的事故，工控系統要求很短時(shí)間內解決，手段包括冗錯機制，在線(xiàn)修復等等。”

    施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò )安全項目總監David Doggett則從更具體的角度給予了分析，他認為：“首先，對于IT領(lǐng)域來(lái)說(shuō)，已裝機系統的更換或升級頻率一般是兩到三年，此外每個(gè)月還要進(jìn)行例行補丁安裝或修正；而對于工業(yè)控制系統來(lái)說(shuō)，系統一旦安裝完畢投入運行，將進(jìn)行10-20年不間斷的可靠運行。但是，由于外部環(huán)境的信息安全威脅不斷變化，某些年代久遠的已裝機系統在更換之前必須不斷升級改造以確保其安全性。越來(lái)越多工業(yè)控制系統的安全性不斷提高，而這些系統的生命周期將比之前預計的更短，以跟上不斷變化的外部威脅環(huán)境的步伐。工業(yè)控制系統的升級或補丁安裝過(guò)程也與IT領(lǐng)域有很大差別，系統只能接受很短的計劃停機時(shí)間。其次，最終用戶(hù)工業(yè)控制部門(mén)的工作人員所掌握的安全技能往往是比較有限的，所以在設計與實(shí)施安全系統時(shí)往往要求低維護率。”

    破題五：作為現代工廠(chǎng)三層結構中承上啟下的MES系統，其信息安全防范有何特殊性？

    在現代工廠(chǎng)三層網(wǎng)絡(luò )架構中，承上啟下的MES作為聯(lián)接工業(yè)控制系統與企業(yè)管理系統之間的橋梁，使得底層工控系統與上層的企業(yè)管理系統進(jìn)行信息交互，其信息安全防范又需有哪些特殊考慮？各位專(zhuān)家提出了具有針對性的策略。

    西門(mén)子（中國）有限公司信息安全專(zhuān)家表示：“MES其特殊性在于既要考慮與工業(yè)控制系統通信的高可靠性方面的需求，保證MES系統本身的故障、安全問(wèn)題不會(huì )波及到工業(yè)控制系統；還要考慮企業(yè)管理系統在機密性方面的需求，采用VPN、強認證等技術(shù)保護企業(yè)生產(chǎn)的關(guān)鍵性數據。因此，在實(shí)際中可以考慮將企業(yè)管理系統、MES、工業(yè)控制系統劃分為不同的安全域，并采用防火墻、安全網(wǎng)關(guān)等技術(shù)將其隔離，并在不同的安全域根據其需求的不同定義不同的安全策略（包括邊界防火墻、網(wǎng)關(guān)的策略），部署不同的安全產(chǎn)品進(jìn)行防護。”

    ABB控制技術(shù)部高級工程師錢(qián)浩認為：“ MES系統對信息安全的防護措施要更加嚴謹，既要保證各系統之間實(shí)時(shí)可靠的數據傳輸，也要限制企業(yè)管理系統網(wǎng)絡(luò )對下層控制網(wǎng)的不良影響。例如在不同網(wǎng)絡(luò )之間架設硬件防火墻、采用域策略進(jìn)行管理并給予用戶(hù)相應的訪(fǎng)問(wèn)策略、外網(wǎng)的連接采用VPN技術(shù)、服務(wù)器與客戶(hù)端需要有軟件防火墻及殺毒軟件、完善的數據備份機制、必要時(shí)可對數據庫文件進(jìn)行加密等措施。”

   霍尼韋爾中國公司高級系統顧問(wèn)黃天煌表示：“MES與控制系統不同，它沒(méi)有與生產(chǎn)過(guò)程直接連接，只是通過(guò)網(wǎng)絡(luò )及軟件接口，如實(shí)時(shí)數據庫，OPC接口等連接，所以MES除了本身必須具備信息安全的防護以外，還必須注意與控制系統接口安全問(wèn)題。MES應用不要直接訪(fǎng)問(wèn)控制系統，最好通過(guò)由控制廠(chǎng)商提供的專(zhuān)門(mén)實(shí)時(shí)數據庫，再由該實(shí)時(shí)數據庫使用廠(chǎng)商提供的專(zhuān)用通訊接口與控制系統進(jìn)行通訊。同時(shí)在網(wǎng)絡(luò )架構上，實(shí)時(shí)數據庫必須通過(guò)專(zhuān)門(mén)的網(wǎng)絡(luò )隔離設備進(jìn)行隔離，如網(wǎng)絡(luò )防火墻。”

