隨著智能制造與工業(yè)4.0戰(zhàn)略的提出，工業(yè)生產(chǎn)的數(shù)字化成為一種不可阻擋的未來趨勢，高度融合IT技術(shù)的工業(yè)自動化將會得到迅速而廣泛的應(yīng)用，對于工業(yè)控制系統(tǒng)的信息安全的關(guān)注將達到前所未有的高度和廣度。

     信息安全的主要包括黑客攻擊、病毒、數(shù)據(jù)操縱、蠕蟲和特洛伊木馬等技術(shù)。數(shù)據(jù)顯示，黑客的攻擊目標已經(jīng)從原來的商業(yè)互聯(lián)網(wǎng)絡(luò)逐步擴展到工業(yè)控制系統(tǒng)，主要目標集中在能源、水利、化工、政府機構(gòu)以及核設(shè)施等領(lǐng)域。信息安全事件呈逐年上升的趨勢，其背后不乏犯罪、商業(yè)間諜、恐怖主義、甚至某些國家贊助的間諜活動。

     菲尼克斯電氣是mGuard工業(yè)防火墻技術(shù)的發(fā)明者，也是工業(yè)信息安全的技術(shù)和市場領(lǐng)導(dǎo)者。mGuard工業(yè)防火墻技術(shù)始于2001年，在全球已經(jīng)得到了十多萬客戶的應(yīng)用和驗證，應(yīng)用領(lǐng)域包括汽車、機械制造、儀表自動化、能源和軌道交通等行業(yè)。

     菲尼克斯電氣可以為客戶提供全面的工業(yè)信息安全產(chǎn)品和技術(shù)服務(wù)，包括mGuard硬件防火墻，內(nèi)嵌式的Linux OS內(nèi)核程序，mGuard相關(guān)軟件解決方案以及mGuard的各種定制化信息安全服務(wù)等。
     那么，工業(yè)控制系統(tǒng)信息安全所面臨的主要威脅有哪些？辦公網(wǎng)絡(luò)和工業(yè)網(wǎng)絡(luò)信息安全的主要差異是什么？典型的工業(yè)級網(wǎng)絡(luò)防火墻的特點和優(yōu)勢體現(xiàn)在哪里？ 本文將一一為您闡述。

     1、 工業(yè)控制系統(tǒng)信息安全威脅分析：
      工業(yè)控制系統(tǒng)信息安全的潛在威脅主要來自黑客攻擊、病毒、數(shù)據(jù)操縱、蠕蟲和特洛伊木馬等。
     a) 來自黑客的攻擊：
     目前，由于安全制度的缺失，大量的工業(yè)控制系統(tǒng)在完全沒有保護的情況下被連接到互聯(lián)網(wǎng)中，而這些設(shè)備大都使用默認的用戶名和密碼，可以輕易的被登陸和訪問，這些控制系統(tǒng)往往非常脆弱，易于被攻擊，而最危險的是這些控制系統(tǒng)的使用者對這些危險毫無察覺。  

                    (數(shù)據(jù)來源：2011年 劍橋大學(xué)）
      上面這兩張圖片來自劍橋大學(xué)2011年提供的一個分析報告，通過這個報告我們可以看出，只要通過網(wǎng)絡(luò)搜索引擎（Shodan搜索引擎）進行簡單的搜索，就可以找到連接在互聯(lián)網(wǎng)的工業(yè)網(wǎng)絡(luò)設(shè)備。網(wǎng)站的研究者也曾使用Shodan定位到了核電站的指揮和控制系統(tǒng)及一個粒子回旋加速器，真正的可怕之處就是這些設(shè)備幾乎都沒有安裝安全防御措施，可以隨意進入。
      黑客還可以利用黑客工具和技術(shù)，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對信息系統(tǒng)進行攻擊和入侵。某些黑客甚至將攻擊SCADA系統(tǒng)的代碼公布到網(wǎng)絡(luò)上。

