工业控制系统危机四伏，安全风险如何应对？

摘要

工业控制系统广泛应用于核电、火电、炼油、石化等牵涉国民经济核心地位的主要基础设施，是确保这些重要装置安全稳定高效运行的核心装备，其安全问题 （Safety）和安防问题（Security）一直是从事自动化控制系统研发人员极为关注的核心问题。自上世纪80年代以来，工业控制系统核心技术的发展一直都随着网络技术、软件技术、通信技术的快速发展而发展，工业控制系统也正在向网络化、开放式、分布式方向发展和演化，并且逐步与计算机网络相融合。因此工业控制系统安全问题和安防问题就与网络技术、通信技术和软件技术密不可分，一定会存在网络安全问题。本文针对工业控制系统的体系结构和技术特点，重点分析工业控制系统的安防问题，指出可能存在的安全隐患，并与IT网络安全进行差异性比较。最后，通过分析工业控制系统实施安全防护的可行性及关键技术，归纳并提出了工业控制系统安全防护对策，指出建立安全防护体系的必要性、可行性和重点方向。

1 概述

在过去的十几年间，计算机网络技术越来越多地应用于工业控制领域，一些IT网络通用协议一直延伸到工业控制系统（ICS）的现场层（如基于TCP/IP的工业以太网），使用户可以在企业办公网甚至互联网上直接对控制现场执行机构进行数据实时采集与控制，但在方便用户的同时，却将一直被认为“对威胁免疫”的ICS系统直接暴露在了互联网上众多黑客的视线中，ICS系统设施也正逐渐成为了黑客们从虚拟化的网络渗透到现实实体的攻击对象之一。

2011年6月爆发的“震网”病毒感染了全球45000个以上的大型网络环境，其中伊朗60%以上个人电脑被感染，攻击者利用这种超级病毒可以篡改工业基础设施运行数据，向现场执行机构发送破坏指令，从而使工业基础设施瘫痪。该病毒的出现使得布什尔核电站一再推迟发电计划，造成伊朗约20%的离心机因感染病毒而失灵甚至是完全报废。

工业信息安全事故报告（RISI）披露更多的事故发生在电力系统、水利系统、能源系统和运输系统等涉及到工业控制的其他领域，但无一例外的都由网络入侵所致，这些事实表明“震网”事件绝不是个例，国家经济基础设施、人民生活保障设施、国防设施正在面临着巨大的威胁。因此，发生在ICS系统中的攻击事件和如何避免类似事件的再次发生开始得到越来越多地关注。近10年来，许多国家、组织和公司纷纷成立ICS安全机构、启动ICS安全项目、制定ICS安全规范和标准，建立面向ICS系统的安全防护体系已经成为国际工业领域专家们的共识。

本文将通过介绍现代ICS系统的结构，讨论ICS系统自身潜在的风险和可能导致入侵的薄弱环节，分析ICS系统发生安全事故的影响，并结合国际上现有的安全标准、规范提出应对风险的可行措施。

2 ICS体系结构及安全风险分析

2.1 ICS体系结构发展

工业控制系统是工业生产基础设施的关键组成部分，广泛应用于电力、水利、能源、运输、化工等工业领域，是包含了工业生产中所使用的多种类型控制系统的总称，包括监控与数据采集系统（SCADA）、集散控制系统（DCS）以及可编程逻辑控制器（PLC）等。工业控制系统的主要功能是将操作站发出的控制指令和数据（如打开或关闭一个阀门）推送到控制现场执行机构，同时采集控制现场的状态信息反馈给操作站并通过数字、图形等形式展现给操作人员。

自从计算机完全替代模拟控制的控制系统出现，工业控制系统已历经40多年的发展，在结构上也由最初的集中控制系统发展到分散、分层控制系统，最终发展为目前流行的基于现场总线或以太网的控制系统，而工业控制系统的每一次变革都与计算机系统的发展有着密切的联系。

