工業(yè)控制從專用系統(tǒng)向開放式系統(tǒng)的轉變使跨商業(yè)系統(tǒng)和跨網(wǎng)絡的無縫整合得以實現(xiàn)，這種整合使控制進一步優(yōu)化，使商業(yè)運營更加靈活。然而，也恰恰是由于系統(tǒng)之間存在交互工作，這些系統(tǒng)才更加容易受到攻擊。從病毒、蠕蟲到木馬和數(shù)據(jù)篡改，各種各樣的網(wǎng)絡威脅對控制系統(tǒng)造成了影響，甚至擾亂了工廠作業(yè)。過程控制領域近期的網(wǎng)絡安全事件表明，如果不具備綜合安全策略，那么工業(yè)控制系統(tǒng)是十分脆弱的。

　　然而，即使具備了所有的安全策略，有統(tǒng)計顯示工廠工程師所面臨的最主要的威脅并非來自于外部——而大部分來自于工廠內(nèi)部。

　　超過60%的受訪工程師表示工業(yè)安全問題確實來自于內(nèi)部原因。這并非意味著工廠雇員或者承包商有意使系統(tǒng)暴露于惡意攻擊，安全問題都來自于雇員的無意之為，因為他們并不知曉正確的安全規(guī)程。

　　從上報的惡意事件分析，很多情況都是由惡意軟件導致，包括病毒、蠕蟲和木馬，它們并非專門針對受影響的工廠。其他的情況呢？剩下大多數(shù)的安全問題就是純粹的事故，包括用戶失誤或者配置故障所導致。

　　例如，2006年Browns Ferry核電站控制系統(tǒng)網(wǎng)絡上來自于兩家供應商的產(chǎn)品之間產(chǎn)生了巨量數(shù)據(jù)流，導致控制循環(huán)水系統(tǒng)的冗余驅(qū)動器失效，進而導致核電站緊急停機。又例如2008年Edwin I. Hatch核電站在對其工廠的商務網(wǎng)絡中一臺計算機進行軟件更新之后發(fā)生了緊急停機。

　　保護過程控制系統(tǒng)并非難如登天，實際上它是很容易實現(xiàn)的。將它看做一種健康的生活規(guī)律：就像人體需要規(guī)律的生活，控制系統(tǒng)亦需要建立規(guī)律的檢查和評估機制。通過對網(wǎng)絡健康狀況進行檢查，獲得控制系統(tǒng)性能信息，工廠操作人員能夠判斷采取何種措施才能為系統(tǒng)建立起良好的安全策略。

　　完整的工作規(guī)程

　　Stuxnet病毒的威力依舊令人膽寒，很多工廠操作人員試圖尋找到一種可以免受攻擊的方法。實際上包治百病的方法并不存在。醫(yī)生無法開出能夠確保健康的藥方，健康是合理飲食、鍛煉、睡眠和控制體重的結果。確?？刂葡到y(tǒng)不易受攻擊不能僅依靠單一方法，而需要依靠多種方法從多個方面抵御攻擊。

　　“Stuxnet病毒的威力依舊令人膽寒，很多工廠操作人員試圖尋找到一種可以免受攻擊的方法，實際上包治百病的方法并不存在?！?/p>

　　具有安全網(wǎng)絡的工廠必定能夠達到各種技術、策略和程序的穩(wěn)固結合以有效應對潛在威脅。這與健康計劃很類似，工廠首先需要定義各種目標，明確當前狀態(tài)，然后努力達到既定目標。

　　那么，良好的網(wǎng)絡健康狀況應該是什么樣子的？有些例子還是很明顯的，但是并未被廣泛地落實。例如，供應商的產(chǎn)品通常都有默認密碼，而令人驚訝的是，大多數(shù)情況下默認密碼并未被改動而是沿用下去。使用默認的密碼和默認的安全設置就如同在開車時不關車門一樣。

　　其他簡單卻又經(jīng)常被忽視的步驟包括微軟 Windows操作系統(tǒng)補丁管理和防病毒更新，這些步驟對于確保網(wǎng)絡的安全性至關重要。補丁可以使控制系統(tǒng)保持最新，通常發(fā)現(xiàn)新漏洞的同時，新的補丁都會發(fā)布。如果不及時更新補丁，即使知道漏洞所在，系統(tǒng)仍舊易受攻擊。

