背景分析

       近年來(lái)，隨著基于工業(yè)以太網(wǎng)開(kāi)放性通信協(xié)議的引入，系統(tǒng)平臺(tái)趨于開(kāi)放化，與外界的連接更為頻繁。而同時(shí)外界的安全威脅實(shí)踐日益增多，許多攻擊可以通過(guò)互聯(lián)網(wǎng)入侵到工控系統(tǒng)當(dāng)中，石油石化、能源煤炭、水利水電、交通運(yùn)輸?shù)汝P(guān)乎國(guó)民經(jīng)濟(jì)命脈的產(chǎn)業(yè)與之息息相關(guān)，復(fù)雜多變的攻擊風(fēng)險(xiǎn)，對(duì)國(guó)民經(jīng)濟(jì)建設(shè)和工業(yè)安全產(chǎn)生了一定威脅。由于工控網(wǎng)絡(luò)存在著特殊性，商用的信息安全技術(shù)無(wú)法全面應(yīng)對(duì)此類(lèi)風(fēng)險(xiǎn)，解決工業(yè)控制系統(tǒng)安全需要有針對(duì)性地實(shí)施特殊措施。


       工業(yè)控制網(wǎng)絡(luò)的安全漏洞

       對(duì)工控系統(tǒng)而言，可能帶來(lái)直接隱患的安全漏洞主要包括以下幾種：

       1、病毒與惡意代碼

       全球范圍內(nèi)，每年都會(huì)發(fā)生大規(guī)模的病毒爆發(fā)，目前已發(fā)現(xiàn)數(shù)萬(wàn)種病毒，每天還會(huì)新生數(shù)十余種。除了傳統(tǒng)意義上必須寄生在其它實(shí)用程序中的病毒種類(lèi)外，各種新型的惡意代碼更是層出不窮，如邏輯炸彈、特洛伊木馬、蠕蟲(chóng)等，它們往往具有更強(qiáng)的傳播能力和破壞性。蠕蟲(chóng)病毒和傳統(tǒng)病毒相比，其最大的不同在于可以進(jìn)行自我復(fù)制，傳統(tǒng)病毒的復(fù)制過(guò)程需要依賴(lài)人工干預(yù)，而蠕蟲(chóng)卻可以自己獨(dú)立完成，破壞性和生命力自然強(qiáng)大得多。

       2、SCADA系統(tǒng)軟件的漏洞

       國(guó)家信息安全漏洞共享平臺(tái)收錄的工業(yè)控制系統(tǒng)軟件安全漏洞近年來(lái)數(shù)量大幅增長(zhǎng)。SCADA中的安全問(wèn)題包括缺乏安全授權(quán)機(jī)制、缺乏代碼混淆、缺乏安全地存儲(chǔ)數(shù)據(jù)、缺乏通信安全，而后端系統(tǒng)的漏洞類(lèi)型包括SQL注入漏洞、內(nèi)存破壞漏洞、DoS漏洞和信息泄露漏洞，黑客完全可以利用這些漏洞影響工業(yè)生產(chǎn)過(guò)程。

       3、操作系統(tǒng)安全漏洞

       PC與Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機(jī)/操作站的主流，而在控制網(wǎng)絡(luò)中，操作站是實(shí)現(xiàn)與MES通信的主要網(wǎng)絡(luò)結(jié)點(diǎn)，因此其操作系統(tǒng)的漏洞就成為了整個(gè)控制網(wǎng)絡(luò)信息安全中的一個(gè)短板。

       4、網(wǎng)絡(luò)通信協(xié)議安全漏洞

       隨著TCP/IP協(xié)議的普遍適用，網(wǎng)絡(luò)通信協(xié)議漏洞也隨之增多。TCP/IP協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是美國(guó)國(guó)防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問(wèn)題，并未考慮也無(wú)法兼容解決來(lái)自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問(wèn)題。當(dāng)其推廣到社會(huì)應(yīng)用環(huán)境后，安全問(wèn)題接踵而至，也說(shuō)明了TCP/IP在先天上就存在著致命的設(shè)計(jì)性安全缺陷。

       5、安全策略和管理流程漏洞

       追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程，也給工業(yè)控制系統(tǒng)信息安全帶來(lái)了一定威脅。

