隨著工業化與信息化進程的不斷交叉融合，越來越多的信息技術應用到了工業領域。目前，超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業。工業控制系統已經成為國家關鍵基礎設施的重要組成部分，工業控制系統的安全關系到國家的戰略安全。

　　工業控制系統安全特點

　　工業控制系統領域與傳統的信息安全領域有很大的不同。工業控制系統強調的是工業自動化過程及相關設備的智能控制、監測與管理，而且更為關注系統的實時性與業務連續性。也就是說，工業控制系統對系統設備的可用性、實時性、可控性等特性要求很高。

　　由于工業控制系統設備及通信規約的專有性以及系統的相對封閉性，使得一般的互聯網黑客或黑客組織很難獲得相應的工業控制系統攻防研究環境以及相關系統資料支持，從而通常黑客的攻防研究工作多集中在互聯網或普通IT信息系統上，而很少關注工業控制系統，自然相關的系統及通信規約的安全缺陷或漏洞也很少被發現。

　　但是隨著2010年“震網”及后續一系列工控安全事件的發生，表明出于某些國際組織、國家的政治、經濟、軍事等原因，工業控制系統已經面臨這些組織所發起的新型高級可持續的攻擊威脅。

　　工業控制系統面臨的安全問題

　　目前工業控制系統普遍存在一些嚴重的安全問題，主要表現為：

　　1.嚴重漏洞難以及時處理，系統安全風險巨大

　　當前主流的工業控制系統普遍存在安全漏洞，且多為能夠造成遠程攻擊、越權執行的嚴重威脅類漏洞；而且近兩年漏洞的數量呈快速增長的趨勢。工業控制系統通信協議種類繁多、系統軟件難以及時升級、設備使用周期長以及系統補丁兼容性差、發布周期長等現實問題，又造成工業控制系統的補丁管理困難，難以及時處理威脅嚴重的漏洞。

　　2.工業控制系統協議缺乏足夠的安全性考慮，易被攻擊者利用

　　專有的工業控制通信協議或規約在設計時通常只強調通信的實時性及可用性，對安全性普遍考慮不足：比如缺少足夠強度的認證、加密、授權等。尤其是工業控制系統中的無線通信協議，更容易遭受第三者的竊聽及欺騙性攻擊。

　　3.缺乏違規操作、越權訪問行為審計能力

　　操作管理人員的技術水平和安全意識差別較大，容易發生越權訪問、違規操作，給生產系統埋下極大的安全隱患。實事上，國內ICS相對封閉的環境，也使得來自系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性操作成為工業控制系統所面臨的主要安全風險。因此，對生產網絡的訪問行為、特定控制協議內容和數據庫數據的真實性、完整性進行監控、管理與審計是非常必要的。

　　但現實環境中通常缺乏針對ICS的安全日志審計及配置變更管理。這是因為部分ICS系統可能不具備審計功能或者雖有日志審計功能但系統的性能要求決定了它不能開啟審計功能所造成的結果。同時目前的安全審計產品因缺乏對工業控制系統通信協議的解析能力而不能直接用于ICS系統中，需要專門的定制。由于工業控制系統通信協議缺乏統一的標準，使得這種定制工作代價巨大且不能通用也是造成ICS中違規操作行為審計缺乏的原因之一。

　　4.沒有足夠的安全政策、管理制度，人員安全意識缺乏

　　由于工業控制系統不像互聯網或與傳統企業IT網絡那樣備受黑客的關注，在2010年“震網”事件發生之前很少有黑客攻擊工業控制網絡的事件發生；工業控制系統在設計時也多考慮系統的可用性，普遍對安全性問題的考慮不足，更不用提制訂完善的工業控制系統安全政策、管理制度以及對人員的安全意識培養了?！推饺站谩斐扇藛T的安全意識淡薄。

　　而隨著ICS系統在國計民生中的重要性日益重要以及IT通用協議和系統在工控系統的逐漸應用，人員安全意識薄弱將是造成工業控制系統安全風險的一個重要因素，特別是社會工程學相關的定向釣魚攻擊可能使重要崗位人員淪為外部威脅入侵的跳板。

　　5.面對新型的APT攻擊，缺乏有效的應對措施

　　APT（高級可持續性威脅）的攻擊目標更為明確，攻擊時會利用最新的0-day漏洞，強調攻擊技術的精心組合與攻擊者之間的協同；而且是為不達目的不罷休的持久性攻擊。近年來以震網為代表的針對工業控制系統的攻擊事件都呈現了這些攻擊技術特征。

　　但是針對這種APT攻擊，現有的安全防護手段均顯得有些無力。這也許需要整合各種安全技術，通過形成完善的安全防御體系（防御手段的組織化、體系化）才可能有效，然而工業控制系統對安全關注嚴重不足的現實，使其在面臨APT攻擊時將會遭到不可估量的安全損失。

　　工業控制系統的安全建議

　　工業控制系統安全的重要性及其普遍安全防護措施不足的現實，使得加強工業控制系統的安全性來說無疑是一項相對艱巨的任務。因為當面臨攻擊者的持續關注時，任何疏漏都可能導致災難。在參考信息安全業內的最佳實踐的基礎上，結合工業控制系統自身的安全問題，本文提出了一些安全建議，期望能夠有效地降低工業控制系統所面臨的攻擊威脅：

