隨著(zhù)智能制造與工業(yè)4.0戰略的提出，工業(yè)生產(chǎn)的數字化成為一種不可阻擋的未來(lái)趨勢，高度融合IT技術(shù)的工業(yè)自動(dòng)化將會(huì )得到迅速而廣泛的應用，對于工業(yè)控制系統的信息安全的關(guān)注將達到前所未有的高度和廣度。

    威脅信息安全的主要包括黑客攻擊、病毒、數據操縱、蠕蟲(chóng)和特洛伊木馬等技術(shù)。數據顯示，黑客的攻擊目標已經(jīng)從原來(lái)的商業(yè)互聯(lián)網(wǎng)絡(luò )逐步擴展到工業(yè)控制系統，主要目標集中在能源、水利、化工、政府機構以及核設施等領(lǐng)域。信息安全事件呈逐年上升的趨勢，其背后不乏犯罪、商業(yè)間諜、恐怖主義、甚至某些國家贊助的間諜活動(dòng)。

    菲尼克斯電氣是mGuard工業(yè)防火墻技術(shù)的發(fā)明者，也是工業(yè)信息安全的技術(shù)和市場(chǎng)領(lǐng)導者。mGuard工業(yè)防火墻技術(shù)始于2001年，在全球已經(jīng)得到了十多萬(wàn)客戶(hù)的應用和驗證，應用領(lǐng)域包括汽車(chē)、機械制造、儀表自動(dòng)化、能源和軌道交通等行業(yè)。

    菲尼克斯電氣可以為客戶(hù)提供全面的工業(yè)信息安全產(chǎn)品和技術(shù)服務(wù)，包括mGuard硬件防火墻，內嵌式的Linux OS內核程序，mGuard相關(guān)軟件解決方案以及mGuard的各種定制化信息安全服務(wù)等。

    那么，工業(yè)控制系統信息安全所面臨的主要威脅有哪些？辦公網(wǎng)絡(luò )和工業(yè)網(wǎng)絡(luò )信息安全的主要差異是什么？典型的工業(yè)級網(wǎng)絡(luò )防火墻的特點(diǎn)和優(yōu)勢體現在哪里？ 本文將一一為您闡述。

   1、工業(yè)控制系統信息安全威脅分析：

    工業(yè)控制系統信息安全的潛在威脅主要來(lái)自黑客攻擊、病毒、數據操縱、蠕蟲(chóng)和特洛伊木馬等。

    a)來(lái)自黑客的攻擊：

    目前，由于安全制度的缺失，大量的工業(yè)控制系統在完全沒(méi)有保護的情況下被連接到互聯(lián)網(wǎng)中，而這些設備大都使用默認的用戶(hù)名和密碼，可以輕易的被登陸和訪(fǎng)問(wèn)，這些控制系統往往非常脆弱，易于被攻擊，而最危險的是這些控制系統的使用者對這些危險毫無(wú)察覺(jué)。
 

    (數據來(lái)源：2011年 劍橋大學(xué)）
 

    上面這兩張圖片來(lái)自劍橋大學(xué)2011年提供的一個(gè)分析報告，通過(guò)這個(gè)報告我們可以看出，只要通過(guò)網(wǎng)絡(luò )搜索引擎（Shodan搜索引擎）進(jìn)行簡(jiǎn)單的搜索，就可以找到連接在互聯(lián)網(wǎng)的工業(yè)網(wǎng)絡(luò )設備。網(wǎng)站的研究者也曾使用Shodan定位到了核電站的指揮和控制系統及一個(gè)粒子回旋加速器，真正的可怕之處就是這些設備幾乎都沒(méi)有安裝安全防御措施，可以隨意進(jìn)入。

     黑客還可以利用黑客工具和技術(shù)，例如偵察、密碼猜測攻擊、緩沖區溢出攻擊、安裝后門(mén)、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對信息系統進(jìn)行攻擊和入侵。某些黑客甚至將攻擊SCADA系統的代碼公布到網(wǎng)絡(luò )上。
 

