和利时集团技术总监 朱毅明  

   工控系统信息安全危机
 
   在役的工控系统数量大，升级困难，信息安全风险大。这些产品大部分是国外产品，研制于上世纪80-90年代，大多采用嵌入式CPU、专用的实时操作系统和实时数据库，以及Token Bus、Token Ring、FDDI等专用网络。为提高开放性，降低开发成本，上世纪90年代后期开始逐步引入PC Based系统、以太网、TCP/IP和COTS软件，并实现与企业信息系统（MES/EPR）的互联，带来了信息安全的风险。某些系统局部引入信息安全技术措施，增加相关软件和设备，如防病毒软件、防火墙、单向网关等，但从系统整体设计上尚未全面考虑信息安全危险，使用过程中缺少及时的维护，不少信息安全设备形同虚设。

   此外，工控系统改进升级速度跟不上恶意攻击手段的更新，攻击的目标从计算机和网络系统转向工艺设备和生产过程；设计单位和最终用户对于信息安全的重要性认识不足，要求不够明确；最终用户工控信息安全管理技能不足，难以独立维护；缺少工控系统信息安全标准和评价体系；缺少工控系统信息安全应急和服务体系都是当前工业控制系统面对信息安全危机急需解决的问题。

    工控系统信息安全缺陷

   工业控制系统设计以保证工业控制的实时性和可靠性为主要目的，追求效率和速度，较少使用身份认证、规则检查、加密传输、完整性检查等信息安全措施；广泛应用数字通讯、网络和现场总线，大量使用明码传输，极易被破译和伪造；不同系统之间缺少有效的隔离措施，与其他网络互连时缺乏安全边界控制；漏洞修补不及时，由于测试工作量大，在工控系统实际运行中基本上不升级对生产监控无直接影响的补丁；组态生成的应用代码下装缺少合法性核查；用户身份核查过于简单；缺少入侵检测手段；留有系统调试后门。

   工业控制系统信息安全升级

   工业控制系统的一大特点就是维护必须是无扰的升级，做到这一点说起来很容易，但是实现起来是有相当大的难度的。如何实现工业控制系统信息安全升级？可以采取以下策略：按照控制范围设置合理的安全分区；关键设备采用可信的COTS软件；实时控制网络采用加密的专用网络协议；对于关键数据和代码冗余存储，并进行周期检查，及时发现并恢复受到非法篡改的数据和代码；用户身份认证，限制非授权用户访问关键信息和代码；边界控制，隔断阻止外界对内部工业控制网络资源的非法访问；采用白名单的工业控制网络设备，进行基于规则的报文过滤和流量控制；增加系统行为检测设备，实时监视记录网络和设备行为，与正常的行为进行比对，发现潜在的危险，保留入侵的证据，先发现，再防治；收集病毒和攻击样本，搭建模拟仿真环境，加强攻防对抗和漏洞挖掘研究。

   工艺系统的信息安全设计

   工业自动化的目标是保证安全生产，降低工人的工作强度，提高劳动生产率和产品质量，由于信息安全问题的出现，需要重新审视既有的工业控制系统设计思路： 从工艺风险的角度评估信息安全； 纵深防御和多样化设计； 区域隔离，保持相对的独立性； 安全导向设计，平衡考虑可用性和安全性； 非计算机化的应急操作手段。

   改进措施

   工控系统信息安全危险主要是沿着信息传输的通道扩散，消除信息安全危险隐患、加强边界防护、切断信息安全危险扩散路径、加强抵御信息安全危险的能力，并采用纵深防御是加强工控系统信息安全的主要措施。改进措施包括：开展基于工艺后果的脆弱性分析，发现薄弱点；从针对工程的个性化安全应用开发，逐渐向统一的安全解决方案过渡；强化信息安全管理措施，提高工控从业人员信息安全意识；积极寻找可持续发展的商业模式，形成完整的工控信息安全产业链。 

   摘自《自动化博览》2013年1期