1. 引言

當前計算機及運行于計算機上的信息系統的應用已經(jīng)十分普及, 從家用到企業(yè)信息管理，都離不開(kāi)計算機信息系統。隨著(zhù)網(wǎng)絡(luò )技術(shù)、通訊技術(shù)的大規范應用使得信息傳遞與信息共享得到質(zhì)的飛躍。各種網(wǎng)絡(luò )應用應運而生，如：電子商務(wù)系統、ERP系統、MES系統等。在我們應用信息技術(shù)帶來(lái)的方便之時(shí)，同時(shí)必須面對信息系統存在的不安全因素。

2. 信息安全的必要性

按以往的經(jīng)驗，易受攻擊的信息系統多為金融等商業(yè)信息系統，黑客的目標多集中于竊取商業(yè)系統中的用戶(hù)或企業(yè)信息以達到牟利的目的，有少量以損人不利己的純破壞為目的。但是近年來(lái)，針對信息系統的攻擊范圍及性質(zhì)發(fā)生了變化，以往不被黑客重視的自動(dòng)化系統等工業(yè)計算機系統成為了攻擊的新目標，以往的攻擊者多為個(gè)體的黑客或黑客組織，現在針對工業(yè)控制系統的攻擊背后，某些機構甚至國家的影子越來(lái)越明顯。

一個(gè)著(zhù)名的攻擊實(shí)例就是近年發(fā)生的伊朗核電設施被震網(wǎng)病毒襲擊事件。2011年2月，伊朗突然宣布暫時(shí)推遲首座核電站——布什爾核電站的使用，原因就是核設施遭到“震網(wǎng)”病毒攻擊，1/5的離心機報廢。自2010年8月該核設施啟用后就發(fā)生連串故障，伊朗政府表面聲稱(chēng)是天熱所致，但真正原因卻是核設施遭病毒攻擊。一種名為“震網(wǎng)”（Stuxnet）的蠕蟲(chóng)病毒，侵入了伊朗工廠(chǎng)，進(jìn)入西門(mén)子為核電站設計的工業(yè)控制軟件，并可奪取對一系列核心生產(chǎn)設備的關(guān)鍵控制權。

微軟調查結果顯示，“震網(wǎng)”正在伊朗等中亞國家肆虐，發(fā)作頻次越來(lái)越高，并有逐步向亞洲東部擴散的跡象。“震網(wǎng)”包含空前復雜的惡意代碼，是一種典型的計算機病毒，能自我復制，并將副本通過(guò)網(wǎng)絡(luò )傳輸，任何一臺個(gè)人電腦只要和染毒電腦相連，自動(dòng)傳播給其他與之相連的電腦，最后造成大量網(wǎng)絡(luò )流量的連鎖效應，導致整個(gè)網(wǎng)絡(luò )系統癱瘓。“震網(wǎng)”主要通過(guò)U盤(pán)和局域網(wǎng)進(jìn)行傳播，是第一個(gè)利用Windows“零日漏洞”，專(zhuān)門(mén)針對工業(yè)控制系統發(fā)動(dòng)攻擊的惡意軟件，能夠攻擊石油運輸管道、發(fā)電廠(chǎng)、大型通信設施、機場(chǎng)等多種工業(yè)和民用基礎設施，被稱(chēng)為“網(wǎng)絡(luò )導彈”。

“震網(wǎng)”相當復雜，更像是出自浩大的“政府工程”而非黑客個(gè)人行為，病毒編寫(xiě)者需要對工業(yè)生產(chǎn)過(guò)程和工業(yè)基礎設施十分了解。編寫(xiě)代碼需要很多人工作幾個(gè)月甚至幾年，背后需要一個(gè)非常成熟的專(zhuān)業(yè)團隊運作，擁有巨大的資源及財政支持?？ò退够鶎?shí)驗室發(fā)布聲明，認為“震網(wǎng)”是十分有效并且可怕的網(wǎng)絡(luò )武器原型，將導致世界上新的軍備競賽。它還認為“除非有國家和政府的支持和協(xié)助，否則很難發(fā)動(dòng)如此規模的攻擊。以色列和美國牽扯其中”。

