工控指的是工業(yè)自動化控制，主要利用電子電氣、機械、軟件組合實現(xiàn)。即是工業(yè)控制（Factory control），或者是工廠自動化控制（Factory Automation control）。主要是指使用計算機技術(shù)，微電子技術(shù)，電氣手段，使工廠的生產(chǎn)和制造過程更加自動化、效率化、精確化，并具有可控性及可視性。

　　工業(yè)控制（工控）：工控的作用？

　　工控技術(shù)的出現(xiàn)和推廣帶來了第三次工業(yè)革命，使工廠的生產(chǎn)速度和效率提高了300%以上。20世紀80年代初，隨著改革開放的春風，國外先進的工控技術(shù)進入中國大陸，比較廣泛使用的工業(yè)控制產(chǎn)品有“PLC，變頻器，伺服電機，工控機”等。這些產(chǎn)品和技術(shù)大力推動了中國的制造業(yè)自動化進程，為中國現(xiàn)代化的建設(shè)作出了巨大的貢獻。工控主要核心領(lǐng)域是在大型電站，航空航天，水壩建造，工業(yè)溫控加熱，陶瓷領(lǐng)域有著不可替代的優(yōu)勢。例如：電站電網(wǎng)的實時監(jiān)控需要采集大量的數(shù)據(jù)值，并進行綜合處理，工控技術(shù)的介入方便處理了大量的信息。工控出現(xiàn)完善了制造業(yè)和建造業(yè)的安全和精準，解決原本需要的溫度、壓力、氣體流量、液體流量等工業(yè)需要。在原本需要半自動化與手動化工作演變自動化進行，包括常見的空氣開關(guān)、壓力器、流量表等。工控工作原理：比如空氣開關(guān)的功率控制，當使用電器其功率過大，內(nèi)部機械原理開始運行導致開關(guān)自動斷開，以此保障工業(yè)或建筑安全用電和準確尋找短路源。

　　工業(yè)控制（工控）：工控系統(tǒng)有哪些？

　　一類組態(tài)軟件，如WinCC、組態(tài)王、InTouch、Ifix 等，功能強，組態(tài)方便，但有點數(shù)限制，靈活性差、價格高。二類自主開發(fā)工控軟件，可使用高級語言，如C++， .net 等。靈活性高，但工作量大，需要專業(yè)軟件開發(fā)人員。

　　工業(yè)自動化控制領(lǐng)域常見的組態(tài)軟件有：InTouch、iFix、Citech、WinCC、組態(tài)王、Controx開物、ForceControl、GE的Cimplicity、RSView Supervisory Edition、Lookout、Wizcon、MCGS等。1、InTouch：Wonderware的InTouch軟件是最早進入我國的組態(tài)軟件。在80年代末、90年代初，基于Windows3.1的InTouch軟件曾讓我們耳目一新，并且InTouch提供了豐富的圖庫。但是，早期的InTouch軟件采用DDE方式與驅(qū)動程序通信，性能較差，最新的InTouch7.0版已經(jīng)完全基于32位的Windows平臺，并且提供了OPC支持。

　　互聯(lián)網(wǎng)是個神奇的大網(wǎng)，工業(yè)控制軟件組態(tài)軟件和大數(shù)據(jù)開發(fā)和軟件定制也是一種模式，這里提供最詳細的報價，如果真的想做，可以來這里，這個手技的開始數(shù)字是一八七中間的是三兒零最后的是一四二五零，按照順序組合起來就可以找到，想說的是，除非想做或者了解這方面的內(nèi)容，如果只是湊熱鬧的話，就不要來了。2、iFix：Intellution公司以Fix組態(tài)軟件起家，1995年被愛默生收購，現(xiàn)在是愛默生集團的全資子公司，F(xiàn)ix6.x軟件提供工控人員熟悉的概念和操作界面，并提供完備的驅(qū)動程序（需單獨購買）。

　　Intellution將自己最新的產(chǎn)品系列命名為iFiX，在iFiX中，Intellution提供了強大的組態(tài)功能，但新版本與以往的6.x版本并不完全兼容。原有的Script語言改為VBA（Visual Basic For Application），并且在內(nèi)部集成了微軟的VBA開發(fā)環(huán)境。遺憾的是，Intellution并沒有提供6.1版腳本語言到VBA的轉(zhuǎn)換工具。在iFiX中，Intellution的產(chǎn)品與Microsoft的操作系統(tǒng)、網(wǎng)絡(luò)進行了緊密的集成。Intellution也是OPC（OLE for Process Control）組織的發(fā)起成員之一。iFiX的OPC組件和驅(qū)動程序同樣需要單獨購買。

