截至到2010年10月，全球已有約45000個(gè)網(wǎng)絡(luò)感染Stuxnet“超級(jí)工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長(zhǎng)近10倍，涉及西門(mén)子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。工廠車(chē)間信息安全面臨越來(lái)越多的挑戰(zhàn)，加強(qiáng)工廠網(wǎng)絡(luò)信息安全的防護(hù)已經(jīng)刻不容緩。

       信息安全對(duì)于保障企業(yè)關(guān)鍵業(yè)務(wù)的運(yùn)行非常重要，因此也越來(lái)越得到企業(yè)的重視。目前大部分的企業(yè)內(nèi)部都建立了信息安全的防護(hù)機(jī)制，尤其是在病毒防護(hù)上，眾多企業(yè)都異常的重視。但是，目前的病毒防護(hù)大部分企業(yè)都只注重辦公網(wǎng)的防護(hù)，幾乎很少企業(yè)涉及到對(duì)于工業(yè)網(wǎng)絡(luò)的病毒防護(hù)。因?yàn)橥ǔＮ覀冋J(rèn)為，計(jì)算機(jī)病毒無(wú)法影響到工控機(jī)的運(yùn)行，因?yàn)榇蟛糠植《臼腔趙indows平臺(tái)運(yùn)行的。但是，在2010年震網(wǎng)(Stuxnet)病毒誕生改變了這一現(xiàn)實(shí)。這種復(fù)雜的電腦病毒將惡意軟件作為一種網(wǎng)絡(luò)武器來(lái)使用，通過(guò)USB和其他機(jī)制傳播，可以影響特定工業(yè)控制系統(tǒng)的運(yùn)行。

        隨著工業(yè)自動(dòng)化程度的提高，在享受IT技術(shù)帶來(lái)的益處的同時(shí)，針對(duì)工業(yè)控制網(wǎng)絡(luò)的安全威脅也在與日俱增控制工程網(wǎng)版權(quán)所有，工控機(jī)所受威脅也越來(lái)越大。據(jù)國(guó)家信息安全漏洞庫(kù)公開(kāi)數(shù)據(jù)表明，2011年CNVD(China National Vulnerability Database)收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長(zhǎng)近10倍，涉及西門(mén)子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。面對(duì)成倍增長(zhǎng)針對(duì)工業(yè)控制系統(tǒng)的病毒，未來(lái)，工業(yè)網(wǎng)絡(luò)信息安全會(huì)面臨越來(lái)越多的挑戰(zhàn)，工業(yè)網(wǎng)絡(luò)信息安全防護(hù)已經(jīng)到了刻不容緩的地步了。

         一、Stuxnet病毒的新警示

         導(dǎo)語(yǔ)：截至到2010年10月，全球已有約45000個(gè)網(wǎng)絡(luò)感染Stuxnet“超級(jí)工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長(zhǎng)近10倍，涉及西門(mén)子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。工廠車(chē)間信息安全面臨越來(lái)越多的挑戰(zhàn)，加強(qiáng)工廠網(wǎng)絡(luò)信息安全的防護(hù)已經(jīng)刻不容緩。Stuxnet是一種計(jì)算機(jī)蠕蟲(chóng)病毒，通過(guò)Windows操作系統(tǒng)此前不為人知的的漏洞感染計(jì)算機(jī)，同時(shí)該病毒針對(duì)具有西門(mén)子WINCC平臺(tái)的控制系統(tǒng)以及Step7文件進(jìn)行攻擊，由于該病毒能夠修改WINCC平臺(tái)數(shù)據(jù)庫(kù)變量，在Step7程序中插入代碼以及功能塊，即能夠?qū)刂葡到y(tǒng)發(fā)動(dòng)攻擊控制工程網(wǎng)版權(quán)所有，故部分專(zhuān)家定義Stuxnet為“超級(jí)工廠病毒”。這個(gè)病毒，目前已經(jīng)對(duì)伊朗國(guó)內(nèi)工業(yè)控制系統(tǒng)產(chǎn)生極大影響，截至到2010年10月，全球已有約45000個(gè)網(wǎng)絡(luò)被該蠕蟲(chóng)感染。西門(mén)子WINCC平臺(tái)在我國(guó)的多個(gè)重要行業(yè)應(yīng)用廣泛，被用來(lái)進(jìn)行鋼鐵、電力、能源、化工等重要行業(yè)的人機(jī)交互與監(jiān)控，一旦攻擊成功，則可能造成使用這些企業(yè)運(yùn)行異常，甚至造成商業(yè)資料失竊、停工停產(chǎn)等嚴(yán)重事故。

        Stuxnet病毒主要通過(guò)U盤(pán)和局域網(wǎng)進(jìn)行傳播，由于安裝SIMATIC WinCC系統(tǒng)的電腦一般會(huì)與互聯(lián)網(wǎng)物理隔絕，因此黑客特意強(qiáng)化了病毒的U盤(pán)傳播能力。如果企業(yè)沒(méi)有針對(duì)U盤(pán)等可移動(dòng)設(shè)備進(jìn)行嚴(yán)格管理，導(dǎo)致有人在局域網(wǎng)內(nèi)使用了帶毒U盤(pán)，則整個(gè)網(wǎng)絡(luò)都會(huì)被感染。因此，為了保證工廠信息安全，避免類(lèi)似Stuxnet病毒的傳播，必須加強(qiáng)工廠信息安全體系及架構(gòu)的建設(shè)。

        二、工廠信息安全的定義

        導(dǎo)語(yǔ)：工廠信息安全防護(hù)包括：保護(hù)在工廠車(chē)間中廣泛使用的如，工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過(guò)程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運(yùn)行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務(wù)。