自動(dòng)化軟件被譽(yù)為自動(dòng)化系統的“靈魂”，“震網(wǎng)”(Stuxnet)病毒對伊朗核設施的破壞，其切入口就是系統的監控和數據采集系統。伊朗布舍爾核電站的上位監控軟件由西門(mén)子公司提供，是西門(mén)子的重要產(chǎn)品SIMATIC WINCC。

“震網(wǎng)”(Stuxnet)病毒的出現和傳播，威脅的不僅僅是自動(dòng)化系統的安全，而且使自動(dòng)化系統的安全性上升到國家安全的高度。目前我國的大型項目和工程，水利、核電、交通、石化、鋼鐵等，絕大部分采用國外品牌的自動(dòng)化軟件，其中包括西門(mén)子的SIMATIC WINCC。業(yè)內人士擔憂(yōu)，一旦“震網(wǎng)”(Stuxnet)病毒傳播，后果將不堪設想。

伊朗布舍爾核電站的遭遇為我們敲響警鐘，為防止和減輕類(lèi)似“震網(wǎng)”(Stuxnet)病毒對自動(dòng)化系統的破壞，提高系統安全性，尤其提高關(guān)系到國家戰略和安全的大型項目安全，對國外品牌的選擇需要更加謹慎，并對中國自主研發(fā)的產(chǎn)品有足夠的重視。在同類(lèi)項目中，可以分別采用不同品牌、不同技術(shù)，以分散風(fēng)險。再者，國內的工控軟件研發(fā)廠(chǎng)商需要更加重視軟件的安全性，尤其提高軟件在大型系統、復雜系統和特殊系統中的安全性與可靠性。

中國自有品牌自動(dòng)化軟件經(jīng)過(guò)若干年的發(fā)展，在某些方面已經(jīng)達到甚至超越了國外品牌，尤其在對新出現的IT技術(shù)、通信技術(shù)等的采用與應用方面，有著(zhù)很強的后發(fā)優(yōu)勢，用戶(hù)應當提高對國產(chǎn)品牌的信心。作為軟件供應商則應該進(jìn)一步加強技術(shù)創(chuàng )新，深入了解用戶(hù)信息安全需求，開(kāi)發(fā)出更適合本土項目需要、更貼近中國人學(xué)習和操作習慣、并且具有更高安全性的國產(chǎn)自動(dòng)化軟件。

3. 危及信息安全的因素

企業(yè)使用計算機進(jìn)行管理及控制，在網(wǎng)絡(luò )環(huán)境下的信息管理、信息駐留與信息傳遞過(guò)程中危及“信息安全”的因素可以分為兩類(lèi)：

外部因素

外部因素指和企業(yè)無(wú)關(guān)的外部人員，通過(guò)網(wǎng)絡(luò )，使用非法工具、采用非法手段，非法侵入企業(yè)信息系統，獲取關(guān)鍵信息、破壞內部數據。

內部因素

內部因素指企業(yè)內部工作人員，借工作之便，非法復制企業(yè)的關(guān)鍵信息，或者盜用他人賬號登陸系統，非法修改關(guān)鍵數據，從而達到個(gè)人的非法目的。

4. 保證信息安全的方法

危及信息安全的形式有多種多樣，我們現在考慮的越多、越全面，在將來(lái)我們受到攻擊、受到危害的可能性就越小，我們的信息安全性就越高。保證重要數據處于一個(gè)相對安全的位置，讓那些居心叵測的人無(wú)法輕易的接觸到，即使得到數據也是經(jīng)過(guò)嚴格加密的數據而無(wú)法輕易的還原。達到以上目的可以有多種方法和手段。

