工业信息保护：技术手段探析 ，工业信息安全防御策略分析

工业控制系统的信息安全主要指防止非法或不必要的渗透和干扰对工业控制系统正确、预期的操作造成影响。工业控制系统的信息安全问题主要源自外部威胁和自身漏洞。

外部威胁有多种来源，包括敌对势力和恐怖主义组织的破坏、恶意入侵、偶然事件、内部人员的恶意或无意行为、自然灾害和设备故障等。针对外部威胁，主要以纵深防御策略来应对，包括防火墙的使用、隔离区的建立、入侵检测、人员培训、应急响应、产品的采购等，使任意一项安全机制的失效对工业控制系统信息安全的影响降至最低。

自身漏洞则包括策略和程序上的漏洞，平台，软、硬件和防护软件缺陷，配置或维护的漏洞以及网络同其他网络连接的错误配置或不善管理的漏洞。针对自身漏洞，主要通过风险评估的方法来对某个特定设施基于某种漏洞所产生的风险进行评估。风险评估的客体是工业控制系统的资产，包括物理资产、逻辑资产和人力资产。通过风险评估，资产的价值可以定量或定性表示。评估完成后，识别消减每项风险的成本，将其与风险带来的损失加以比较，明确风险消减手段。需要注意的是，在风险评估的过程中必须意识到风险评估可能对工业控制系统产生影响，应保证相关控制人员全程在场。

1.工业控制系统安全管理方法

1）连接管理要求

（1）断开工业控制系统同公共网络之间所有不必要的连接。

（2）对确实需要的连接，系统运营单位要逐一进行登记，采取设置防火墙、单向隔离等措施加以防护，并定期进行风险评估，不断完善安全防护措施。

（3）严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。

2）组网管理要求

（1）工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。

（2）采取虚拟专用网络（Virtual Private Network，VPN）、线路冗余备份、数据加密等措施，加强对关键工业控制系统远程通信的保护。

（3）对无线组网采取严格的身份认证、安全监测等防护措施，防止经无线网络进行恶意入侵，尤其要防止通过侵入远程终端单元（Remote Terminal Unit，RTU）进而控制部分或整个工业控制系统。

3）配置管理要求

（1）建立控制服务器等工业控制系统关键设备的安全配置和审计制度。

（2）严格账户管理，根据工作需要合理分类设置账户权限。

（3）严格口令管理，及时更改产品安装时的预设口令，杜绝弱口令和空口令。

（4）定期对账户、口令、端口、服务等进行检查，及时清理不必要的用户和管理员账户，停止无用的后台程序和进程，关闭无关的端口和服务。

4）设备选择与升级管理要求

（1）慎重选择工业控制系统设备，在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务，确保产品安全可控。

（2）加强对技术服务的信息安全管理，在安全得不到保证的情况下禁止采取远程在线服务。(www.xing528.com)

（3）密切关注产品漏洞补丁的发布，严格软件升级、补丁安装管理，严防病毒和木马等恶意程序侵入。关键工业控制系统软件升级和补丁安装前要请专业技术机构进行安全评估和验证。

5）数据管理要求

地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等，要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护，切实维护个人利益、企业利益和国家信息资源安全。

6）应急管理要求

制定工业控制系统信息安全应急预案，明确应急处置流程和临机处置权限，落实应急技术支撑队伍，根据实际情况采取必要的备机备件等容灾备份措施。

2.工业控制系统网络安全技术

（1）外部威胁及网络安全防护策略。

来自工业控制系统外部的主要威胁有：①自然灾害或意外事故；②计算机病毒；③人为行为；④“黑客”行为；⑤内部泄密；⑥外部泄密；⑦信息丢失；⑧电子谍报；⑨信息战。

典型工业控制系统中网络安全防护策略：①并发针对应用于工业控制系统的安全策略、流程和教育材料。②重视工业控制系统从结构到采购、安装、维护直至停用的整体生命周期的安全性。③采用多层网络拓扑结构，使最为关键的信息处于最安全和最可靠的层中。④在工业控制系统和企业网络之间设置逻辑分离，如在两个网络间设置状态性校验防火墙。⑤应用DMZ网络结构（即阻止企业网络和工业控制网络间的直接流量访问）。⑥确保关键器件是冗余的，并有冗余网络。⑦将关键性系统设计为失效安全型以预防重大事故的发生。⑧在测试后确保不影响工业控制系统运行的情况下，停止工业控制系统中不使用的端口和服务。⑨限制对工业控制网络和设备的物理访问。⑩明确工业控制系统不同用户的权限。○1对工业控制网络和企业网络使用各自独立的认证机制和证书。○12使用现代技术，如用于个人身份认证的智能卡。○13应用安全控制措施，如安装杀毒软件和文件完整性检验软件。○14对工业控制系统的数据和通信应用安全编码技术。

（2）设置防火墙，改变网络结构。防火墙用来保护网络上的设备并控制和监测网络流量，阻止不需要的流量。通过把经过网络的通信信号同预先确定的安全标准和策略比较，丢弃不符合准则要求的信息，用简单的防火墙保护个人计算机和可编程序控制器，以阻止来自互联网的不期望的流量，但允许与公司网站服务器进行正常通信。不同防火墙的设置方式和网络结构对安全保障性与系统构建复杂性的影响各不相同。