　　3、Citech：CiT公司的Citech也是較早進入中國市場的產(chǎn)品。Citech具有簡潔的操作方式，但其操作方式更多的是面向程序員，而不是工控用戶。Citech提供了類似C語言的腳本語言進行二次開發(fā)，但與iFix不同的是，Citech的腳本語言并非是面向?qū)ο蟮模穷愃朴贑語言，這無疑為用戶進行二次開發(fā)增加了難度。

　　4、WinCC：Simens的WinCC也是一套完備的組態(tài)開發(fā)環(huán)境，Simens提供類C語言的腳本，包括一個調(diào)試環(huán)境。WinCC內(nèi)嵌OPC支持，并可對分布式系統(tǒng)進行組態(tài)。但WinCC的結(jié)構(gòu)較復雜，用戶最好經(jīng)過Simens的培訓以掌握WinCC的應用。5、組態(tài)王：組態(tài)王是國內(nèi)第一家較有影響的組態(tài)軟件開發(fā)公司（更早的品牌多數(shù)已經(jīng)湮滅）。組態(tài)王提供了資源管理器式的操作主界面，并且提供了以漢字作為關(guān)鍵字的腳本語言支持。組態(tài)王也提供多種硬件驅(qū)動程序。

　　6、Controx（開物）：華富計算機公司的Controx2000是全32位的組態(tài)開發(fā)平臺，為工控用戶提供了強大的實時曲線、歷史曲線、報警、數(shù)據(jù)報表及報告功能。作為國內(nèi)最早加入OPC組織的軟件開發(fā)商，Controx內(nèi)建O［工業(yè)電器網(wǎng)-cnelc］PC支持，并提供數(shù)十種高性能驅(qū)動程序。提供面向?qū)ο蟮哪_本語言編譯器，支持ActiveX組件和插件的即插即用，并支持通過ODBC連接外部數(shù)據(jù)庫。Controx同時提供網(wǎng)絡(luò)支持和WevServer功能。

　　7、ForceControl（力控）：大慶三維公司的ForceControl（力控）從時間概念上來說，力控也是國內(nèi)較早就已經(jīng)出現(xiàn)的組態(tài)軟件之一。只是因為早期力控一直沒有作為正式商品廣泛推廣，所以并不為大多數(shù)人所知。大約在93年左右，力控就已形成了第一個版本，只是那時還是一個基于DOS和VMS的版本。后來隨著Windows3.1的流行，又開發(fā)出了16位Windows版的力控。但直至Windows95版本的力控誕生之前，他主要用于公司內(nèi)部的一些項目。32位下的1.0版的力控，在體系結(jié)構(gòu)上就已經(jīng)具備了較為明顯的先進性，其最大的特征之一就是其基于真正意義的分布式實時數(shù)據(jù)庫的三層結(jié)構(gòu)，而且其實時數(shù)據(jù)庫結(jié)構(gòu)可為可組態(tài)的活結(jié)構(gòu)。在1999~2000年期間，力控得到了長足的發(fā)展，最新推出的2.0版在功能的豐富特性、易用性、開放性和I/O驅(qū)動數(shù)量，都得到了很大的提高。在很多環(huán)節(jié)的設(shè)計上，力控都能從國內(nèi)用戶的角度出發(fā)，即注重實用性，又不失大軟件的規(guī)范。另外，公司在產(chǎn)品的培訓、用戶技術(shù)支持等方面投入了較大人力，相信在較短時間內(nèi)，力控軟件產(chǎn)品將在工控軟件界形成巨大的沖擊。

　　8、GE的Cimplicity9、RSView Supervisory Edition是羅克韋爾自動化發(fā)布的，基于Windows2000操作系統(tǒng)的人機界面軟件，它用于監(jiān)視，控制并獲得全企業(yè)內(nèi)所有的生產(chǎn)操作的數(shù)據(jù)。

　　10、NI Lookout是市場上最為易用的工控組態(tài)軟件！運用Lookout，可以很方便地實現(xiàn)對工業(yè)過程的監(jiān)控和數(shù)據(jù)采集。Lookout支持數(shù)十種PLC的通信協(xié)議，比如Modbus，AB和Siemens等等。Lookout同樣支持OPC通信。Lookout還可以同NI的硬件產(chǎn)品FieldPoint無縫集成。文件較大，僅適合寬。

　　11、Wizcon是一個先進的SCADA應用開發(fā)工具，系統(tǒng)集成商運用它可以建立各種工業(yè)領(lǐng)域的高級應用。Wizcon的十分便捷的圖形用戶接口，出眾的HMI功能，Internet訪問，由淺入深的開發(fā)過程，以及全廠范圍的集成能力等特點使它成為工廠自動化最通用的SCADA系統(tǒng)，Wizcon使得企業(yè)內(nèi)部底層和其他部門建立聯(lián)系，操作人員的工廠管理者都可以看到各種數(shù)據(jù)。管理人員可以在辦公室用熟悉的操作環(huán)境和查詢工具獲取實時數(shù)據(jù)。實際上，作為一個開放的系統(tǒng)，Wizcon允許用戶將不同的硬件和軟件結(jié)合在一起構(gòu)成完整的自動化解決方案以保護現(xiàn)有投資，提高生產(chǎn)率和產(chǎn)品質(zhì)量。