增強安全意識

如果沒(méi)有安全意識，再好的工具得不到應用、再完善的制度得不到認真執行。我們所做的一切都沒(méi)有任何價(jià)值、沒(méi)有任何實(shí)際意義。增強安全意識首先要從規章制度做起，給使用者制訂出非常明確的工作規范、工作流程、及工作內容。制度的制定不是要相互提防，增加彼此的不信任。恰恰相反是把員工做為可信賴(lài)的人、可以維護企業(yè)利益的人。

規章制度只是一種手段，不應該把安全目標的實(shí)現完全建立在要求每一個(gè)人都能夠自覺(jué)遵守制度、不做越雷池半步的操作，而應該輔以技術(shù)措施與數據加密處理。只有采用多種手段、綜合管理，才能確保信息相對安全。

防火墻

網(wǎng)絡(luò )環(huán)境管理信息系統的一個(gè)共同的特點(diǎn)是數據集中管理、操作可以分步進(jìn)行。如果不做任何限制，任何一個(gè)用戶(hù)可以從任何一臺工作站登陸網(wǎng)絡(luò )、訪(fǎng)問(wèn)網(wǎng)絡(luò )中的信息。構建在局域網(wǎng)基礎上的企業(yè)管理信息系統同時(shí)接入Internet，那么，我們的網(wǎng)絡(luò )將暴露在所有Internet接入者面前。消除這個(gè)隱患常用的方法是在局域網(wǎng)與Internet之間架一道“防火墻”，它在防止非法Internet用戶(hù)侵入企業(yè)內部局域網(wǎng)具有相當的作用。

權限限制

針對一些大型企業(yè)、集團公司的辦公機構，可以按照組織結構進(jìn)行網(wǎng)絡(luò )規劃，將物理連接在一起的計算機劃分成多個(gè)“域”（部門(mén)），每一個(gè)“域”（部門(mén)）覆蓋范圍明確、相對獨立，“域”（部門(mén)）之間互不干擾，被授權的用戶(hù)可以跨“域”（部門(mén)）操作。

對于中小型公司可以規定具有特殊權限的用戶(hù)只能從某一臺工作站登陸網(wǎng)絡(luò )。例如：某個(gè)特定的賬號只能從某個(gè)特定的工作站登陸。這樣即便其他用戶(hù)掌握了該賬號和口令也無(wú)法從其他位置的工作站登陸。

數據加密處理

數據加密處理是保障信息安全的另一道屏障。一旦非法用戶(hù)對系統實(shí)施攻擊成功、進(jìn)入系統，將有可能獲取任何信息。所以，對系統中的數據進(jìn)行加密、尤其是對關(guān)鍵數據加密，更顯得尤為重要。因為采用高強度加密技術(shù)處理后，即使非法用戶(hù)得到這些數據也無(wú)法輕易進(jìn)行還原。

總之，有條件的企業(yè)、數據安全性要求高的企業(yè)，除了制訂并認真執行有關(guān)的規章制度、安裝安全性高的硬件設備、最重要的應該自主開(kāi)發(fā)數據加密模塊、并且嚴格監控加密模塊從設計、開(kāi)發(fā)到測試的全過(guò)程。保證企業(yè)內部信息處于一個(gè)相對安全的環(huán)境，開(kāi)展工控系統信息保護與加密、身份認證等相關(guān)技術(shù)的研究與開(kāi)發(fā)。

 工控產(chǎn)品信息安全現狀

目前在役和在售的工控系統在安全方面大多采取了一些基本的防護措施。主要手段包括

◎在可能的情況下，都安裝了殺毒軟件；

◎數據格式私有；

◎簡(jiǎn)單的身份認證；

◎某些系統可在交換機端口做防火墻過(guò)濾。

工業(yè)控制系統設計以保證工業(yè)控制的實(shí)時(shí)性和可靠性為主要目的，追求效率和速度，主要問(wèn)題包括： 

◎控制系統網(wǎng)絡(luò )和現場(chǎng)總線(xiàn)廣泛應用，但缺少網(wǎng)絡(luò )安全防護設計，大量使用明碼傳輸，極易破譯和偽造； 