最初的计算机系统以大型机为主，所有计算和处理任务都需要汇集到中央主机来完成，因此产生了集中式的直接数字控制（DDC）系统。到上世纪70年代中期，出现了以微处理器为基础的分散式控制系统，它以多台主机共同完成控制，各主机之间通过数据通信实现集中管理，因此被称为集散控制系统（DCS），分散化的控制推动了控制系统网络化的发展。进入上世纪80到90年代以后，由于嵌入式微处理器的出现，现场执行机构朝智能化方向发展，具备了数字通信的能力，人们便将具有统一通信协议和接口的智能设备连接起来，这就是现场总线控制系统（FCS），它的出现预示着控制系统正向网络化方向演化。

在工业控制领域还有一类特殊的需求，它的控制现场区域分布较为分散，且控制主站与控制对象相距较远，如城市交通系统、变电站、铁路运输系统、输油和输气管道等，这类需求促使了监视控制与数据采集（SCADA）系统的产生，它可以通过远程方式对现场的运行设备进行监视和控制，以实现数据采集和设备控制功能。SCADA系统主要由三部分组成，主终端单元、通信系统和远程终端单元。主终端单元系统采用通用计算机处理现场传输过来的监控数据，使操作人员能够实时地掌控系统的运行状态和实施控制指令。远程终端单元主要完成数据采集和通信工作，其通常运转在无人值守的现场环境之中，其运行状态的正确与否，直接影响控制现场执行机构的运行。通信系统的主要作用是传输主终端单元和远程终端单元通信的指令和数据，可基于光纤及电话线、GPRS、微波、卫星通信以及3G/4G和互联网等方式。

如今企业构建信息化网络日渐成熟，将工业控制现场执行机构的实时状态信息纳入全方位的信息化管理、使企业管理决策科学化是必然的趋势，信息控制一体化将为实现企业综合自动化和企业信息化创造有利条件。因此，无论是基于工厂范围的DCS系统还是基于更广范围的SCADA系统，在结构和组织形式上都趋向于与互联网相融合，但在为互联网和先进的通信技术应用于工业控制系统而欢呼雀跃的同时，在传统计算机网络上遇到的安全问题，同样会出现在工业控制系统中，并直接体现在控制系统执行机构能否正常运行上，使工业现场环境的物理安全面临更严峻的挑战。

2.2 ICS系统由封闭走向开放

传统的ICS系统技术高度专业、网络封闭和协议私有，与外界从物理上相隔离，很难由外界接入，因此不会受到入侵的威胁。而现代ICS系统如图1所示，从结构和网络架构上与IT系统越来越相似，所使用的计算机和网络设备都是通用的，接口的统一使ICS系统和IT系统实现了无缝对接，ARC报告显示ICS系统普遍存在直接接入互联网的事件，包括系统补丁下载、杀毒软件病毒库更新，或者通过ICS网络进行如电子邮件收发等办公活动，ICS系统已经不再可能保持其封闭、私有、隔离的特性，因此一些恶意入侵者攻击可以通过网络侵入到ICS系统，实施物理破坏。

图1  现代ICS系统体系结构

同时，以太网技术的普及和互联网迅猛发展，越来越多的控制设备配备了以太网接口，尽管由于历史原因，各控制系统厂商在通信协议方面标准不一，但在接口配置方面都预留了以太网接口，伴随着工业以太网技术的出现，以太网已经延伸到了控制现场执行机构。因此入侵者可以通过多种方式[9]侵入ICS系统：

（1）通过企业办公网接入

企业办公网与ICS系统间通常部署有防火墙，入侵者通过反弹、代理、欺骗等手段可以穿透防火墙，最终接入ICS系统。

（2）通过远程连接方式接入

一些ICS设备厂商有远程安装、维护设备的需求，远端PC通过Modem拨号网络接入ICS系统，入侵者可以利用弱口令漏洞侵入ICS系统；另一种可能是入侵远端主机，间接接入ICS系统。

