工業(yè)控制系統(tǒng)安全的重要性及其普遍安全防護(hù)措施不足的現(xiàn)實(shí)，使得加強(qiáng)工業(yè)控制系統(tǒng)的安全性來說無疑是一項相對艱巨的任務(wù)。因為當(dāng)面臨攻擊者的持續(xù)關(guān)注時，任何疏漏都可能導(dǎo)致災(zāi)難。對此，我們在參考信息安全業(yè)內(nèi)的最佳實(shí)踐的基礎(chǔ)上，結(jié)合工業(yè)控制系統(tǒng)自身的安全問題，提出了一些安全建議，期望能夠有效地降低工業(yè)控制系統(tǒng)所面臨的攻擊威脅：

1.加強(qiáng)對工業(yè)控制系統(tǒng)的脆弱性（系統(tǒng)漏洞及配置缺陷）的合作研究，提供針對性地解決方案和安全保護(hù)措施：

a)源頭控制：運(yùn)營組織和關(guān)鍵提供商建立工業(yè)控制系統(tǒng)開發(fā)的全生命周期安全管理。在系統(tǒng)的需求分析、架構(gòu)設(shè)計、開發(fā)實(shí)現(xiàn)、內(nèi)部測試、第三方測試和人員知識傳遞等研發(fā)生命周期的典型階段，融入安全設(shè)計、安全編碼以及安全測試等相關(guān)安全技術(shù)，盡可能系統(tǒng)地識別和消除各個階段可能出現(xiàn)的來自于人員知識和技能、開發(fā)環(huán)境、業(yè)務(wù)邏輯引入系統(tǒng)缺陷的安全風(fēng)險。

綠盟科技應(yīng)用安全開發(fā)生命周期（NSFocusADSL）

b)分析檢測及防護(hù)：工業(yè)控制系統(tǒng)行業(yè)應(yīng)積極展開與安全研究組織或機(jī)構(gòu)的合作，加強(qiáng)對重要工業(yè)控制系統(tǒng)所使用軟硬件的靜態(tài)和動態(tài)代碼脆弱性分析、系統(tǒng)漏洞分析研究；開發(fā)工業(yè)控制系統(tǒng)行業(yè)專用的漏洞掃描、補(bǔ)丁管理及系統(tǒng)配置核查工具。

c)漏洞庫管理：國家主管機(jī)構(gòu)主導(dǎo)建立權(quán)威的ICS專業(yè)漏洞庫以及完善的漏洞安全補(bǔ)丁發(fā)布機(jī)制。#p#

2.盡可能采用安全的通信協(xié)議及規(guī)范，并提供協(xié)議異常性檢測能力

a)源頭控制：在不影響系統(tǒng)實(shí)時性、可用性的前提下，工業(yè)控制系統(tǒng)應(yīng)盡可能采用具有認(rèn)證、加密、授權(quán)機(jī)制的安全性較高的通信協(xié)議來保證其控制命令和生產(chǎn)數(shù)據(jù)的安全傳輸。尤其是無線通信協(xié)議要重點(diǎn)考慮其安全性；因為不安全的無線通信協(xié)議非常容易遭致遠(yuǎn)程攻擊。

b)檢測防護(hù)：基于對ICS通信協(xié)議與規(guī)約的深度解碼分析，通過網(wǎng)絡(luò)協(xié)議異常性特征識別與監(jiān)測ICS各系統(tǒng)和網(wǎng)絡(luò)間可能存在的威脅，并提供針對性的防護(hù)措施，從而提升了企業(yè)對于系統(tǒng)運(yùn)行過程的威脅感知與安全防護(hù)能力

c)標(biāo)準(zhǔn)制訂：國家主管機(jī)構(gòu)應(yīng)促進(jìn)工業(yè)控制系統(tǒng)行業(yè)與安全研究機(jī)構(gòu)、廠商的合作，并主導(dǎo)制訂相關(guān)的通信協(xié)議的安全標(biāo)準(zhǔn)。以提供推薦性行業(yè)標(biāo)準(zhǔn)。

