隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展���,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議���、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接�����,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散���,工業(yè)控制系統(tǒng)信息安全問(wèn)題日益突出����。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢(shì)�。對(duì)此�����,各地區(qū)、各部門、各單位務(wù)必高度重視����,增強(qiáng)風(fēng)險(xiǎn)意識(shí)�、責(zé)任意識(shí)和緊迫感��,切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理��。”
本文分析了當(dāng)前工業(yè)控制系統(tǒng)的安全漏洞��,并結(jié)合工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)架構(gòu)和多芬諾工業(yè)防火墻的“測(cè)試”模式功能����,詳細(xì)介紹了工業(yè)控制系統(tǒng)信息安全的縱深防御策略,致力于建立一個(gè)“本質(zhì)安全”的工業(yè)控制網(wǎng)��,從而解決了困擾各公司的控制系統(tǒng)信息安全隱患��,保證了企業(yè)各裝置控制系統(tǒng)的安全平穩(wěn)運(yùn)行���。
一���、工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析
近十年來(lái)�����,隨著信息技術(shù)的迅猛發(fā)展���,信息化在我們企業(yè)中的應(yīng)用取得了飛速發(fā)展,互聯(lián)網(wǎng)技術(shù)的出現(xiàn),使得工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)����,ICS網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的聯(lián)系越來(lái)越緊密���。另一方面��,傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議�,設(shè)計(jì)上基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題���。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱或者甚至幾乎沒(méi)有隔離功能�����,因此在工控系統(tǒng)開(kāi)放的同時(shí),也減弱了控制系統(tǒng)與外界的隔離��,工控系統(tǒng)的安全隱患問(wèn)題日益嚴(yán)峻���。系統(tǒng)中任何一點(diǎn)受到攻擊都有可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓����。
1.1工業(yè)控制系統(tǒng)的安全漏洞
1、通信協(xié)議漏洞
兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。
例如��,OPC Classic協(xié)議(OPCDA,OPCHAD和OPC A&E) 基于微軟的DCOM協(xié)議��,DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的���,極易受到攻擊,并且OPC通訊采用不固定的端口號(hào)����,導(dǎo)致目前幾乎無(wú)法使用傳統(tǒng)的IT防火墻來(lái)確保其安全性���。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來(lái)了極大的挑戰(zhàn)���。
2�、操作系統(tǒng)漏洞
目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺(tái)的���,為保證過(guò)程控制系統(tǒng)的相對(duì)獨(dú)立性��,同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行���,通?���,F(xiàn)場(chǎng)工程師在系統(tǒng)開(kāi)車后不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁��,但是存在的問(wèn)題是��,不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患���。
3、安全策略和管理流程漏洞
追求可用性而犧牲安全�,是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象��,缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來(lái)了一定的威脅。例如工業(yè)控制系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦�����、U盤等設(shè)備的使用和不嚴(yán)格的訪問(wèn)控制策略���。
4���、殺毒軟件漏洞
為了保證工控應(yīng)用軟件的可用性�,許多工控系統(tǒng)操作站通常不會(huì)安裝殺毒軟件��。即使安裝了殺毒軟件��,在使用過(guò)程中也有很大的局限性�,原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是�����,其病毒庫(kù)需要不定期的經(jīng)常更新���,這一要求尤其不適合于工業(yè)控制環(huán)境�����。而且殺毒軟件對(duì)新病毒的處理總是滯后的,導(dǎo)致每年都會(huì)爆發(fā)大規(guī)模的病毒攻擊�����,特別是新病毒�。
5、應(yīng)用軟件漏洞
由于應(yīng)用軟件多種多樣�,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題;另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)��,就必須開(kāi)放其應(yīng)用端口。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性�?��;ヂ?lián)網(wǎng)攻擊者很有可能會(huì)利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠�����、天然氣管道以及其他大型設(shè)備的控制權(quán)���,一旦這些控制權(quán)被不良意圖黑客所掌握����,那么后果不堪設(shè)想。
