今天，小編要和大家聊聊工業(yè)控制系統(tǒng)安全隱患。相關(guān)數(shù)據(jù)顯示，目前世界上已有超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施需要依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)。這就意味著安全課題日益凸顯。

近日，網(wǎng)絡(luò)安全公司卡巴斯基實(shí)驗(yàn)室公布的最新報(bào)告《2017上半年工業(yè)自動(dòng)化系統(tǒng)威脅報(bào)告》稱(chēng)，制造業(yè)已經(jīng)成為第二個(gè)最容易受到網(wǎng)絡(luò)攻擊的行業(yè)，工業(yè)控制系統(tǒng)和制造業(yè)的計(jì)算機(jī)的入侵?jǐn)?shù)量占所有攻擊的三分之一。

全球受影響的工業(yè)控制系統(tǒng)于2016下半年呈現(xiàn)逐步增長(zhǎng)趨勢(shì)，直至2017上半年動(dòng)態(tài)變化更加明顯。雖然2017年1月份的攻擊占比有較大幅度下降，但在2、3月又呈上升趨勢(shì)，直至4月份，情況才有所好轉(zhuǎn)。就用戶(hù)比例和技術(shù)而言，工業(yè)網(wǎng)絡(luò)越來(lái)越類(lèi)似于企業(yè)網(wǎng)絡(luò)，因此，工業(yè)控制系統(tǒng)遭受的威脅情景也越來(lái)越類(lèi)似于企業(yè)網(wǎng)絡(luò)所面臨的威脅情景。

報(bào)告顯示，2017上半年，從工業(yè)自動(dòng)化系統(tǒng)中一共檢測(cè)到大約1.8萬(wàn)種不同類(lèi)型的惡意軟件程序，它們分屬于2500多個(gè)不同的惡意軟件家族。其中，大多數(shù)網(wǎng)絡(luò)攻擊發(fā)生在生產(chǎn)材料、設(shè)備和貨物的制造公司。受影響較大的部門(mén)包括工程、教育和食品飲料。其中，能源公司的ICS計(jì)算機(jī)幾乎占所有攻擊的5%。

工業(yè)控制系統(tǒng)正面臨哪些風(fēng)險(xiǎn)？

工業(yè)控制系統(tǒng)是我國(guó)重要基礎(chǔ)設(shè)施自動(dòng)化生產(chǎn)的基礎(chǔ)組件，安全的重要性可見(jiàn)一斑。根據(jù)工信部《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》要求，我國(guó)工業(yè)控制系統(tǒng)信息安全管理的重點(diǎn)領(lǐng)域包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱，以及其他與國(guó)計(jì)民生緊密相關(guān)的領(lǐng)域。這些領(lǐng)域中的工業(yè)控制系統(tǒng)一旦遭到破壞，不僅會(huì)影響產(chǎn)業(yè)經(jīng)濟(jì)的持續(xù)發(fā)展，進(jìn)而影響正常的生產(chǎn)秩序，甚至?xí)＜叭藛T健康和公共財(cái)產(chǎn)安全。

隨著工業(yè)控制系統(tǒng)分散程度的不斷提高，系統(tǒng)對(duì)網(wǎng)絡(luò)的需求增大，無(wú)線網(wǎng)絡(luò)大范圍普及，這一現(xiàn)象更多的集中體現(xiàn)在現(xiàn)場(chǎng)總線的廣泛應(yīng)用。傳統(tǒng)工業(yè)系統(tǒng)控制為并行模式，其優(yōu)越性不止表現(xiàn)在快速性，系統(tǒng)的功能安全方面也具有先天的優(yōu)越性。在整個(gè)控制系統(tǒng)中，任何局部故障或失效僅影響局部，將其快速隔離并處理較為簡(jiǎn)易。而在數(shù)字化的工業(yè)控制系統(tǒng)中，由于功能通過(guò)軟件實(shí)現(xiàn)，操作模式以串行為主，除控制的快速性相對(duì)較差，系統(tǒng)中任何局部的故障或失效都有可能影響后續(xù)功能的實(shí)現(xiàn)。換句話(huà)說(shuō)，在一個(gè)串行執(zhí)行的系統(tǒng)中，各環(huán)節(jié)間關(guān)聯(lián)性高，局部問(wèn)題更容易擴(kuò)散。此外，由于網(wǎng)絡(luò)技術(shù)消除了控制孤島，各類(lèi)信息能夠更加方便地傳輸和共享，因此也帶來(lái)了信息安全的隱患?？梢哉f(shuō)，功能安全方面的負(fù)面影響更多的是來(lái)自軟件技術(shù)，而信息安全方面的負(fù)面影響則更多地來(lái)自網(wǎng)絡(luò)技術(shù)。

互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)，工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能，自動(dòng)化生產(chǎn)線智能化的同時(shí)，機(jī)器設(shè)備之間的互聯(lián)互通成為工廠大幅提升生產(chǎn)效率的主力軍。