    施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò )安全項目總監David Doggett則提出具有針對性的DMA策略：“保護三層結構的最常見(jiàn)的解決方案是采用DMZ策略，即安全隔離區策略。這對橋接工廠(chǎng)控制層和管理層的MES來(lái)說(shuō)，特別有效。把數據放在DMZ安全隔離區可以保證數據通訊不會(huì )直接在企業(yè)層和工廠(chǎng)控制層之間發(fā)生。防火墻也會(huì )放在安全隔離區的兩側來(lái)阻止未授權的沖突。如果安全隔離區計算機被采用，則會(huì )把工廠(chǎng)生產(chǎn)隔離開(kāi)，以阻止可能的潛在隱患。”

   破題六：IT系統供應商、用戶(hù)、工業(yè)控制系統供應商、設計院如何協(xié)同應對？

    由于工業(yè)控制系統所涵蓋的產(chǎn)品廣泛，其信息安全問(wèn)題是一項綜合性的方案，因此需要用戶(hù)、IT系統供應商及控制系統廠(chǎng)商緊密地協(xié)作。正如施耐德電氣工業(yè)事業(yè)部全球網(wǎng)絡(luò )安全項目總監David Doggett表示：“IT供應商和IT公司應對信息安全問(wèn)題多年，對于技術(shù)、威脅和部署方法十分熟悉，能夠確保企業(yè)、網(wǎng)絡(luò )和計算機數據的安全。IT供應商通常不了解工控系統客戶(hù)對于所需的系統集成性和可靠性的敏感程度。最好的辦法就是各部門(mén)協(xié)作，集合掌握技術(shù)、了解環(huán)境、了解潛在隱患及其解決辦法的人員，從而確保系統的可用性和集成性。”

    西門(mén)子（中國）有限公司信息安全專(zhuān)家認為工業(yè)控制系統的信息安全涉及到工控系統的管理者、運營(yíng)者、系統集成商和產(chǎn)品廠(chǎng)商，需要多方協(xié)作才能保護工業(yè)控制系統免受各種安全威脅的侵害，其具體分析到：“對工業(yè)控制系統的管理者，其安全需求包括：采取措施與流程防止對工廠(chǎng)的未經(jīng)授權的訪(fǎng)問(wèn)、提供對關(guān)鍵自動(dòng)化組件物理訪(fǎng)問(wèn)的防護等等；而對運營(yíng)者安全需求，則包括：在運營(yíng)過(guò)程中建立并貫徹安全指南與流程規范，實(shí)施安全風(fēng)險管理 ，重視信息與文檔的管理使得安全審計成為可能等等；對系統集成商，需要在建立工業(yè)控制系統之初就考慮：訪(fǎng)問(wèn)控制、用戶(hù)控制，數據完整性與機密性，可控的數據流等安全需求；而對工業(yè)控制系統廠(chǎng)商，則需要考慮自動(dòng)化系統組件的安全需求：建立并貫徹安全產(chǎn)品開(kāi)發(fā)流程、產(chǎn)品功能安全等等。

    ABB控制技術(shù)部高級工程師錢(qián)浩則以ABB公司為例告訴我們IT系統供應商、用戶(hù)、工業(yè)控制系統供應商如何協(xié)同應對：“所有與ABB的控制系統有直接聯(lián)系的軟硬件均需要通過(guò)ABBIndustrial IT認證，該認證能夠最小化用戶(hù)在使用ABB控制系統過(guò)程中的信息安全風(fēng)險；同時(shí)，ABB與Microsoft、IBM、Lenovo、HP、DELL、Cisco、Hirschmann、MOXA、Phoenix、Westermo、McAfee等軟硬件廠(chǎng)商有密切聯(lián)系，定期發(fā)布經(jīng)過(guò)ABB研發(fā)部門(mén)測試過(guò)的安全補丁與認證產(chǎn)品列表供用戶(hù)選擇，用戶(hù)也能通過(guò)信息反饋與ABB工程師進(jìn)行及時(shí)溝通。”