　　12、MCGS（Monitor and Control Generated System）是組態(tài)軟件是通態(tài)軟件公司開發(fā)的，一套基于Windows平臺的，用于快速構(gòu)造和生成上位機監(jiān)控系統(tǒng)的組態(tài)軟件系統(tǒng)，可運行于Microsoft Windows 95/98/Me/NT/2000等操作系統(tǒng)。

　　工業(yè)工業(yè)控制系統(tǒng)在過程生產(chǎn)、電力設(shè)施、水力油氣和運輸?shù)阮I(lǐng)域有著廣泛的應用。傳統(tǒng)控制系統(tǒng)的安全性主要依賴于其技術(shù)的隱秘性，幾乎未采取任何安全措施。隨著企業(yè)管理層對生產(chǎn)過程數(shù)據(jù)的日益關(guān)注，工業(yè)控制系統(tǒng)越來越多地采用開放lnternet技術(shù)實現(xiàn)與企業(yè)網(wǎng)的互連。目前，大多數(shù)工業(yè)通信系統(tǒng)在商用操作系統(tǒng)的基礎(chǔ)上開發(fā)協(xié)議，通信應用中存在很多漏洞。在工業(yè)控制系統(tǒng)與Internet或其他公共網(wǎng)絡(luò)互連時，這些漏洞將會暴露給潛在攻擊者。此外，工業(yè)控制系統(tǒng)多用于控制關(guān)鍵基礎(chǔ)措施，攻擊者出于政治目的或經(jīng)濟目的會主動向其發(fā)起攻擊，以期造成嚴重后果。例如，2010年，“震網(wǎng)”病毒席卷全球，伊朗布什爾核電站因遭此攻擊延期運行。因此，近年來，工業(yè)控制系統(tǒng)的信息安全問題成為一個廣泛關(guān)注的熱點問題。

　　工業(yè)控制（工控）：工控系統(tǒng)的安全性與漏洞分析：

　　本文主要首先結(jié)合工業(yè)控制系統(tǒng)的特點，分析控制系統(tǒng)的要求及其面臨的威脅和攻擊，其次結(jié)合相關(guān)標準，從網(wǎng)絡(luò)防護角度介紹了目前的信息安全解決思路，并介紹了相關(guān)的研究趨勢，包括安全通信協(xié)議和安全控制器。

　　1、工業(yè)控制系統(tǒng)的信息安全分析

　　1.1工業(yè)控制系統(tǒng)概述

　　工業(yè)控制系統(tǒng)是以計算機為基本組件，用于監(jiān)測和控制物理過程的系統(tǒng)。這類系統(tǒng)包含了大部分網(wǎng)絡(luò)系統(tǒng)與物理系統(tǒng)連接的網(wǎng)絡(luò)化系統(tǒng)。根據(jù)其應用范圍，控制系統(tǒng)又可分為過程控制系統(tǒng)（PCS），監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA），或網(wǎng)絡(luò)一物理系統(tǒng)（CPS）。

　　控制系統(tǒng)通常由一系列網(wǎng)絡(luò)設(shè)備構(gòu)成，包括：傳感器、執(zhí)行器、過程控制單元和通信設(shè)備?？刂葡到y(tǒng)通常采用分層結(jié)構(gòu)，典型的控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，第一層為安裝有傳感器和執(zhí)行器等現(xiàn)場設(shè)備的物理設(shè)施，現(xiàn)場設(shè)備通過現(xiàn)場總線網(wǎng)絡(luò)與可編程邏輯控制器（PLC）或遠程終端設(shè)備（RTU）連接，PLC或RTU設(shè)備負責實現(xiàn)局域控制功能。第二層為控制網(wǎng)絡(luò)，主要負責過程控制器和操作員站之間的實時數(shù)據(jù)傳輸。操作員站用于區(qū)域監(jiān)控和設(shè)置物理設(shè)施的設(shè)定值。第三層為企業(yè)網(wǎng)，企業(yè)工作站負責生產(chǎn)控制，過程優(yōu)化和過程日志記錄。

　　根據(jù)控制系統(tǒng)的應用特性，可以分為安全相關(guān)的應用和非安全相關(guān)的應用。安全相關(guān)的應用一旦失效，可能會造成受控制的物理系統(tǒng)發(fā)生不可恢復的破壞。如果這類控制系統(tǒng)遭受破壞，將會對公共健康和安全產(chǎn)生重大影響，并導致經(jīng)濟損失。

