工業(yè)控制系統(tǒng)的安全發(fā)展

​隨著信息化技術(shù)與工業(yè)融合發(fā)展，物聯(lián)網(wǎng)、大數(shù)據(jù)在工業(yè)中應(yīng)用越來越普遍，無數(shù)的設(shè)備連網(wǎng)接入網(wǎng)絡(luò)，以便于監(jiān)測維護(hù)。然而，工業(yè)物聯(lián)網(wǎng)發(fā)快速發(fā)展背后卻隱藏著一個巨大的威脅。工業(yè)系統(tǒng)一旦給黑客入侵，改寫控制程序，將能給工廠制造災(zāi)難性事件。根據(jù)網(wǎng)絡(luò)安全公司卡巴斯基實驗室最新報告稱，制造業(yè)已經(jīng)成為第二個最容易受到網(wǎng)絡(luò)攻擊的行業(yè)。報告顯示，2017年上半年大約18000種不同的惡意軟件修改工業(yè)自動化系統(tǒng)，大多數(shù)網(wǎng)絡(luò)攻擊發(fā)生在生產(chǎn)材料、設(shè)備和貨物的制造企業(yè)。2000年3月，澳大利亞馬盧奇污水處理廠突發(fā)故障：中央計算機(jī)與個泵站的通信連接丟失，污水泵工作異常，報警信號也沒有報警反應(yīng)。在前后三個多月的時間里，總計約100萬公升未經(jīng)處理的污水直接經(jīng)雨水渠排入了自然水系，包括當(dāng)?shù)氐墓珗@，河流。此番行為直接導(dǎo)致了當(dāng)?shù)睾Ｑ笊锼劳?，污水臭氣熏天，讓?dāng)?shù)鼐用耠y以忍受，給所在區(qū)域帶來嚴(yán)重生態(tài)災(zāi)難。后經(jīng)查證，發(fā)現(xiàn)事故起因并非設(shè)備故障，而是人為造成的。原來此次故障是該廠前工程師VitekBoden因不滿工作續(xù)約被拒而蓄意報復(fù)所為。這位前工程師在其手提電腦上私自安裝了可與傳動系統(tǒng)進(jìn)行通信的程序，并通過一個無線發(fā)射器控制了150個污水泵站。

2017年國家網(wǎng)絡(luò)安全宣傳周“關(guān)鍵信息基礎(chǔ)設(shè)施安全”分論壇日前在上海舉行。論壇上，上海眾人網(wǎng)絡(luò)安全技術(shù)有限公司首席安全官王紅陽發(fā)表演講，他提出，工控安全與傳統(tǒng)網(wǎng)絡(luò)安全不同，它是以可用性為第一位，用戶一般不希望在工控網(wǎng)絡(luò)里面增加一堆的安全設(shè)備，而眾人科技帶來的工控安全解決方案采取的方式是通過可信認(rèn)證、深度審計等過程，將安全代碼嵌入到可編程設(shè)備中，實現(xiàn)身份認(rèn)證、連接審計和指令審計等功能。通過軟件方式實現(xiàn)安全保障和管控，沒有增加安全設(shè)備的負(fù)擔(dān)，用戶的接受度也會比較高。當(dāng)然，該項高級安全技術(shù)還要通過國家的認(rèn)證和資質(zhì)的許可，從用戶認(rèn)可度上解決他們的擔(dān)憂。 具體來說，眾人科技的創(chuàng)新工控安全解決方案包括五大階段：第一是構(gòu)建可信的工程師站與安全環(huán)境，即在工程師站的BIOS(基本輸入輸出系統(tǒng))植入安全代碼，進(jìn)行底層防護(hù)，另外定制唯一識別的安全U盤，重寫文件系統(tǒng)與分區(qū);第二是進(jìn)行整體安全監(jiān)測與審計，發(fā)現(xiàn)威脅即時發(fā)出預(yù)警，同時構(gòu)建風(fēng)險可視化平臺，動態(tài)顯示人員、可信工程師站、安全U盤、嵌入安全代碼的PLC(可編程邏輯控制器)等狀態(tài)數(shù)據(jù)，進(jìn)行統(tǒng)一管控;第三是進(jìn)行安全區(qū)域的邏輯隔離，即針對集散控制系統(tǒng)管理的關(guān)鍵區(qū)域部署安全策略，實現(xiàn)分層級的安全防護(hù)，進(jìn)行深度防御;第四是對PLC進(jìn)行安全管控，措施包括嵌入高級安全代碼，設(shè)置認(rèn)證、準(zhǔn)入、加密通道，進(jìn)行工控協(xié)議的深度解析等;第五是優(yōu)化管理，通過內(nèi)嵌安全網(wǎng)絡(luò)，進(jìn)行可用性指標(biāo)預(yù)測模型、商業(yè)分析模型、基于大數(shù)據(jù)的智能優(yōu)化等。最終，整套解決方案帶來的商業(yè)價值在于能夠降低工控系統(tǒng)安全風(fēng)險，提升安全管控力度，提供積極主動的安全防御思路，全面的工控協(xié)議支持以及助力業(yè)務(wù)優(yōu)化。

​​​​​​​​