Shinya Akimoto，Kazuya Suzuki和Akiomi Monden介绍确保工业控制系统安全的最佳实践方法，并且突出了需要考虑的特定工业控制系统关键特性。

    工业控制系统（ICSs）的网络安全在过去十年已经越来越受到关注。正如经常看到的报道，简单的计算机病毒成功使控制系统失控，甚至导致工厂关闭。从Stuxnet蠕虫第一次吸引世界的关注开始，人们对威胁的认识已经逐步增加。因此，ICSs和工厂网络成为网络攻击的目标是不足为奇的。

    提出这一问题的另一个原因是ICSs和工厂网络已经变得与企业工作空间的IT系统几乎没有区别，使用类似的信息和通信技术。随着物联网和工业4.0的出现，传统意义上将工厂与外部世界分离，以及将内部网络与互联网分离的墙正在消失。虽然有些仍坚持既定的惯例，但连接到互联网已不再是工厂车间的新奇事物。然而，这种发展在带来好处的同时也存在缺点。

    本文仔细分析了确保ICSs安全的建议和最佳实践方法，并且突出了需要考虑特定 ICSs的关键特性。

    “用设计确保安全”的方法

    越来越意识到需要对ICS网络安全进行改进，ICS供应商和原始设备制造商正努力在开发阶段提高其产品的性能。他们正在运用推荐的技术实践方法来分析威胁，扫描漏洞，并通过如模糊测试等方法来识别安全问题。这种“用设计确保安全”的方法旨在提供健全的产品，并且保证可接受的安全等级。

    “用设计确保安全”的方法解决了整个产品的开发生命周期，延伸至产品架构，功能设计和基本技术水平。对于任何可能给一个公司及其员工或环境造成负面影响的应用程序，提供一个安全的ICS是至关重要的。除了解决已知漏洞，它还包括在发生安全事故后对生产操作和生产设施进行检查。

    遵循ICS网络安全标准

    国际自动化协会（ISA）支持“用设计确保安全”这一方法，并且已将其集成在ICS网络安全标准中，如ISA/IEC 62443。为了推广ICS网络安全标准并鼓励大家遵守，ISA安全合规性协会（ISCI）已经确立ICS产品的ISASecure认证程序。同时，为了帮助最终用户保护他们的ICS网络，ISCI还提供已通过认证的ICS产品目录，这些产品是在推荐的工业标准以及良好的实践方法基础上开发的。

    网络设计

    ISA/IEC 62443是一套工业自动化与控制系统的网络安全标准，它引入了在工厂网络中部署ICS组件的“分区与管道”策略设计原则。这需要把ICS网络分割成子网络，其组件都要遵循相同的安全策略；还需要实施访问控制，只允许相邻子网络间进行必要的通信。

    这种方法可提高ICS的整体安全性，并且增强ICS安全运行与管理的可见性。例如，一个工厂网络可划分为三个区域，一个用于过程控制和管理监测系统，一个用于MES和运行管理系统，一个用于生产设备和现场装置的维护与管理。每个区域应满足其特定的安全要求。每个区域的安全措施应该有所不同。如果有条件应考虑更进一步的安全控制措施，如限制特定区域的物理访问。

    ICS安全生命周期

    ISA/IEC 62443假定工厂所有者和经营者将在自己的组织目标基础上建立并实施安全管理体系。另一方面，供应商和服务供应商需要考虑如何最好地支持其客户所开发的安全管理系统。由于外部环境的变化，系统安全性往往随着时间而降低，这将拉开实际安全等级与所需安全等级间的差距。例如，新发现的软件漏洞，安全控制的修改不当或者针对控制系统的网络攻击都会影响安全等级。除了监测和维护所有已部署的安全控制，还有必要评估所有安全程序来识别那些没有执行的所需安全等级。横河已将此安全生命周期的概念应用到其服务模式中，并提供服务组合以确保客户的控制系统与运行长时间安全。

    通过对产品研发，工程设计以及售后维修实施适当的安全控制，横河解决了控制系统整个生命周期内的网络安全风险。

    ICSs固有安全性分析

    “用设计确保安全”的安全ICS产品提供了构建ICSs和网络的合适途径，保证了一定的安全等级以满足特定任务和环境的固有安全要求。这类似于仪器仪表领域通常采用的防爆设计的内在安全方法，例如减少驱动位于爆炸危险区域内装置的能源量，从而消除潜在火源。同样的，提高软件和硬件设计来缩小攻击的空间，限制任何攻击可能导致的后果，以及增强系统抵御攻击的能力都有助于ICS和网络安全。

    值得一提的是安全性的两个目标：完整性和可用性。这就是固有安全方法的基本要求。当他们受损时会对ICS的功能及其处理的所有数据造成显著影响。如果不能保持健康和可靠，ICS和网络是没有任何用处的。

    在ICS网络安全成为被广泛关注的问题之前，ICS供应商就一直特别关注系统可靠性，他们集成并采用许多技术来确保这些关键任务系统的功能和数据。虽然很大程度上被设计来防止偶尔的硬件故障，而非网络攻击，但它们进行实时检测以及在不危及运行过程的情况下进行同步回收的能力为如何设计出能应对网络安全威胁的ICS提供了线索。

    纠错码（ECC）内存长期以来被用于存储数据。它是保证数据“飞行”完整性的一种常用途径，无论必须存储多长时间。当数据被加载到内存中，ECC电路会增加一个可用于检测和恢复损坏数据的校验码。一旦发生数据损坏就会被检测到，在处理数据的同时数据恢复被立即执行。以往控制过程的关键任务分布式控制系统拥有这一高端内存技术。

    对于任何网络安全系统而言，检测是成功的关键。横河已开发出一个非常先进的网络监控系统，它结合了可视化技术来帮助最终用户在需要执行纠错操作时做出有效反应。在单个数据包层级，该系统追踪ICS网络中的所有通信流，然后生成计算机图形图像，使操作员能够立即发现和检测到任何未知的通信流。

    结论

    一个精心设计的ICS产品无法保证完全抵御安全威胁。我们极力推荐全面的ICS安全程序。通过融入安全网络的设计原则和生命周期的安全方法，ICS产品能确保对任何安全威胁做出有力的回应。

    无论物联网或工业4.0会带来多大变化，总是需要标准来指导选择被证明的、强大的ICS产品，还包括所需安全控制的设计与实施，产品的更新换代，监测可能导致安全事件的微观异常，以及组织审计以验证已部署的安全程序运转是否正常。

    对安全事件做出及时响应并实现快速而平稳的恢复是ICS网络安全的重要方面。从业务连续性和企业安全管理的角度来看，这就更为重要了。安全控制的监控和定期的安全审计已被公认对安全管理贡献巨大。在使用最新信息与通信技术不断增强ICSs和工厂网络的同时，一套安全监控系统必须成为重中之重。不难想象这样一个系统能在固有安全管理与运营中起到的有效作用。

    在ICS产品中嵌入安全性是一个实现安全管理的有效而低成本的方法。以此为理念，横河一直在研发强大的产品，持续为市场提供安全的、一流ICS产品，还提供支持服务来帮助最终用户加强其安全管理。

    Shinya Akimoto是横河电机公司网络安全部解决方案工程师；Kazuya Suzuki博士是横河电机公司高级系统架构师；Akiomi Monden是横河电机公司IT基础设施部主管。