（3）通过“可信任”的连接接入

一些用户为得到控制系统供应商或第三方的远程服务支持时，会与其建立“可信任通道”，在使用过程中可能存在未遵循安全策略或第三方厂商缺乏安全管理策略而引入外部入侵。

（4）通过无线通信网络接入

ICS系统大量使用无线技术，允许距离相距较远的设备节点间以集中管理主机作为中继进行通信，无线网络通信的开放性也创造了更多的入侵和信息窃取的机会。

（5）通过其他公共通信设施接入

SCADA系统组成部分之一的通信系统，考虑到架设网络的成本，除敏感度极强的系统外，通常都是依靠公共通信设施来构建的，入侵者可以从一些通信中继点实施对主终端单元或远程终端单元的入侵。

（6）通过SCADA远程终端单元接入

一些远程终端单元部署在较为暴露且无人值守的环境中，很可能成为入侵者利用的工具和入侵的入口，入侵者可以直接切入到现场层实施破坏。

对于不直接与外界相连的封闭ICS系统，虽然可以免于被直接入侵，但仍可能受到通过可移动存储设备、便携机、手机等途径传播的病毒、木马等恶意软件的威胁。通过恶意软件攻击ICS系统较直接入侵具有更大的隐蔽性，使攻击者的行踪不被暴露。

2.3 ICS系统潜在风险分析

在ICS设计之初，并没有加入对安防理念的考虑，ICS系统内部尤其是执行机构没有任何安全防护，所以一旦系统被攻克，受到影响的将是工业实体设施，而潜伏在控制系统各个层次中的漏洞随时都可能被利用，这些漏洞按照运行平台分为通用平台漏洞和专有平台漏洞以及二者之间的通信网络漏洞等三大类。

2.3.1 通用平台漏洞风险

现代ICS系统应用程序、数据库、人机交互接口都从原来的专有平台转移到了IT通用计算机平台，操作系统主要是基于Windows和类Unix操作系统（较少使用），因此IT通用计算机普遍存在的风险也被带到了ICS中来。ICS系统由于其独特的应用性，一些安全风险甚至比IT系统更容易出现，具体表现在以下方面：

（1）不升级导致已知漏洞无法及时修补

由于这些通用平台不是专为ICS系统而设计，其不断的更新可能会对ICS应用程序产生未知的影响，因此ICS系统厂商通常建议用户使用其推荐的软件版本，用户在使用时也极少进行操作系统的升级，导致漏洞无法及时修补而累积漏洞风险。

（2）软件配置策略风险

ICS系统应用程序运行通常需要依赖于第三方提供的软件、库、服务等资源，这些资源在设计时会按照安全等级的不同，采用不用的配置策略。ICS系统厂商为了能够实现较好的兼容性或仅仅为了方便，有时会使用安全级别较低的配置策略，忽视了这些资源本身设计上的安全性考虑，因此会暴露出更多的安全问题。

（3）系统和应用服务漏洞

ICS系统为了实现更多的功能、接口等通常需要操作系统提供如Web、数据库、远程过程调用（RPC）等服务。Windows是目前已知漏洞最多的操作系统，在其漏洞爆发数量排名前十位的漏洞[30]中的前四位都是Windows系统服务漏洞，而其中一些服务是一般ICS系统应用程序所必须依赖的，加之对这些服务的配置也可能存在问题，可能会增添更多的安全风险。另外，在配置ICS软件系统时，通常只保证了ICS所需的系统服务的开启状态，却没有将不需要的服务关闭，导致一些系统默认开启的服务可能成为入侵的后门。

2.3.2 专有平台漏洞风险

专有平台是相对于通用平台而言不能使用通用PC作为平台的主机或设备，主要是指控制器和现场智能设备等控制系统执行机构，这些设备采用与PC不同的架构，硬件资源有限，且与现场环境紧密结合，是ICS系统中最重要也是最易受到攻击的部分，其存在漏洞将直接暴露给渗透到现场层的入侵者，主要表现在以下方面：

