1、工業(yè)控制系統(tǒng)與IT信息系統(tǒng)的區(qū)別

　　工業(yè)控制系統(tǒng)由控制器、PLC模塊、DCS控制柜、觸摸屏、HMI設備、通訊卡等硬件，以及SCADA組態(tài)軟件、編程軟件、操作系統(tǒng)軟件等軟件組成，應用于工業(yè)現場環(huán)境，用于不同行業(yè)的生產業(yè)務場景。

　　為滿足工業(yè)企業(yè)日常生產計劃性、連續(xù)性、高可靠性等業(yè)務場景要求，工業(yè)控制系統(tǒng)通常具有通信網絡冗余、運行時間長、設備老舊、更新換代不頻繁等特征，在業(yè)務流程和運行特點上與傳統(tǒng)IT信息系統(tǒng)有很大不同。

　　隨著工業(yè)控制系統(tǒng)開放性越來越強，為達到工業(yè)控制系統(tǒng)集成和使用的便利性目的，系統(tǒng)網絡中廣泛應用工業(yè)以太環(huán)網、OPC、Modbus、S7等工業(yè)專有通信協議；同時在過程控制層面，應用了基于商用操作系統(tǒng)或數據庫系統(tǒng)的PC服務器和終端產品，很容易遭到來自企業(yè)管理網或互聯網的病毒、木馬、黑客等外來攻擊。

　　IT信息系統(tǒng)中黑客攻擊目標多為獲取私密數據、個人信息，而針對工業(yè)控制系統(tǒng)的攻擊目標通常為造成系統(tǒng)宕機、破壞通信網絡、修改工藝參數，引發(fā)安全事故，造成不同規(guī)模的經濟損失或爆炸、人員傷亡等嚴重后果，甚至摧毀關鍵信息基礎設施。

　　工業(yè)控制系統(tǒng)有許多區(qū)別于傳統(tǒng)IT信息系統(tǒng)的特點，面臨不同的安全風險。工業(yè)控制系統(tǒng)與IT信息系統(tǒng)本質上的差異，決定了工業(yè)控制系統(tǒng)信息安全建設與IT信息系統(tǒng)安全建設的不同。因此必須在符合工業(yè)控制系統(tǒng)本身技術和環(huán)境具體要求與特點的前提下，以保障生產業(yè)務連續(xù)性為主要目標，開展工業(yè)控制系統(tǒng)信息安全建設。

　　2、傳統(tǒng)安全防護方式不適用于工控環(huán)境

　　2.1   網絡層面分析

　　首先在網絡方面，防火墻、入侵檢測等傳統(tǒng)網絡安全設備，僅能夠實現對外部入侵及網絡異常行為的管理和監(jiān)測，但是不能對網絡通訊內容，以及已經授權的人員進行內部網絡訪問的行為進行監(jiān)控，因此，對于正常網絡訪問行為導致的網絡資源濫用、敏感信息泄露、違規(guī)操作、文件上傳、下載、刪除等違法操作無能為力，難以實現對網絡行為的在線實時監(jiān)控管理及安全事件的追溯取證。

　　另一方面，由于工業(yè)控制系統(tǒng)采用的控制協議與傳統(tǒng)的網絡高層應用協議不同，具有私有、專用的特點；而且許多工業(yè)控制協議沒有提供保護流量的措施，攻擊者只需訪問網絡并了解協議，即可以在沒有任何阻力的情況下進行網絡攻擊。并且工業(yè)控制系統(tǒng)對環(huán)境適應性具有較高要求，使傳統(tǒng)的網絡審計技術手段不能滿足現階段工業(yè)控制系統(tǒng)網絡安全監(jiān)測的需求。

　　2.2   應用層面分析

　　從業(yè)務應用層面考慮，工業(yè)控制網絡與傳統(tǒng)IT網絡的業(yè)務應用流程、應用方式均不同，如果僅僅基于五元組無法達到預期目的，而是需要從更深層面對業(yè)務進行分析，通過關聯分析的技術手段，發(fā)現針對業(yè)務系統(tǒng)的違規(guī)行為，真正發(fā)現安全事件并進行告警。

　　例如，傳統(tǒng)的審計措施在經過對五元組信息進行審計分析時，發(fā)現某賬戶在某時間段內頻繁查詢核心客戶資料數據庫，從而進行告警，并告知管理員該異常賬戶的行為。但是可能該客戶正在下載客戶資料，屬于正常操作行為，而不是違規(guī)行為。

　　因此要實現類似行為的發(fā)現，光靠協議分析是不夠的。協議分析只能將此類行為對應的零散的數據報文截獲出來，并變成一條條的事件信息。只有找出存在業(yè)務流程中的用戶訪問行為、操作行為等不同行為的規(guī)律和特征，從業(yè)務角度配置訪問控制策略，并且通過對這些事件信息進行關聯分析，才能將其轉化為有意義的事件告警信息。