     由此可見，黑客的攻擊目標已經(jīng)從原來的商業(yè)互聯(lián)網(wǎng)絡(luò)逐步擴展到工業(yè)控制系統(tǒng)和SCADA系統(tǒng)中，而其背后的目的包括犯罪、商業(yè)間諜、恐怖主義、甚至某些國家贊助的間諜活動。
     b) 來自病毒的破壞
由于操作維護人員、第三方的系統(tǒng)維護服務(wù)商或訪客的不當操作，將有可能將隱藏在U盤、移動設(shè)備、筆記本電腦中的病毒傳播到工業(yè)控制系統(tǒng)中。如果沒有防護措施，這些病毒會利用系統(tǒng)的安全漏洞，在網(wǎng)絡(luò)中進行自我復(fù)制和傳播，感染工業(yè)控制計算機或攻擊可編程控制器。
     i. 直接攻擊PLC控制器的病毒（Stuxnet）
     Stuxnet蠕蟲病毒（超級工廠病毒）是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒，能夠利用對windows系統(tǒng)和工業(yè)控制軟件的漏洞進行攻擊。Stuxnet蠕蟲病毒會攻擊可編程邏輯控制器（PLC），向PLC中寫入數(shù)據(jù)，并根據(jù)情況和需求改變PLC的流程。
     該病毒可以通過U盤和局域網(wǎng)進行傳播，國內(nèi)已有超過500萬網(wǎng)民及多個行業(yè)的領(lǐng)軍企業(yè)遭Stuxnet蠕蟲病毒攻擊，而且由于安全制度上的缺失，該病毒還存在很高的大規(guī)模傳播風(fēng)險。

（數(shù)據(jù)來源：http://zh.wikipedia.org/wiki/%E9%9C%87%E7%BD%91#cite_note-27）
     ii. 間接攻擊的病毒（Dragonfly / Havex）
     Dragonfly病毒是繼Stuxnet之后又一強大的病毒，它的目標就是侵入特定的工業(yè)控制系統(tǒng)（ICS），竊取其系統(tǒng)信息和數(shù)據(jù)并做進一步的傳播和擴散。
     Dragonfly病毒是在2014年開始傳播并被發(fā)現(xiàn)的，黑客滲透了三個工業(yè)系統(tǒng)服務(wù)商的軟件升級服務(wù)器，致使其客戶通過升級服務(wù)下載了數(shù)百個包含惡意軟件的升級安裝文件。

     iii. 可自我復(fù)制的惡意軟件（Conficker / Kido）
     Conficker蠕蟲是以微軟的windows操作系統(tǒng)為攻擊目標的計算機蠕蟲病毒，目前全球已有超過1500萬臺電腦受到感染。
     conficker蠕蟲使用特定的RPC請求在目標電腦上執(zhí)行代碼，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中存在有漏洞的計算機系統(tǒng)，就會激活該漏洞進行遠程感染。
     Conficker這一類的蠕蟲病毒會增加網(wǎng)絡(luò)負載，造成網(wǎng)絡(luò)的不穩(wěn)定，也會使被感染的系統(tǒng)CPU負載增高，使得整個系統(tǒng)不可靠。

    c) 工業(yè)控制系統(tǒng)信息安全事件發(fā)生的數(shù)量和所受攻擊類型的分析：
據(jù)目前已知的數(shù)據(jù)顯示，工業(yè)控制系統(tǒng)的信息安全事件主要集中于能源、水利、化工、政府機構(gòu)以及核設(shè)施等領(lǐng)域。而且在中國，這類事件的發(fā)生也呈逐年上升的趨勢。

（數(shù)據(jù)來源：權(quán)威工業(yè)安全事件信息庫 RISI(Repository of Security Incidents) 2014）

     從以上分析可以看出，工業(yè)控制系統(tǒng)信息安全事件呈快速上升趨勢，且所受攻擊可能來自方方面面，幸運的是菲尼克斯電氣所提供的mGuard工業(yè)信息安全技術(shù)可以很好地解決以上問題。
     2、 辦公網(wǎng)絡(luò)信息安全和工業(yè)自動化網(wǎng)絡(luò)信息安全的主要差別
辦公電腦和網(wǎng)絡(luò)與工業(yè)電腦和信息網(wǎng)絡(luò)有很大區(qū)別，針對信息安全所做的防護措施也不盡相同。

