1、工業(yè)控制系統(tǒng)與IT信息系統(tǒng)的區(qū)別

　　工業(yè)控制系統(tǒng)由控制器、PLC模塊、DCS控制柜、觸摸屏、HMI設(shè)備、通訊卡等硬件，以及SCADA組態(tài)軟件、編程軟件、操作系統(tǒng)軟件等軟件組成，應(yīng)用于工業(yè)現(xiàn)場環(huán)境，用于不同行業(yè)的生產(chǎn)業(yè)務(wù)場景。

　　為滿足工業(yè)企業(yè)日常生產(chǎn)計(jì)劃性、連續(xù)性、高可靠性等業(yè)務(wù)場景要求，工業(yè)控制系統(tǒng)通常具有通信網(wǎng)絡(luò)冗余、運(yùn)行時(shí)間長、設(shè)備老舊、更新?lián)Q代不頻繁等特征，在業(yè)務(wù)流程和運(yùn)行特點(diǎn)上與傳統(tǒng)IT信息系統(tǒng)有很大不同。

　　隨著工業(yè)控制系統(tǒng)開放性越來越強(qiáng)，為達(dá)到工業(yè)控制系統(tǒng)集成和使用的便利性目的，系統(tǒng)網(wǎng)絡(luò)中廣泛應(yīng)用工業(yè)以太環(huán)網(wǎng)、OPC、Modbus、S7等工業(yè)專有通信協(xié)議；同時(shí)在過程控制層面，應(yīng)用了基于商用操作系統(tǒng)或數(shù)據(jù)庫系統(tǒng)的PC服務(wù)器和終端產(chǎn)品，很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客等外來攻擊。

　　IT信息系統(tǒng)中黑客攻擊目標(biāo)多為獲取私密數(shù)據(jù)、個(gè)人信息，而針對(duì)工業(yè)控制系統(tǒng)的攻擊目標(biāo)通常為造成系統(tǒng)宕機(jī)、破壞通信網(wǎng)絡(luò)、修改工藝參數(shù)，引發(fā)安全事故，造成不同規(guī)模的經(jīng)濟(jì)損失或爆炸、人員傷亡等嚴(yán)重后果，甚至摧毀關(guān)鍵信息基礎(chǔ)設(shè)施。

　　工業(yè)控制系統(tǒng)有許多區(qū)別于傳統(tǒng)IT信息系統(tǒng)的特點(diǎn)，面臨不同的安全風(fēng)險(xiǎn)。工業(yè)控制系統(tǒng)與IT信息系統(tǒng)本質(zhì)上的差異，決定了工業(yè)控制系統(tǒng)信息安全建設(shè)與IT信息系統(tǒng)安全建設(shè)的不同。因此必須在符合工業(yè)控制系統(tǒng)本身技術(shù)和環(huán)境具體要求與特點(diǎn)的前提下，以保障生產(chǎn)業(yè)務(wù)連續(xù)性為主要目標(biāo)，開展工業(yè)控制系統(tǒng)信息安全建設(shè)。

　　2、傳統(tǒng)安全防護(hù)方式不適用于工控環(huán)境

　　2.1   網(wǎng)絡(luò)層面分析

　　首先在網(wǎng)絡(luò)方面，防火墻、入侵檢測等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，僅能夠?qū)崿F(xiàn)對(duì)外部入侵及網(wǎng)絡(luò)異常行為的管理和監(jiān)測，但是不能對(duì)網(wǎng)絡(luò)通訊內(nèi)容，以及已經(jīng)授權(quán)的人員進(jìn)行內(nèi)部網(wǎng)絡(luò)訪問的行為進(jìn)行監(jiān)控，因此，對(duì)于正常網(wǎng)絡(luò)訪問行為導(dǎo)致的網(wǎng)絡(luò)資源濫用、敏感信息泄露、違規(guī)操作、文件上傳、下載、刪除等違法操作無能為力，難以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為的在線實(shí)時(shí)監(jiān)控管理及安全事件的追溯取證。

