1. 引言

當(dāng)前計(jì)算機(jī)及運(yùn)行于計(jì)算機(jī)上的信息系統(tǒng)的應(yīng)用已經(jīng)十分普及, 從家用到企業(yè)信息管理，都離不開(kāi)計(jì)算機(jī)信息系統(tǒng)。隨著網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的大規(guī)范應(yīng)用使得信息傳遞與信息共享得到質(zhì)的飛躍。各種網(wǎng)絡(luò)應(yīng)用應(yīng)運(yùn)而生，如：電子商務(wù)系統(tǒng)、ERP系統(tǒng)、MES系統(tǒng)等。在我們應(yīng)用信息技術(shù)帶來(lái)的方便之時(shí)，同時(shí)必須面對(duì)信息系統(tǒng)存在的不安全因素。

2. 信息安全的必要性

按以往的經(jīng)驗(yàn)，易受攻擊的信息系統(tǒng)多為金融等商業(yè)信息系統(tǒng)，黑客的目標(biāo)多集中于竊取商業(yè)系統(tǒng)中的用戶或企業(yè)信息以達(dá)到牟利的目的，有少量以損人不利己的純破壞為目的。但是近年來(lái)，針對(duì)信息系統(tǒng)的攻擊范圍及性質(zhì)發(fā)生了變化，以往不被黑客重視的自動(dòng)化系統(tǒng)等工業(yè)計(jì)算機(jī)系統(tǒng)成為了攻擊的新目標(biāo)，以往的攻擊者多為個(gè)體的黑客或黑客組織，現(xiàn)在針對(duì)工業(yè)控制系統(tǒng)的攻擊背后，某些機(jī)構(gòu)甚至國(guó)家的影子越來(lái)越明顯。

一個(gè)著名的攻擊實(shí)例就是近年發(fā)生的伊朗核電設(shè)施被震網(wǎng)病毒襲擊事件。2011年2月，伊朗突然宣布暫時(shí)推遲首座核電站——布什爾核電站的使用，原因就是核設(shè)施遭到“震網(wǎng)”病毒攻擊，1/5的離心機(jī)報(bào)廢。自2010年8月該核設(shè)施啟用后就發(fā)生連串故障，伊朗政府表面聲稱是天熱所致，但真正原因卻是核設(shè)施遭病毒攻擊。一種名為“震網(wǎng)”（Stuxnet）的蠕蟲(chóng)病毒，侵入了伊朗工廠，進(jìn)入西門子為核電站設(shè)計(jì)的工業(yè)控制軟件，并可奪取對(duì)一系列核心生產(chǎn)設(shè)備的關(guān)鍵控制權(quán)。

微軟調(diào)查結(jié)果顯示，“震網(wǎng)”正在伊朗等中亞國(guó)家肆虐，發(fā)作頻次越來(lái)越高，并有逐步向亞洲東部擴(kuò)散的跡象。“震網(wǎng)”包含空前復(fù)雜的惡意代碼，是一種典型的計(jì)算機(jī)病毒，能自我復(fù)制，并將副本通過(guò)網(wǎng)絡(luò)傳輸，任何一臺(tái)個(gè)人電腦只要和染毒電腦相連，自動(dòng)傳播給其他與之相連的電腦，最后造成大量網(wǎng)絡(luò)流量的連鎖效應(yīng)，導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓。“震網(wǎng)”主要通過(guò)U盤(pán)和局域網(wǎng)進(jìn)行傳播，是第一個(gè)利用Windows“零日漏洞”，專門針對(duì)工業(yè)控制系統(tǒng)發(fā)動(dòng)攻擊的惡意軟件，能夠攻擊石油運(yùn)輸管道、發(fā)電廠、大型通信設(shè)施、機(jī)場(chǎng)等多種工業(yè)和民用基礎(chǔ)設(shè)施，被稱為“網(wǎng)絡(luò)導(dǎo)彈”。

