工控安全的现状

“中国制造2025”国家战略的推出，以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合，工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。在工业企业获得巨大发展动能的同时,也出现了大量安全隐患，而工业控制系统作为国家关键基础设施的“中枢神经”，其安全关系到国家的战略安全、社会稳定。

工控安全的案例

关于工控安全问题的案例有很多，最近的比如2019年3月，委内瑞拉国内大部分地区停电，全国交通系统瘫痪，地铁系统关闭，通讯大规模中断。2019年7月，伊朗信息战队闯入美国30多个变电站的控制中心，导致纽约大规模停电了4个小时，造成大规模混乱等。其中最著名、影响最具大的当属2010年6月，伊朗核电站遭受“震网”病毒攻击。

2014年12月，土耳其境内，由伊拉克向土耳其输送原油的输油管道爆炸。为监控从里海通向地中海的1099英里的石油管道内的每一步，这条管道内安装了探测器和摄像头，然而管道爆炸破坏前前，却没有引发一个遇险信号，原因是黑客关闭了警报、切断了通信的同时给管道内原有大幅增压。

工控安全该如何防范

1、白名单机制

白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换，在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法，从根源上节制未知恶意软件的运行和传播。

“白名单”安全机制是一种安全规范，不仅应用于防火墙软件的设置规则，也是在实际管理中要遵循的原则，例如在对设备和计算机进行实际操作时，需要使用指定的笔记本、U盘等，管理人员信任可识别的身份，未经授权的行为将被拒绝。

2、物理隔离

网络物理隔离类技术诞生较早，最初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来，网络物理隔离由于其高安全性，开始被广泛应用于政府、军队、电力、铁道、金融等多个行业部门，其主要功能支持：文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。

在工业控制领域，网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构，内置双主机系统，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护。因此，它只提供控制网络常用通信功能，如OPC、Modbus等，而不提供通用互联网功能，因此，更适合于控制网络与办公网络，以及控制网络各独立子系统之间的隔离。

其主要特点有几种：

1)独立的运算单元和存储单元，各自运行独立的操作系统和应用系统；

2)安全隔离区采用私有加密的数据交换技术，数据交换不依靠TCP/IP协议；

3)工业通信协议，OPC/Modbus/60870-5-104等；

4)与信息层上传数据时，可实现断线缓存、续传；

5)实时数据交换、延迟时间小于1ms；

6)访问控制、身份认证以及安全审计与日志管理。

3、工业协议深度解析

商用防火墙是根据办公网络安全要求设计的一种防火墙，它可以对办公网络中传输使用的大部分通用网络协议（如http、ftp等）进行完全包过滤，能给办公网络提供有效的保护。但是，对于工业网络上使用的工业通信协议（如Modbus、OPC等应用层协议）的网络包，商用防火墙只能做网络层和传输层的浅层包过滤，它无法对网络包中应用层数据进行身材检查，因此，商用防火墙有一定的局限性，无法满足工业网络的要求。因此，自动化行业内迫切需要一款专用工业防火墙，可以针对工业通信协议进行有效的过滤检查，以保证工业控制系统的运行安全。

4、漏洞扫描

通过对网络的扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置，在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然。

5、云管理服务平台

构建满足工业控制系统的全厂级风险识别模型，除了需要细化工业控制系统的风险因素，还需要建立基于工业控制系统的安全管理域，实施分等级的基础建设，兼顾包括中断与链路、威胁与异常、安全与可用性等综合因素的功能考虑。

安全管理私有云服务平台的建立要求包括：

1)方便地对整个系统里所有的安全设备模块、控制器和工作站，进行部署、监控和管理；

2)规则辅助生产，指导应用方便快捷地从权限、授权管理报告中，创建防火墙的规则；

3)自动阻止并报告任何与系统流量不匹配的规则；

4)接收、处理和记录由安全模块所上传的报警信息；

5)全网流量是区及识别能力；

6)基于白名单的终端控制能力；

7)实时ICS协议与内容识别能力；

8)异常行为的仿真能力；

9)可视化配置、组态；

10)安全事件搜索、跟踪和预处理能力。

工控安全的注意事项

每个工业环境都有其物理系统——致动器、校准器、阀门、温度感应器、压力传感器一类机械装置。这些与现实世界交互的物理系统被称为控制器，也就是桥接物理系统控制和网络指令接收行为的特殊计算机。很多案例中恶意黑客都曾获取过这些设备的控制权，引发设备故障，造成物理破坏，或对公司的损害。不过，如果仅仅是能访问而不能控制，恶意黑客也无法直接造成破坏。

通过加强检测能力和对ICS修改及威胁的可见性，实现脆弱控制器的安全防护措施，监视可疑访问及控制修改，以及及时检测/控制威胁，公司企业可有效防止工业控制器遭到数字攻击。网络犯罪已成当今世界发展最快的产业之一。其范围涵盖仅仅出于好玩就发起攻击的脚本小子，以及像跨国公司一样运营的犯罪组织。随着ICS成为网络罪犯的主要目标，公司企业需采取措施做好ICS对数字威胁的防护。而要做好防护，就需要重点放在网络安全、终端安全和工业控制器安全的多层安全措施。