　　另一方面，由于工業(yè)控制系統(tǒng)采用的控制協(xié)議與傳統(tǒng)的網(wǎng)絡(luò)高層應(yīng)用協(xié)議不同，具有私有、專用的特點(diǎn)；而且許多工業(yè)控制協(xié)議沒有提供保護(hù)流量的措施，攻擊者只需訪問網(wǎng)絡(luò)并了解協(xié)議，即可以在沒有任何阻力的情況下進(jìn)行網(wǎng)絡(luò)攻擊。并且工業(yè)控制系統(tǒng)對(duì)環(huán)境適應(yīng)性具有較高要求，使傳統(tǒng)的網(wǎng)絡(luò)審計(jì)技術(shù)手段不能滿足現(xiàn)階段工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測的需求。

　　2.2   應(yīng)用層面分析

　　從業(yè)務(wù)應(yīng)用層面考慮，工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)IT網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用流程、應(yīng)用方式均不同，如果僅僅基于五元組無法達(dá)到預(yù)期目的，而是需要從更深層面對(duì)業(yè)務(wù)進(jìn)行分析，通過關(guān)聯(lián)分析的技術(shù)手段，發(fā)現(xiàn)針對(duì)業(yè)務(wù)系統(tǒng)的違規(guī)行為，真正發(fā)現(xiàn)安全事件并進(jìn)行告警。

　　例如，傳統(tǒng)的審計(jì)措施在經(jīng)過對(duì)五元組信息進(jìn)行審計(jì)分析時(shí)，發(fā)現(xiàn)某賬戶在某時(shí)間段內(nèi)頻繁查詢核心客戶資料數(shù)據(jù)庫，從而進(jìn)行告警，并告知管理員該異常賬戶的行為。但是可能該客戶正在下載客戶資料，屬于正常操作行為，而不是違規(guī)行為。

　　因此要實(shí)現(xiàn)類似行為的發(fā)現(xiàn)，光靠協(xié)議分析是不夠的。協(xié)議分析只能將此類行為對(duì)應(yīng)的零散的數(shù)據(jù)報(bào)文截獲出來，并變成一條條的事件信息。只有找出存在業(yè)務(wù)流程中的用戶訪問行為、操作行為等不同行為的規(guī)律和特征，從業(yè)務(wù)角度配置訪問控制策略，并且通過對(duì)這些事件信息進(jìn)行關(guān)聯(lián)分析，才能將其轉(zhuǎn)化為有意義的事件告警信息。

　　2.3   主機(jī)層面分析

　　傳統(tǒng)的安全軟件防范病毒和木馬，主要采用基于特征分析和基于操作行為分析兩種方式。

　　第一種基于特征分析的病毒防范方式，主要是通過提取惡意程序的特征碼，并記錄到病毒庫中，當(dāng)下次再遇到含有這種特征碼的程序，就可以直接進(jìn)行查殺?；谔卣鞣治鍪遣闅⒉《竞湍抉R的主要方式，其優(yōu)點(diǎn)是快捷方便，在惡意程序運(yùn)行之前，就可以進(jìn)行查殺了。但是其缺點(diǎn)也很明顯，當(dāng)一個(gè)病毒或木馬加殼或者改變加殼方式之后，特征碼會(huì)發(fā)生改變，這種方法就不奏效了。

　　第二種基于操作行為的病毒防范方式，主要是通過監(jiān)測行為的動(dòng)態(tài)性實(shí)現(xiàn)惡意程序攔截。例如木馬要修改計(jì)算機(jī)的注冊(cè)表信息，這是一種惡意行為。殺毒軟件在運(yùn)行的過程中，會(huì)監(jiān)視注冊(cè)表，在發(fā)現(xiàn)有軟件正在修改注冊(cè)表時(shí)進(jìn)行提醒，或者直接進(jìn)行攔截。基于行為分析的優(yōu)點(diǎn)是能夠通過分析行為，準(zhǔn)確地?cái)r截惡意程序，甚至一些新的木馬或病毒，均可以通過這種方式進(jìn)行查殺。缺點(diǎn)是查殺速度較慢，并且當(dāng)木馬或病毒一直潛伏著、不運(yùn)行的時(shí)候，就沒辦法進(jìn)行查殺了。