“震網(wǎng)”相當(dāng)復(fù)雜，更像是出自浩大的“政府工程”而非黑客個(gè)人行為，病毒編寫(xiě)者需要對(duì)工業(yè)生產(chǎn)過(guò)程和工業(yè)基礎(chǔ)設(shè)施十分了解。編寫(xiě)代碼需要很多人工作幾個(gè)月甚至幾年，背后需要一個(gè)非常成熟的專業(yè)團(tuán)隊(duì)運(yùn)作，擁有巨大的資源及財(cái)政支持?？ò退够鶎?shí)驗(yàn)室發(fā)布聲明，認(rèn)為“震網(wǎng)”是十分有效并且可怕的網(wǎng)絡(luò)武器原型，將導(dǎo)致世界上新的軍備競(jìng)賽。它還認(rèn)為“除非有國(guó)家和政府的支持和協(xié)助，否則很難發(fā)動(dòng)如此規(guī)模的攻擊。以色列和美國(guó)牽扯其中”。

自動(dòng)化軟件被譽(yù)為自動(dòng)化系統(tǒng)的“靈魂”，“震網(wǎng)”(Stuxnet)病毒對(duì)伊朗核設(shè)施的破壞，其切入口就是系統(tǒng)的監(jiān)控和數(shù)據(jù)采集系統(tǒng)。伊朗布舍爾核電站的上位監(jiān)控軟件由西門子公司提供，是西門子的重要產(chǎn)品SIMATIC WINCC。

“震網(wǎng)”(Stuxnet)病毒的出現(xiàn)和傳播，威脅的不僅僅是自動(dòng)化系統(tǒng)的安全，而且使自動(dòng)化系統(tǒng)的安全性上升到國(guó)家安全的高度。目前我國(guó)的大型項(xiàng)目和工程，水利、核電、交通、石化、鋼鐵等，絕大部分采用國(guó)外品牌的自動(dòng)化軟件，其中包括西門子的SIMATIC WINCC。業(yè)內(nèi)人士擔(dān)憂，一旦“震網(wǎng)”(Stuxnet)病毒傳播，后果將不堪設(shè)想。

伊朗布舍爾核電站的遭遇為我們敲響警鐘，為防止和減輕類似“震網(wǎng)”(Stuxnet)病毒對(duì)自動(dòng)化系統(tǒng)的破壞，提高系統(tǒng)安全性，尤其提高關(guān)系到國(guó)家戰(zhàn)略和安全的大型項(xiàng)目安全，對(duì)國(guó)外品牌的選擇需要更加謹(jǐn)慎，并對(duì)中國(guó)自主研發(fā)的產(chǎn)品有足夠的重視。在同類項(xiàng)目中，可以分別采用不同品牌、不同技術(shù)，以分散風(fēng)險(xiǎn)。再者，國(guó)內(nèi)的工控軟件研發(fā)廠商需要更加重視軟件的安全性，尤其提高軟件在大型系統(tǒng)、復(fù)雜系統(tǒng)和特殊系統(tǒng)中的安全性與可靠性。

中國(guó)自有品牌自動(dòng)化軟件經(jīng)過(guò)若干年的發(fā)展，在某些方面已經(jīng)達(dá)到甚至超越了國(guó)外品牌，尤其在對(duì)新出現(xiàn)的IT技術(shù)、通信技術(shù)等的采用與應(yīng)用方面，有著很強(qiáng)的后發(fā)優(yōu)勢(shì)，用戶應(yīng)當(dāng)提高對(duì)國(guó)產(chǎn)品牌的信心。作為軟件供應(yīng)商則應(yīng)該進(jìn)一步加強(qiáng)技術(shù)創(chuàng)新，深入了解用戶信息安全需求，開(kāi)發(fā)出更適合本土項(xiàng)目需要、更貼近中國(guó)人學(xué)習(xí)和操作習(xí)慣、并且具有更高安全性的國(guó)產(chǎn)自動(dòng)化軟件。

