來(lái)源：威努特供稿

    從2010年針對伊朗核工廠(chǎng)的Stuxnet病毒，到2014年席卷歐洲的Havex病毒，針對工業(yè)控制系統的網(wǎng)絡(luò )攻擊越演越烈，工業(yè)控制系統迫切需要得到安全防護。那么，把傳統信息安全產(chǎn)品如防火墻、反病毒軟件、IDS/IPS，部署到工業(yè)控制系統中是不是就能解決其信息安全問(wèn)題呢？答案是——不能！

    實(shí)踐證明傳統信息安全產(chǎn)品不能解決工業(yè)控制系統的安全問(wèn)題

    我們在現場(chǎng)調研時(shí)發(fā)現，一些工業(yè)控制系統的網(wǎng)絡(luò )中，已經(jīng)有部署傳統的防火墻產(chǎn)品，在工作站上也有安裝殺毒軟件產(chǎn)品。但是，傳統的防火墻在保護O P C服務(wù)器時(shí)，由于不支持OPC協(xié)議的動(dòng)態(tài)端口開(kāi)放，不得不允許O P C客戶(hù)端和O P C服務(wù)器之間大范圍內的任意端口號的T C P連接，因此防火墻提供的安全保障被降至最低，從而很容易受到惡意軟件和其他安全威脅的攻擊。而反病毒軟件，通常因得不到及時(shí)更新，導致失去了對主流病毒、惡意代碼的防護能力?，F場(chǎng)調研的另一個(gè)發(fā)現，是工業(yè)控制系統的系統漏洞，不能像IT系統一樣，得到及時(shí)的漏洞修復，大量漏洞長(cháng)期存在。

    綜上所述，傳統信息安全產(chǎn)品（如防火墻、反病毒軟件）及傳統信息安全的管理方法（如漏洞及時(shí)修復）并不適用于工業(yè)控制系統，不能解決其信息安全問(wèn)題。

    為什么傳統信息安全產(chǎn)品/方法不適用于工業(yè)控制系統

    傳統信息安全產(chǎn)品/方法不適用于工業(yè)控制系統，是由于工業(yè)控制系統相對于IT信息系統的有其獨特差異性，而傳統信息安全產(chǎn)品是針對IT信息系統的需求開(kāi)發(fā)的。工業(yè)控制系統相對于IT信息系統的差異，在信息安全需求方面主要有以下體現：

    1) 工業(yè)控制系統以“可用性”為第一安全需求，而IT信息系統以“機密性”為第一安全需求。在信息安全的三個(gè)屬性（機密性、完整性、可用性）中，IT信息系統的優(yōu)先順序是機密性、完整性、可用性，而工業(yè)控制系統則是可用性、完整性、機密性。這一差異，導致工業(yè)控制系統中的信息安全產(chǎn)品，必須從軟硬件設計上達到更高的可靠性，例如硬件要求無(wú)風(fēng)扇設計(風(fēng)扇平均無(wú)故障時(shí)間不到3年)。另外，導致傳統信息安全產(chǎn)品的“故障關(guān)閉”原則如防火墻故障則斷開(kāi)內外網(wǎng)的網(wǎng)絡(luò )連接，不適用于工業(yè)控制系統，工業(yè)控制系統的需求是防火墻故障時(shí)保證網(wǎng)絡(luò )暢通。

    2) 工業(yè)控制系統不能接受頻繁的升級更新操作，而IT信息系統通常能夠接受頻繁的升級更新操作。這對依賴(lài)一個(gè)黑名單庫來(lái)提供防護能力的信息安全產(chǎn)品（例如：反病毒軟件，IDS/IPS）是一個(gè)嚴峻的挑戰。

    3) 工業(yè)控制系統對報文時(shí)延很敏感，而IT信息系統通常強調高吞吐量。在網(wǎng)絡(luò )報文處理的性能指標（吞吐量、并發(fā)連接數、連接速率、時(shí)延）中，IT信息系統強調吞吐量、并發(fā)連接數、連接速率，對時(shí)延要求不太高（通常幾百微秒）；而工業(yè)控制系統對時(shí)延要求高，某些應用場(chǎng)景要求時(shí)延在幾十微秒內，對吞吐量、并發(fā)連接數、連接速率往往要求不高。這一差異，導致工業(yè)控制系統中的信息安全產(chǎn)品，必須從CPU選型、軟硬件架構上做到低時(shí)延，這對當前一些基于x86 CPU及開(kāi)源軟件架構的信息安全產(chǎn)品是一個(gè)嚴峻挑戰。

    4) 工業(yè)控制系統基于工業(yè)控制協(xié)議（例如，OPC、Modbus、DNP3、S7），而IT信息系統基于IT通信協(xié)議（例如，HTTP、FTP、SMTP、TELNET）。雖然，現在主流工業(yè)控制系統已經(jīng)廣泛采用工業(yè)以太技術(shù)，基于IP/TCP/UDP通信，但是應用層協(xié)議是不同的，這就要求信息安全產(chǎn)品必須支持工業(yè)控制協(xié)議（例如，OPC、Modbus、DNP3、S7），否則就會(huì )出現上面提到的為了支持OPC Classic服務(wù)而放開(kāi)大量TCP端口的問(wèn)題。

    5) 工業(yè)控制系統的工業(yè)現場(chǎng)環(huán)境惡劣（如，野外零下幾十度的低溫、潮濕、高原、鹽霧），而IT信息系統通常在恒溫、恒濕的機房中。這就要求工業(yè)控制系統中的信息安全硬件產(chǎn)品，必須按照工業(yè)現場(chǎng)環(huán)境的要求專(zhuān)門(mén)設計硬件，做到全密閉、無(wú)風(fēng)扇，支持﹣40℃～70℃等。

    所以，要想解決工業(yè)控制系統的信息安全問(wèn)題，傳統信息安全產(chǎn)品和解決方案并不是一劑對癥良藥，工業(yè)控制系統需要有一套為自己量身打造的信息安全產(chǎn)品，才能有效抵御工業(yè)系統面臨的各種安全威脅，為客戶(hù)帶來(lái)工控安全防護的真正價(jià)值。