3.建立針對ICS的違規(guī)操作、越權(quán)訪問等行為的有效監(jiān)管

a)異常行為檢測：對ICS系統(tǒng)的各種操作行為進(jìn)行分析，并基于<主體，地點(diǎn)，時間，訪問方式，操作，客體>的行為描述六元組模型構(gòu)建系統(tǒng)操作行為或網(wǎng)絡(luò)運(yùn)行相關(guān)的白環(huán)境。基于白環(huán)境可以很方便地開發(fā)針對ICS異常行為的檢測類產(chǎn)品（比如IPS）。

基于六元組的異常檢測模型

b)安全審計：基于對ICS通信協(xié)議與規(guī)約的深度解碼分析，實(shí)現(xiàn)對ICS系統(tǒng)的安全日志記錄及審計功能。應(yīng)考慮對控制過程實(shí)現(xiàn)基于網(wǎng)絡(luò)流量的安全審計，審計過程應(yīng)力爭做到對控制指令的識別和可控，如Modbus、DNP3等經(jīng)典工控協(xié)議的解析能力分析，實(shí)現(xiàn)工業(yè)控制協(xié)議會話的過程記錄和審計；并提供安全事件之后的事后追查能力。#p#

4.建立完善的ICS安全保障體系，加強(qiáng)安全運(yùn)維與管理。

a)ICS安全保障體系建設(shè)

在保證工業(yè)控制系統(tǒng)的正常運(yùn)行的前提下，充分調(diào)動技術(shù)、管理等安全手段，對帳號與口令安全、惡意代碼管理、安全更新（補(bǔ)丁管理）、業(yè)務(wù)連續(xù)性管理等關(guān)鍵控制領(lǐng)域?qū)嵤┲贫然?流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設(shè)。其建設(shè)依據(jù)將參考以下國內(nèi)外工業(yè)控制系統(tǒng)安全相關(guān)政策及實(shí)踐，使企業(yè)能夠充分識別運(yùn)行管理過程的信息安全控制點(diǎn)，構(gòu)建符合國家、行業(yè)監(jiān)管、資本市場要求以及安全最佳實(shí)踐的安全保障體系。具體參考的相關(guān)政策和安全實(shí)踐包括但不限于：

《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號）

GB/T26333-2010《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》

IEC62443/ISA99《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》

NISTSP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》

NISTSP800-53《聯(lián)邦信息系統(tǒng)和組織的安全控制推薦》

北美電氣可靠性協(xié)會關(guān)鍵性基礎(chǔ)設(shè)施防護(hù)標(biāo)準(zhǔn)（NERCCIP標(biāo)準(zhǔn)）等。

b)安全運(yùn)維與管理

邊界控制：嚴(yán)格管理所有可能的ICS系統(tǒng)訪問入口，包括將SCADA相關(guān)系統(tǒng)與互聯(lián)網(wǎng)及其他辦公網(wǎng)絡(luò)物理隔離，嚴(yán)格控制移動介質(zhì)和無線網(wǎng)絡(luò)的接入，必要時采用設(shè)備準(zhǔn)入控制機(jī)制。

系統(tǒng)上線安全評估及周期性安全評估：工業(yè)控制系統(tǒng)的入網(wǎng)與上線是整個系統(tǒng)安全生命周期的重要階段，也是系統(tǒng)所有者和操作者掌握其安全風(fēng)險水平的最佳時機(jī)。因此，在系統(tǒng)上線時要盡可能對系統(tǒng)的安全狀況進(jìn)行較為詳細(xì)的評估：系統(tǒng)及應(yīng)用漏洞掃描、WEB應(yīng)用測試與掃描、ICS系統(tǒng)安全基線配置核查以及無線現(xiàn)場網(wǎng)絡(luò)的安全評估等。然后根據(jù)評估結(jié)果在保障ICS系統(tǒng)可用性的前提下，盡可能對發(fā)現(xiàn)的安全問題進(jìn)行處理。需要注意的是：常見的評估工具和測試手段將有可能會造成系統(tǒng)的中斷（如產(chǎn)生偶然的拒絕服務(wù)攻擊），因此對工業(yè)控制統(tǒng)的評估和測試和傳統(tǒng)的IT風(fēng)險評估相比應(yīng)更加謹(jǐn)慎，在評估的過程中可采用一些能夠確保對工業(yè)控制系統(tǒng)的影響降到最低的替代性評估手段。