　　1.2工業(yè)控制系統(tǒng)的安全要求

　　傳統(tǒng)IT信息安全的技術(shù)相對成熟，但由于其應用場景與控制系統(tǒng)存在許多不同之處，因此，不能直接應用于控制系統(tǒng)的信息安全保護。本節(jié)主要針對控制系統(tǒng)與傳統(tǒng)IT信息安全的區(qū)別，分析控制系統(tǒng)信息安全的特有屬性，并提出控制系統(tǒng)面臨的新的挑戰(zhàn)。

　　控制系統(tǒng)的特點之一在于對可用性的要求。因此，傳統(tǒng)信息安全的軟件補丁方式和系統(tǒng)更新頻率對于控制系統(tǒng)不再適用。例如，控制系統(tǒng)的系統(tǒng)升級需要提前幾個月進行計劃，并且更新時需要將系統(tǒng)設(shè)為離線狀態(tài)。而且，在工業(yè)應用環(huán)境下，停機更新系統(tǒng)的經(jīng)濟成本很高。此外，有些系統(tǒng)補丁還可能違反控制系統(tǒng)的規(guī)則設(shè)定。例如，2008年3月7日，某核電站突然停機，原因是系統(tǒng)中的一臺監(jiān)視工廠數(shù)據(jù)的計算機在軟件更新后重啟。計算機重啟后將控制系統(tǒng)中的數(shù)據(jù)重置為默認值，導致安全系統(tǒng)認為用于給核燃料棒降溫的水溫下降。

　　控制系統(tǒng)的另一個特點在于對實時性的要求川?？刂葡到y(tǒng)的主要任務(wù)是對生產(chǎn)過程自動做出實時的判斷與決策。盡管傳統(tǒng)信息安全對可用性的研究很多，但實時可用性需要提供更為嚴格的操作環(huán)境。例如，傳統(tǒng)IT系統(tǒng)中經(jīng)常采用握手協(xié)議和加密等措施增強安全性，而在控制系統(tǒng)中，增加安全措施可能會嚴重影響系統(tǒng)的響應能力，因此不能將傳統(tǒng)信息安全技術(shù)直接應用于控制系統(tǒng)中。為了保證控制系統(tǒng)具備更強的安全性，控制網(wǎng)絡(luò)需要實現(xiàn)相關(guān)安全機制和標準，這就要求網(wǎng)絡(luò)滿足一定的性能要求。

　　除了以上兩個特點，控制系統(tǒng)與傳統(tǒng)IT信息系統(tǒng)的最大區(qū)別在于控制系統(tǒng)與物理世界存在交互關(guān)系?？偟恼f來，信息安全中的許多技術(shù)措施和設(shè)計準則相對成熟，如認證，訪問控制，消息完整性，最小權(quán)限等。利用這些成熟的技術(shù)可以幫助我們防御針對控制系統(tǒng)的攻擊。但是，計算機安全主要考慮信息的保護，對于攻擊如何影響物理世界并沒有研究。而且，工業(yè)控制系統(tǒng)的資源有限，生命周期長，不能直接移植傳統(tǒng)IT的信息安全技術(shù)。因此，雖然目前的信息安全工具可以為控制系統(tǒng)提供必要的防御機制，但僅僅依靠這些機制，無法為控制系統(tǒng)提供充分的深度保護。

　　當然，與傳統(tǒng)IT系統(tǒng)相比，控制系統(tǒng)也存在更易操作的特點，為設(shè)計系統(tǒng)安全機制提供了便利?？刂葡到y(tǒng)的網(wǎng)絡(luò)動態(tài)特性更為簡單，具有服務(wù)器變動少、網(wǎng)絡(luò)拓撲固定、用戶人群固定、通信類型固定、使用的通信協(xié)議少等特點。

　　1.3工業(yè)控制系統(tǒng)的威脅

　　工業(yè)控制系統(tǒng)面臨的威脅可以分為兩種：系統(tǒng)相關(guān)的威脅和過程相關(guān)的威脅。典型的系統(tǒng)相關(guān)威脅和過程相關(guān)威脅如表1所示。

　　系統(tǒng)相關(guān)的威脅是指由于軟件漏洞所造成的威脅?？刂葡到y(tǒng)從廣義上是一種信息系統(tǒng)，會受到系統(tǒng)相關(guān)的威脅，如協(xié)議實現(xiàn)漏洞、操作系統(tǒng)漏洞等。在控制系統(tǒng)安全項目CCSP2009報告中，通過CSSP安全評估，將一般控制系統(tǒng)的系統(tǒng)相關(guān)威脅分為九種類型。表2列舉了這九種安全問題。

