摘要：隨著IT技術快速進入工業自動化系統的各個層面，工業網絡信息安全日益顯得十分重要。本文論述辦公網絡與工業網絡信息安全的主要區別，較深入分析工業網絡安全的主要威脅，較全面論述工業網絡信息安全中涉及的主要技術和解決方案。由于工業網絡安全有更高要求，所以工業網絡開始采用分層、分布式縱深防御體系結構，并轉向基于工業防火墻/VPN技術相結合的硬件解決方案。本文對硬件解決方案進行了較詳細闡述，同時全面論述了工業網絡安全領域的領導企業菲尼克斯電氣公司提出的工業網絡三重解決方案及其FL MGUARD工業網絡安全系統。

關鍵詞： 工業網絡  信息安全   黑客攻擊   縱深防御  體系結構    硬件解決方案

Abstract:     With the spread of industrial Ethernet infrastructures,
network Security is a hot topic for automation technology. This article has analysed the main threats of industrial network Security. The key differences between office and factory Systems and networks is expounded. More detailed explanation of the Specific reguirements for the automation network are given. The hardware Security Solutions based on firewalls and encryption(VPN) for industrial application is introduced Comprehensively. The Phoenix Contact Company is a leading Supplier of Components and Solutions for Secured Communication in industrial network. It has developed a three-stage Security Concept and Security appliance FL MGUARD System for industrial automation.

Keywords:   Industrial Network   Security   Hacking   Defence-in-depth Architecture     Hardware Solution 

1.  概述：
        在上世紀90年代中期之前，由于Internet 技術尚未成熟，當時的IT技術不能完全滿足工業自動化的實時性和環境適應性等要求，于是各家公司都利用自己掌握的計算機技術開發具有專有權操作系統的工業自動化裝置、專有權協議的網絡及其自動化系統。由于具有較強的專用權，這些系統受外來影響較小。工業自動化系統較為封閉，其信息安全問題未受到重視。
        最近幾年，這種情況發生了急劇變化，傳統自動化技術與IT技術加速了融合的進程，工業自動化系統已廣泛采用微軟Windows操作系統和TCP/IP標準網絡協議，工業實時以太網已經被工業自動化領域廣泛接受，IT技術快速進入工業自動化系統的各個層面，改變了自動化系統長期以來不能與IT技術同步增長的局面。工廠企業的信息化，可以實現智能工廠中從管理層、控制層直至現場層的信息無縫集成，使得過程控制系統（PCS）與制造執行系統（MES），以及企業管理信息系統（ERP）有機地融為一體，并能通過Internet網完成遠程維護與監控。這種不可阻擋的發展趨勢隨之也帶來了工業網絡的安全問題，如何保證工業網絡的機密性、完整性和可用性成為工業自動化系統必須考慮的一個重要問題。
        在過去的一、兩年中，工業網絡的信息安全經歷了迅猛的發展。2008年1月，黑客攻擊了美國的電力設施，造成多個城市大面積停電，損失很大。近幾年，美國公開報道的由于黑客攻擊造成巨大損失的事件多達30起。據說，由于各種原因還有很多起事件受害的公司不準報道，保守秘密。而且，黑客攻擊在逐年增加。在這種情況下，進入2009年，美國發電廠和大型電力企業對網絡安全的重視程度也邁上了一個新的臺階。NERC （北美電力保障組織）制定了對大型電力系統組織有著深遠影響的網絡安全標準CIP(關鍵基礎設施保護）條例, CIP標準條例監管機構對這些企業下達強制命令：每個發電、傳輸和配送部門，不論是否屬于關鍵資產部門，都必須履行這些條例。電力供應和輸配電部門必須采取明確的安全防范措施，以確保持續供電。不符合該標準的情況一經發現，可能被處以高達每天100萬美元的罰款。許多行業外人士（包括化工、煉油、冶金等）也正在密切關注電力行業的動態。他們期望自己的行業中也能夠出現類似的法規，而且是越早越好。由于該標準被界定為一套大型關鍵基礎設施保護標準，其他用到SCADA和DCS的領域也正在對它進行審核。由此可見，工業網絡的信息安全已成為工業自動化領域新的關注熱點。

2.  工業網絡信息安全威脅分析：
        工業網絡信息安全的潛在威脅主要來自黑客攻擊、數據操縱（Data manipulation）、間諜（Espionage）、病毒、蠕蟲和特洛伊木馬等。
黑客攻擊是通過攻擊自動化系統的要害或弱點，使得工業網絡信息的保密性、完整性、可靠性、可控性、可用性等受到傷害，造成不可估量的損失。黑客攻擊又分為來自外部的攻擊和來自內部的攻擊。
       ?來自外部的攻擊包括非授權訪問是指一個非授權用戶的入侵；拒絕服務（DOS）攻擊，即黑客想辦法讓目標設備停止提供服務或資源訪問。這樣一來，一個設備不能執行它的正常功能，或它的動作妨礙了別的設備執行它們的正常功能，從而導致系統癱瘓，停止運行。
       ?來自內部的安全威脅，主要是由于自動化系統技術人員的技術水平的局限性以及經驗的不足，可能會出現各種意想不到的操作失誤，勢必對系統或信息安全產生較大的影響。
 

圖1  黑客攻擊工業網絡