表1  在辦公室和工業(yè)環(huán)境中信息系統(tǒng)的不同特點

     由上表可以看出，工業(yè)控制計算機和工業(yè)網(wǎng)絡(luò)在對安全性的要求、使用壽命、信息安全防護手段等方面有著特殊要求。由于系統(tǒng)兼容性和穩(wěn)定性的需要，工業(yè)控制計算機往往都不會安裝殺毒軟件和經(jīng)常升級系統(tǒng)補丁，特別是一些服役多年的工控設(shè)備，往往得不到更新支持，這些毫無防護的控制系統(tǒng)非常脆弱。病毒和毫無經(jīng)驗的黑客都可以對其發(fā)起致命性的攻擊。菲尼克斯電氣的mGuard工業(yè)防火墻技術(shù)不但可以防止黑客從網(wǎng)絡(luò)入侵，同時可以對病毒實現(xiàn)監(jiān)控和防御。
     3、 菲尼克斯電氣mGuard工業(yè)控制系統(tǒng)信息安全解決方案的特點
菲尼克斯電氣的mGuard工業(yè)防火墻技術(shù)始于2001年，為工業(yè)企業(yè)客戶提供信息安全產(chǎn)品和相關(guān)技術(shù)服務(wù)，目前在全球已經(jīng)安裝了超過10萬個工業(yè)級防火墻。主要的客戶包括汽車、機械制造、儀表自動化、能源、軌道交通。

     所提供的產(chǎn)品和服務(wù)包括mGuard硬件防火墻，內(nèi)嵌式的Linux OS內(nèi)核程序，mGuard相關(guān)軟件解決方案以及mGuard的各種定制化信息安全服務(wù)。
     mGuard主要安全性能介紹：
     a) OPC深度數(shù)據(jù)包監(jiān)測技術(shù)
     許多工業(yè)級蠕蟲病毒都是通過遠程過程調(diào)用（RPC）協(xié)議進行傳播，在現(xiàn)代工業(yè)控制系統(tǒng)中，RPC協(xié)議被廣泛使用，工業(yè)集成技術(shù)OPC Classic就需要允許RPC通訊。因此它經(jīng)常被黑客和病毒利用，用以攻擊SCADA和工業(yè)控制系統(tǒng)。如果禁用RPC協(xié)議，會導(dǎo)致工業(yè)控制系統(tǒng)通訊故障，OPC深度數(shù)據(jù)包監(jiān)測技術(shù)（DPI）可以識別正常的OPC通訊請求，并阻止惡意信息和不恰當?shù)腟CADA/ICS通訊，同時避免對控制系統(tǒng)造成不必要的影響，這在工業(yè)控制系統(tǒng)信息安全防護中是十分必要的。

     DPI細粒度防火墻控制將精確地保證服務(wù)器與客戶端之間的OPC通訊，提供最高級別的安全，確保針對蠕蟲病毒的防護。甚至，mGuard的智能深度數(shù)據(jù)包檢測技術(shù)還可以使OPC通訊在NAT路由模式下正常工作（如IP掩蔽或1:1NAT模式），世界上只有mGuard工業(yè)防火墻具有這樣的技術(shù)。
     b) 惡意軟件及病毒檢測技術(shù)
傳統(tǒng)的防火墻僅能禁止黑客的入侵和蠕蟲病毒的傳播，不能對工控機中潛在的病毒進行防控，也無法根除這些危險源。