　　過程相關(guān)的威脅是指工業(yè)控制系統(tǒng)在生產(chǎn)過程遭受的攻擊。這種攻擊利用過程控制的特點，攻擊者非法獲取用戶訪問權(quán)限后，發(fā)布合法的工業(yè)控制系統(tǒng)命令，導致工業(yè)過程的故障。基于工業(yè)控制系統(tǒng)用戶與工業(yè)過程的交互點，可以將過程相關(guān)的威脅分為兩類：①影響現(xiàn)場設(shè)備的訪問控制的威脅;②影響中央控制臺的威脅。前者通常發(fā)送錯誤的現(xiàn)場數(shù)據(jù)到控制系統(tǒng)狀態(tài)監(jiān)測中心，從而導致系統(tǒng)狀態(tài)分析出現(xiàn)錯誤。后者通常在中央控制臺執(zhí)行合法的命令，但該命令對生產(chǎn)過程而言不合理，將對生產(chǎn)或設(shè)備產(chǎn)生負面影響。

　　控制系統(tǒng)的漏洞一旦被攻擊者利用，會遭受不同類型的攻擊，具體的攻擊形式可以分為：

　　1）欺騙攻擊：在通信過程中偽裝成某個合法設(shè)備。例如，使用一個偽造的網(wǎng)絡(luò)源地址。

　　2）拒絕式服務(wù)攻擊：系統(tǒng)中任意資源的不可用。例如，設(shè)備因忙于應答大量的惡意流量而無法響應其他消息等。

　　3）中間人攻擊：攻擊者從通信的一端攔截所有消息，修改消息后再轉(zhuǎn)發(fā)到終端接收設(shè)備。

　　4）重播攻擊：重復發(fā)送某個過時的消息，如用戶認證或命令等。

　　2、工業(yè)控制系統(tǒng)的信息安全解決思路

　　為了防止工業(yè)控制系統(tǒng)在通信過程中遭受上述各種威脅與攻擊，需要使用多層安全措施完成對系統(tǒng)的保護。本文將以現(xiàn)有的研究成果為基礎(chǔ)，從網(wǎng)絡(luò)邊界防護、安全協(xié)議和安全控制器方面，介紹控制系統(tǒng)信息安全解決思路。

　　2.1網(wǎng)絡(luò)邊界防護

　　上文所述工業(yè)控制系統(tǒng)的系統(tǒng)威脅，一方面是由于系統(tǒng)采用傳統(tǒng)IT技術(shù)，如操作系統(tǒng)、Web服務(wù)器、郵箱的漏洞等造成，另一方面控制系統(tǒng)與企業(yè)網(wǎng)實現(xiàn)互連，暴露于公共網(wǎng)絡(luò)之中，面臨更多的攻擊。因此，為了保證工業(yè)控制系統(tǒng)的安全性，首先需要增強網(wǎng)絡(luò)邊界的防護，以降低由企業(yè)網(wǎng)引入的威脅風險。標準SP800-82《工業(yè)控制系統(tǒng)（ICS）安全指南》指出，在處理工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與其他應用網(wǎng)絡(luò)的連接問題時，需要按照最小訪問原則設(shè)計，具體分為兩點建議：

　　1）工業(yè)控制系統(tǒng)部署網(wǎng)絡(luò)時，建議隔離工業(yè)控制系統(tǒng)與其他企業(yè)網(wǎng)絡(luò)。通常這兩類網(wǎng)絡(luò)的流量不同，且企業(yè)網(wǎng)對網(wǎng)絡(luò)設(shè)備變更沒有指定嚴格的控制規(guī)程;如果工業(yè)控制系統(tǒng)網(wǎng)絡(luò)流量存在于企業(yè)網(wǎng)上，可能會遭受拒絕服務(wù)式攻擊。網(wǎng)絡(luò)隔離可以通過采用防火墻等技術(shù)實現(xiàn)。

　　2）如果工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與企業(yè)網(wǎng)之間必須建立連接，盡可能地只允許建立一個連接，且連接通過防火墻或非軍事區(qū)實現(xiàn)。在具體的技術(shù)措施上，SP800-82從身份認證、訪問控制、審計與核查、系統(tǒng)與通信保護等方面詳細介紹了可用的技術(shù)措施。

　　（1）身份認證

　　通過PIN碼或密碼驗證申請訪問的設(shè)備或人員。在網(wǎng)絡(luò)上傳輸密碼時需要對密碼進行加密，通過選取合適的加密哈希函數(shù)，可以阻止重播攻擊。密碼認證還可以輔以其他認證措施，如詢問/應答或使用生物令牌或物理令牌。緊急情況下，工業(yè)控制系統(tǒng)使用密碼和生物認證都存在一定危險。因此在不適合使用密碼的情況下，可以采用嚴密的物理安全控制作為替代。

　?。?）訪問控制

　　基于角色的訪問控制（RBAC）可以用于限制用戶的權(quán)限，使其能以最小的權(quán)限完成任務(wù)。系統(tǒng)管理員的通訊需要加以認證，并對其保密性和完整性加以保護，如使用SSHv2和HTTPS協(xié)議。這兩個協(xié)議都使用公鑰/私鑰對進行用戶認證。通信雙方產(chǎn)生并使用對稱密鑰加密數(shù)據(jù)交互過程。