       安全防護(hù)策略

       工業(yè)控制系統(tǒng)的安全防護(hù)需要考慮每一個(gè)細(xì)節(jié)。從現(xiàn)場(chǎng)I/O設(shè)備、控制器，到操作站的計(jì)算機(jī)操作系統(tǒng)，工業(yè)控制網(wǎng)絡(luò)中同時(shí)存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營(yíng)的辦公網(wǎng)絡(luò)，考慮到不同業(yè)務(wù)終端的安全性與故障容錯(cuò)程度的不同，防御策略和保障措施應(yīng)該按照等級(jí)進(jìn)行劃分，而實(shí)施分層次的縱深防御架構(gòu)，分別采取不同的對(duì)應(yīng)手段，構(gòu)筑從整體到細(xì)節(jié)的立體防御體系。

       1. 實(shí)施網(wǎng)絡(luò)物理隔離

       根據(jù)公安部制定的《GA370-2001端設(shè)備隔離部件安全技術(shù)要求》中所定義的，物理隔離的含義是：公共網(wǎng)絡(luò)和專(zhuān)網(wǎng)在網(wǎng)絡(luò)物理連線上是完全隔離的，且沒(méi)有任何公用的存儲(chǔ)信息。物理隔離部件的安全功能應(yīng)保證被隔離的計(jì)算機(jī)資源不能被訪問(wèn)(至少應(yīng)包括硬盤(pán)、軟盤(pán)和光盤(pán))，計(jì)算機(jī)數(shù)據(jù)不能被重用(至少應(yīng)包括內(nèi)存)。

       信息安全是一個(gè)體系防護(hù)的概念，網(wǎng)絡(luò)物理隔離技術(shù)不可能解決所有信息安全問(wèn)題，但能大大提高網(wǎng)絡(luò)的安全性和可控性，能徹底消除內(nèi)部網(wǎng)絡(luò)遭受外部網(wǎng)絡(luò)侵入和破壞的可能性，從而大大減少網(wǎng)絡(luò)中的不安全因素，縮小追蹤網(wǎng)絡(luò)中非法用戶和黑客的范圍。目前存在的安全問(wèn)題，對(duì)網(wǎng)絡(luò)隔離技術(shù)而言在理論上都不存在，這就是各國(guó)政府都大力推行網(wǎng)絡(luò)隔離技術(shù)的主要原因。

       網(wǎng)絡(luò)隔離技術(shù)目前已經(jīng)發(fā)展到了第五代，第一代隔離技術(shù)實(shí)際上是將網(wǎng)絡(luò)進(jìn)行物理上的分開(kāi)，形成信息孤島；第二代采用硬件卡隔離技術(shù)；第三代采用數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術(shù)；第四代采用的是空氣開(kāi)關(guān)隔離技術(shù)；而第五代隔離技術(shù)采用了安全通道隔離技術(shù)。基于安全通道的最新隔離技術(shù)通過(guò)專(zhuān)用通信硬件和專(zhuān)有安全協(xié)議等安全機(jī)制，來(lái)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問(wèn)題，還能有效把內(nèi)外部網(wǎng)絡(luò)隔離開(kāi)，高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的主要發(fā)展方向。

       總的來(lái)說(shuō)，網(wǎng)絡(luò)隔離技術(shù)的主要目標(biāo)是解決工業(yè)控制系統(tǒng)中的各種漏洞：操作系統(tǒng)漏洞、TCP/IP漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等，網(wǎng)絡(luò)隔離也是目前唯一能解決上述問(wèn)題的安全技術(shù)。

       2. 構(gòu)建網(wǎng)絡(luò)防火墻

       網(wǎng)絡(luò)防火墻通過(guò)設(shè)置不同的安全規(guī)則來(lái)控制設(shè)備或系統(tǒng)之間的數(shù)據(jù)流，在實(shí)際應(yīng)用中主要用于分析與互聯(lián)網(wǎng)連接的TCP/IP協(xié)議簇。防火墻在網(wǎng)絡(luò)中使用的前提是必須保證網(wǎng)絡(luò)的連通性，其通過(guò)規(guī)則設(shè)置和協(xié)議分析，來(lái)限制和過(guò)濾那些敏感、不安全的信息，防止未經(jīng)授權(quán)的訪問(wèn)。由于工業(yè)控制與商用網(wǎng)絡(luò)的差異，常規(guī)的網(wǎng)絡(luò)安全設(shè)置規(guī)則用在工業(yè)控制網(wǎng)絡(luò)中會(huì)存在很多問(wèn)題。只有正確地設(shè)計(jì)、配置和維護(hù)硬件防火墻的規(guī)則，才可以保護(hù)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全環(huán)境。