（1）现场设备资源有限，安全防护能力弱，如控制器一般通过以太网与控制站主机通信，很容易受到基于现场层的拒绝服务（DoS）等网络攻击，导致负载过重，通信中断，直接对现场控制产生影响；

（2）一些现场无线设备的安全，如无线传感器网络，一方面是干扰的问题[5]、通信拥塞，一些实时性要求较高的无线网络设计很少包含对不可靠通信的容错以及在通信中断情况下的本质安全问题。对于一些无线网络设备的资源比较有限，电池容量也比较有限，一般不会增加加密等安全措施以节约耗电；另外，对无线节点的攻击也可以采用一些不间断的伪造通信等形式，使无线节点的电量耗尽，造成其失效；

（3）入侵者可以从远端PLC网络直接接入现场层网络或者通过植入现场层网络主机的恶意程序实施拒绝服务攻击、欺骗、通信劫持、伪造、篡改数据等；也可以向PLC、DCS等控制器直接下发错误指令，使其执行错误的控制程序甚至故障。

2.3.3 网络通信漏洞风险

工业通信网络虽然在原理上基本符合一般计算机或者通信系统的通信原理，但也存在一些特殊性：

（1）ICS系统对数据传输的实时性极其敏感，因此通信网络上的任何干扰都可能产生影响，造成间接破坏；

（2）当前的安全防护能力仍停留在LAN/WAN层面上的防护，对现场设备通信的防护几乎没有涉及，特别是与控制现场执行机构直接相关的Modbus、Profibus等现场总线协议都没有包含安全特性；

（3）由于现场控制设备性能的限制和实时性的要求，ICS通信网络上数据传输通常不加密或采用简单的加密算法，很容易破解，存在信息泄露或数据被伪造的风险；

（4）缺少防护的网络边界风险，网络边界包括一切可能接入ICS系统的主机或网络设备，如果不对这些接入设备加以安全性定义和访问权限控制，可能导致攻击者的直接入侵；

（5）ICS系统各个厂商产品标准不一，每个厂商的产品属于一个封闭私有系统，其不开源的特性本身如同Windows系统一样存在很多未知漏洞，由于从未经受过网络上的安全考验，这些漏洞不能及时发现并修复。

2.4 目前ICS安全防护实施存在的问题

（1）麻痹意识、疏于管理导致安全策略不能有效

实施ICS系统本身具有网络分级管理、身份权限认证或建议安装第三方安全软件等基本安全规则，但维护人员通常因为系统从未出现过问题，而回避风险的存在，认为系统是安全的，如在安全等级不同区域未加区分地共享工程文件、部分等级地设置用户权限或设置弱口令等不规范的配置管理使入侵者很容易趁乱潜入。

在一些通用防火墙的配置上，由于控制系统工程师IT网络知识不足，为了保证系统正常运行，将安全策略配置的级别放宽，导致存在除控制系统正常通信通道之外的其他通路，给入侵者留下了可乘之机。

（2）缺乏ICS系统内部安全防范

目前ICS系统安全防护通用的做法是在企业网和控制系统间添加防火墙或者起到隔离作用的网关，而防火墙的单设备防御形式不能对ICS系统网络内部设备尤其是控制现场执行机构产生任何防护，这道防线一旦攻破或者通过其他途径绕过防火墙，就相当于将ICS系统完全暴露。

从Industrial Security Incident Database[11]的统计数据可以看出，来自企业内部或所谓可信任连接的入侵占据了入侵总数的约80%，一个FBI的调查也显示企业内部员工直接或间接造成安全事故占总数的 71%，说明从企业内部爆发的安全威胁应该得到更多地重视，需要将网络边界系统和网络内部的安全防范能力提到同等重要的高度。