◎缺少?lài)栏竦氖跈喙芾砗蜕矸菡J證措施； 

◎多余的網(wǎng)絡(luò )端口未封閉，不同的子系統之間都沒(méi)有有效的隔離，與其他網(wǎng)絡(luò )互連時(shí)缺乏安全邊界控制； 

◎由于測試工作量大，COTS軟件難以及時(shí)升級； 

◎缺少入侵監測機制。 

6 工控系統信息安全核心能力目標

考慮到系統的復雜性、成本及時(shí)間等因素，從下述幾個(gè)方面考慮加強工控系統信息安全防護：

◎按照控制范圍設置合理的安全分區；

◎關(guān)鍵設備避免直接采用COTS軟件， 

◎現場(chǎng)控制站采用安全嵌入式操作系統； 

◎實(shí)時(shí)控制網(wǎng)絡(luò )采用特殊的網(wǎng)絡(luò )協(xié)議，例如采用基于數據令牌的時(shí)分復用傳輸協(xié)議替代TCP/IP； 

◎對于關(guān)鍵數據和代碼冗余存儲，并進(jìn)行周期檢查，及時(shí)發(fā)現并恢復受到非法篡改的數據和代碼； 

◎用戶(hù)身份認證，限制非授權用戶(hù)訪(fǎng)問(wèn)關(guān)鍵信息和代碼；

◎隔斷阻止外界對內部工業(yè)控制網(wǎng)絡(luò )資源的非法訪(fǎng)問(wèn)，同時(shí)禁止內部對外部的不安全訪(fǎng)問(wèn)；

◎系統具備獨立的入侵檢測設備，監視關(guān)鍵設備的行為，從傳統的被動(dòng)防御轉向主動(dòng)的安全保障；

◎監視并控制網(wǎng)絡(luò )流量，有效防止DoS攻擊和系統本身故障導致的數據風(fēng)暴； 

◎采用基于私有密鑰的加密網(wǎng)絡(luò )報文，避免非授權用戶(hù)將偽造的數據修改正常傳輸的數據或插入偽造的數據，同時(shí)也避免了關(guān)鍵信息的泄漏；

對于不同的產(chǎn)品,可按在役系統及新建系統進(jìn)行劃分

◎在役系統 

◎系統整體升級 

◎增加信息安全設備，如防火墻、網(wǎng)絡(luò )過(guò)濾單元、防病毒軟件等。 

◎新建系統 

◎SCADA：權限認證、傳輸加密、完整性檢查、安全分區、主動(dòng)行為檢查、漏洞掃描等； 

◎DCS/PLC：廣播風(fēng)暴抑制、通訊流量控制、過(guò)濾特殊報文、封閉空閑端口、關(guān)鍵代碼和數據加密冗余存儲。

7 結束語(yǔ)

工業(yè)控制系統信息安全問(wèn)題需要最終用戶(hù)、系統集成商（或設計單位）和設備供應商共同解決，單靠任何一方都難以全面解決問(wèn)題。最終用戶(hù)需要提出信息安全的需求和安全邊界，并采用行政規定或安防措施設施限制未經(jīng)許可的直接系統訪(fǎng)問(wèn)；系統集成商（設計單位）從系統整體技術(shù)的角度開(kāi)展信息安全分析，提供信息安全整體解決方案、合理分配安全功能；設備供應商需要采用具體的技術(shù)手段實(shí)現設備所需的安全功能。新建或改造的工控系統應該具備信息安全特性，全面滿(mǎn)足信息安全需求, 切斷EPR/MES與工控系統的連接并不能根本解決工控系統信息安全問(wèn)題；對于在役系統，應該分期分步開(kāi)展工控信息安全升級，先從切斷不必要的外部端口開(kāi)始，對系統進(jìn)行信息安全缺陷分析，切斷危險擴散的路徑入手，逐步提升工控系統的信息安全水平。