　　而在工業(yè)控制環(huán)境中，作為“控制大腦”的上位機(jī)安裝的應(yīng)用軟件種類較少，其應(yīng)用多為工業(yè)特定應(yīng)用，且出于應(yīng)用軟件運(yùn)行角度考慮，上位機(jī)往往不會(huì)安裝殺毒軟件；或者即使安裝了殺毒軟件，也存在病毒庫、殺毒軟件版本更新不及時(shí)等安全問題；另外如果使用傳統(tǒng)的主機(jī)惡意代碼檢測工具對(duì)工業(yè)主機(jī)進(jìn)行掃描檢測操作，那么工業(yè)主機(jī)應(yīng)用的調(diào)用進(jìn)程執(zhí)行操作方式極有可能被誤判為惡意程序，并被檢測工具加以刪除或隔離，從而影響生產(chǎn)正常進(jìn)行。所以傳統(tǒng)的惡意代碼防范軟件不適用于工業(yè)控制環(huán)境。

　　綜上所述，傳統(tǒng)的安全防護(hù)方式并不適用于工控環(huán)境，在網(wǎng)絡(luò)安全威脅越來越嚴(yán)重的形勢下，需要應(yīng)用適用于工業(yè)生產(chǎn)控制環(huán)境的安全防護(hù)技術(shù)，為工業(yè)控制系統(tǒng)穩(wěn)定運(yùn)行提供安全保障。

　　3、基于行為分析適用于工業(yè)控制系統(tǒng)信息安全

　　相較于傳統(tǒng)信息系統(tǒng)環(huán)境，工業(yè)控制系統(tǒng)一旦建立，其中的終端設(shè)備、控制設(shè)備、網(wǎng)絡(luò)設(shè)備、采集設(shè)備等工控設(shè)備已經(jīng)按照提前設(shè)計(jì)好的規(guī)則集成為一個(gè)生產(chǎn)控制環(huán)境，且這個(gè)生產(chǎn)控制環(huán)境無論是硬件設(shè)備，還是上位機(jī)、服務(wù)器中安裝的應(yīng)用軟件在相當(dāng)長的一段時(shí)間內(nèi)都不會(huì)進(jìn)行變更。

　　以上特點(diǎn)決定了工業(yè)環(huán)境中的業(yè)務(wù)邏輯相對(duì)固定，基于業(yè)務(wù)應(yīng)用的工業(yè)生產(chǎn)行為及業(yè)務(wù)行為也具有比較高的固定模式，因此，我們可以通過對(duì)生產(chǎn)業(yè)務(wù)及應(yīng)用流程的深入分析，獲取一個(gè)基于應(yīng)用行為的工業(yè)行為畫像。然后基于行為分析識(shí)別越權(quán)訪問、工藝參數(shù)修改、基于合法路徑合法行為的非法攻擊等異常行為。

　　首先在網(wǎng)絡(luò)層面，采用基于行為分析的技術(shù)手段，一是可以通過提前設(shè)定好的規(guī)則策略來限制網(wǎng)絡(luò)數(shù)據(jù)的交換，并在不同網(wǎng)絡(luò)之間以及關(guān)鍵系統(tǒng)、設(shè)備之間進(jìn)行動(dòng)態(tài)的行為判斷，識(shí)別網(wǎng)絡(luò)中的異常訪問行為；二是可以根據(jù)網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)報(bào)文的行為特征，有效過濾和阻斷網(wǎng)絡(luò)中的外來攻擊行為。

　　其次在應(yīng)用層面，采用基于行為分析的技術(shù)手段，可根據(jù)業(yè)務(wù)構(gòu)建行為安全基線，識(shí)別內(nèi)部異常、違法操作行為，并對(duì)超出安全基線的行為進(jìn)行報(bào)警，避免類似“震網(wǎng)”事件的發(fā)生。

　　最后在主機(jī)層面，采用基于行為分析的技術(shù)手段，通過詳細(xì)記錄用戶的操作行為，可實(shí)時(shí)監(jiān)控分析應(yīng)用程序和人工操作的行為規(guī)律，及時(shí)發(fā)現(xiàn)主機(jī)下線、資源不足、非法應(yīng)用啟動(dòng)、惡意篡改及非法外設(shè)接入等安全事件，實(shí)現(xiàn)對(duì)工業(yè)主機(jī)的細(xì)粒度管控，保障終端設(shè)備安全。

　　4、小結(jié)

　　基于行為分析的防護(hù)手段適用于工業(yè)控制系統(tǒng)環(huán)境，相較于傳統(tǒng)的信息安全技術(shù)措施，能夠更好的保障控制系統(tǒng)信息安全。