北京力控華康科技有限公司總經(jīng)理  魏欽志

   北京力控華康科技有限公司成立于2009年，專(zhuān)業(yè)從事工業(yè)網(wǎng)絡(luò )通信和網(wǎng)絡(luò )安全產(chǎn)品與服務(wù)。力控華康成立了專(zhuān)門(mén)的工業(yè)網(wǎng)絡(luò )安全實(shí)驗室，主要從事SCADA、PLC、DCS的漏洞挖掘。

   工業(yè)網(wǎng)絡(luò )的發(fā)展帶來(lái)信息安全挑戰

   隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)在PCS系統中的深入應用，以及MAV理念逐步得到認可，自動(dòng)控制系統僅為“信息孤島“的時(shí)代已經(jīng)過(guò)去。大型化、集成化的PCS系統是歷史發(fā)展的必然趨勢！

   以太網(wǎng)、無(wú)線(xiàn)設備、遠程配置、Windows和Linux操作系統等技術(shù)在工業(yè)控制系統中的應用，使其正在向網(wǎng)絡(luò )化新型控制系統演變，控制系統與控制網(wǎng)絡(luò )開(kāi)放性主要體現在：

   第四代DCS整體呈現開(kāi)放性 ；基于PC架構的計算機應用的普及；Windows平臺的廣泛應用；基于IEEE802.3的工業(yè)以太網(wǎng)普及；大量采用TCP(UDP)/IP網(wǎng)絡(luò )協(xié)議；OPC、ModbusTCP等統一接口標準。

   從網(wǎng)絡(luò )安全的角度來(lái)看，這一系統“有巨大的挑戰，很容易被利用”。

   國家信息安全漏洞共享平臺（China National VulnerabilityDatabase，簡(jiǎn)稱(chēng)CNVD）在2011年收錄了100余個(gè)對我國影響廣泛的工業(yè)控制系統軟件安全漏洞，較2010年大幅增長(cháng)近10倍，涉及西門(mén)子、北京三維力控等國內外知名工業(yè)控制系統制造商的產(chǎn)品。相關(guān)企業(yè)雖然積極配合CNCERT處理了安全漏洞，但這些漏洞可能被黑客或惡意軟件利用。

   力控華康的應對策略

   那么對于不同的行業(yè)、不同的網(wǎng)絡(luò )架構，需要找到不同的有針對性的解決方案。

   對此，力控華康提出的第一個(gè)原則即基于“白名單”的工控安全機制。“白名單”機制要求我們在信息傳輸的時(shí)候，只能夠通過(guò)你使用到的協(xié)議進(jìn)行傳輸。

   第二個(gè)原則是提倡用戶(hù)建立網(wǎng)絡(luò )物理隔離 ，建議用戶(hù)把辦公網(wǎng)和控制網(wǎng)，即信息網(wǎng)和控制網(wǎng)的信息分開(kāi)。力控華康提供可靠的隔離網(wǎng)關(guān)產(chǎn)品，其采用安全的物理隔離“2+1”系統架構，即獨立的運算單元和存儲單元，各自運行獨立的操作系統和應用系統，安全隔離區采用私有加密的數據交互技術(shù)，數據交換不依靠TCP/IP協(xié)議，采用私有的定制操作系統。具有強大的數據交換能力和多種工業(yè)通信協(xié)議支持，完整的安全策略部署 ，可靠的冗余方案和故障自診斷技術(shù)。

  第三，力控華康提出引入防火墻技術(shù)，在引入防火墻技術(shù)的同時(shí)需考慮工業(yè)行業(yè)的特點(diǎn)，首先要求對于工業(yè)協(xié)議進(jìn)行深度的分析，即可配置控制指令、寄存器地址、點(diǎn)名信息等。并且采用工業(yè)化設計。

   第四，力控華康和一些企業(yè)合作，提供漏掃和入侵檢測。入侵預防系統(IPS: Intrusion Prevention System)是電腦網(wǎng)絡(luò )安全設施，是對防病毒軟件（Antivirus Programs）和防火墻的補充。 入侵預防系統是一部能夠監視網(wǎng)絡(luò )或網(wǎng)絡(luò )設備的網(wǎng)絡(luò )資料傳輸行為的計算機網(wǎng)絡(luò )安全設備，能夠即時(shí)的中斷、調整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò )資料傳輸行為。

   最后，建立工業(yè)網(wǎng)絡(luò )私有云管理平臺。構建滿(mǎn)足工業(yè)控制系統的全廠(chǎng)級風(fēng)險識別模型，除了需要細化工業(yè)控制系統的風(fēng)險因素，還需要建立基于工業(yè)控制系統的安全管理域，實(shí)施分等級的基線(xiàn)建設，兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。包括：

   方便地對整個(gè)系統里所有安全設備模塊、控制器和工作站，進(jìn)行部署、監控和管理；

   規則輔助生成，指導用戶(hù)方便快捷地從權限、授權管理報告中，創(chuàng )建防火墻的規則；

   自動(dòng)阻止并報告任何與系統流量不匹配的規則；

   接收、處理和記錄由安全模塊所上傳的報警信息；

   全網(wǎng)流量收集識別能力；

   基于白名單的終端應用控制能力；

   實(shí)時(shí)ICS 協(xié)議與內容識別能力；

   異常行為的仿真能力；

   可視化配置、組態(tài)；

   安全事件搜索、跟蹤和預處理能力。 

   摘自《自動(dòng)化博覽》2013年1期