   破題七：應對工業(yè)控制系統信息安全，當前最緊迫的問(wèn)題是什么？

   盡管工業(yè)控制系統信息安全已成為一個(gè)全球性的問(wèn)題，但是我國用戶(hù)與發(fā)達國家相比，在安全意識和防范措施等方面仍存在著(zhù)巨大的差距，標準與法規尚未健全，第三方認證機構沒(méi)有得到系統管理。應對當前日益嚴重的信息安全形勢，最緊迫的問(wèn)題是什么？培養人的安全意識和完善安全風(fēng)險評估機制成為諸位專(zhuān)家的共識。

    ABB控制技術(shù)部高級工程師錢(qián)浩認為：“工業(yè)控制系統的正常運行離不開(kāi)人的因素，因此，其信息安全與人員因素息息相關(guān)。明確信息安全目標、制訂信息安全政策、劃分信息安全區域都是當前的首要問(wèn)題。”

    西門(mén)子（中國）有限公司信息安全專(zhuān)家認為：“對于人的安全意識的培養，不僅要意識到工業(yè)控制系統信息安全問(wèn)題的迫切性，后果的嚴重性，更要了解工業(yè)控制系統信息安全不是一個(gè)單純的技術(shù)問(wèn)題，而是一個(gè)從意識培養開(kāi)始，涉及到管理、流程、架構、技術(shù)、產(chǎn)品等各方面的系統工程；以及工業(yè)控制系統信息安全是一個(gè)動(dòng)態(tài)過(guò)程，需要在整個(gè)工業(yè)基礎設施生命周期的各個(gè)階段中持續實(shí)施，不斷改進(jìn)的理念，不可能一蹴而就，也不可能一勞永逸。”

    和利時(shí)科技集團技術(shù)總監朱毅明則認為：“面對越來(lái)越頻繁發(fā)生的工業(yè)控制系統信息安全問(wèn)題，當前最緊迫的事情認識到其嚴重性，新建或改造的工控系統應該具備信息安全特性，全面滿(mǎn)足信息安全需求；對于在役系統，應該針對各企業(yè)的工業(yè)控制系統的實(shí)際情況進(jìn)行安全風(fēng)險評估，設計出符合不同工業(yè)企業(yè)實(shí)際情況的工業(yè)控制系統安全解決方案，分期分步開(kāi)展工控信息安全升級，從隔離危險源、切斷危險進(jìn)入和擴散的路徑入手逐步提升工控系統的信息安全水平。

    霍尼韋爾中國公司高級系統顧問(wèn)黃天煌給出的五大緊迫任務(wù)正是對以上的最好總結：目前當務(wù)之急就是大力進(jìn)行安全教育，特別是各級領(lǐng)導及技術(shù)人員要有安全隱患意識，應從以下方面著(zhù)手：參照IEC 62443 / ISA99標準，由工信部牽頭制定相應國家標準；要求企業(yè)建立信息安全專(zhuān)業(yè)小組，制定企業(yè)控制系統信息安全政策(Policies)和實(shí)踐(practices)；對已有工業(yè)控制系統進(jìn)行全面評估，及早發(fā)現安全隱患，并采取安全保護措施；對新上工業(yè)控制系統項目必須要求充分考慮安全保護；建立企業(yè)安全管理長(cháng)效機制，充分認識到安全防衛是一個(gè)旅程，而不是一個(gè)目的地(Security is a journey not a destination)含義。

    工業(yè)控制系統供應商信息安全應對策略

   目前，和利時(shí)在近20年的時(shí)間內已經(jīng)銷(xiāo)售超過(guò)1萬(wàn)臺套各類(lèi)工業(yè)控制系統，擁有數千個(gè)最終用戶(hù)單位，這些系統大部分還處于在役運行狀態(tài)。我們向用戶(hù)提供在役的DCS、PLC、SCADA等各類(lèi)工業(yè)控制系統的信息安全升級方案。根據不同的用戶(hù)的要求和系統的運行狀態(tài)，基于信息安全風(fēng)險評估，分別向最終用戶(hù)提供系統整體升級、增加信息安全設備和軟件、軟件升級等應對策略。