　　2.3   主機層面分析

　　傳統(tǒng)的安全軟件防范病毒和木馬，主要采用基于特征分析和基于操作行為分析兩種方式。

　　第一種基于特征分析的病毒防范方式，主要是通過提取惡意程序的特征碼，并記錄到病毒庫中，當下次再遇到含有這種特征碼的程序，就可以直接進行查殺?；谔卣鞣治鍪遣闅⒉《竞湍抉R的主要方式，其優(yōu)點是快捷方便，在惡意程序運行之前，就可以進行查殺了。但是其缺點也很明顯，當一個病毒或木馬加殼或者改變加殼方式之后，特征碼會發(fā)生改變，這種方法就不奏效了。

　　第二種基于操作行為的病毒防范方式，主要是通過監(jiān)測行為的動態(tài)性實現惡意程序攔截。例如木馬要修改計算機的注冊表信息，這是一種惡意行為。殺毒軟件在運行的過程中，會監(jiān)視注冊表，在發(fā)現有軟件正在修改注冊表時進行提醒，或者直接進行攔截。基于行為分析的優(yōu)點是能夠通過分析行為，準確地攔截惡意程序，甚至一些新的木馬或病毒，均可以通過這種方式進行查殺。缺點是查殺速度較慢，并且當木馬或病毒一直潛伏著、不運行的時候，就沒辦法進行查殺了。

　　而在工業(yè)控制環(huán)境中，作為“控制大腦”的上位機安裝的應用軟件種類較少，其應用多為工業(yè)特定應用，且出于應用軟件運行角度考慮，上位機往往不會安裝殺毒軟件；或者即使安裝了殺毒軟件，也存在病毒庫、殺毒軟件版本更新不及時等安全問題；另外如果使用傳統(tǒng)的主機惡意代碼檢測工具對工業(yè)主機進行掃描檢測操作，那么工業(yè)主機應用的調用進程執(zhí)行操作方式極有可能被誤判為惡意程序，并被檢測工具加以刪除或隔離，從而影響生產正常進行。所以傳統(tǒng)的惡意代碼防范軟件不適用于工業(yè)控制環(huán)境。

　　綜上所述，傳統(tǒng)的安全防護方式并不適用于工控環(huán)境，在網絡安全威脅越來越嚴重的形勢下，需要應用適用于工業(yè)生產控制環(huán)境的安全防護技術，為工業(yè)控制系統(tǒng)穩(wěn)定運行提供安全保障。

　　3、基于行為分析適用于工業(yè)控制系統(tǒng)信息安全

　　相較于傳統(tǒng)信息系統(tǒng)環(huán)境，工業(yè)控制系統(tǒng)一旦建立，其中的終端設備、控制設備、網絡設備、采集設備等工控設備已經按照提前設計好的規(guī)則集成為一個生產控制環(huán)境，且這個生產控制環(huán)境無論是硬件設備，還是上位機、服務器中安裝的應用軟件在相當長的一段時間內都不會進行變更。

　　以上特點決定了工業(yè)環(huán)境中的業(yè)務邏輯相對固定，基于業(yè)務應用的工業(yè)生產行為及業(yè)務行為也具有比較高的固定模式，因此，我們可以通過對生產業(yè)務及應用流程的深入分析，獲取一個基于應用行為的工業(yè)行為畫像。然后基于行為分析識別越權訪問、工藝參數修改、基于合法路徑合法行為的非法攻擊等異常行為。

　　首先在網絡層面，采用基于行為分析的技術手段，一是可以通過提前設定好的規(guī)則策略來限制網絡數據的交換，并在不同網絡之間以及關鍵系統(tǒng)、設備之間進行動態(tài)的行為判斷，識別網絡中的異常訪問行為；二是可以根據網絡協議和數據報文的行為特征，有效過濾和阻斷網絡中的外來攻擊行為。

　　其次在應用層面，采用基于行為分析的技術手段，可根據業(yè)務構建行為安全基線，識別內部異常、違法操作行為，并對超出安全基線的行為進行報警，避免類似“震網”事件的發(fā)生。

　　最后在主機層面，采用基于行為分析的技術手段，通過詳細記錄用戶的操作行為，可實時監(jiān)控分析應用程序和人工操作的行為規(guī)律，及時發(fā)現主機下線、資源不足、非法應用啟動、惡意篡改及非法外設接入等安全事件，實現對工業(yè)主機的細粒度管控，保障終端設備安全。

　　4、小結

　　基于行為分析的防護手段適用于工業(yè)控制系統(tǒng)環(huán)境，相較于傳統(tǒng)的信息安全技術措施，能夠更好的保障控制系統(tǒng)信息安全。