3. 危及信息安全的因素

企業(yè)使用計(jì)算機(jī)進(jìn)行管理及控制，在網(wǎng)絡(luò)環(huán)境下的信息管理、信息駐留與信息傳遞過(guò)程中危及“信息安全”的因素可以分為兩類：

外部因素

外部因素指和企業(yè)無(wú)關(guān)的外部人員，通過(guò)網(wǎng)絡(luò)，使用非法工具、采用非法手段，非法侵入企業(yè)信息系統(tǒng)，獲取關(guān)鍵信息、破壞內(nèi)部數(shù)據(jù)。

內(nèi)部因素

內(nèi)部因素指企業(yè)內(nèi)部工作人員，借工作之便，非法復(fù)制企業(yè)的關(guān)鍵信息，或者盜用他人賬號(hào)登陸系統(tǒng)，非法修改關(guān)鍵數(shù)據(jù)，從而達(dá)到個(gè)人的非法目的。

4. 保證信息安全的方法

危及信息安全的形式有多種多樣，我們現(xiàn)在考慮的越多、越全面，在將來(lái)我們受到攻擊、受到危害的可能性就越小，我們的信息安全性就越高。保證重要數(shù)據(jù)處于一個(gè)相對(duì)安全的位置，讓那些居心叵測(cè)的人無(wú)法輕易的接觸到，即使得到數(shù)據(jù)也是經(jīng)過(guò)嚴(yán)格加密的數(shù)據(jù)而無(wú)法輕易的還原。達(dá)到以上目的可以有多種方法和手段。

增強(qiáng)安全意識(shí)

如果沒(méi)有安全意識(shí)，再好的工具得不到應(yīng)用、再完善的制度得不到認(rèn)真執(zhí)行。我們所做的一切都沒(méi)有任何價(jià)值、沒(méi)有任何實(shí)際意義。增強(qiáng)安全意識(shí)首先要從規(guī)章制度做起，給使用者制訂出非常明確的工作規(guī)范、工作流程、及工作內(nèi)容。制度的制定不是要相互提防，增加彼此的不信任。恰恰相反是把員工做為可信賴的人、可以維護(hù)企業(yè)利益的人。

規(guī)章制度只是一種手段，不應(yīng)該把安全目標(biāo)的實(shí)現(xiàn)完全建立在要求每一個(gè)人都能夠自覺(jué)遵守制度、不做越雷池半步的操作，而應(yīng)該輔以技術(shù)措施與數(shù)據(jù)加密處理。只有采用多種手段、綜合管理，才能確保信息相對(duì)安全。

防火墻

網(wǎng)絡(luò)環(huán)境管理信息系統(tǒng)的一個(gè)共同的特點(diǎn)是數(shù)據(jù)集中管理、操作可以分步進(jìn)行。如果不做任何限制，任何一個(gè)用戶可以從任何一臺(tái)工作站登陸網(wǎng)絡(luò)、訪問(wèn)網(wǎng)絡(luò)中的信息。構(gòu)建在局域網(wǎng)基礎(chǔ)上的企業(yè)管理信息系統(tǒng)同時(shí)接入Internet，那么，我們的網(wǎng)絡(luò)將暴露在所有Internet接入者面前。消除這個(gè)隱患常用的方法是在局域網(wǎng)與Internet之間架一道“防火墻”，它在防止非法Internet用戶侵入企業(yè)內(nèi)部局域網(wǎng)具有相當(dāng)?shù)淖饔谩?/p>

權(quán)限限制

針對(duì)一些大型企業(yè)、集團(tuán)公司的辦公機(jī)構(gòu)，可以按照組織結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)規(guī)劃，將物理連接在一起的計(jì)算機(jī)劃分成多個(gè)“域”（部門），每一個(gè)“域”（部門）覆蓋范圍明確、相對(duì)獨(dú)立，“域”（部門）之間互不干擾，被授權(quán)的用戶可以跨“域”（部門）操作。

