工控网络的脆弱性

TCP/IP等通用协议与开发标准引入工业控制系统，特别是物联网、云计算、移动互联网等新兴技术，使得理论上绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。传统的威胁同样会在工业网络中重现。

边界安全策略缺失;

系统安全防御机制缺失;

管理制度缺失或不完善;

网络配置规范缺失;

监控与应急响应机制缺失;

网络通信(无线接入+拨号网络)保障机制缺失;

基础设施可用性保障机制缺失。

安全管理、标准和人才的脆弱性

缺乏完整有效安全管理、标准和资金投入是当前我国工业控制系统的难题之一。其次，过多的强调网络边界的防护、内部环境的封闭，让内部安全管理变得混 乱。另外，既了解工控系统原理和业务操作又懂信息安全的人才少之又少，为混乱的工控安全管理埋下了伏笔。最后，内网审计、监控、准入、认证、终端管理等缺 失也是造成工控系统安全威胁的重要原因。如：使用U盘、光盘导致的病毒传播、笔记本电脑的随意接入与拨号、ICS缺少监控和审计等问题。

为了加强工控网防护，工信部紧急下发了工信部协【2011】451号文《关于加强工业控制系统信息安全管理的通知》，指出我国目前工控系统现状：对 工业控制系统信息安全问题重视不够;管理制度不健全;相关标准规范缺失;技术防护措施不到位;安全防护能力和应急处置能力不高等。工信部要求工业、能源、 交通、水利以及市政等加强工业控制系统安全管理。

工控网安全基本安全防护原则

ICS网络中有代表性的EPA(Ethernet for Plant Automation)网络由企业信息管理层、过程监控层和现场设备层三个层次组成，采用分层化的网络安全管理措施。

EPA现场设备采用特定的网络安全管理功能，对其接收到的任何报文进行访问权限、访问密码等的检测，使只有合法的报文才能得到处理，其他非法报文将直接予以丢弃，避免了非法报文的干扰。

在过程监控层，采用EPA网络对不同微网段进行逻辑隔离，以防止非法报文流量干扰EPA网络的正常通信，占用网络带宽资源。

对于来自于互联网上的远程访问，则采用EPA代理服务器以及各种可用的信息网络安全管理措施，以防止远程非法访问。

美国《工业控制系统安全指南》也提出了ICS系统如下纵深防护体系架构(如下图)，可供我们参考。

电力二次系统防护方案是工业控制系统安全防护的典型案例

电力二次系统方案遵循“安全分区、网络专用、横向隔离、纵向认证”的原则，涵盖电力监控系统、电力调度管理信息系统、电力通信及调度数据网络等，该 方案为电力信息安全搭建了最为基础的安全框架，但由于电力二次系统基本原则出台较早，基本搭建在网络安全防护的基础上，对系统、业务应用、数据安全以及安 全管理方面考虑较少，目前面临着新的安全威胁，需要更全面的解决方案应对。

总而言之，工控系统安全要做到“进不来、拿不走、看不到、改不了、走不脱”。只有管理体系、技术体系、运维体系三管齐下，有机融合，方能保一方平安。