　　RADJUS遠程認證撥號用戶服務(wù)式目前使用最多的認證和授權(quán)服務(wù)。它使用IEEE802.1×和EAP協(xié)議，可以在網(wǎng)絡(luò)的各個層實現(xiàn)用戶認證。例如，防火墻和接入路由可以作為認證代理。

　　當無線設(shè)備或中斷用戶設(shè)備需要與其連接時，認證代理向設(shè)備發(fā)出詢問，設(shè)備通過認證服務(wù)器返回認證信息，從而獲得授權(quán)和接入許可。

　　調(diào)制解調(diào)器經(jīng)常用于提供備份連接?；亟邢到y(tǒng)通過存儲于數(shù)據(jù)庫中的回叫號碼，確認撥號者是否為合法用戶。遠程控制軟件需要使用唯一的用戶名和密碼，加密和審計日志。鏈路層的鄰居認證需要使用CHAP協(xié)議等實現(xiàn)。

　　無線用戶接入和網(wǎng)絡(luò)設(shè)備間的鏈接可以使用多種方式實現(xiàn)，如IEEE 802.11b/g的網(wǎng)絡(luò)接入點方式。所有的無線通信需要使用強加密，如IEEE802.11i中的AEP加密。無線接入需要使用IEEE802.1x認證客戶。

　?。?）審計與核查

　　工業(yè)控制系統(tǒng)需要進行周期性的審計，驗證內(nèi)容包括：測試階段的安全控制措施在生產(chǎn)系統(tǒng)中仍安裝使用;生產(chǎn)系統(tǒng)不受安全破壞，如果受到安全破壞則提供攻擊的信息;改動項目需要為所有的變動建立審查和批準的記錄。

　　周期性的審計結(jié)果用一定的度量表示，用于顯示安全性能和安全趨勢。審計需要使用特定工具進行記錄維護，需要工業(yè)控制系統(tǒng)中的組件支持。審計有利于維護工業(yè)控制系統(tǒng)在系統(tǒng)生命周期內(nèi)的完整性。工業(yè)控制系統(tǒng)需要為審計工具提供可靠的同步時間戳。工業(yè)控制系統(tǒng)應用中維護的日志可以存儲于多個地點，加密或不加密都是可以的。

　?。?）系統(tǒng)與通信保護

　　系統(tǒng)與通信的保護可以通過網(wǎng)絡(luò)防護措施，如防火墻和入侵檢測系統(tǒng)等，以及數(shù)據(jù)加密，如VPN等實現(xiàn)。網(wǎng)絡(luò)防火墻控制不同安全等級的網(wǎng)絡(luò)區(qū)域間的數(shù)據(jù)流量。NIST SP 800-41為防火墻的選擇和防火墻策略提供了指導。在工業(yè)控制系統(tǒng)環(huán)境下，需要在控制網(wǎng)和企業(yè)網(wǎng)之間部署防火墻。防火墻包含的特征功能包括：事件記錄，入侵檢測系統(tǒng)，基于非軍事區(qū)的路由，訪問列表等。

　　當系統(tǒng)被嗅探或攻擊時，入侵檢測系統(tǒng)發(fā)出警報。入侵檢測系統(tǒng)通過在網(wǎng)絡(luò)的各個關(guān)鍵點收集信息，分析數(shù)據(jù)包內(nèi)容發(fā)現(xiàn)惡意流量，并發(fā)出警報、廢棄無效數(shù)據(jù)、記錄事件和活動并觸發(fā)其他安全響應。對于多種工業(yè)控制系統(tǒng)中的應用協(xié)議所受到的攻擊，如DNP和lCCP，入侵檢測系統(tǒng)也會增加相應的攻擊特征。

　　基于IPSec的VPN可以為網(wǎng)絡(luò)邊界的通信提供安全隧道，通常在相應的防火墻上執(zhí)行。IPsec可以保證完整性、認證和數(shù)據(jù)保密性。在隧道入口處，IP包外增加額外的數(shù)據(jù)包頭，路由器使用新的包頭信息轉(zhuǎn)發(fā)數(shù)據(jù)，到達隧道出口時，將原始IP包提取出來。在用戶認證過程中，IPSec通常使用私鑰和RSA簽名。在消息認證和完整性保護時，使用MD5或SHA哈希函數(shù)。在數(shù)據(jù)加密時，使用AES或3DES。IPSec還使用Diffie-Hellman作為對稱密鑰推導。IPSec設(shè)備使用IKE協(xié)議認證其他設(shè)備、協(xié)商和分配對稱加密密鑰以及建立IPSec安全連接。