        對(duì)于工廠信息安全，目前還沒(méi)有一個(gè)公認(rèn)、統(tǒng)一的定義，但是目前對(duì)于信息安全，已經(jīng)有較為統(tǒng)一的認(rèn)識(shí)。信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認(rèn)證、訪問(wèn)控制，不能有非法軟件駐留，不能有非法操作。工廠的信息安全就是應(yīng)該對(duì)工廠車(chē)間內(nèi)部的系統(tǒng)及終端設(shè)備進(jìn)行安全防護(hù)。根據(jù)工廠內(nèi)部所涉及的終端設(shè)備及系統(tǒng)，工廠信息安全包括：保護(hù)在工廠車(chē)間中廣泛使用的如，工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過(guò)程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運(yùn)行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務(wù)。工廠信息安全涉及邊界如圖1所示。

        MES系統(tǒng)的防護(hù)相對(duì)特殊，既要直接采集來(lái)源于生產(chǎn)現(xiàn)場(chǎng)的數(shù)據(jù)，同工廠生產(chǎn)車(chē)間中的各項(xiàng)終端設(shè)備都會(huì)進(jìn)行直接的數(shù)據(jù)交互，而且也要同上層的ERP系統(tǒng)進(jìn)行通訊，因此MES系統(tǒng)在大多數(shù)企業(yè)中，為了方便與ERP系統(tǒng)之間的數(shù)據(jù)交互與員工訪問(wèn)，通常會(huì)劃分在辦公網(wǎng)的安全防護(hù)體系中。但是，實(shí)際上由于MES系統(tǒng)能夠直接對(duì)工業(yè)控制系統(tǒng)進(jìn)行訪問(wèn)，因此，對(duì)于MES系統(tǒng)的防護(hù)應(yīng)該提升其系統(tǒng)防護(hù)級(jí)別，將MES系統(tǒng)與辦公網(wǎng)進(jìn)行隔離。工廠信息安全中最為基礎(chǔ)的部分就是工業(yè)以太網(wǎng)，所以工業(yè)以太網(wǎng)網(wǎng)絡(luò)首先得必須保證7*24*365天的可用性，必須能夠不間斷的可操作，能夠確保系統(tǒng)的可訪問(wèn)性，數(shù)據(jù)能夠?qū)崟r(shí)進(jìn)行傳輸，需要有完備的保護(hù)方案。工業(yè)以太網(wǎng)與普通辦公網(wǎng)具體區(qū)別如下表所示：

                                                                                      表1 工業(yè)以太網(wǎng)與普通辦公網(wǎng)對(duì)比

        工廠信息安全的所帶來(lái)的風(fēng)險(xiǎn)十分廣泛，大致的威脅級(jí)別可以分為：未授權(quán)訪問(wèn)、數(shù)據(jù)竊取、數(shù)據(jù)篡改、病毒破壞工廠導(dǎo)致停產(chǎn)、破壞工廠導(dǎo)致事故。

        1. 未授權(quán)訪問(wèn)未授權(quán)訪問(wèn)是指，未經(jīng)授權(quán)使用網(wǎng)絡(luò)或未授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、文件的一種行為。主要包括非法進(jìn)入系統(tǒng)或網(wǎng)絡(luò)后進(jìn)行操作的行為。

       2.數(shù)據(jù)竊取通過(guò)未授權(quán)的訪問(wèn)、網(wǎng)絡(luò)監(jiān)聽(tīng)等非法手段獲取到有價(jià)值的信息或數(shù)據(jù)。

       3. 數(shù)據(jù)篡改據(jù)篡改即是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行修改、增加或刪除，造成數(shù)據(jù)破壞。

       4.破壞工廠導(dǎo)致停產(chǎn)通過(guò)病毒或其他攻擊手段對(duì)包括PLC、DCS在內(nèi)的工業(yè)控制系統(tǒng)進(jìn)行攻擊，導(dǎo)致其無(wú)法正常工作從而影響企業(yè)的正常生產(chǎn)。

       5. 破壞工廠導(dǎo)致事故通過(guò)破壞工業(yè)控制系統(tǒng)的正常運(yùn)作，導(dǎo)致控制無(wú)法正常讀取諸如溫度、轉(zhuǎn)速等及時(shí)信息導(dǎo)致控制系統(tǒng)發(fā)出錯(cuò)誤指令而導(dǎo)致的工廠事故。

        三、工廠信息安全五層四區(qū)域的防護(hù)體系

        對(duì)于工廠信息安全，僅靠傳統(tǒng)的殺毒軟件進(jìn)行防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。只有一套完善的網(wǎng)絡(luò)體系架構(gòu)，才能真正的對(duì)于工廠信息安全進(jìn)行防御。工廠信息安全的建設(shè)應(yīng)該采用五層防御體系進(jìn)行構(gòu)建，嚴(yán)格的對(duì)區(qū)域進(jìn)行劃分。

       第一道防線：商業(yè)(IT)防火墻，目前幾乎所有的企業(yè)都有這一層的防護(hù)。此層的目的是將內(nèi)部網(wǎng)和Internet網(wǎng)分開(kāi)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。通過(guò)此層的防御，可以過(guò)濾掉絕大多數(shù)的網(wǎng)絡(luò)攻擊。入侵者如果穿越防火墻，首先到達(dá)的就是辦公網(wǎng)絡(luò)的DMZ區(qū)域。但是辦公網(wǎng)絡(luò)的DMZ區(qū)域是不會(huì)涉及到工廠車(chē)間網(wǎng)絡(luò)的任何服務(wù)器，所以，對(duì)于工廠信息的安全起到了最初級(jí)的防護(hù)作用。

第二道防線：抵御多種威脅的安全網(wǎng)關(guān)CONTROL ENGINEERING China版權(quán)所有，安全網(wǎng)關(guān)的防護(hù)嚴(yán)格程度較第一