　　過程控制供應商在測評防病毒軟件上也有用武之地，在評估微軟安全升級之類的補丁中他們也應該有所作為。選擇經(jīng)過評估的防病毒軟件對工廠大有裨益，先進的防病毒軟件必定比同類軟件有見長之處。供應商也可以采用有利于系統(tǒng)安全性的鎖定模式，為用戶提供預設的文件、地址和注冊碼等安全設置，抵御來自惡意用戶和無意失誤造成的惡意軟件攻擊。

　　例如存儲卡之類的便攜式存儲設備的使用方針必須定義并嚴格執(zhí)行，在USB端口上插入存儲卡能夠避開用來抵御感染的所有網(wǎng)絡安全機制。例如，Stuxnet蠕蟲的感染機制之一就是通過USB存儲卡進入毫無防備的系統(tǒng)。

　　理解深度防御

　　并非所有用來獲得網(wǎng)絡安全的步驟都顯而易見并且易于理解，特別是當討論深度防御時。構建深度防御的首要前提是構建多層防御體系用來抵御威脅。網(wǎng)絡安全手段怎樣才能實現(xiàn)分層呢？

　　依據(jù)ANSI/ISA-99或者IEC 62443標準，網(wǎng)絡安全最佳方式是分層或者分區(qū)，這種方法能夠幫助抵御威脅，并能夠阻止病毒在整個網(wǎng)絡中傳播。關鍵的自動化和控制設備應該分在一組，分享共同的安全層級要求。這些區(qū)域之間的通訊必須經(jīng)過受保護和監(jiān)控的通路來實現(xiàn)，在這些區(qū)域之間規(guī)范數(shù)據(jù)的流通以實現(xiàn)更安全的通訊。

　　ISA-99定義了高、中、低三層的安全區(qū)。通過分析工廠的風險分析，并考慮到可能出現(xiàn)的威脅的嚴重程度和范圍，每個區(qū)域都需要定義安全級別目標。每個區(qū)域內(nèi)的設備都需要具有相應安全級別的能力，當這種能力低于該區(qū)域的安全級別目標時，必須使用安全技術或者安全策略來平衡這兩者之間的關系，這有助于降低風險。

　　使用這種方法，網(wǎng)絡安全更加容易管理。通過劃分安全區(qū)域，只有在安全級別目標需要調(diào)整的時候才會提高安全層級，而這一切都可通過潛在的風險來判斷。

　　基于安全區(qū)域同樣會提升威脅檢測能力（假設威脅檢測能力是安全區(qū)策略的一部分）。確定那些必定會發(fā)生的問題的來源是較為簡單的，因為工廠操作人員能夠在源頭解決問題，并找到其他直接的威脅。合理的分隔能夠?qū)^(qū)域之間的通訊限制在必要程度之下，并且僅僅通過被定義的和受到保護的通路進行通訊。這會阻止問題向其他區(qū)域擴散，包括關鍵的控制系統(tǒng)。這種強大的防御能夠搭建一步一步深入的安全策略，在區(qū)域內(nèi)創(chuàng)建更多區(qū)。這種機制能夠阻止在其中一個小區(qū)域內(nèi)發(fā)生的內(nèi)部操作人員的失誤在整個區(qū)域內(nèi)蔓延，為多個安全層次搭建防御系統(tǒng)。