①双网卡计算机。在计算机或控制装置上安装双网卡。双网卡计算机可以很容易地将两个网络间的通信隔离开，其缺点是计算机存在较大安全风险。若该计算机受损害，则两个网络都可能受到安全威胁。双网卡计算机的特点是安全度低、易于管理。

②带有个人防火墙软件的双网卡服务器。在双网卡服务器上安装防火墙软件。工业控制网络和企业网络间传递的唯一信息是共享的历史数据，并且这些数据最终在服务器上停止。若使用防火墙，则只允许商业用户访问来自服务器的数据，该方法允许共享服务器数据，其缺点是如果存在需要经企业网络到达工业控制网络的信息，且远程访问控制器进行维护，那么此结构可能会完全阻止流量或者使工业控制网络的安全性能变得很差。

③设置包过滤路由器或三层交换机。使用网桥、包过滤路由器或具有基本过滤功能的三层交换机控制流通。这些设备可有效地作为包过滤防火墙，对于复杂的攻击只能提供有限的保护。如果企业网络在其自身能力范围内有高度安全性且一般不会受到攻击，那么该类型的数据包过滤器的设计是安全的。该结构的特点是安全度较低、易于管理。

④设置双端口防火墙。在企业网络和工业控制网络之间引入一个简单的双端口防火墙，安全性能可以得到显著改善。目前大多数防火墙为所有的TCP数据包和常见的网络应用层协议（如FTP、HTTP和SMTP的应用代理服务）提供状态检测，若数据服务器置于企业网络中，则防火墙的规则必须允许数据服务器与工业控制网络上的控制装置进行通信，这样企业网络中某个具有恶意行为或配置错误的主机的数据包将可能传送给PLC。若数据服务器放置在工业控制网络中，则防火墙规则必须允许企业中的主机同数据服务器主机进行交换。此结构的缺点是数据服务器受到威胁时，工业控制网络上的其余节点容易受到蠕虫/病毒的感染或交互式的攻击。这种结构比前两种结构有很大改进，不过仍需要开放规则集以允许企业和工业控制网络中的设备进行直接通信。该结构的特点是安全度较高、易于管理。

⑤在PCN与EN间设置路由器/防火墙组合。利用路由器/防火墙的组合设计，即路由器设置在防火墙外面，提供基本的包过滤服务，防火墙使用状态检测或代理技术处理更复杂的问题。这种类型的设计目前在连接互联网的防火墙中很流行，因为它使路由器可以更快地处理大量的外来封包，特别在遇到DOS攻击时，可有效降低防火墙的负荷。其内部两个不同的装置阻止了攻击者的进攻，从而提供了深层次的保护，通过设置简单路由器规则即可防止数据包绕过防火墙。该结构的特点是安全性中等、较易管理。

⑥设置带安全隔离区（DMZ）的防火墙。在企业网络和工业控制网络间设置安全隔离区，对防火墙的使用有很大的改进。每个安全隔离区内都有关键部件，如数据服务器、无线接入点或远端和第三方访问系统。采用具有安全隔离区的防火墙组成的中间网络常称为过程信息网络（PIN）。建立这样的安全隔离区，需要防火墙提供3个或更多接口，其中一个接口连接企业网络，另一个连接工业控制网络，其他接口连接共享或不安全设备，如历史数据服务器或无线接入点。合理使用访问控制列表，可以将工业控制网络和其他网络隔开，使企业网络和工业控制网络间的直接通信减少。该结构的主要安全风险是当安全隔离区中的某台计算机受到危害时，其会被用来得到从安全隔离区到工业控制网络的许可，从而引发对工业控制网络的攻击，因此，需要积极修补安全隔离区服务器中的漏洞。该结构的特点是安全度较高、较易管理，但构建的复杂性较高。

⑦设置一对防火墙。安全隔离区解决方法的变化形式是在企业网络和工业控制网络之间设置一对防火墙。共用数据服务器置于类似安全隔离区的网络区，该区域被称为过程信息网络或制造执行系统层（MES）。第一层防火墙可以防止数据包在传递过程中随意进入工业控制网络或共享的历史数据服务器主机，第二层防火墙可以防止一个存在安全问题的服务器的信息流进入工业控制网络从而影响共享服务器。如果所用防火墙由不同制造商提供，该方案具有深度防护优势，这种方式使过程控制人员和IT人员可明确各自的责任，管理各自的防火墙。对于采用一对防火墙的结构来说，其主要缺点在于成本和管理的复杂性均较高，对环境有严格的安全要求或需要明确的分离管理。该结构的特点是安全度中等、较易管理。

⑧防火墙和基于虚拟局域网（VLAN）过程网络的结合。当前的设计一般都将工业控制网络作为一个整体，但在很多情况下，工业控制网络中各个功能区域间不一定需要通信，这样就可把前面的结构进一步分解为多个VLAN，使内部VLAN间的通信由三层交换机进行简单的包过滤控制。在三层交换机下，由二层交换机组成子VLAN，在子VLAN中各设备间直接通信，但所有的子VLAN间的交流必须强制经由三层交换机进行包过滤控制。该结构增加了管理的复杂性和成本，但安全性较高。