曾几何时，信息安全与工业控制系统这个“独立王国”还扯不上关系，但2010年的“Stuxnet”病毒事件让人们恍然大悟：原来“独立王国”也有沦陷的时候。于是国家和企业都重视起来，纷纷采取行动，当然，IT 安全从业者也在行动。
本文主要从工控系统信息安全实践和实践中的问题两个方面来谈谈笔者关于在工控安全实践方面的积累和感受。
1　工控系统信息安全实践
1.1　工控信息安全标准
感谢标准相关制定机构以及参与制定的专家们，正是有了这些信息安全标准的制定，信息安全工作才有了方向。虽然工控信息安全标准编制工作国内起步较晚，不过目前也有一些标准可以参考，如：等级保护基本要求、GB/T 30976……使企业开展信息安全工作有“法”可依，有据可查。下面简单介绍等级保护基本要求和GB/T 30976两个标准。
（1）等级保护基本要求
等级保护基本要求是我国开展信息安全工作的最重要标准之一，从技术和管理两个方面对信息系统的安全保护能力提出要求。其应用范围较广，适用于信息系统管理组织，信息系统产品厂商，信息系统集成商，信息安全咨询服务企业，第三方信息安全测评机构等。
（2）信息安全标准GB/T 30976 
GB/T 30976标准是新发布的专门针对工控系统的信息安全标准。该标准包括两部分，第一部分从管理、技术能力两个方面对工业控制系统风险的评估、分级进行了规范，也就是提要求。该标准同等级保护基本要求相似，只是侧重点有所不同。第二部分对工业控制系统的信息安全验收过程进行了规范。其分级如表1所示。
1.2　等级保护在工控系统实践关注点
和利时作为国内工控行业领军企业，也是较早关注工控系统信息安全的企业之一。在之前对工控系统整体信息安全方面的研发实践中主要参考等级保护基本要求。现阶段在工控系统实践中进行等级保护重点关注以下七个方面：工控网络结构、安全隔离、病毒防护、安全审计、身份鉴别、设备自身防护、边界完整性。下面就每个方面做简单介绍。
1.2.1　工控网络结构
在等级保护基本要求里，其中有一条是对信息系统安全区域划分的要求。根据等级保护基本要求的特点，以及工控系统的特点，我们可以从纵向和横向两个维度对工控系统网络进行结构的划分，划分的方式可以根据控制系统的情况、环境的不同而不同，不能一概而论。总的原则是纵向分层，横向分区。
在纵向划分的基础上，在每个层面可以横向再划分成安全区。例如，在现场控制层中，可以根据不同生产线、不同工艺流程进行划分。
在过程监控层中，主要包括现场的操作终端、服务器和工程师站。对于一些大型的DCS系统，可以先按照生产线、生产工艺流程划分成大的域，然后在每个生产线域内再进行划分成为服务器区、操作终端区、工程师站等。
1.2.2　安全隔离
安全隔离主要涉及到隔离设备和隔离位置。
（1）主要隔离设备：工控防火墙
工控防火墙特点：
• 对工控协议支持，如对OPC、Modbus等协议的支持。
• 满足工业环境的要求，如电磁干扰、抗震、防尘、绝缘、温/湿度等。
• 针对私有协议进行二次开发，现在的工业控制系统很多使用自己的私有协议，需要进行二次开发才能使用。不进行二次开发也就只能进行端口过滤，意义不是很大。
（2）隔离位置
选择什么位置进行隔离，基本可以参考传统信息安全的相关原则，主要基于三个原则：在不同网络边界之间；不同安全区域边界之间以及在控制器前隔离。
工控系统信息安全与传统信息安全的不同就是在控制器前部署工控防火墙。基于两个方面的原因：一是限制访问控制。控制器不是所有终端设备都能访问的，也没必要允许任何设备都可以访问，需要限制有权限的设备才能访问。二是泛洪攻击。虽然目前控制器的处理能力有所提高，但是相比于普通个人电脑，其处理能力还有很大差距，面对广播风暴之类的大量数据包控制器基本还是无能为力。而目前工控系统维护方面碰到的最头疼的问题之一就是广播风暴的问题。工控防火墙部署在控制器之前，可以阻挡大量非法广播包对控制器的影响，减轻控制器的处理负荷，从而保护控制器不受数据包泛洪等的影响。
1.2.3　病毒防护
在工控系统病毒防护中，目前国内同行形成的一种共识就是采用软件白名单方式，是因为：
（1）不需要频繁升级病毒库；
（2）不对进程进行查杀、删除；
（3）只允许在白名单范围内的程序运行；
（4）工控系统安装的程序比较单一、稳定，适合白名单方式的运行机制环境。
1.2.4　安全审计
安全审计包括日志审计和流量监控。网络设备、主机系统的日志收集，审计与传统信息安全一样，用同样的方法、方式就能满足工控系统安全审计。唯一的区别是对工控软件的日志集中收集问题，需要解决两个问题：
（1）集中日志收集的支持；
（2）审计系统对工控软件日志内容，格式的支持（日志字段、警告级别，可能与传统信息安全日志不太一样），需要同工控厂商二次开发。
1.2.5　身份鉴别
（1）措施
在工控软件系统方面，身份鉴别采取的措施是：
• 双因子鉴别。等保第三级基本要求里明确规定，对系统管理用户需要进行双因子身份鉴别，在工控系统中，工程师账户、值班长账户、网络设备管理员等重要账户需要进行双因子鉴别；双因子可以是口令+证书、动态口令等方式。
• 单因子鉴别。如操作员账户，用口令就可以了，口令的复杂度需要强一些。
（2）鉴别时机
工控系统中的鉴别时机，在以下三种情况下需要进行身份鉴别：
• 登陆工控系统时；
• 进行工程下装时；
• 重要参数修改时（如发电机转速等）。