系統(tǒng)防護(hù)：系統(tǒng)防護(hù)措施的更新速度是其有效性最重要的度量指標(biāo)，只有及時更新通用或?qū)Ｓ孟到y(tǒng)的安全補(bǔ)丁和相關(guān)配置，升級各種防護(hù)和檢測設(shè)備的規(guī)則，才能起到有效的防護(hù)效果。

需要保障ICS系統(tǒng)業(yè)務(wù)連續(xù)性的應(yīng)急響應(yīng)計劃，強(qiáng)調(diào)對安全事件的快速響應(yīng)能力。

c)此外，還需要加強(qiáng)人員的安全意識培訓(xùn)和工作流程管理制度的落實(shí)等。#p#

5.加強(qiáng)針對ICS的新型攻擊技術(shù)（例如APT）的防范研究

目前ICS領(lǐng)域影響最大的就是‘震網(wǎng)病毒’為代表的高級可持續(xù)性威脅（APT）類攻擊。這類APT攻擊并不是一個獨(dú)立的、具體的攻擊技術(shù)，而是一種攻擊行為模式的體現(xiàn)。達(dá)成APT攻擊需要無孔不入的情報收集能力；它們往往掌握有最新的0day漏洞、擁有能夠規(guī)避當(dāng)時檢測工具的傳播和控制程序，以及能夠利用所掌握的資源快速展開連鎖行動的組織力和行動力。顯然，這樣的攻擊不是能夠依靠單一的技術(shù)實(shí)現(xiàn)防范和檢測的，針對性的防護(hù)需要多個層面安全防護(hù)措施的綜合開展：

a)做好ICS系統(tǒng)的基礎(chǔ)性安全防護(hù)工作。從防范主體的角度來看，應(yīng)當(dāng)做到“安全防御無死角”。面對長期的偵測和試探，任何安全短板都可能成為攻擊者的快速通道。也許只有做好各方面的防范，通過多種安全產(chǎn)品（機(jī)制）協(xié)同工作的體系化防御措施才能夠抵御APT這些高級的持久性攻擊。

b)加強(qiáng)“深入分析”技術(shù)的探索。APT攻擊并不意味著沒有痕跡，只是隱蔽性較強(qiáng)而難以發(fā)現(xiàn)。通過收集APT攻擊事件相關(guān)的技術(shù)情報（攻擊的特征、原理、危害、樣本及分析報告等），并利用多維度的海量數(shù)據(jù)挖掘和關(guān)聯(lián)分析技術(shù)，實(shí)現(xiàn)跨時域、跨設(shè)備和跨區(qū)域的蹤跡分析，來大幅增加發(fā)現(xiàn)攻擊行為的概率。也就是說，只有具備及時識別、發(fā)現(xiàn)APT攻擊的能力之后，才能有效地提供針對性的APT安全防護(hù)能力。

c)加強(qiáng)國際合作，協(xié)同研究與防范。由于APT攻擊具有低成本、高破壞和隱蔽性的特點(diǎn)，它對CII或工業(yè)控制系統(tǒng)攻擊所造成的破壞和社會影響，很有可能不遜于核武器的攻擊后果。如果不對其加以限制，只會使破壞程度不斷升級。所以，成立國際聯(lián)合組織、建立國際性的抑制體系可以減少國家間的過激行為，同時也可監(jiān)控和打擊網(wǎng)絡(luò)犯罪及恐怖主義行為。

上述描述的安全建議從多維度考慮對工業(yè)控制系統(tǒng)可能面對的風(fēng)險進(jìn)行防護(hù)，并盡可能降低相關(guān)系統(tǒng)的安全風(fēng)險級別。但需要意識到由于外部威脅環(huán)境和系統(tǒng)技術(shù)演變將可能引入新的風(fēng)險點(diǎn)。系統(tǒng)、人員、商業(yè)目標(biāo)以及內(nèi)、外部威脅等安全相關(guān)因素的任何一個發(fā)生改變時，都應(yīng)建議企業(yè)對當(dāng)前安全防護(hù)體系的正確性和有效性重新進(jìn)行評估，以確定其能否有效應(yīng)對新的風(fēng)險。因此ICS的安全保障措施也將是一個持續(xù)的改善過程，通過這一過程可使工業(yè)控制系統(tǒng)獲得最大程度的保護(hù)。