   對于新建或升級改造的工控系統，面對不同的應用場(chǎng)合和利時(shí)提供不同等級的信息安全解決方案。對于大型SCADA系統，由于地理上分散部署，網(wǎng)絡(luò )節點(diǎn)數量多，部分通訊鏈路采用無(wú)線(xiàn)通訊或公網(wǎng)，使用COTS軟件較多，信息安全風(fēng)險較大，在系統架構設計上就要重點(diǎn)考慮信息安全問(wèn)題，在設計實(shí)現方面，采用權限認證、傳輸加密、完整性檢查、安全分區、主動(dòng)行為檢查、漏洞掃描等手段降低信息安全風(fēng)險。對于PLC和DCS，地理分散度相對SCADA較低，網(wǎng)絡(luò )以電纜和光纜介質(zhì)為主，COTS軟件主要用于非關(guān)鍵系統，主要采用廣播風(fēng)暴抑制、通訊流量控制、過(guò)濾特殊報文、封閉空閑端口、關(guān)鍵代碼和數據加密冗余存儲等信息安全措施。

    施耐德電氣多年來(lái)為客戶(hù)提供安全指導使其系統免受攻擊。施耐德電氣在其發(fā)表的白皮書(shū)中對這些安全指導有詳盡描述，此外，還提供各種服務(wù)與技術(shù)支持幫助用戶(hù)識別系統設計中的固有漏洞，從而正確的保護其產(chǎn)品免受安全攻擊的危害。此外，施耐德電氣的產(chǎn)品在關(guān)注性能、可靠性、易于使用和易于整合等關(guān)鍵特性的同時(shí)，安全性已成為研發(fā)和設計考慮的重要一環(huán)。

    ABB的工業(yè)控制系統遵循IEC 62351、IEC62443、ISA S99、IEEE P1686、IEEE P1711、Cigre B5.38等等有關(guān)信息與網(wǎng)絡(luò )安全的國際標準并介入到有關(guān)標準的最初制訂階段，ABB專(zhuān)家也參與美國NERC的相關(guān)標準制訂。在項目的具體實(shí)施中，ABB會(huì )為按照用戶(hù)的不同安全級別進(jìn)行分區，使不同的用戶(hù)擁有各自的操作權限，ABB還會(huì )定期向用戶(hù)發(fā)布經(jīng)過(guò)測試的微軟操作系統補丁和工業(yè)控制系統的安全補丁，另外還結合第三方的殺毒與防火墻軟硬件來(lái)提升工控系統的信息安全等級。ABB擴展的自動(dòng)化系統800xA可針對此需求向用戶(hù)提供基于信息安全的操作站，它能實(shí)時(shí)監控800xA系統的所有數據流信息。此外ABB還聯(lián)合第三方合作伙伴為用戶(hù)做安全測試與咨詢(xún)服務(wù)。

    目前，部署縱深防御解決方案是工業(yè)自動(dòng)化控制領(lǐng)域應對安全挑戰的現實(shí)方法。許多最有效的網(wǎng)絡(luò )安全措施并非是軟件或硬件，而是滲透到工業(yè)自動(dòng)化控制系統的管理者、操作員日常工作中的最佳實(shí)踐。西門(mén)子向客戶(hù)提供一整套切實(shí)有效的安全實(shí)踐，稱(chēng)之為西門(mén)子工業(yè)安全理念，其核心就是“縱深防御”，具體包括:

   ☆ 保證自動(dòng)化工廠(chǎng)的物理安全；

   ☆ 建立安全策略與流程；

   ☆ 進(jìn)行網(wǎng)絡(luò )分區與（控制單元間的）邊界防護；

   ☆ 建立安全的單元間通信；

   ☆ 系統加固與補丁管理；

   ☆ 惡意軟件的檢測與防護；

   ☆ 訪(fǎng)問(wèn)控制與賬號管理；

   ☆ 記錄設備訪(fǎng)問(wèn)日志，并進(jìn)行必要的審計。

   簡(jiǎn)而言之，就是要確保只有絕對必要的人員才能在物理上接觸到關(guān)鍵工控系統，將工控設備在網(wǎng)絡(luò )上與其他不必要相聯(lián)的系統斷開(kāi)，維護防火墻的完整性，堅持打上最新的軟件安全補丁，等等。

