文档介绍:1 堵住工业控制系统安全漏洞随着工业化与信息化的融合推进, 以及以太网技术在工业控制系统中的大量应用,病毒和木马对 SCADA (数据采集与控制)系统的攻击事件频发, 直接影响到公共基础设施的安全, 造成的损失不可估量。因此, 目前国内外生产企业都十分重视工业控制系统的安全防护建设。但由于工控网络存在着特殊性, 商用的信息安全技术无法完全适用, 解决工业控制系统安全问题需要有针对性的实施特殊措施。工业控制系统安全吗近年来的典型工业控制系统入侵事件包括: 2011 年, 黑客通过入侵数据采集与监控系统,使得美国伊利诺伊州城市供水系统的供水泵遭到破坏; 2010 年,“网络超级武器” 病毒通过针对性的入侵 ICS 系统, 严重威胁到伊朗布什尔核电站核反应堆的安全运营; 2008 年,攻击者入侵波兰某城市的地铁系统, 通过电视遥控器改变轨道扳道器, 导致 4 节车厢脱轨等。造成这些事件的主要原因在于, 工业控制系统在考虑效率和实时性的同时, 安全性却没有成为考量的主要指标, 安全漏洞导致整个控制系统的安全性相当脆弱。随着越来越多的控制网络系统通过信息网络连接到互联网上, 工控系统所面临的安全威胁必然日趋加大, 解决安全防护问题刻不容缓。工业控制系统 ICS ( Industrial Control Systems )由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成, 包括智能电子设 2 备( IED )、分布式控制系统( DCS )、可编程逻辑控制器( PLC )、远程终端( RTU )、 SCADA 以及确保各组件通信的接口技术。工业控制系统广泛运用于石油石化、冶金、勘探、电力、燃气以及市政等领域, 用于控制关键生产设备的运行。典型的工业系统控制过程通常由 HMI 、控制回路、远程诊断与维护工具三部分组件共同完成。 HMI 执行信息交互, 控制回路用以控制逻辑运算, 远程诊断与维护工具确保工业控制系统能够稳定持续运行。同时, 现场总线技术作为传统的数据通讯方式广泛地应用在工业控制中,经过多年的争论后, 现场总线国际标准 IEC-61158 放弃了其制定单一现场总线标准的初衷, 最终发布了包括十种类型总线的国际标准。因此各大总线各具特点、不可互相替代的局面得到世界工控界的认可。但多种现场总线协议和标准的共存,意味着在各总线之间实现相互操作、相互兼容的代价是高昂的、困难的。与传统的信息系统安全需求不同, 工业控制系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下, 缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。另外, 目前控制器甚至远程 I/O 支持以太网的功能越来越强,在有些控制器和远程 I/O 模块中已经集成了 Web 服务器, 从而允许信息层的用户也可以和控制层的用户一样直接获取控制器和远程 I/O 模块中的当前状态值, 采用以太网架构和开放的软件系统的制造企业因而被称为“透明工厂”。而由于通过 可以实现对工业 3 生产过程的实时远程监控, 将实时生产数据与 ERP 系统以及实时的用户需求结合起来,使生产不只是面向订单的生产,而是直接面向机会和市场, 从而使企业能够适应经济全球化的要求, 企业纷纷联网, 这就令工控系统更加开放,也减弱了控制系统与外界的隔离