（3）现有安全措施无法有效地构成防护体系

现有的ICS安全防护较为分散，安防设备与策略缺少统一规范、软件与硬件不能有效配合、ICS系统厂商与安全设备厂商没有统一的安全标准接口等，导致通用安全策略无法制定、实施。因此需要构建具有通用性、兼容多种工业协议、层级间联动功能、强化内部和边界安全防护，并能够在事故发生后快速组织应急响应的ICS综合安全体系。

（4）试图通过协议私有化实现“隐性的安全”

工业控制系统厂商曾一度认为工业控制通信协议如果是私有和专用的，入侵者没有足够的知识和能力实施入侵，控制系统便实现了“隐性的安全”，而今一些“感兴趣的专家”可以通过破解、窃取等方式获取内部技术资料，使这些系统便直接暴露在威胁之下；而且随着工业控制技术的开放化和标准化，这类安全日益失去了作用，如果不对其进行有效地防护，入侵者就可以通过企业网络和通信系统侵入到工业控制网络。

（5）将IT网络安全措施直接应用到ICSIT网络具有通用性和统一性，已基本形成了完善的安全防御体系，包括软硬件相结合的安全策略，从多方面对网络内个人主机或服务器的数据进行保护，而ICS系统的核心是控制现场执行机构和工业生产过程，其中存在具有强大破坏力的能量（电力、石油、天然气等）或物质（有毒化工原料、放射性物质等），一旦失控就可能造成巨大的财产损失甚至人员伤亡，因此需要安全等级更高的防护；而且ICS系统中各种控制器和执行机构不同于通用计算机，也很难形成通用的设备安全防护手段；另外，IT网络的通信协议是统一标准的TCP/IP协议族，而ICS系统通信标准各异，有些协议甚至是私有协议，因此也无法统一安防标准。

虽然以太网和TCP/IP技术应用于工业领域可以大大节约成本，并且提供了可以与IT网络互联的接口，但是它的设计理念与工业的需求是截然不同的，在硬件、操作系统和应用软件上都有很大差异，将IT安全策略应用到ICS系统非但不能起到保护作用，还可能影响到ICS系统的正常运作。所以IT网络安全防护策略不能直接应用于ICS系统，考虑到工业控制的实时性、高可靠性、专有性等特殊需求，必须开发出专门针对ICS系统的安全防护解决方案。

3  国外ICS安防发展现状

自从上世纪末、本世纪初开始，ICS安全问题就引起了国际上的广泛关注，以美国为代表的政府、组织正在采取积极行动，应对ICS系统安全风险。

3.1 美国政府机构公布的ICS安全法规及安防项目

（1）美国负责发展控制系统安全防护的能源部（Department of Energy）能源保证办公室（Energy Assurance Office）在2003年公布了“改进控制系统信息安全的21个步骤”报告[18]，供各控制系统运营商参考应用，其中贯穿并整合了21个步骤的核心内容就是“建立一个严谨并持续进行的风险管理程序”，主要包括认识系统威胁所在、了解所能承受的风险范围、衡量系统风险、根据需求分析测试系统、确认风险在可接受范围等。

（2）2010年7月，美国安全局（NSA）正式实施一个名为“完美公民”的计划，重点基础设施的控制系统网络中部署一系列的传感器，以监测对经营如核电站等重点基础设施的私有企业和国家机构的网络袭击。如果有公司要求对其受到的网络袭击进行调查时，“完美公民”计划可以提供相关监测数据。

（3）隶属于美国国土安全部（DHS）的计算机应急准备小组（US-CERT）正开展着一个“美国控制系统安全项目—Control System Security Program（CSSP）”，针对所有国家重要基础中的控制系统，协调中央和地方政府、系统制造商、使用者进行ICS安全方面的合作，提出了“纵深防御策略 （Defense-in-depth）” ，制定了指导相关组织建设更安全的ICS系统的标准和参考。

（4）美国商务部通过其下的美国标准与技术研究所（NIST）制定了“工业控制系统防护概况”、“工业控制系统IT安全”等一系列安全防护标准、规范，从ICS系统漏洞、风险、评估、防护等多个方面对安全防护体系都做了详细叙述。