　　“全面的評估覆蓋了網(wǎng)絡所有部分，工廠管理人員從而知曉工廠距離工業(yè)標準和那些優(yōu)秀的案例還有哪些需要改進之處?！?/p>

　　分層的原則遵循重要性的邏輯排序。分層網(wǎng)絡提供了多層防御系統(tǒng)，并將最關鍵的系統(tǒng)位于最深層。

　　層1：關鍵設備、過程控制器和I/O工作于層1。大體來說，這些關鍵的嵌入式控制器件應該使用控制防火墻與網(wǎng)絡隔離開來。

　　層2：過程控制操作員站點和監(jiān)管控制工作于此層級中。操作員站點一般就是Windows站點，需要使用高等級的安全模型來鎖定節(jié)點，使用基于節(jié)點的防火墻并采用專用的網(wǎng)絡技術來限制網(wǎng)絡異常，并考慮到可能出現(xiàn)的威脅的嚴重程度和范圍，每個區(qū)域都需要定義安全級別目標。每個區(qū)域內(nèi)的設備都需要具有相應安全級別的能力，當這種能力低于該區(qū)域的安全級別目標時，必須使用安全技術或者安全策略來平衡這兩者之間的關系，這有助于降低風險。

　　使用這種方法，網(wǎng)絡安全更加容易管理。通過劃分安全區(qū)域，只有在安全級別目標需要調(diào)整的時候才會提高安全層級，而這一切都可通過潛在的風險來判斷。

　　基于安全區(qū)域同樣會提升威脅檢測能力（假設威脅檢測能力是安全區(qū)策略的一部分）。確定那些必定會發(fā)生的問題的來源是較為簡單的，因為工廠操作人員能夠在源頭解決問題，并找到其他直接的威脅。合理的分隔能夠?qū)^(qū)域之間的通訊限制在必要程度之下，并且僅僅通過被定義的和受到保護的通路進行通訊。這會阻止問題向其他區(qū)域擴散，包括關鍵的控制系統(tǒng)。這種強大的防御能夠搭建一步一步深入的安全策略，在區(qū)域內(nèi)創(chuàng)建更多區(qū)。這種機制能夠阻止在其中一個小區(qū)域內(nèi)發(fā)生的內(nèi)部操作人員的失誤在整個區(qū)域內(nèi)蔓延，為多個安全層次搭建防御系統(tǒng)。

　　分層的原則遵循重要性的邏輯排序。分層網(wǎng)絡提供了多層防御系統(tǒng)，并將最關鍵的系統(tǒng)位于最深層。

　　層1：關鍵設備、過程控制器和I/O工作于層1。大體來說，這些關鍵的嵌入式控制器件應該使用控制防火墻與網(wǎng)絡隔離開來。

　　層2：過程控制操作員站點和監(jiān)管控制工作于此層級中。操作員站點一般就是Windows站點，需要使用高等級的安全模型來鎖定節(jié)點，使用基于節(jié)點的防火墻并采用專用的網(wǎng)絡技術來限制網(wǎng)絡異常，例如廣播風暴。

　　層3：此層級包括現(xiàn)場或者工廠范圍的控制應用，例如先進控制和優(yōu)化作業(yè)。在層3和層2的過程控制系統(tǒng)之間必須使用安全網(wǎng)關，僅允許控制所需的通訊。具有準入控制和通訊過濾規(guī)則的防火墻能夠幫助實現(xiàn)這種隔離。

　　層4：商業(yè)系統(tǒng)通常位于這一層并與工廠網(wǎng)絡連接。層3和層4之間的連接是安全問題易發(fā)的環(huán)節(jié)。對于過程控制網(wǎng)絡和商業(yè)系統(tǒng)網(wǎng)絡之間的連接必須額外留意并采取隔離措施，實現(xiàn)方法之一就是構建隔離區(qū)（DMZ），謹慎管理過程和商業(yè)系統(tǒng)之間的通訊。

　　DMZ：過程控制DMZ也是安置企業(yè)歷史數(shù)據(jù)、系統(tǒng)管理服務器和固定管理/防病毒服務器的好地方。

　　采用多層安全防護之后，就可以降低安全風險，并依舊保留網(wǎng)絡和系統(tǒng)的交互性。

　　網(wǎng)絡健康體檢

　　一旦明確了工業(yè)工廠健康的網(wǎng)絡安全體系結構的要件，工廠管理層就可以對工廠的現(xiàn)狀進行評估，識別易受攻擊點，如果必要的話，采取措施提升網(wǎng)絡安全狀況。

