工業控制系統（IndustrialControlSystems,ICS），是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術。典型的ICS控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI執行信息交互，遠程診斷與維護工具確保ICS能夠穩定持續運行。

1.1工業控制系統潛在的風險

（1）操作系統的安全漏洞問題

由于考慮到工控軟件與操作系統補丁兼容性的問題，系統開車后一般不會對Windows平臺打補丁，導致系統帶著風險運行。

（2）殺毒軟件安裝及升級更新問題

用于生產控制系統的Windows操作系統基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間。（3）使用U盤、光盤導致的病毒傳播問題

由于在工控系統中的管理終端一般沒有技術措施對U盤和光盤使用進行有效的管理，導致外設的無序使用而引發的安全事件時有發生。

（4）設備維修時筆記本電腦的隨便接入問題

工業控制系統的管理維護，沒有到達一定安全基線的筆記本電腦接入工業控制系統，會對工業控制系統的安全造成很大的威脅。

（5）存在工業控制系統被有意或無意控制的風險問題

如果對工業控制系統的操作行為沒有監控和響應措施，工業控制系統中的異常行為或人為行為會給工業控制系統帶來很大的風險。

（6）工業控制系統控制終端、服務器、網絡設備故障沒有及時發現而響應延遲的問題

對工業控制系統中IT基礎設施的運行狀態進行監控，是工業工控系統穩定運行的基礎。

1.2"兩化融合"給工控系統帶來的風險

工業控制系統最早和企業管理系統是隔離的，但近年來為了實現實時的數據采集與生產控制，滿足"兩化融合"的需求和管理的方便，通過邏輯隔離的方式，使工業控制系統和企業管理系統可以直接進行通信，而企業管理系統一般直接連接Internet，在這種情況下，工業控制系統接入的范圍不僅擴展到了企業網，而且面臨著來自Internet的威脅。同時，企業為了實現管理與控制的一體化，提高企業信息化合綜合自動化水平，實現生產和管理的高效率、高效益，引入了生產執行系統MES，對工業控制系統和管理信息系統進行了集成，管理信息網絡與生產控制網絡之間實現了數據交換。導致生產控制系統不再是一個獨立運行的系統，而要與管理系統甚至互聯網進行互通、互聯。

1.3工控系統采用通用軟硬件帶來的風險

工業控制系統向工業以太網結構發展，開放性越來越強。基于TCP/IP以太網通訊的OPC技術在該領域得到廣泛應用。在工業控制系統中，由于工業系統集成和使用的便利性，大量使用了工業以太環網和OPC通信協議進行了工業控制系統的集成；同時，也大量的使用了PC服務器和終端產品，操作系統和數據庫也大量的使用了通用的系統，很容易遭到來自企業管理網或互聯網的病毒、木馬、黑客的攻擊?二、工業控制系統安全防護設計。通過以上對工業控制系統安全狀況分析，我們可以看到，工控系統采用通用平臺，加大了工控系統面臨的安全風險，而"兩化融合"和工控系統自身的缺陷造成的安全風險，主要從兩個方面進行安全防護。通過"三層架構，二層防護"的體系架構，對工業企業信息系統進行分層、分域、分等級，從而對工控系統的操作行為進行嚴格的、排他性控制，確保對工控系統操作的唯一性。通過工控系統安全管理平臺，確保HMI、管理機、控制服務工控通信設施安全可信。

2.1構建"三層架構，二層防護"的安全體系

工業控制系統需要進行橫向分層、縱向分域、區域分等級進行安全防護，否則管理信息系統、生產執行系統、工業控制系統處于同一網絡平面，層次不清，你中有我、我中有你。來自于管理信息系統的入侵或病毒行為很容易對工控系統造成損害，網絡風暴和拒絕式服務攻擊很容易消耗系統的資源，使得正常的服務功能無法進行。

2.1.1工控系統的三層架構

一般工業企業的信息系統，可以劃分為管理層、制造執行層、工業控制層。在管理信層與制造執行系統層之間，主要進行身份鑒別、訪問控制、檢測審計、鏈路冗余、內容檢測等安全防護；在制造執行系統層和工業控制系統層之間，主要避免管理層直接對工業控制層的訪問，保證制造執行層對工業控制層的操作唯一性。工控系統三層架構如下圖所示：

近些年，業內提出了深度防御策略[1，6-7]來對一個典型的ICS系統進行網絡安全防護，主要包括以下內容：

1)為ICS系統實現多層的網絡拓撲結構，在最安全和可靠的層執行最嚴格的

2)在企業網絡和ICS網絡間提供邏輯隔離(即在兩個網絡間配置狀態檢測防火墻)。

3)配置DMZ網絡結構(即阻止企業網絡和ICS網絡的直接通信)。

4)確保關鍵的部件是冗余的，并且部署在冗余網絡上。

5)在經過測試能夠確保不影響ICS操作的情況下，禁止ICS設備未使用的端口和服務。

6)嚴格限制物理設備接入ICS網絡。

7)建立基于角色的訪問控制規則，根據最小化特權的原則配置每個角色的權力。

8)考慮對ICS網絡和企業網絡的用戶采用獨立的鑒權機制。

9)在技術可行的情況下實現安全控制，如防病毒軟件、文件完整性檢查軟件，以阻止、發現和減少惡意軟件的進入和傳播。

10)在ICS數據的存儲和通信中，應用加密等安全技術。

11)在現場環境中，必須在測試系統上測試所有的補丁，然后再安裝到ICS系統并配置安全的補丁。

12)在ICS的重要區域跟蹤和監控審計日志。這里認為在ICS的3層網絡體系中，應進行多層-多級安全防護。在各層邊界部署防火墻以進行有效隔離。其中信息管理層部署商業防火墻，商用IDS、IPS，以過濾、監控、聯動處理2-7層網絡的攻擊；在生產管理層部署面向生產過程控制的工業防火墻，同時對信息管理層的外部用戶、第三方的連接需求采用專用VPN設備，在生產管理層部署具有物理隔離功能的單向網閘，通過其單向的數據導入和物理隔離能力保證工業過程的信息流嚴格可控。此外，在接入區部署防病毒服務器及終端管理系統，并對商用數據庫部署審計系統，滿足數據管理要求；在管理運維客戶端部署運維操作審計系統，滿足配置管理要求，強化口令及權限管理；針對PC/服務器的操作系統級漏洞實現有效管理，部署商用漏洞掃描產品；針對采用無線連接的系統，部署無線安全產品。通過上述的多層-多級防護，可以基本滿足《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)的要求。