　　控制系統(tǒng)的安全管理包括檢測、分析、提供安全和事件響應。具體內(nèi)容包括動態(tài)調(diào)整安全要求，安全漏洞的優(yōu)先級排序，以及安全要求到安全管理的映射：認證和授權(quán)服務(wù)器，安全密鑰，流量過濾，IDS，登錄等。SNMP用于管理IP網(wǎng)絡(luò)資源，如路由，防火墻和服務(wù)器等。SNMP也可用于提供控制系統(tǒng)網(wǎng)絡(luò)的集中管理。SNMPv3包括的安全特性有消息完整性，認證和加密。SNMPv3使用MD5和SHA哈希算法和DES以及AES加密算法。

　?。?）其他措施

　　為了保證網(wǎng)絡(luò)操作的可靠性，工業(yè)控制系統(tǒng)需要設(shè)置冗余拓撲和功能。工業(yè)控制系統(tǒng)中大多使用以太網(wǎng)和IP網(wǎng)絡(luò)作為通信協(xié)議。以太網(wǎng)層的冗余可以通過在局域網(wǎng)內(nèi)使用RSTP協(xié)議中的網(wǎng)格拓撲而實現(xiàn)。IP層的冗余通過路由間的備份鏈接，如OSPF動態(tài)路由協(xié)議，和IP網(wǎng)絡(luò)冗余接人，如VRRP協(xié)議等。MPLS可以為IP網(wǎng)絡(luò)中的虛擬任意協(xié)議數(shù)據(jù)提供可靠的數(shù)據(jù)傳輸。隧道如L2TP協(xié)議等也可以為IP網(wǎng)絡(luò)中的數(shù)據(jù)提供可靠傳輸。

　　在控制系統(tǒng)中的時鐘和網(wǎng)絡(luò)設(shè)備需要精確同步，事件日志記錄時也需要記錄下準確的時間。NTP協(xié)議和IEEEl588協(xié)議可以用于時間同步。NTP協(xié)議在因特網(wǎng)中廣泛使用，IEEEl588協(xié)議則主要滿足控制系統(tǒng)對于時鐘同步的要求。這兩種協(xié)議均可由獨立設(shè)備提供服務(wù)，或者有其他網(wǎng)絡(luò)設(shè)備的組件提供服務(wù)。

　　2.2協(xié)議安全性

　　工業(yè)通訊協(xié)議，如MODBUS協(xié)議等，協(xié)議設(shè)計時未采取安全措施。然而隨著控制系統(tǒng)與外部網(wǎng)絡(luò)的連接增多，需要增加通信雙方的認證過程。協(xié)議的安全性可以通過兩種方式提高，一是直接修改協(xié)議，增加認證功能;二是在不修改現(xiàn)有協(xié)議的基礎(chǔ)上，增加信息安全層。

　　文獻設(shè)計了一種認證型Modbus協(xié)議，該協(xié)議通過對消息使用加密函數(shù)和哈希鏈，增強Modbus協(xié)議的認證功能，從而使攻擊者無法偽裝成主機。同時利用一個壓縮函數(shù)，減少數(shù)據(jù)存儲大小。這種方式可以增加協(xié)議對于通信雙方的認證過程，但同時也會增加通訊負擔，即每次通話傳輸?shù)南⒍夹枰?jīng)過加密認證，不一定能滿足控制系統(tǒng)對于實時性的要求。因此在設(shè)計時需要同時考慮計算效率與計算消耗。

　　文獻借鑒功能安全的概念，提出了一種在通信系統(tǒng)之上增加信息安全模塊的方法?？刂葡到y(tǒng)的功能安全在傳輸系統(tǒng)的基礎(chǔ)上增加功能安全層，無需改變底層傳輸系統(tǒng)，即可實現(xiàn)系統(tǒng)的故障安全。類似地，文獻設(shè)計一種信息安全模塊，用于保護端到端通信的認證、完整性和保密性。所謂的安全模塊不是指簡單的物理模塊，而是與PROFINET IO中的設(shè)備模型相對應，是一個軟件實現(xiàn)。如圖2所示，安全模塊從應用層中獲取過程數(shù)據(jù)，通過加密算法加密過程數(shù)據(jù)，利用MD5算法計算消息完整性編碼，狀態(tài)字節(jié)用于表示消息完整性和超時。安全模塊通過參數(shù)化，可以適應不同的安全需求和不同的計算能力。消息完整性編碼可以防止中間人攻擊，例如，攻擊者截取發(fā)送的消息并篡改過程數(shù)據(jù)，由于沒有密鑰，無法計算出準確的消息完整性編碼，接受者在接收到消息后對MAC進行驗證，如果無法驗證其正確性，則會修改狀態(tài)字節(jié)，用以匯報受攻擊狀態(tài)。