　　通過徹查工廠網(wǎng)絡、政策和流程，風險評估可以發(fā)現(xiàn)系統(tǒng)中存在的易受攻擊點。例如，徹查網(wǎng)絡可以發(fā)現(xiàn)何處的設計圖紙已經(jīng)需要更新了，以及哪個區(qū)域是風險程度最高的區(qū)域。然后，就可以識別出全部的危險，而不會僅僅將目光局限在一些特殊攻擊上，例如Stuxnet類型的攻擊。一旦發(fā)現(xiàn)并評估了所有的威脅，工廠管理人員就能夠?qū)⑦@些威脅排序，先從具有最高發(fā)生可能性和影響最大的威脅入手。

　　正如需要對現(xiàn)有技術手段進行全部評估一樣，對現(xiàn)有人事政策和流程的有效性進行評估也是十分關鍵的。例如，來訪人員和供應商在參觀工廠之前必須經(jīng)過一定的步驟才能夠準入，這些步驟大多數(shù)都會包括一些安全培訓，并且會采取一些措施來屏蔽工廠內(nèi)在的安全風險，例如硬質(zhì)帽子、防護服和鐵頭靴之類。

　　考慮網(wǎng)絡安全同樣重要，對來訪人員和供應商進行培訓并制定一定的工廠行為規(guī)范，可以將網(wǎng)絡威脅的風險降低。對于外部人員必須明確告知他們在何處可以使用自己的電腦，如何監(jiān)控這些計算機以及對于USB磁盤采取什么限制措施。例如，在進入工廠之前來訪人員必須將USB驅(qū)動器放置在門衛(wèi)處保管。嚴格且面面俱到的政策能夠幫助外來人員明確工廠網(wǎng)絡安全文化的嚴肅性。

　　當然，對于雇員也需要建立起類似的文化。一旦有了各項政策，首要任務就是明確哪些雇員具有準入資格。必須根據(jù)員工職責所在的層級明確限制準入條件?？梢钥紤]引入工程角色策略，也就是根據(jù)預先設置的小組和小組政策所允許的計算機行為來搭建模型。例如，如果工程角色定義對于操作人員的政策是鎖定，那么這些操作人員就嚴禁操作過程應用。工廠也應該考慮在操作人員計算機上采用這些程序。監(jiān)督人員具有受保護訪問權限，而工程師雖然具有更多的準入權限，但是仍舊限制其觸及很多相關的工程功能。管理員具有不受限制的準入權限，但是要求采用更高等級的安全設置并對于準入密碼做更頻繁地更改。需要指出的是，只有更可靠的用戶才能擁有更高的權限。

　　全面的評估將覆蓋網(wǎng)絡所有部分，工廠管理人員從而知曉工廠距離工業(yè)標準和那些優(yōu)秀的案例還有哪些需要改進之處。通過這種評估，工廠管理人員就能識別并將易受攻擊點排序，以確定需要采取何種策略來提供網(wǎng)絡安全性。

　　下一步就是使用根據(jù)自身需求定制的安全管理程序來糾正網(wǎng)絡、策略和程序。正如每個不同的個人，每個網(wǎng)絡也是獨一無二的。每個工業(yè)工廠的安全管理程序應該根據(jù)自身需求定制，以保護工廠最有價值的功能，抵御最大的威脅。

　　新的文化

　　維護網(wǎng)絡安全性很容易被忽視，曾經(jīng)更換過鍛煉計劃或者更換過食譜的人都熟知采納并保持新規(guī)律是一項挑戰(zhàn)。然而，如果不能自律，后果很嚴重，沒有嚴格的規(guī)章制度可循，工業(yè)工廠安全性就會降低，更容易受到內(nèi)部威脅的攻擊。

　　嚴守網(wǎng)絡健康檢查規(guī)程的重要性不亞于建立這個規(guī)程。知識是確保網(wǎng)絡安全的關鍵，在抵御網(wǎng)絡攻擊上，人員是工業(yè)工廠最強大的資源。明確網(wǎng)絡易受攻擊點并知道何為安全網(wǎng)絡的員工將是工作策略的最好證明，這也能減少常見事故發(fā)生的可能性。