3.2 ICS安防标准

（1）在ICS安防标准研究方面，国际电工委员会IEC（International Electronical Commission）与仪器系统与自动化协会ISA（Instrumentation, Systems and Automation Society）合作，积极研究ICS安防国际标准ANSI/ISA-99。该标准作为建立控制系统安全防护体系的依据，定义了控制系统的安全生命周期模型，包含定义风险目标和评估系统、设计和选择安全对策等项目，提出了区级安全的概念。

（2）IEC 62351[24]是由国际电工委员会制定的多重标准，全名是“电力系统管理及关联的信息交换-数据和通信安全性”（Power systems management and associated information exchange – Data andcommunications security），主要包括TCP/IP平台的安全性规范、TLS加密提供的保密性和完整性、对等通信平台的安全性、基于角色的访问控制等多方面内容，IEC 62351中所采用的主要安全机制包括数据加密技术、数字签名技术、信息摘要技术等，当有新的更加安全可靠的技术和算法出现时，也将引入到该标准中来。

（3）德国西门子针对PCS7/WinCC系统制定了“安全概念白皮书”，作为指导西门子产品的用户部署安全工业网络的建议，主要内容包括理解安全概念信息、安全战略和原则、安全战略实施解决方案等，与一些国际标准不同的是，这份白皮书结合了西门子ICS产品，提出了具体可行安全实施方案。

（4）日本横河电机的控制系统安全标准，重点规范针对横河的ICS产品安全对策，可用于保护控制系统免受威胁，降低生产活动相关资产的安全风险，标准中的风险和措施在广义的解释上都引用了行业通用的安全技术和标准模型，并通过其他相关文件详细描述了每个产品安全防护的执行程序。

4  ICS实施安防可行性及关键策略

ICS系统安全防护策略可以概括为管理制度、业务程序和技术分析及产品三个层面。

4.1 将ICS安全防护作为战略发展

国际现有研究成果为我国工业控制安全防护提供良好的范例，针对我国工业控制发展国情，实施安全防护策略体系需要从以下几个方向着手：

（1）转变ICS系统安全观念意识，完善安全策略和流程，加强工控领域人员的安全培训，提高安全意识和能力；

（2）形成ICS系统安全产业，从政策上重视，把安全作为一种生产服务，纳入到生产服务行业；

（3）制定相应法规、规范，并制定全行业的安全标准，提升进入市场的工控产品和安全产品的安全规格；

（4）制定具体到各个工业领域的安全策略。ICS系统在各个行业的不同应用，需要分别制定相适应的安全策略，以满足自身行业和监管环境的需求。

4.2 ICS安全防护体系重点内容

（1）物理环境安全防护

主要包括物理环境有形资产不受损坏、误用或盗窃等，物理环境边界的访问控制和监视确保只有授权人员才允许访问控制系统现场设备，从实体和策略两方面保证物理环境资产安全。

（2）系统通信安全

系统通信保障包括采取保护控制系统和系统组件之间的通信联系，将其与潜在的网络攻击路径做物理或逻辑上的隔离。

（3）系统的开发与防护

通过持续改善控制系统设计规格来提高安全性是最为有效的，不仅包含系统功能上的优化策略，整个系统生命周期的有效维护策略、使用过程中的配置及可操作性策略等都应在设计时考虑到其中。

（4）访问控制

访问控制的重点是确保资源只允许被正确识别的适当的人员和设备访问，访问控制的第一步是创建分等级的访问权限的人员和设备访问控制列表，接下来是实现安全机制使控制列表生效。

（5）风险管理评估

风险管理是确保过程和控制系统安全的技术手段，重点讨论风险和系统漏洞的关键环节。其中重要的一点是识别风险和安全措施分类，监视控制系统安全防护的执行情况，将风险限定在一个可控制的范围内。组织实施风险评估程序，将资产划分成不同安全等级，确定潜在的威胁和漏洞，确保能够对不同等级的资产实施充分的防护。