目前，攻擊者常利用工控設(shè)備漏洞、TCP/IP協(xié)議缺陷及工業(yè)應(yīng)用漏洞，針對(duì)性地構(gòu)建更加隱蔽的攻擊通道。以在2010年爆發(fā)的“震網(wǎng)”事件為例，病毒導(dǎo)致部分用于鈾濃縮的離心機(jī)無(wú)法運(yùn)行，徹底擊垮伊朗核工業(yè)。攻擊者使用了Stuxnet蠕蟲(chóng)病毒，該病毒利用了伊朗布什爾核電站工控網(wǎng)絡(luò)中工業(yè)PC與控制系統(tǒng)存在的安全漏洞（LIK文件處理漏洞、打印機(jī)漏洞、RPC漏洞、WinCC漏洞、S7項(xiàng)目文件漏洞以及Autorun．inf漏洞），建立了七條隱蔽的攻擊通道，讓企業(yè)防不勝防。

收下這份攻略，防止意外發(fā)生

直到現(xiàn)在，我國(guó)大多數(shù)企業(yè)對(duì)工業(yè)系統(tǒng)控制的安全問(wèn)題不夠重視，對(duì)于企業(yè)管理人員和企業(yè)家而言，他們覺(jué)得不會(huì)有人平白無(wú)故地攻擊自己的工業(yè)控制系統(tǒng)，自以為系統(tǒng)架上防火墻及防毒軟件便可高枕無(wú)憂(yōu)，實(shí)則不然。

工業(yè)控制系統(tǒng)安全保障工作將直接影響一個(gè)國(guó)家工業(yè)健康發(fā)展的命脈，因此發(fā)展技術(shù)手段、提升工業(yè)系統(tǒng)安全保障能力是工業(yè)控制系統(tǒng)安全技術(shù)研究和安全服務(wù)的重要條件。就企業(yè)層面看，應(yīng)當(dāng)提高自身技術(shù)實(shí)力，不管是預(yù)防用的防火墻、防病毒軟件設(shè)置，還是當(dāng)風(fēng)險(xiǎn)出現(xiàn)時(shí)的病毒處理能力，企業(yè)都應(yīng)加大投入，加強(qiáng)工業(yè)信息安全關(guān)鍵核心技術(shù)研發(fā)和應(yīng)用。

對(duì)于工業(yè)控制系統(tǒng)安全問(wèn)題，我國(guó)政府十分重視。2017年6月，國(guó)家工信部出臺(tái)的《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》，對(duì)工控安全風(fēng)險(xiǎn)監(jiān)測(cè)、信息通報(bào)、應(yīng)急處置等工作提出了具體管理要求，明確了責(zé)任分工、工作流程和保障措施，為工控安全事件應(yīng)急管理與處置工作提供了依據(jù)與方法。

既然現(xiàn)在是自動(dòng)化工廠“互聯(lián)互通”的時(shí)代，一旦中間環(huán)節(jié)受到威脅將影響整個(gè)生產(chǎn)鏈的進(jìn)展，因此，對(duì)運(yùn)行過(guò)程中的設(shè)備防護(hù)及監(jiān)控極其重要，以下幾點(diǎn)小小建議請(qǐng)查收：

（1）作為控制系統(tǒng)中的大腦，工控主機(jī)控制整個(gè)鏈條的正常運(yùn)作，應(yīng)當(dāng)率先保護(hù)。在主機(jī)內(nèi)安裝系統(tǒng)允許的殺毒軟件，并定期升級(jí)病毒庫(kù)以保障病毒查殺的有效性。

（2）進(jìn)行網(wǎng)絡(luò)物理隔離。在工業(yè)控制領(lǐng)域，網(wǎng)絡(luò)物理隔離通常采用“2+1”的三模塊架構(gòu)，內(nèi)置雙主機(jī)系統(tǒng)，隔離單元通過(guò)總線技術(shù)建立安全通道以安全地實(shí)現(xiàn)快速數(shù)據(jù)交換。

（3）多數(shù)病毒感染發(fā)生在人為不知情的情況下使用移動(dòng)介質(zhì)，運(yùn)用USB端口管控工具控制外部移動(dòng)存儲(chǔ)設(shè)備的準(zhǔn)入和應(yīng)用，并對(duì)所有接入的移動(dòng)存儲(chǔ)設(shè)備生成日志記錄，實(shí)時(shí)預(yù)防人為攜帶病毒并傳播。

（4）建立管理機(jī)構(gòu)并充分發(fā)揮其組織和實(shí)施協(xié)調(diào)作用，針對(duì)安全標(biāo)準(zhǔn)規(guī)范的滯后性和安全威脅的快速演變，加快完善具有行業(yè)特點(diǎn)、可操作性強(qiáng)的管理制度和規(guī)定并實(shí)施。

（5）對(duì)新建工業(yè)控制系統(tǒng)，要按新標(biāo)準(zhǔn)同時(shí)建設(shè)、同時(shí)部署、同時(shí)投用網(wǎng)絡(luò)隔離設(shè)備。對(duì)存量系統(tǒng)，應(yīng)在安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，根據(jù)系統(tǒng)的信息安全等級(jí)制定防護(hù)措施，并實(shí)現(xiàn)對(duì)應(yīng)的防護(hù)要求。