     菲尼克斯電氣的mGuard工業(yè)防火墻具有通用互聯(lián)網(wǎng)文件系統(tǒng)完整性監(jiān)測技術(shù)（CIFS Integrity Monitoring，簡稱CIM）。利用這個技術(shù)，mGuard可以定期監(jiān)測指定工控機內(nèi)文件系統(tǒng)，判斷該計算機系統(tǒng)中的.EXE文件和.DLL文件是否被非授權(quán)的改寫。
mGuard還可以利用CIFS病毒掃描技術(shù)，調(diào)用病毒掃描服務(wù)器，對指定工控機內(nèi)的文件系統(tǒng)進行病毒掃描，這樣就可以主動消滅惡意軟件和病毒，該功能對于工控機的硬件性能和系統(tǒng)兼容性沒有任何特殊要求。
     總體來說CIM技術(shù)可以為工業(yè)控制系統(tǒng)提供信息安全防護，而不需要為工控機升級安全補丁，并與原有硬件和系統(tǒng)軟件兼容，可永久在線監(jiān)測和掃描，對病毒有防御功能，不占用CPU和網(wǎng)絡(luò)負載，支持Win95/98, CE5 , NT, 2000, XP, Vista, 7 及各種LINUX 操作系統(tǒng)，當發(fā)現(xiàn)病毒或非正常的文件寫入時將觸發(fā)報警并自動響應(yīng)（如啟動第三方病毒工具，升級安全級別）。使用CIM技術(shù)，將節(jié)省大量系統(tǒng)信息安全升級改造的成本。
     c ) 三種不同的防護模式
為了提高工業(yè)控制系統(tǒng)信息安全，需要對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)劃分成不同安全級別的區(qū)域，從而實現(xiàn)縱深防御來隔離系統(tǒng)中的重要部分。菲尼克斯電氣的mGuard具有三種不同的防護模式，可以靈活的適用于不同的安全區(qū)域。
     i. 單一隱秘模式（專利技術(shù)）：

     隱秘模式用于完美保護某個單一設(shè)備，在這樣的模式中mGuard不具備IP地址，因此對于黑客來說完全是隱形的，這樣的模式也不會改變原有的網(wǎng)絡(luò)結(jié)構(gòu)，mGuard將會過濾所有通向被保護設(shè)備的數(shù)據(jù)。
     ii. 多重隱秘（橋接）模式：

     多重隱秘（橋接）模式用于保護一組設(shè)備，mGuard將會過濾所有通向被保護設(shè)備的數(shù)據(jù)，在這樣的結(jié)構(gòu)中，mGuard需要一個內(nèi)部的網(wǎng)絡(luò)IP地址。多重隱秘（橋接）模式一般用來保護多臺設(shè)備，而這些被保護設(shè)備與非安全設(shè)備有可能在同一網(wǎng)段內(nèi)。
iii. 路由模式:

     路由模式用來在兩個網(wǎng)絡(luò)之間建立安全防護，mGuard將會完美保護位于內(nèi)部網(wǎng)絡(luò)的控制設(shè)備，mGuard在外部網(wǎng)絡(luò)（子網(wǎng)A）和內(nèi)部網(wǎng)絡(luò)（子網(wǎng)B）各需要一個IP地址。路由模式一般用來連接工業(yè)控制網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)。
     d) mGuard Secure Cloud 技術(shù)

     通過mGuard Secure Cloud技術(shù)，菲尼克斯電氣的安全專家可以通過遠程VPN功能為mGuard客戶提供各種不同級別的安全服務(wù)，比如說，定期為客戶的工業(yè)控制系統(tǒng)和數(shù)據(jù)做安全檢查，并出具相應(yīng)的專業(yè)報告，為客戶的工業(yè)控制系統(tǒng)信息安全提供專家級的建議。
     e)  mGuard硬件裝置
菲尼克斯電氣可以提供適用于不同場合的mGuard工業(yè)防火墻，這些不同的硬件具有相同的固件并且可以獲得免費升級服務(wù)，都可以通過WEB界面進行配置，也可以通過mGuard Device Manager管理軟件進行集中的管理和配置，可以互相兼容，全部支持mGuard Secure Cloud服務(wù)。

     如今，全世界的工業(yè)大國都紛紛將工控及其安全問題提到戰(zhàn)略級別，比如德國工業(yè)4.0就將工控安全作為重要環(huán)節(jié)單獨考慮。2011年9月，工信部還特別下發(fā)《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》。2015年2月1日，推薦性國家標準GB/T30976.1～.2-2014《工業(yè)控制系統(tǒng)信息安全》正式開始實施。由此可見，加強工業(yè)控制系統(tǒng)信息安全工作已是當務(wù)之急。而菲尼克斯電氣的mGuard工業(yè)防火墻所具有的多重防護模式、深度數(shù)據(jù)包檢測技術(shù)、惡意軟件及病毒檢測技術(shù)和mGuard Secure Cloud 技術(shù)是專門針對工業(yè)領(lǐng)域開發(fā)的信息安全防護技術(shù)，將對工業(yè)控制系統(tǒng)信息安全保障工作提供有力支持。