    由此可見(jiàn)，黑客的攻擊目標已經(jīng)從原來(lái)的商業(yè)互聯(lián)網(wǎng)絡(luò )逐步擴展到工業(yè)控制系統和SCADA系統中，而其背后的目的包括犯罪、商業(yè)間諜、恐怖主義、甚至某些國家贊助的間諜活動(dòng)。

    b)來(lái)自病毒的破壞

    由于操作維護人員、第三方的系統維護服務(wù)商或訪(fǎng)客的不當操作，將有可能將隱藏在U盤(pán)、移動(dòng)設備、筆記本電腦中的病毒傳播到工業(yè)控制系統中。如果沒(méi)有防護措施，這些病毒會(huì )利用系統的安全漏洞，在網(wǎng)絡(luò )中進(jìn)行自我復制和傳播，感染工業(yè)控制計算機或攻擊可編程控制器。

     i 直接攻擊PLC控制器的病毒（Stuxnet）

    Stuxnet蠕蟲(chóng)病毒（超級工廠(chǎng)病毒）是世界上首個(gè)專(zhuān)門(mén)針對工業(yè)控制系統編寫(xiě)的破壞性病毒，能夠利用對windows系統和工業(yè)控制軟件的漏洞進(jìn)行攻擊。Stuxnet蠕蟲(chóng)病毒會(huì )攻擊可編程邏輯控制器（PLC），向PLC中寫(xiě)入數據，并根據情況和需求改變PLC的流程。

    該病毒可以通過(guò)U盤(pán)和局域網(wǎng)進(jìn)行傳播，國內已有超過(guò)500萬(wàn)網(wǎng)民及多個(gè)行業(yè)的領(lǐng)軍企業(yè)遭Stuxnet蠕蟲(chóng)病毒攻擊，而且由于安全制度上的缺失，該病毒還存在很高的大規模傳播風(fēng)險。
 

    （數據來(lái)源：http://zh.wikipedia.org/wiki/%E9%9C%87%E7%BD%91#cite_note-27）
 

     ii 間接攻擊的病毒（Dragonfly / Havex）

    Dragonfly病毒是繼Stuxnet之后又一強大的病毒，它的目標就是侵入特定的工業(yè)控制系統（ICS），竊取其系統信息和數據并做進(jìn)一步的傳播和擴散。

    Dragonfly病毒是在2014年開(kāi)始傳播并被發(fā)現的，黑客滲透了三個(gè)工業(yè)系統服務(wù)商的軟件升級服務(wù)器，致使其客戶(hù)通過(guò)升級服務(wù)下載了數百個(gè)包含惡意軟件的升級安裝文件。
 

     iii 可自我復制的惡意軟件（Conficker / Kido）

    Conficker蠕蟲(chóng)是以微軟的windows操作系統為攻擊目標的計算機蠕蟲(chóng)病毒，目前全球已有超過(guò)1500萬(wàn)臺電腦受到感染。

    conficker蠕蟲(chóng)使用特定的RPC請求在目標電腦上執行代碼，一旦發(fā)現網(wǎng)絡(luò )中存在有漏洞的計算機系統，就會(huì )激活該漏洞進(jìn)行遠程感染。

    Conficker這一類(lèi)的蠕蟲(chóng)病毒會(huì )增加網(wǎng)絡(luò )負載，造成網(wǎng)絡(luò )的不穩定，也會(huì )使被感染的系統CPU負載增高，使得整個(gè)系統不可靠。
 

    （數據來(lái)源：Conficker working group）
 

    c)工業(yè)控制系統信息安全事件發(fā)生的數量和所受攻擊類(lèi)型的分析：

    據目前已知的數據顯示，工業(yè)控制系統的信息安全事件主要集中于能源、水利、化工、政府機構以及核設施等領(lǐng)域。而且在中國，這類(lèi)事件的發(fā)生也呈逐年上升的趨勢。
 

    （數據來(lái)源：權威工業(yè)安全事件信息庫 RISI(Repository of Security Incidents) 2014）
 

    從以上分析可以看出，工業(yè)控制系統信息安全事件呈快速上升趨勢，且所受攻擊可能來(lái)自方方面面，幸運的是菲尼克斯電氣所提供的mGuard工業(yè)信息安全技術(shù)可以很好地解決以上問(wèn)題。

    2、辦公網(wǎng)絡(luò )信息安全和工業(yè)自動(dòng)化網(wǎng)絡(luò )信息安全的主要差別

    辦公電腦和網(wǎng)絡(luò )與工業(yè)電腦和信息網(wǎng)絡(luò )有很大區別，針對信息安全所做的防護措施也不盡相同。

    表1 在辦公室和工業(yè)環(huán)境中信息系統的不同特點(diǎn)
 