對(duì)于中小型公司可以規(guī)定具有特殊權(quán)限的用戶只能從某一臺(tái)工作站登陸網(wǎng)絡(luò)。例如：某個(gè)特定的賬號(hào)只能從某個(gè)特定的工作站登陸。這樣即便其他用戶掌握了該賬號(hào)和口令也無(wú)法從其他位置的工作站登陸。

數(shù)據(jù)加密處理

數(shù)據(jù)加密處理是保障信息安全的另一道屏障。一旦非法用戶對(duì)系統(tǒng)實(shí)施攻擊成功、進(jìn)入系統(tǒng)，將有可能獲取任何信息。所以，對(duì)系統(tǒng)中的數(shù)據(jù)進(jìn)行加密、尤其是對(duì)關(guān)鍵數(shù)據(jù)加密，更顯得尤為重要。因?yàn)椴捎酶邚?qiáng)度加密技術(shù)處理后，即使非法用戶得到這些數(shù)據(jù)也無(wú)法輕易進(jìn)行還原。

總之，有條件的企業(yè)、數(shù)據(jù)安全性要求高的企業(yè)，除了制訂并認(rèn)真執(zhí)行有關(guān)的規(guī)章制度、安裝安全性高的硬件設(shè)備、最重要的應(yīng)該自主開(kāi)發(fā)數(shù)據(jù)加密模塊、并且嚴(yán)格監(jiān)控加密模塊從設(shè)計(jì)、開(kāi)發(fā)到測(cè)試的全過(guò)程。保證企業(yè)內(nèi)部信息處于一個(gè)相對(duì)安全的環(huán)境，開(kāi)展工控系統(tǒng)信息保護(hù)與加密、身份認(rèn)證等相關(guān)技術(shù)的研究與開(kāi)發(fā)。

 工控產(chǎn)品信息安全現(xiàn)狀

目前在役和在售的工控系統(tǒng)在安全方面大多采取了一些基本的防護(hù)措施。主要手段包括

◎在可能的情況下，都安裝了殺毒軟件；

◎數(shù)據(jù)格式私有；

◎簡(jiǎn)單的身份認(rèn)證；

◎某些系統(tǒng)可在交換機(jī)端口做防火墻過(guò)濾。

工業(yè)控制系統(tǒng)設(shè)計(jì)以保證工業(yè)控制的實(shí)時(shí)性和可靠性為主要目的，追求效率和速度，主要問(wèn)題包括： 

◎控制系統(tǒng)網(wǎng)絡(luò)和現(xiàn)場(chǎng)總線廣泛應(yīng)用，但缺少網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)，大量使用明碼傳輸，極易破譯和偽造； 

◎缺少嚴(yán)格的授權(quán)管理和身份認(rèn)證措施； 

◎多余的網(wǎng)絡(luò)端口未封閉，不同的子系統(tǒng)之間都沒(méi)有有效的隔離，與其他網(wǎng)絡(luò)互連時(shí)缺乏安全邊界控制； 

◎由于測(cè)試工作量大，COTS軟件難以及時(shí)升級(jí)； 

◎缺少入侵監(jiān)測(cè)機(jī)制。 

6 工控系統(tǒng)信息安全核心能力目標(biāo)

考慮到系統(tǒng)的復(fù)雜性、成本及時(shí)間等因素，從下述幾個(gè)方面考慮加強(qiáng)工控系統(tǒng)信息安全防護(hù)：

◎按照控制范圍設(shè)置合理的安全分區(qū)；

◎關(guān)鍵設(shè)備避免直接采用COTS軟件， 

◎現(xiàn)場(chǎng)控制站采用安全嵌入式操作系統(tǒng)； 

◎?qū)崟r(shí)控制網(wǎng)絡(luò)采用特殊的網(wǎng)絡(luò)協(xié)議，例如采用基于數(shù)據(jù)令牌的時(shí)分復(fù)用傳輸協(xié)議替代TCP/IP； 

