目前，超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)。工業(yè)控制系統(tǒng)的安全關(guān)系到國(guó)家的戰(zhàn)略安全。

而與此同時(shí)，信息安全廠商也在工業(yè)控制領(lǐng)域進(jìn)行著積極的投入。近日，本網(wǎng)記者就工控系統(tǒng)安全問(wèn)題采訪了天融信安全技術(shù)專家肖松。

肖松認(rèn)為：工業(yè)控制系統(tǒng)與一般IT信息系統(tǒng)安全防護(hù)在防護(hù)目標(biāo)、防護(hù)重點(diǎn)等方面都有所不同，大多數(shù)工業(yè)控制系統(tǒng)安全防護(hù)目標(biāo)和重點(diǎn)更多側(cè)重在保障工業(yè)控制系統(tǒng)的高可用性和高可靠性方面，防范工控系統(tǒng)安全事件的發(fā)生對(duì)工業(yè)基礎(chǔ)設(shè)施以至于人的生命安全的影響。

“同時(shí)，由于工業(yè)控制系統(tǒng)內(nèi)部運(yùn)行較多的工控通訊協(xié)議，且標(biāo)準(zhǔn)不統(tǒng)一，如SCADA、DCS、PLC等工業(yè)控制系統(tǒng)早期都運(yùn)行在相對(duì)獨(dú)立、封閉的網(wǎng)絡(luò)中，運(yùn)行獨(dú)特的工業(yè)控制協(xié)議OPC、Profinet、Ethernet/IP、Modbus、CAN等，這些通訊協(xié)議在設(shè)計(jì)之初，對(duì)安全方面考慮較少，這給工業(yè)控制系統(tǒng)的安全防御帶來(lái)了較大的挑戰(zhàn)。”肖松說(shuō)道。

近年來(lái)，隨著工業(yè)以太網(wǎng)的逐步推廣與應(yīng)用，工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)間接連接，傳統(tǒng)IT信息網(wǎng)中的安全威脅已逐步滲透到生產(chǎn)控制網(wǎng)絡(luò)中。

肖松表示：對(duì)于傳統(tǒng)IT網(wǎng)絡(luò)的攻擊，攻擊者可以通過(guò)多種渠道滲透到目標(biāo)主機(jī);而工業(yè)控制網(wǎng)絡(luò)一般不與互聯(lián)網(wǎng)直接連接，因此攻擊者需要通過(guò)U盤(pán)擺渡、植入后門(mén)或內(nèi)部人滲透等方式對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。

“工控系統(tǒng)安全是一個(gè)比較新的安全課題。由于工控系統(tǒng)運(yùn)行環(huán)境相對(duì)獨(dú)立，工業(yè)控制系統(tǒng)安全并沒(méi)有得到同等的重視，安全防護(hù)技術(shù)手段單一，如僅采用傳統(tǒng)的防病毒軟件，也沒(méi)有專職的安全管理與技術(shù)人員�！毙に烧f(shuō)道。

此外，據(jù)肖松介紹，在安全技術(shù)研究方面，目前主要有愛(ài)達(dá)荷、桑迪亞等多家國(guó)家級(jí)實(shí)驗(yàn)室在對(duì)工業(yè)控制系統(tǒng)安全漏洞進(jìn)行挖掘與分析，建立測(cè)試平臺(tái)，對(duì)工業(yè)控制系統(tǒng)安全漏洞進(jìn)行挖掘與分析。

對(duì)于目前單純從自動(dòng)控制設(shè)備及工控協(xié)議優(yōu)化的角度來(lái)提高工業(yè)控制系統(tǒng)安全性的做法，肖松表示并不現(xiàn)實(shí)，對(duì)此他建議：“目前需要針對(duì)工業(yè)控協(xié)議的脆弱性以及安全防護(hù)關(guān)鍵點(diǎn)進(jìn)行風(fēng)險(xiǎn)分析，并部署相應(yīng)的安全防護(hù)技術(shù)措施和安全產(chǎn)品，輔之以工控網(wǎng)安全管理和運(yùn)維手段的提升，來(lái)進(jìn)一步提高工業(yè)控制系統(tǒng)整體安全水平�！�

據(jù)了解，北京天融信公司近幾年來(lái)一直關(guān)注工業(yè)控制領(lǐng)域安全。2012年，天融信推出了自主知識(shí)產(chǎn)權(quán)的工業(yè)防火墻，該產(chǎn)品部署于工業(yè)以太網(wǎng)環(huán)境中，能夠?qū)ζ髽I(yè)信息層和監(jiān)控管理層之間、監(jiān)控管理層和過(guò)程控制層之間進(jìn)行有效隔離與訪問(wèn)控制，對(duì)工業(yè)控制通訊協(xié)議進(jìn)行深度協(xié)議分析與攻擊防護(hù)，防范來(lái)自企業(yè)信息層對(duì)監(jiān)控管理層和過(guò)程控制層的攻擊與威脅。