工控系統作為關鍵基礎設施不可分割的一部分，可簡化電力、石油天然氣、供水、交通及化工等重要行業部門的運營。日益增長的網絡安全問題及其對工控系統的影響愈發凸顯了關鍵基礎設施所面臨的重大風險。解決工控系統的網絡安全問題，須對安全挑戰與特定防護措施有清晰認識。全局法使用特定措施逐步增強安全，助力防護工控系統中的網絡安全威脅與漏洞。這種方法一般被稱為“縱深防御”，適用于工控系統，為優化網絡安全防護提供了靈活、可用的框架。

人們之所以關注控制系統的網絡安全問題，一方面是因為某些系統沿用傳統特性，另一方面是因為工控系統聯網需求日益增長。在這種關注下，大量已知漏洞被發現，同時一些工控系統領域前所未見的新型威脅也浮出水面。許多老舊系統缺乏恰當的安防能力，無法抵御新型威脅，而現行網絡安全方案由于會影響到系統可用性而無法使用。工控系統連接到企業、廠商或對等網絡可加劇此問題。

本文深度探討了較突出的網絡風險問題，并結合工控系統對這些問題做了進一步闡述。文章還就如何針對特定問題制定緩解策略發表了看法，并為如何在工控環境制定深度安全防護計劃提供了建議，目的是為網絡緩解策略的制定以及策略在工控環境中的應用提供指導。

現行工控系統架構概覽

曾經隔離的工控系統逐漸走向融合，助力企業簡化并管理復雜的環境。在聯網及向工控系統域添加IT組件時，如下情況可導致安全問題：

對于自動化與工控系統越來越依賴;

與外部網絡的不安全連接;

使用的技術包含已知漏洞，在控制域造成前所未見的網絡風險;

缺乏與工控系統環境相關的網絡安全業務案例;

某些控制系統技術僅有有限的安全能力，這種能力一般僅在管理員發現(或不會阻礙流程)時才會啟用;

許多常用的控制系統通信協議缺乏基本的安全功能(如認證與授權);

關于工控系統、工控系統操作及安全漏洞的開源信息大量存在。對于有效保障網絡與IT網絡安全，這種方法可謂另辟蹊徑。將新型IT架構與缺乏真正網絡安全防護措施的隔離網絡融合具有很大挑戰。顯然，使用路由器與交換機可將設備進行簡單互聯，但是個人的非法入侵會導致對系統的不受限訪問。圖2中提供的融合架構包含了來自于外部的連接，如企業局域網、對端站點、廠商站點以及互聯網。

長期以來，業界將控制系統的運營安全定義為系統安全有效運行的可靠性水平。將工控系統同外部(不可信)網絡完全隔離，總體通信安全的范圍被壓縮至員工相關威脅(這里的員工指的是可物理訪問設備或工廠車間的員工)。這樣，信息基礎設施內的大多數數據通信僅需要有限授權或安全監管。運行命令、指令與數據采集發生在封閉環境中，這個環境中的所有通信都受信任。一般情況下，命令或指令通過網絡下發，預期在到達目標后執行授權功能，因為只有授權操作員才可以訪問系統。

如圖所示，融合架構若被入侵，攻擊者可通過各種渠道訪問企業局域網、控制系統局域網甚或通信局域網的關鍵系統。此種架構本質上要求與各種信息源交換數據，這可以被攻擊者所利用。

工控系統內的安全挑戰

在基于傳輸控制協議/互聯網協議(TCP/IP)的現代計算環境中(如對驅動控制系統運行的業務進行管理的企業基礎設施)，需解決技術相關漏洞問題。傳統上，這些問題由企業的IT安全組織負責，根據重要信息資產的安全指導方案與運營計劃進行工作。當工控系統從屬于聯動架構時，主要關注的問題就變成如何提供同時覆蓋控制系統域的安全規程。現有基于網絡的通信所產生的某些安全問題須在控制系統域解決，因為各廠商使用不同協議，再加上老舊系統固有的安全問題，也許很難保護關鍵業務系統免于遭受時下的網絡攻擊。

開放的系統架構中存在的、可遷移至控制系統域的漏洞包括惡意軟件(病毒、蠕蟲等等)漏洞、通過操控代碼提權、網絡偵測與數據收集、隱蔽流量分析、通過或繞過邊界防護非法入侵網絡等。對于更為先進的系統，漏洞還包括惡意移動代碼，如涉及JavaScript、applet小程序、VBScript及ActiveX的惡意活動內容。成功入侵工控系統網絡后，會出現新的問題，如控制系統協議反向工程、針對操作員控制臺的攻擊、非法訪問受信任的對端網絡與遠程設施等。要將信息安全與信息保障完全引入控制系統域，必須了解傳統IT架構與工控系統技術之間的關鍵差異。

工控系統的五個關鍵的安全措施

以下是五個關鍵的安全措施，可推動工控系統環境中的網絡安全活動。

• 安全指導方案。應針對控制系統及其各部件制定安全指導方案，定期評審，以便納入當前威脅環境、系統功能以及所需的安全級別。
• 阻止對資源和服務的訪問。一般情況下，在網絡中部署提供訪問控制列表的邊界設備如防火墻或代理服務器，提供該技術。而主機方面，該技術可通過部署基于主機的防火墻和殺毒軟件實現。
• 檢測惡意活動。惡意活動檢測可在網絡或主機層面實現，通常需有經驗的管理員對日志文件定期監控。IDS是識別網絡問題的常用手段，也可部署在單個主機上。盡量在主機上開啟審計和事件日志功能。
• 緩解可能出現的攻擊。在很多情況下，無需處理漏洞，因為漏洞修復可能會使系統不可用或效率降低。通過緩解措施，管理員可控制對漏洞的訪問，確保漏洞不被利用。通常，這一情況在制定臨時技術方案，創建過濾器或運行具備特定配置的服務和應用時非常必要。
• 解決核心問題。要解決核心安全問題，需經常更新、升級、安裝軟件漏洞補丁或移除有漏洞的應用。軟件漏洞可能會存在于網絡、操作系統或應用這三層中的任一層。廠商或開發人員應提供緩解措施(如果有的話)供管理員部署。

免責聲明

本文原文來自于互聯網的公共方式，由“安全加”社區出于學習交流的目的進行翻譯，而無任何商業利益的考慮和利用，“安全加”社區已經盡可能地對作者和來源進行了通告，但不保證能夠窮盡，如您主張相關權利，請及時與“安全加”社區聯系。

“安全加”社區不對翻譯版本的準確性、可靠性作任何保證，也不為由翻譯不準確所導致的直接或間接損失承擔責任。在使用翻譯版本中所包含的技術信息時，用戶同意“安全加”社區對可能出現的翻譯不完整、或不準確導致的全部或部分損失不承擔任何責任。用戶亦保證不用做商業用途，也不以任何方式修改本譯文，基于上述問題產生侵權行為的，法律責任由用戶自負。