　　例如，建立一個跨職能部門的員工組成的安全響應團隊，可以監(jiān)視網(wǎng)絡的每一個部分。這能降低有意暴露于惡意軟件的可能性。通過舉行定期舉行會議探討最新的威脅和技術，安全團隊可以確保領先于潛在威脅，及時發(fā)現(xiàn)和解決安全隱患。

　　健康不是簡單的沒有疼痛或者疾病，健康是肉體和精神同時達到優(yōu)良狀態(tài)。因此，網(wǎng)絡安全也不僅僅是摒除網(wǎng)絡威脅，而是具有強健的預先抵御機制，克服任何問題，確保作業(yè)不間斷。堅守這些優(yōu)秀的應用案例和程序能夠幫助工廠管理人員保護網(wǎng)絡遠離內(nèi)部危險。

　　國內(nèi)知名的學術專家和企業(yè)代表就上述內(nèi)容結合中國實際發(fā)表了各自的觀點：

　　王志良主任、教授

　　北京科技大學物聯(lián)網(wǎng)系

　　物聯(lián)網(wǎng)已經(jīng)成為一種信息技術大趨勢，隨之而來的物聯(lián)網(wǎng)安全問題也開始凸現(xiàn)出來。尤其是在工業(yè)控制領域，設備安全、控制安全、信息安全、網(wǎng)絡安全，將會成為控制工程師的技術課題研究內(nèi)容，這些都會改變未來工業(yè)領域的技術與產(chǎn)品格局。

　　肖維榮 總經(jīng)理

　　貝加萊工業(yè)自動化（上海）有限公司

　　功能安全、設備（人身）安全以及信息安全是工業(yè)安全的基本內(nèi)涵。功能安全和設備或人身安全屬于工業(yè)安全標準的范疇控制工程網(wǎng)版權所有，而信息安全則屬于企業(yè)信息管理的概念。前者是由標準（如SIL）來保證的，后者則需要安全方案來保證。

　　華镕全球標準及貿(mào)易部中國區(qū)經(jīng)理

　　羅克韋爾自動化（中國）有限公司

　　伊朗的核設施遭受“震網(wǎng)”的攻擊，引起了世界工業(yè)界的震驚和警惕，各自動化廠商也采取了應對措施，幫助企業(yè)用戶解決類似危機。中國的企業(yè)特別是在關鍵性行業(yè)，如能源、交通、通信等，應利用這個契機，對企業(yè)內(nèi)的網(wǎng)絡進行一次清查，排除隱患。

　　郝培 產(chǎn)品及市場經(jīng)理

　　百通赫思曼亞太區(qū)工業(yè)以太網(wǎng)

　　經(jīng)由企業(yè)的內(nèi)部網(wǎng)絡，來自控制室/中心的遠程訪問鏈路、USB閃存、移動筆記本電腦，病毒和駭客攻擊可以很輕易的到訪任何一個不設防的關鍵部件。更何況你也許還不知道，改變一個基于Modbus這一廣泛使用的通訊協(xié)議的控制器內(nèi)的功能代碼或寄存器數(shù)據(jù)使其誤動作或離線、死機，居然不需要任何認證和加密！

　　陳建銘 產(chǎn)品經(jīng)理

　　Moxa公司工業(yè)以太網(wǎng)事業(yè)部

　　網(wǎng)絡安全已成為中國工業(yè)自動化發(fā)展中必需考慮項目，除了作者提及的”深度防御”的方式外，工業(yè)網(wǎng)絡的安全性還可以注意2點: (1) 使用VPN技術(Virtual Private Network)，以提高遠程連入、監(jiān)控(Remote Access)的安全性。(2)選用工業(yè)規(guī)格如無風扇、-40~75度下操作的產(chǎn)品，以提高系統(tǒng)穩(wěn)定度。

　　劉艷強 博士

　　EtherCAT技術協(xié)會 北京航空航天大學

　　堡壘往往都是從內(nèi)部被攻破的，在建立了完善的軟硬件防護體系之后，重要的是提高工廠內(nèi)部的管理人員和操作人員的安全意識，并建立嚴格的規(guī)章制度，實施規(guī)范化的工廠網(wǎng)絡訪問和操作流程，從而避免各種有意無意的網(wǎng)絡安全問題。