（6）审计与问责

定期审计ICS系统必须实施的安全防护机制，审查和检验系统的记录和活动，以确定系统的安全控制措施是否得当，并确保其符合既定的安全策略和程序。

（7）系统安全防护分析技术

对ICS系统的软硬件进行漏洞辨识与分析，特别要针对控制现场设备的安防分析，包含安全系统漏洞分析、计算机信息系统漏洞分析、软件需求规格漏洞分析、代码漏洞分析等。

（8）突发事件应急响应

建立突发事件应急响应团队，长期跟踪控制现场执行机构运行状态及行为，定期发布状态报告；规范突发事件管理和检测机制，能从突发事件中迅速恢复；突发事件事后分析与预测，数据收集与总结，避免再次发生类似事件；启动数据追踪机制，持续追踪ICS系统安全突发事件，包括攻击事件和偶然性事件。

4.3 ICS产品安全性保障

（1）开发ICS系统安全防护产品

包括软硬件等一系列分布式的安全设备集群，开发出拥有自主知识产权的创新性产品，全方位保证ICS系统特别是控制现场的安全；ICS系统安全防护产品在选择、认证、管制上应按照共同标准的原则，由国家制定统一的行业认证标准并由专业机构进行认证通过后，方可进入市场。

（2）对ICS系统控制产品本身的安全性加以规范

在ICS系统的开发过程中加入安全性考虑，增强系统最末端的安全防护，如软硬件的自我防护与恢复，开发更安全的协议，测试阶段增加安全性测试，集成异常状态告警模块、安全锁和动态加密等功能。

建立国家级ICS安全评估体系和ICS安全测试与评估实验室，针对我国基础设施安全性要求，建立ICS安全评估标准体系和标准，包括ICS软、硬件产品安全性评估标准体系，ICS产品供应与采购安全性评估标准体系，ICS维护安全性评估以及ICS安全防护体系评估等。

（3）研究并设计一套主动防护技术方案

主动防护技术利用内嵌在网络基础设施的安全组件对终端系统在访问核心网络之前进行识别和控合ICS系统自身的特点，建立起从人员到设备、从规范制，并触发终端系统的可信性评估、评价机制，该机到产品、从评估到防范、从策略到标准，与控制系统一制可以识别终端系统的软硬件“指纹”来确定其使用体化的工业安全体系，将现代网络安全的设计理念融入系统的安全性及漏洞所在，并判断其是否存在或属于到控制系统的设计当中，使ICS系统从一个高危实体转威胁，或是传播威胁的媒介，划分到具体的威胁类别变成为一个概念上安全的信息化系统，把保护过程控制后，主动对其实施预定的安全策略。

5  结语

如何提高已建成ICS系统的安全防护能力和如何设计并建立新的安全ICS系统是目前需要面对的两大挑战，是需要工业控制领域、网络信息安全领域、计算机技术领域多方合作，共同完成的使命。ICS系统安全是一个不断迭代的过程，要吸取IT网络安全的经验，结合ICS系统自身的特点，建立起从人员到设备、从规范到产品、从评估到防范、从策略到标准，与控制系统一体化的工业安全体系，将现代网络安全的设计理念融入到控制系统的设计当中，使ICS系统从一个高危实体转变成为一个概念上安全的信息化系统，把保护过程控制和业务通信的网络环境作为一个战略性要求，并将对ICS系统的安全防护纳入到工业生产服务体系中，顺应“十三五”规划经济增长方式转型的要求。

作者简介

王 迎（1981-），男，工程师，现就职于浙江国利网安科技有限公司，主要研究方向为工控安全。

许剑新（1984-），男，博士，现就职于浙江国利网安科技有限公司，主要研究方向为工控安全。

摘自《自动化博览》2018工业控制系统信息安全专刊（第五辑）

声明：本文来自工业安全产业联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。