第六章  工业控制系统



                 ①缺乏ICS的安全策略。
                 ②缺乏ICS的安全培训与意识培养。
                 ③缺乏安全架构与设计。

                 ④缺乏根据安全策略制订的正规、可备案的安全流程。
                 ⑤缺乏ICS安全审计机制。
                 ⑥缺乏针对ICS的业务连续性与灾难恢复计划。
                 ⑦缺乏针对ICS配置变更管理。

                 （二）现有的工业控制平台存在安全隐患
                 随着TCP/IP等通用协议与开发标准引入工业控制系统，开放、透明的工业
             控制系统开辟出广阔的想象空间。理论上绝对的物理隔离网络因为需求和业务模
             式的改变而不再可行。目前，多数ICS网络仅通过部署防火墙来保证工业网络与

             办公网络的相对隔离，各个工业自动化单元之间缺乏可靠的安全通信机制，如基
             于DCOM编程规范的OPC接口不能使用传统的IT防火墙来确保其安全性。数据加
             密效果不佳，工业控制协议的识别能力不理想，加之缺乏行业标准规范与管理制
             度，工业控制系统的安全防御能力十分有限。

                 旨在保护电力生产与交通运输控制系统安全的国际标准NERCCIP明确要
             求，实施安全策略、保障资产安全是确保控制系统稳定运行的最基本要求。将
             具有相同功能和安全要求的控制设备划分到同一区域，区域之间执行管道通信，
             通过控制区域间管道中的通信内容是目前工业控制领域普遍被认可的安全防御

             措施。
                 另一种容易忽略的情况是，由于不同行业的应用场景不同，其对于功能区域
             的划分和安全防御的要求也各不相同，而对于利用针对性通信协议与应用层协议
             的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是，工业控制系统的补

             丁管理效果始终无法令人满意，考虑到ICS补丁升级所存在的运行平台与软件版
             本限制，以及系统可用性与连续性的硬性要求，ICS系统管理员绝不会轻易安装
             非ICS设备制造商指定的升级补丁。与此同时，工业控制系统补丁动辄半年的补
             丁发布周期，也让攻击者有较多的时间来利用已存在的漏洞发起攻击。据统计，

             2010—2011年间，已确认的针对工业控制系统攻击，从攻击代码传播到样本被检
             测确认，传统的安全防御机制通常需要2个月左右的时间，而对于Stuxnet或更隐
             蔽的Duqu病毒，其潜伏期更是长达半年之。无论是针对工业系统的攻击事件，



                                                                                 ·203·