目前，超過80%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)。工業(yè)控制系統(tǒng)的安全關(guān)系到國家的戰(zhàn)略安全。

而與此同時，信息安全廠商也在工業(yè)控制領(lǐng)域進行著積極的投入。近日，本網(wǎng)記者就工控系統(tǒng)安全問題采訪了天融信安全技術(shù)專家肖松。

肖松認為：工業(yè)控制系統(tǒng)與一般IT信息系統(tǒng)安全防護在防護目標(biāo)、防護重點等方面都有所不同，大多數(shù)工業(yè)控制系統(tǒng)安全防護目標(biāo)和重點更多側(cè)重在保障工業(yè)控制系統(tǒng)的高可用性和高可靠性方面，防范工控系統(tǒng)安全事件的發(fā)生對工業(yè)基礎(chǔ)設(shè)施以至于人的生命安全的影響。

“同時，由于工業(yè)控制系統(tǒng)內(nèi)部運行較多的工控通訊協(xié)議，且標(biāo)準不統(tǒng)一，如SCADA、DCS、PLC等工業(yè)控制系統(tǒng)早期都運行在相對獨立、封閉的網(wǎng)絡(luò)中，運行獨特的工業(yè)控制協(xié)議OPC、Profinet、Ethernet/IP、Modbus、CAN等，這些通訊協(xié)議在設(shè)計之初，對安全方面考慮較少，這給工業(yè)控制系統(tǒng)的安全防御帶來了較大的挑戰(zhàn)。”肖松說道。

近年來，隨著工業(yè)以太網(wǎng)的逐步推廣與應(yīng)用，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)間接連接，傳統(tǒng)IT信息網(wǎng)中的安全威脅已逐步滲透到生產(chǎn)控制網(wǎng)絡(luò)中。

肖松表示：對于傳統(tǒng)IT網(wǎng)絡(luò)的攻擊，攻擊者可以通過多種渠道滲透到目標(biāo)主機;而工業(yè)控制網(wǎng)絡(luò)一般不與互聯(lián)網(wǎng)直接連接，因此攻擊者需要通過U盤擺渡、植入后門或內(nèi)部人滲透等方式對目標(biāo)系統(tǒng)發(fā)起攻擊。

“工控系統(tǒng)安全是一個比較新的安全課題。由于工控系統(tǒng)運行環(huán)境相對獨立，工業(yè)控制系統(tǒng)安全并沒有得到同等的重視，安全防護技術(shù)手段單一，如僅采用傳統(tǒng)的防病毒軟件，也沒有專職的安全管理與技術(shù)人員。”肖松說道。

此外，據(jù)肖松介紹，在安全技術(shù)研究方面，目前主要有愛達荷、桑迪亞等多家國家級實驗室在對工業(yè)控制系統(tǒng)安全漏洞進行挖掘與分析，建立測試平臺，對工業(yè)控制系統(tǒng)安全漏洞進行挖掘與分析。

對于目前單純從自動控制設(shè)備及工控協(xié)議優(yōu)化的角度來提高工業(yè)控制系統(tǒng)安全性的做法，肖松表示并不現(xiàn)實，對此他建議：“目前需要針對工業(yè)控協(xié)議的脆弱性以及安全防護關(guān)鍵點進行風(fēng)險分析，并部署相應(yīng)的安全防護技術(shù)措施和安全產(chǎn)品，輔之以工控網(wǎng)安全管理和運維手段的提升，來進一步提高工業(yè)控制系統(tǒng)整體安全水平。”

據(jù)了解，北京天融信公司近幾年來一直關(guān)注工業(yè)控制領(lǐng)域安全。2012年，天融信推出了自主知識產(chǎn)權(quán)的工業(yè)防火墻，該產(chǎn)品部署于工業(yè)以太網(wǎng)環(huán)境中，能夠?qū)ζ髽I(yè)信息層和監(jiān)控管理層之間、監(jiān)控管理層和過程控制層之間進行有效隔離與訪問控制，對工業(yè)控制通訊協(xié)議進行深度協(xié)議分析與攻擊防護，防范來自企業(yè)信息層對監(jiān)控管理層和過程控制層的攻擊與威脅。