    西門(mén)子將向客戶(hù)提供全面的工業(yè)控制系統信息安全支持，包括產(chǎn)品、系統、解決方案，以及專(zhuān)業(yè)的咨詢(xún)服務(wù)。

   與此同時(shí)，西門(mén)子還在全球的重點(diǎn)國家建立了安全專(zhuān)家網(wǎng)絡(luò )。目前，西門(mén)子安全網(wǎng)絡(luò )的中心設立在德國，并在美國、中國、俄羅斯、法國建立了分支，并計劃在英國、印度設立另外兩個(gè)分支。西門(mén)子安全專(zhuān)家職責是第一時(shí)間掌握安全漏洞與網(wǎng)絡(luò )攻擊的相關(guān)信息，與本地客戶(hù)、工業(yè)合作伙伴、以及政府權威機構密切合作，共同分析問(wèn)題，控制問(wèn)題的影響范圍，盡快提供相應的解決方案。

   總體安全策略包括：

   ☆ Honeywell已經(jīng)建立起一個(gè)獨立的業(yè)務(wù)部門(mén)，主動(dòng)幫助用戶(hù)實(shí)現安全與防衛 ；

   ☆ 與全球重要客戶(hù)密切合作，共同研究安全策略；

   ☆ 參與在標準委員會(huì )的領(lǐng)導層工作，包括：ISA-SP99、IEC-65C、MS-MUG；

   ☆ 在Honeywell工廠(chǎng)內部，不斷進(jìn)行控制系統弱點(diǎn)攻擊測試 ；

   ☆ 計劃對所有用戶(hù)實(shí)施工廠(chǎng)實(shí)現綜合縱深“防御計劃”。

   Honeywell 自動(dòng)化控制系統實(shí)行縱深安全防衛策略：

    ☆ 在控制系統內部的每一層內置安全防護功能，包括：

   （1）安全可靠且具有完整的網(wǎng)絡(luò )安全性：網(wǎng)絡(luò )分層分區（FTE社區），每一層具備不同安全特性。Level1連接使用Honeywell專(zhuān)用的的控制防火墻，保證過(guò)程控制器絕對安全。每一FTE社區采用虛擬專(zhuān)用網(wǎng)絡(luò )，私有IP地址，FTE社區只允許通過(guò)路由器互聯(lián)。充分使用智能交換機安全機制，壓制大量廣播/組播/單播通訊，實(shí)行過(guò)程控制信號優(yōu)先級通訊，保證監控信息傳輸在任何不被中斷。與工廠(chǎng)信息網(wǎng)絡(luò )使用單一網(wǎng)絡(luò )防火墻進(jìn)行隔離。

    （2）PC機安全防護：基于角色的安全管理，保護重要文件,注冊鍵, 目錄；要求使用域服務(wù)器，根據用戶(hù)角色，預先設定好域用戶(hù)組(Group)，和角色安全模板。

   （3）保持控制統處于最新的安全防護狀態(tài)：強制要求防病毒軟件，建立防病毒數據自動(dòng)更新服務(wù)器，及系統安全補丁自動(dòng)更新服務(wù)器。

   ☆ 提供《控制系統安全最優(yōu)實(shí)踐(Best Practices)》正式文本資料；

   ☆ 保持警戒(Maintain vigilance)，定期進(jìn)行安全評估與測試，不斷維持安全旅程(security journey)；

   ☆ 提供災難性故障的恢復工具與程序 ；

   ☆ 與我們的客戶(hù)與用戶(hù)保持密切合作 ；

   ☆ 集成化的安全防衛方案， 包括物理(Physical), 電子(electronic)和計算機(cyber)。  

    摘自《自動(dòng)化博覽》2012年第七期