今天，小編要和大家聊聊工業控制系統安全隱患。相關數據顯示，目前世界上已有超過80%的涉及國計民生的關鍵基礎設施需要依靠工業控制系統來實現自動化作業。這就意味著安全課題日益凸顯。

近日，網絡安全公司卡巴斯基實驗室公布的最新報告《2017上半年工業自動化系統威脅報告》稱，制造業已經成為第二個最容易受到網絡攻擊的行業，工業控制系統和制造業的計算機的入侵數量占所有攻擊的三分之一。

全球受影響的工業控制系統于2016下半年呈現逐步增長趨勢，直至2017上半年動態變化更加明顯。雖然2017年1月份的攻擊占比有較大幅度下降，但在2、3月又呈上升趨勢，直至4月份，情況才有所好轉。就用戶比例和技術而言，工業網絡越來越類似于企業網絡，因此，工業控制系統遭受的威脅情景也越來越類似于企業網絡所面臨的威脅情景。

報告顯示，2017上半年，從工業自動化系統中一共檢測到大約1.8萬種不同類型的惡意軟件程序，它們分屬于2500多個不同的惡意軟件家族。其中，大多數網絡攻擊發生在生產材料、設備和貨物的制造公司。受影響較大的部門包括工程、教育和食品飲料。其中，能源公司的ICS計算機幾乎占所有攻擊的5%。

工業控制系統正面臨哪些風險？

工業控制系統是我國重要基礎設施自動化生產的基礎組件，安全的重要性可見一斑。根據工信部《關于加強工業控制系統信息安全管理的通知》要求，我國工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱，以及其他與國計民生緊密相關的領域。這些領域中的工業控制系統一旦遭到破壞，不僅會影響產業經濟的持續發展，進而影響正常的生產秩序，甚至會危及人員健康和公共財產安全。

隨著工業控制系統分散程度的不斷提高，系統對網絡的需求增大，無線網絡大范圍普及，這一現象更多的集中體現在現場總線的廣泛應用。傳統工業系統控制為并行模式，其優越性不止表現在快速性，系統的功能安全方面也具有先天的優越性。在整個控制系統中，任何局部故障或失效僅影響局部，將其快速隔離并處理較為簡易。而在數字化的工業控制系統中，由于功能通過軟件實現，操作模式以串行為主，除控制的快速性相對較差，系統中任何局部的故障或失效都有可能影響后續功能的實現。換句話說，在一個串行執行的系統中，各環節間關聯性高，局部問題更容易擴散。此外，由于網絡技術消除了控制孤島，各類信息能夠更加方便地傳輸和共享，因此也帶來了信息安全的隱患。可以說，功能安全方面的負面影響更多的是來自軟件技術，而信息安全方面的負面影響則更多地來自網絡技術。

互聯網技術的出現，導致工業控制網絡中大量采用通用TCP/IP技術，工業控制系統與各種業務系統的協作成為可能，自動化生產線智能化的同時，機器設備之間的互聯互通成為工廠大幅提升生產效率的主力軍。

目前，攻擊者常利用工控設備漏洞、TCP/IP協議缺陷及工業應用漏洞，針對性地構建更加隱蔽的攻擊通道。以在2010年爆發的“震網”事件為例，病毒導致部分用于鈾濃縮的離心機無法運行，徹底擊垮伊朗核工業。攻擊者使用了Stuxnet蠕蟲病毒，該病毒利用了伊朗布什爾核電站工控網絡中工業PC與控制系統存在的安全漏洞（LIK文件處理漏洞、打印機漏洞、RPC漏洞、WinCC漏洞、S7項目文件漏洞以及Autorun．inf漏洞），建立了七條隱蔽的攻擊通道，讓企業防不勝防。

收下這份攻略，防止意外發生

直到現在，我國大多數企業對工業系統控制的安全問題不夠重視，對于企業管理人員和企業家而言，他們覺得不會有人平白無故地攻擊自己的工業控制系統，自以為系統架上防火墻及防毒軟件便可高枕無憂，實則不然。

工業控制系統安全保障工作將直接影響一個國家工業健康發展的命脈，因此發展技術手段、提升工業系統安全保障能力是工業控制系統安全技術研究和安全服務的重要條件。就企業層面看，應當提高自身技術實力，不管是預防用的防火墻、防病毒軟件設置，還是當風險出現時的病毒處理能力，企業都應加大投入，加強工業信息安全關鍵核心技術研發和應用。

對于工業控制系統安全問題，我國政府十分重視。2017年6月，國家工信部出臺的《工業控制系統信息安全事件應急管理工作指南》，對工控安全風險監測、信息通報、應急處置等工作提出了具體管理要求，明確了責任分工、工作流程和保障措施，為工控安全事件應急管理與處置工作提供了依據與方法。

既然現在是自動化工廠“互聯互通”的時代，一旦中間環節受到威脅將影響整個生產鏈的進展，因此，對運行過程中的設備防護及監控極其重要，以下幾點小小建議請查收：

（1）作為控制系統中的大腦，工控主機控制整個鏈條的正常運作，應當率先保護。在主機內安裝系統允許的殺毒軟件，并定期升級病毒庫以保障病毒查殺的有效性。

（2）進行網絡物理隔離。在工業控制領域，網絡物理隔離通常采用“2+1”的三模塊架構，內置雙主機系統，隔離單元通過總線技術建立安全通道以安全地實現快速數據交換。

（3）多數病毒感染發生在人為不知情的情況下使用移動介質，運用USB端口管控工具控制外部移動存儲設備的準入和應用，并對所有接入的移動存儲設備生成日志記錄，實時預防人為攜帶病毒并傳播。

（4）建立管理機構并充分發揮其組織和實施協調作用，針對安全標準規范的滯后性和安全威脅的快速演變，加快完善具有行業特點、可操作性強的管理制度和規定并實施。

（5）對新建工業控制系統，要按新標準同時建設、同時部署、同時投用網絡隔離設備。對存量系統，應在安全風險評估的基礎上，根據系統的信息安全等級制定防護措施，并實現對應的防護要求。