　　加強對工業控制系統的脆弱性的合作研究，提供針對性地解決方案和安全保護措施：

　　1、源頭控制：運營組織和關鍵提供商建立工業控制系統開發的全生命周期安全管理。在系統的需求分析、架構設計、開發實現、內部測試、第三方測試和人員知識傳遞等研發生命周期的典型階段，融入安全設計、安全編碼以及安全測試等相關安全技術，盡可能系統地識別和消除各個階段可能出現的來自于人員知識和技能、開發環境、業務邏輯引入系統缺陷的安全風險

　　2、分析檢測及防護：工業控制系統行業應積極展開與安全研究組織或機構的合作，加強對重要工業控制系統所使用軟硬件的靜態和動態代碼脆弱性分析、系統漏洞分析研究；開發工業控制系統行業專用的漏洞掃描、補丁管理及系統配置核查工具。

　　3、漏洞庫管理：國家主管機構主導建立權威的ICS專業漏洞庫以及完善的漏洞安全補丁發布機制。

　　盡可能采用安全的通信協議及規范，并提供協議異常性檢測能力

　　1、源頭控制：在不影響系統實時性、可用性的前提下，工業控制系統應盡可能采用具有認證、加密、授權機制的安全性較高的通信協議來保證其控制命令和生產數據的安全傳輸。尤其是無線通信協議要重點考慮其安全性；因為不安全的無線通信協議非常容易遭致遠程攻擊。

　　2、檢測防護：基于對ICS通信協議與規約的深度解碼分析，通過網絡協議異常性特征識別與監測ICS各系統和網絡間可能存在的威脅，并提供針對性的防護措施，從而提升企業對于系統運行過程的威脅感知與安全防護能力。

　　3、標準制訂：國家主管機構應促進工業控制系統行業與安全研究機構、廠商的合作，并主導制訂相關的通信協議的安全標準。以提供推薦性行業標準。

　　建立針對ICS的違規操作、越權訪問等行為的有效監管

　　1、異常行為檢測：對ICS系統的各種操作行為進行分析，并基于主體、地點、時間、訪問方式，操作，客體的行為描述六元組模型構建系統操作行為或網絡運行相關的白環境。基于白環境可以很方便地開發針對ICS異常行為的檢測類產品。

　　2、安全審計：基于對ICS通信協議與規約的深度解碼分析，實現對ICS系統的安全日志記錄及審計功能。應考慮對控制過程實現基于網絡流量的安全審計，審計過程應力爭做到對控制指令的識別和可控，如Modbus、DNP3等經典工控協議的解析能力分析，實現工業控制協議會話的過程記錄和審計；并提供安全事件之后的事后追查能力。

　　建立完善的ICS安全保障體系，加強安全運維與管理

　　ICS安全保障體系建設。在保證工業控制系統的正常運行的前提下，充分調動技術、管理等安全手段，對帳號與口令安全、惡意代碼管理、安全更新（補丁管理）、業務連續性管理等關鍵控制領域實施制度化/流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設。

　　加強針對ICS的新型攻擊技術的防范研究

　　目前ICS領域影響最大的就是“震網病毒”為代表的高級可持續性威脅（APT）類攻擊。這類APT攻擊并不是一個獨立的、具體的攻擊技術，而是一種攻擊行為模式的體現。這樣的攻擊不是能夠依靠單一的技術實現防范和檢測的，針對性的防護需要多個層面安全防護措施的綜合開展：

　　1、做好ICS系統的基礎性安全防護工作。從防范主體的角度來看，應當做到“安全防御無死角”。面對長期的偵測和試探，任何安全短板都可能成為攻擊者的快速通道。也許只有做好各方面的防范，通過多種安全產品（機制）協同工作的體系化防御措施才能夠抵御APT這些高級的持久性攻擊。

　　2、加強“深入分析”技術的探索。APT攻擊并不意味著沒有痕跡，只是隱蔽性較強而難以發現。通過收集APT攻擊事件相關的技術情報（攻擊的特征、原理、危害、樣本及分析報告等），并利用多維度的海量數據挖掘和關聯分析技術，實現跨時域、跨設備和跨區域的蹤跡分析，來大幅增加發現攻擊行為的概率。

　　3、加強國際合作，協同研究與防范。由于APT攻擊具有低成本、高破壞和隱蔽性的特點，它對CII或工業控制系統攻擊所造成的破壞和社會影響，很有可能不遜于核武器的攻擊后果。如果不對其加以限制，只會使破壞程度不斷升級。所以，成立國際聯合組織、建立國際性的抑制體系可以減少國家間的過激行為，同時也可監控和打擊網絡犯罪及恐怖主義行為。

　　結語

　　上述描述的安全建議從多維度考慮對工業控制系統可能面對的風險進行防護，并盡可能降低相關系統的安全風險級別。但需要意識到由于外部威脅環境和系統技術演變將可能引入新的風險點。

　　系統、人員、商業目標以及內、外部威脅等安全相關因素的任何一個發生改變時，都應建議企業對當前安全防護體系的正確性和有效性重新進行評估，以確定其能否有效應對新的風險。

　　因此ICS的安全保障措施也將是一個持續的改善過程，通過這一過程可使工業控制系統獲得最大程度的保護。