从震网病毒看工业控制系统安全

　　安全管理、标准和人才的脆弱性

　　缺乏完整有效安全管理、标准和资金投入是当前我国工业控制系统的难题之一。其次，过多的强调网络边界的防护、内部环境的封闭，让内部安全管理变得混乱。另外，既了解工控系统原理和业务操作又懂信息安全的人才少之又少，为混乱的工控安全管理埋下了伏笔。最后，内网审计、监控、准入、认证、终端管理等缺失也是造成工控系统安全威胁的重要原因。如：使用U盘、光盘导致的病毒传播、笔记本电脑的随意接入与拨号、ICS缺少监控和审计等问题。

　　为了加强工控网防护，工信部紧急下发了工信部协【2011】451号文《关于加强工业控制系统信息安全管理的通知》，指出我国目前工控系统现状：对工业控制系统信息安全问题重视不够;管理制度不健全;相关标准规范缺失;技术防护措施不到位;安全防护能力和应急处置能力不高等。工信部要求工业、能源、交通、水利以及市政等加强工业控制系统安全管理。

　　工控网安全基本安全防护原则

　　ICS网络中有代表性的EPA(Ethernet for Plant Automation)网络由企业信息管理层、过程监控层和现场设备层三个层次组成，采用分层化的网络安全管理措施。

　　EPA现场设备采用特定的网络安全管理功能，对其接收到的任何报文进行访问权限、访问密码等的检测，使只有合法的报文才能得到处理，其他非法报文将直接予以丢弃，避免了非法报文的干扰。

　　在过程监控层，采用EPA网络对不同微网段进行逻辑隔离，以防止非法报文流量干扰EPA网络的正常通信，占用网络带宽资源。

　　对于来自于互联网上的远程访问，则采用EPA代理服务器以及各种可用的信息网络安全管理措施，以防止远程非法访问。

　　美国《工业控制系统安全指南》也提出了ICS系统如下纵深防护体系架构(如下图)，可供我们参考。

　　电力二次系统防护方案是工业控制系统安全防护的典型案例

　　电力二次系统方案遵循“安全分区、网络专用、横向隔离、纵向认证”的原则，涵盖电力监控系统、电力调度管理信息系统、电力通信及调度数据网络等，该方案为电力信息安全搭建了最为基础的安全框架，但由于电力二次系统基本原则出台较早，基本搭建在网络安全防护的基础上，对系统、业务应用、数据安全以及安全管理方面考虑较少，目前面临着新的安全威胁，需要更全面的解决方案应对。

　　总而言之，工控系统安全要做到“进不来、拿不走、看不到、改不了、走不脱”。只有管理体系、技术体系、运维体系三管齐下，有机融合，方能保一方平安。