    由表1可以看出，工業(yè)控制計算機和工業(yè)網(wǎng)絡(luò )在對安全性的要求、使用壽命、信息安全防護手段等方面有著(zhù)特殊要求。由于系統兼容性和穩定性的需要，工業(yè)控制計算機往往都不會(huì )安裝殺毒軟件和經(jīng)常升級系統補丁，特別是一些服役多年的工控設備，往往得不到更新支持，這些毫無(wú)防護的控制系統非常脆弱。病毒和毫無(wú)經(jīng)驗的黑客都可以對其發(fā)起致命性的攻擊。菲尼克斯電氣的mGuard工業(yè)防火墻技術(shù)不但可以防止黑客從網(wǎng)絡(luò )入侵，同時(shí)可以對病毒實(shí)現監控和防御。

    3、菲尼克斯電氣mGuard工業(yè)控制系統信息安全解決方案的特點(diǎn)

    菲尼克斯電氣的mGuard工業(yè)防火墻技術(shù)始于2001年，為工業(yè)企業(yè)客戶(hù)提供信息安全產(chǎn)品和相關(guān)技術(shù)服務(wù)，目前在全球已經(jīng)安裝了超過(guò)10萬(wàn)個(gè)工業(yè)級防火墻。主要的客戶(hù)包括汽車(chē)、機械制造、儀表自動(dòng)化、能源、軌道交通。
 

    所提供的產(chǎn)品和服務(wù)包括mGuard硬件防火墻，內嵌式的Linux OS內核程序，mGuard相關(guān)軟件解決方案以及mGuard的各種定制化信息安全服務(wù)。

    mGuard主要安全性能介紹：

    a)OPC深度數據包監測技術(shù)

    許多工業(yè)級蠕蟲(chóng)病毒都是通過(guò)遠程過(guò)程調用（RPC）協(xié)議進(jìn)行傳播，在現代工業(yè)控制系統中，RPC協(xié)議被廣泛使用，工業(yè)集成技術(shù)OPC Classic就需要允許RPC通訊。因此它經(jīng)常被黑客和病毒利用，用以攻擊SCADA和工業(yè)控制系統。如果禁用RPC協(xié)議，會(huì )導致工業(yè)控制系統通訊故障，OPC深度數據包監測技術(shù)（DPI）可以識別正常的OPC通訊請求，并阻止惡意信息和不恰當的SCADA/ICS通訊，同時(shí)避免對控制系統造成不必要的影響，這在工業(yè)控制系統信息安全防護中是十分必要的。
 

    DPI細粒度防火墻控制將精確地保證服務(wù)器與客戶(hù)端之間的OPC通訊，提供最高級別的安全，確保針對蠕蟲(chóng)病毒的防護。甚至，mGuard的智能深度數據包檢測技術(shù)還可以使OPC通訊在NAT路由模式下正常工作（如IP掩蔽或1:1NAT模式），世界上只有mGuard工業(yè)防火墻具有這樣的技術(shù)。

    b)惡意軟件及病毒檢測技術(shù)

    傳統的防火墻僅能禁止黑客的入侵和蠕蟲(chóng)病毒的傳播，不能對工控機中潛在的病毒進(jìn)行防控，也無(wú)法根除這些危險源。
 

   菲尼克斯電氣的mGuard工業(yè)防火墻具有通用互聯(lián)網(wǎng)文件系統完整性監測技術(shù)（CIFS Integrity Monitoring，簡(jiǎn)稱(chēng)CIM）。利用這個(gè)技術(shù)，mGuard可以定期監測指定工控機內文件系統，判斷該計算機系統中的.EXE文件和.DLL文件是否被非授權的改寫(xiě)。

    mGuard還可以利用CIFS病毒掃描技術(shù)，調用病毒掃描服務(wù)器，對指定工控機內的文件系統進(jìn)行病毒掃描，這樣就可以主動(dòng)消滅惡意軟件和病毒，該功能對于工控機的硬件性能和系統兼容性沒(méi)有任何特殊要求。