◎?qū)τ陉P(guān)鍵數(shù)據(jù)和代碼冗余存儲(chǔ)，并進(jìn)行周期檢查，及時(shí)發(fā)現(xiàn)并恢復(fù)受到非法篡改的數(shù)據(jù)和代碼； 

◎用戶身份認(rèn)證，限制非授權(quán)用戶訪問(wèn)關(guān)鍵信息和代碼；

◎隔斷阻止外界對(duì)內(nèi)部工業(yè)控制網(wǎng)絡(luò)資源的非法訪問(wèn)，同時(shí)禁止內(nèi)部對(duì)外部的不安全訪問(wèn)；

◎系統(tǒng)具備獨(dú)立的入侵檢測(cè)設(shè)備，監(jiān)視關(guān)鍵設(shè)備的行為，從傳統(tǒng)的被動(dòng)防御轉(zhuǎn)向主動(dòng)的安全保障；

◎監(jiān)視并控制網(wǎng)絡(luò)流量，有效防止DoS攻擊和系統(tǒng)本身故障導(dǎo)致的數(shù)據(jù)風(fēng)暴； 

◎采用基于私有密鑰的加密網(wǎng)絡(luò)報(bào)文，避免非授權(quán)用戶將偽造的數(shù)據(jù)修改正常傳輸?shù)臄?shù)據(jù)或插入偽造的數(shù)據(jù)，同時(shí)也避免了關(guān)鍵信息的泄漏；

對(duì)于不同的產(chǎn)品,可按在役系統(tǒng)及新建系統(tǒng)進(jìn)行劃分

◎在役系統(tǒng) 

◎系統(tǒng)整體升級(jí) 

◎增加信息安全設(shè)備，如防火墻、網(wǎng)絡(luò)過(guò)濾單元、防病毒軟件等。 

◎新建系統(tǒng) 

◎SCADA：權(quán)限認(rèn)證、傳輸加密、完整性檢查、安全分區(qū)、主動(dòng)行為檢查、漏洞掃描等； 

◎DCS/PLC：廣播風(fēng)暴抑制、通訊流量控制、過(guò)濾特殊報(bào)文、封閉空閑端口、關(guān)鍵代碼和數(shù)據(jù)加密冗余存儲(chǔ)。

7 結(jié)束語(yǔ)

工業(yè)控制系統(tǒng)信息安全問(wèn)題需要最終用戶、系統(tǒng)集成商（或設(shè)計(jì)單位）和設(shè)備供應(yīng)商共同解決，單靠任何一方都難以全面解決問(wèn)題。最終用戶需要提出信息安全的需求和安全邊界，并采用行政規(guī)定或安防措施設(shè)施限制未經(jīng)許可的直接系統(tǒng)訪問(wèn)；系統(tǒng)集成商（設(shè)計(jì)單位）從系統(tǒng)整體技術(shù)的角度開(kāi)展信息安全分析，提供信息安全整體解決方案、合理分配安全功能；設(shè)備供應(yīng)商需要采用具體的技術(shù)手段實(shí)現(xiàn)設(shè)備所需的安全功能。新建或改造的工控系統(tǒng)應(yīng)該具備信息安全特性，全面滿足信息安全需求, 切斷EPR/MES與工控系統(tǒng)的連接并不能根本解決工控系統(tǒng)信息安全問(wèn)題；對(duì)于在役系統(tǒng)，應(yīng)該分期分步開(kāi)展工控信息安全升級(jí)，先從切斷不必要的外部端口開(kāi)始，對(duì)系統(tǒng)進(jìn)行信息安全缺陷分析，切斷危險(xiǎn)擴(kuò)散的路徑入手，逐步提升工控系統(tǒng)的信息安全水平。