　　安全模塊是置于PROFINET IO之上的軟件層，只能用于防御基于網(wǎng)絡(luò)的攻擊，而不能保證設(shè)備安全。如果攻擊者獲取了設(shè)備的控制權(quán)，那么數(shù)據(jù)會被操控，而安全模塊將無法產(chǎn)生作用。因此，可以將安全模塊可以與設(shè)備安全措施相結(jié)合，解決設(shè)備和網(wǎng)絡(luò)安全。

　　協(xié)議安全性主要是體現(xiàn)在對傳輸數(shù)據(jù)進行加密處理，保證消息的完整性和保密性，并實現(xiàn)對設(shè)備的安全認證。在實際應用中，需要考慮兩個影響因素，一方面，由于加密措施的計算量大，對通信實時性和系統(tǒng)的可用資源都會產(chǎn)生影響，二是需要設(shè)計合理有效的密鑰管理方法。

　　3.控制器設(shè)計

　　以上從網(wǎng)絡(luò)防護和通訊協(xié)議的角度介紹了兩種安全問題解決思路，但其本質(zhì)上都是對信息的保護。無論是何種攻擊，其最終的目的都是實現(xiàn)對物理設(shè)施的破壞，因此，需要研究攻擊對于系統(tǒng)的狀態(tài)預測和控制算法的影響，從物理系統(tǒng)的角度設(shè)計防御措施。

　　為了理解控制系統(tǒng)與物理世界的交互過程，首先需要分析攻擊對于物理系統(tǒng)的影響;其次基于控制命令和傳感器的測量值，預測物理系統(tǒng)應有的現(xiàn)象，從而判斷是否受到攻擊者的影響;最終在控制器算法設(shè)計時將攻擊因素考慮在內(nèi)，設(shè)計出一種可以抵御攻擊的控制算法。

　　文獻對重播攻擊和完整性攻擊進行分析，采用卡爾曼濾波和x2故障檢驗法檢測系統(tǒng)是否受到攻擊。這種檢測方法基于物理模型，可以作為基于網(wǎng)絡(luò)和計算機系統(tǒng)模型的入侵檢測的補充。在設(shè)計檢測算法時，需要考慮實時性和嵌入式平臺的計算能力限制。

　　文獻首先建立物理系統(tǒng)的典型模型，將物理系統(tǒng)簡化為一個線性系統(tǒng)。其次，針對DOS攻擊和欺騙攻擊，在原有線性系統(tǒng)模型基礎(chǔ)上增加攻擊因素。如圖3所示，攻擊因素可能分布在閉環(huán)控制回路的不同部分，傳感器部分、執(zhí)行器部分和設(shè)備部分。基于不同的攻擊因素，設(shè)計帶狀態(tài)監(jiān)測器的控制算法，用以檢測系統(tǒng)的運行狀態(tài)。該算法可以使系統(tǒng)在受到拒絕時服務(wù)攻擊時，仍然處于安全狀態(tài);在受到欺騙攻擊時，可以檢測出攻擊。安全控制器的設(shè)計目前僅限于學術(shù)領(lǐng)域的研究，在實際系統(tǒng)中的應用尚未成熟。這是由于設(shè)計控制器需要建立相對精確的物理模型，普適性不高?？赡艿慕鉀Q思路是在控制器的硬件設(shè)計時采用主控制器和安全控制器的模式，利用旁道信息，如程序執(zhí)行時間、代碼執(zhí)行順序等，如果主控制器與安全控制器的旁道信息不一致，則采取安全措施。

　　4、結(jié)束語

　　本文首先研究了工業(yè)控制系統(tǒng)的行業(yè)特點和需求，并分析了工業(yè)控制系統(tǒng)面臨的威脅，其次在深入了解相關(guān)行業(yè)信息安全保障應用行規(guī)之后，介紹了適用于工業(yè)控制系統(tǒng)的信息安全現(xiàn)狀，從網(wǎng)絡(luò)防護、協(xié)議安全性和控制器設(shè)計這三個角度分析了目前的研究思路，具有一定的借鑒意義。

　　工業(yè)控制（工控）：工控機的品牌有哪些？

　　做工控機的企業(yè)非常多，但做的好的卻很少，很多沿海一帶的小作坊隨便買個二手的主板已組裝也說是工控機，價格還相當便宜，但誰用誰知道揪心。選工控機還是要選擇品牌具有一定規(guī)模的企業(yè)?！　‖F(xiàn)在國內(nèi)做工控機主要分為***品牌和大陸品牌。***的品牌知名度要高一些，但價格也相應很高，在國內(nèi)基本靠代理商銷售。大陸品牌沉淀時間稍微要短一些，但發(fā)展很快，輪質(zhì)量和***已經(jīng)差不多，更主要的是性價比高，售后和渠道方面要更健全?！　∪绻麡侵鬟x的話，***選擇研華等，大陸就選阿普奇等。

　　如下：