    總體來(lái)說(shuō)CIM技術(shù)可以為工業(yè)控制系統提供信息安全防護，而不需要為工控機升級安全補丁，并與原有硬件和系統軟件兼容，可永久在線(xiàn)監測和掃描，對病毒有防御功能，不占用CPU和網(wǎng)絡(luò )負載，支持Win95/98, CE5+, NT, 2000, XP, Vista, 7 及各種LINUX 操作系統，當發(fā)現病毒或非正常的文件寫(xiě)入時(shí)將觸發(fā)報警并自動(dòng)響應（如啟動(dòng)第三方病毒工具，升級安全級別）。使用CIM技術(shù)，將節省大量系統信息安全升級改造的成本。

    c)三種不同的防護模式

    為了提高工業(yè)控制系統信息安全，需要對工業(yè)控制系統網(wǎng)絡(luò )劃分成不同安全級別的區域，從而實(shí)現縱深防御來(lái)隔離系統中的重要部分。菲尼克斯電氣的mGuard具有三種不同的防護模式，可以靈活的適用于不同的安全區域。

     i 單一隱秘模式（專(zhuān)利技術(shù)）：
 

    隱秘模式用于完美保護某個(gè)單一設備，在這樣的模式中mGuard不具備IP地址，因此對于黑客來(lái)說(shuō)完全是隱形的，這樣的模式也不會(huì )改變原有的網(wǎng)絡(luò )結構，mGuard將會(huì )過(guò)濾所有通向被保護設備的數據。

     ii 多重隱秘（橋接）模式：
 

    多重隱秘（橋接）模式用于保護一組設備，mGuard將會(huì )過(guò)濾所有通向被保護設備的數據，在這樣的結構中，mGuard需要一個(gè)內部的網(wǎng)絡(luò )IP地址。多重隱秘（橋接）模式一般用來(lái)保護多臺設備，而這些被保護設備與非安全設備有可能在同一網(wǎng)段內。

     iii 路由模式:
 

    路由模式用來(lái)在兩個(gè)網(wǎng)絡(luò )之間建立安全防護，mGuard將會(huì )完美保護位于內部網(wǎng)絡(luò )的控制設備，mGuard在外部網(wǎng)絡(luò )（子網(wǎng)A）和內部網(wǎng)絡(luò )（子網(wǎng)B）各需要一個(gè)IP地址。路由模式一般用來(lái)連接工業(yè)控制網(wǎng)絡(luò )和辦公網(wǎng)絡(luò )。

    d)mGuard Secure Cloud 技術(shù)
 

    通過(guò)mGuard Secure Cloud技術(shù)，菲尼克斯電氣的安全專(zhuān)家可以通過(guò)遠程VPN功能為mGuard客戶(hù)提供各種不同級別的安全服務(wù)，比如說(shuō)，定期為客戶(hù)的工業(yè)控制系統和數據做安全檢查，并出具相應的專(zhuān)業(yè)報告，為客戶(hù)的工業(yè)控制系統信息安全提供專(zhuān)家級的建議。

    e) mGuard硬件裝置

    菲尼克斯電氣可以提供適用于不同場(chǎng)合的mGuard工業(yè)防火墻，這些不同的硬件具有相同的固件并且可以獲得免費升級服務(wù)，都可以通過(guò)WEB界面進(jìn)行配置，也可以通過(guò)mGuard Device Manager管理軟件進(jìn)行集中的管理和配置，可以互相兼容，全部支持mGuard Secure Cloud服務(wù)。
 

    如今，全世界的工業(yè)大國都紛紛將工控及其安全問(wèn)題提到戰略級別，比如德國工業(yè)4.0就將工控安全作為重要環(huán)節單獨考慮。2011年9月，工信部還特別下發(fā)《關(guān)于加強工業(yè)控制系統信息安全管理的通知》。2015年2月1日，推薦性國家標準GB/T30976.1～.2-2014《工業(yè)控制系統信息安全》正式開(kāi)始實(shí)施。由此可見(jiàn)，加強工業(yè)控制系統信息安全工作已是當務(wù)之急。而菲尼克斯電氣的mGuard工業(yè)防火墻所具有的多重防護模式、深度數據包檢測技術(shù)、惡意軟件及病毒檢測技術(shù)和mGuard Secure Cloud 技術(shù)是專(zhuān)門(mén)針對工業(yè)領(lǐng)域開(kāi)發(fā)的信息安全防護技術(shù)，將對工業(yè)控制系統信息安全保障工作提供有力支持。