天天干天天做天天操-天天干天天做天天射-天天干网-天天干网站-天天干网址

　　隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。2010年發生的“震網”病毒事件，充分反映出工業控制系統信息安全面臨著嚴峻的形勢。對此，各地區、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業控制系統信息安全管理。”

　　本文分析了當前工業控制系統的安全漏洞，并結合工業控制系統的網絡架構和多芬諾工業防火墻的“測試”模式功能，詳細介紹了工業控制系統信息安全的縱深防御策略，致力于建立一個“本質安全”的工業控制網，從而解決了困擾各公司的控制系統信息安全隱患，保證了企業各裝置控制系統的安全平穩運行。

　　一、工業控制系統信息安全現狀分析

　　近十年來，隨著信息技術的迅猛發展，信息化在我們企業中的應用取得了飛速發展，互聯網技術的出現，使得工業控制網絡中大量采用通用TCP/IP技術，ICS網絡和企業管理網的聯系越來越緊密。另一方面，傳統工業控制系統采用專用的硬件、軟件和通信協議，設計上基本沒有考慮互聯互通所必須考慮的通信安全問題。企業管理網與工業控制網的防護功能都很弱或者甚至幾乎沒有隔離功能，因此在工控系統開放的同時，也減弱了控制系統與外界的隔離，工控系統的安全隱患問題日益嚴峻。系統中任何一點受到攻擊都有可能導致整個系統的癱瘓。

　　1.1工業控制系統的安全漏洞

　　1、通信協議漏洞

　　兩化融合和物聯網的發展使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中，隨之而來的通信協議漏洞問題也日益突出。

　　例如，OPC Classic協議(OPCDA,OPCHAD和OPC A&E) 基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號，導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此確保使用OPC通訊協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。

　　2、操作系統漏洞

　　目前大多數工業控制系統的工程師站/操作站/HMI都是Windows平臺的，為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，通常現場工程師在系統開車后不會對Windows平臺安裝任何補丁，但是存在的問題是，不安裝補丁系統就存在被攻擊的可能，從而埋下安全隱患。

　　3、安全策略和管理流程漏洞

　　追求可用性而犧牲安全，是很多工業控制系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給工業控制系統信息安全帶來了一定的威脅。例如工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

　　4、殺毒軟件漏洞

　　為了保證工控應用軟件的可用性，許多工控系統操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要不定期的經常更新，這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

　　5、應用軟件漏洞

　　由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題;另外當應用軟件面向網絡應用時，就必須開放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。