工业控制系统安全现状及安全策略分析【摘要】“两化”融合的推进和以太网技术在工业控制系统中的广泛应用使得工业控制系统及SCADA系统等不再与外界隔离引发了一系列病毒和木马攻击工业控制系统攻击事件直接影响到公共基础设施的安全为工业生产运行和国家经济安全带来重大的安全隐患本文将从工业控制的角度分析工业控制系统安全的特殊性并针对工业控制系统安全提出相应的防护策略。【关键词】工业控制系统；基础设施安全；安全隔离网关；边界防护1引言“两化”融合的推进和以太网技术在工业控制系统中的大量应用引发的病毒和木马对工业控制系统的攻击事件频发直接影响公共基础设施的安全其造成的损失可能非常巨大甚至不可估量。而在工业控制系统中工控网络管理和维护存在着特殊性不同设备厂家使用不同的通信协议/规约不同的行业对系统网络层次设计要求也各不相同直接导致商用IT网络的安全技术无法适应工业控制系统。2国内工控安全现状2.1信息化建设的趋势过去10年间世界范围内的过程控制系统（DCS/PLC/PCS/RTU等）及SCADA系统广泛采用信息技术Windows、Ethernet、现场总线技术、OPC等技术的应用使工业设备接口越来越开放企业信息化让控制系统及SCADA系统等不再与外界隔离。但是越来越多的案例表明来自商业网络、因特网、移动U盘、维修人员笔记本电脑接入以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散直接影响了工业稳定生产及人身安全对基础设备造成破坏。2.2以太网及协议的普及目前市场上具有以太网接口和TCP/IP协议的工控设备很多。以太网技术的高速发展及它的80%的市场占有率和现场总线的明显缺陷促使工控领域的各大厂商纷纷研发出适合自己工控产品且兼容性强的工业以太网。其中应用较为广泛的工业以太网之一是德国西门子公司研发的PROFINET工业以太网。施耐德电气公司推出了一系列完整、以TCP/IP以太网为基础、对用户高度友好的服务专门用于工业控制领域。自1979年以来Modbus就已成为工业领域串行链路协议方面的事实标准。它已经在数以百万计的自动化设备中作为通信协议得到了应用。Modbus已经得到了国际标准IEC61158的认可同时也成为了“中国国家标准”。通过Modbus消息可以在TCP/IP以太网和互联网上交换自动化数据以及其它各种应用（文件交换、网页、电子邮件等等）。如今在同一个网络上无需任何接口就可以有机地融合信息技术与自动化已成为现实。2.3国产化程度随着工业控制系统、网络、协议的不断发展和升级不同厂商对于以太网技术也在加速推广而国内80%以上的控制系统由国外品牌和厂商所占据核心的技术和元件均掌握在他人手里这给国内的工业网络安全形势造成了极大的威胁和隐患。目前在国内工控领域应用比较多的是通用网闸产品和工业安全隔离网关产品用于工控企业控制网和办公网的物理隔离和边界防护。由于国内重要控制系统有超过80%的系统都使用的是国外产品和技术这些技术和产品的漏洞不可控将给控制系统留下巨大的安全隐患。而国内通用IT网络与工业控制网络存在巨大差异通用IT的安全解决方案无法真正满足工控领域的需求工业控制系统的安全威胁一触即发。2.4软、硬件的漏洞国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase简称CNVD）在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞较2010年大幅增长近10倍涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞但这些漏洞可能被黑客或恶意软件利用。由于早期的工业控制都是相对独立的网络环境在产品设计和网络部署时只考虑了功能性和稳定性对安全没有考虑。经过测试很多支持以太网的控制器都存在比较严重的漏洞和安全隐患。2.5病毒攻击的发展国外典型工业控制系统入侵事件。*2007年攻击者入侵加拿大的一个水利SCADA控制系统通过安装恶意软件破坏了用于取水调度的控制计算机。*2008年攻击者入侵波兰某城市的地铁系统通过电视遥控器改变轨道扳道器导致4节车厢脱轨。*2010年“网络超级武器”Stuxnet病毒通过针对性的入侵ICS系统严重威胁到伊朗布什尔核电站核反应堆的安全运营。*2011年黑客通过入侵数据采集与监控系统SCADA使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。*2011年