随着智能制造与工业4.0战略的提出，工业生产的数字化成为一种不可阻挡的未来趋势，高度融合IT技术的工业自动化将会得到迅速而广泛的应用，对于工业控制系统的信息安全的关注将达到前所未有的高度和广度。

　　威胁信息安全的主要包括黑客攻击、病毒、数据操纵、蠕虫和特洛伊木马等技术。数据显示，黑客的攻击目标已经从原来的商业互联网络逐步扩展到工业控制系统，主要目标集中在能源、水利、化工、政府机构以及核设施等领域。信息安全事件呈逐年上升的趋势，其背后不乏犯罪、商业间谍、恐怖主义、甚至某些国家赞助的间谍活动。

　　菲尼克斯电气是mGuard工业防火墙技术的发明者，也是工业信息安全的技术和市场领导者。mGuard工业防火墙技术始于2001年，在全球已经得到了十多万客户的应用和验证，应用领域包括汽车、机械制造、仪表自动化、能源和轨道交通等行业。

　　菲尼克斯电气可以为客户提供全面的工业信息安全产品和技术服务，包括mGuard硬件防火墙，内嵌式的Linux OS内核程序，mGuard相关软件解决方案以及mGuard的各种定制化信息安全服务等。

　　那么，工业控制系统信息安全所面临的主要威胁有哪些?办公网络和工业网络信息安全的主要差异是什么?典型的工业级网络防火墙的特点和优势体现在哪里? 本文将一一为您阐述。

　　1、 工业控制系统信息安全威胁分析：

　　工业控制系统信息安全的潜在威胁主要来自黑客攻击、病毒、数据操纵、蠕虫和特洛伊木马等。

　　a) 来自黑客的攻击：

　　目前，由于安全制度的缺失，大量的工业控制系统在完全没有保护的情况下被连接到互联网中，而这些设备大都使用默认的用户名和密码，可以轻易的被登陆和访问，这些控制系统往往非常脆弱，易于被攻击，而最危险的是这些控制系统的使用者对这些危险毫无察觉。

(数据来源：2011年 剑桥大学)

　　上面这两张图片来自剑桥大学2011年提供的一个分析报告，通过这个报告我们可以看出，只要通过网络搜索引擎(Shodan搜索引擎)进行简单的搜索，就可以找到连接在互联网的工业网络设备。网站的研究者也曾使用Shodan定位到了核电站的指挥和控制系统及一个粒子回旋加速器，真正的可怕之处就是这些设备几乎都没有安装安全防御措施，可以随意进入。

　　黑客还可以利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。某些黑客甚至将攻击SCADA系统的代码公布到网络上。

　　由此可见，黑客的攻击目标已经从原来的商业互联网络逐步扩展到工业控制系统和SCADA系统中，而其背后的目的包括犯罪、商业间谍、恐怖主义、甚至某些国家赞助的间谍活动。

　　b) 来自病毒的破坏

　　由于操作维护人员、第三方的系统维护服务商或访客的不当操作，将有可能将隐藏在U盘、移动设备、笔记本电脑中的病毒传播到工业控制系统中。如果没有防护措施，这些病毒会利用系统的安全漏洞，在网络中进行自我复制和传播，感染工业控制计算机或攻击可编程控制器。

　　i. 直接攻击PLC控制器的病毒(Stuxnet)

　　Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和工业控制软件的漏洞进行攻击。Stuxnet蠕虫病毒会攻击可编程逻辑控制器(PLC)，向PLC中写入数据，并根据情况和需求改变PLC的流程。

　　该病毒可以通过U盘和局域网进行传播，国内已有超过500万网民及多个行业的领军企业遭Stuxnet蠕虫病毒攻击，而且由于安全制度上的缺失，该病毒还存在很高的大规模传播风险。

　　ii. 间接攻击的病毒(Dragonfly / Havex)

　　Dragonfly病毒是继Stuxnet之后又一强大的病毒，它的目标就是侵入特定的工业控制系统(ICS)，窃取其系统信息和数据并做进一步的传播和扩散。

　　Dragonfly病毒是在2014年开始传播并被发现的，黑客渗透了三个工业系统服务商的软件升级服务器，致使其客户通过升级服务下载了数百个包含恶意软件的升级安装文件。

　　iii. 可自我复制的恶意软件(Conficker / Kido)

　　Conficker蠕虫是以微软的windows操作系统为攻击目标的计算机蠕虫病毒，目前全球已有超过1500万台电脑受到感染。

　　conficker蠕虫使用特定的RPC请求在目标电脑上执行代码，一旦发现网络中存在有漏洞的计算机系统，就会激活该漏洞进行远程感染。

　　Conficker这一类的蠕虫病毒会增加网络负载，造成网络的不稳定，也会使被感染的系统CPU负载增高，使得整个系统不可靠。

(数据来源：Conficker working group)

　　c) 工业控制系统信息安全事件发生的数量和所受攻击类型的分析：

　　据目前已知的数据显示，工业控制系统的信息安全事件主要集中于能源、水利、化工、政府机构以及核设施等领域。而且在中国，这类事件的发生也呈逐年上升的趋势。

　　(数据来源：权威工业安全事件信息库 RISI(Repository of Security Incidents) 2014)

　　从以上分析可以看出，工业控制系统信息安全事件呈快速上升趋势，且所受攻击可能来自方方面面，幸运的是菲尼克斯电气所提供的mGuard工业信息安全技术可以很好地解决以上问题。

　　2、 办公网络信息安全和工业自动化网络信息安全的主要差别

　　办公电脑和网络与工业电脑和信息网络有很大区别，针对信息安全所做的防护措施也不尽相同。

　　表1 在办公室和工业环境中信息系统的不同特点

　　由上表可以看出，工业控制计算机和工业网络在对安全性的要求、使用寿命、信息安全防护手段等方面有着特殊要求。由于系统兼容性和稳定性的需要，工业控制计算机往往都不会安装杀毒软件和经常升级系统补丁，特别是一些服役多年的工控设备，往往得不到更新支持，这些毫无防护的控制系统非常脆弱。病毒和毫无经验的黑客都可以对其发起致命性的攻击。菲尼克斯电气的mGuard工业防火墙技术不但可以防止黑客从网络入侵，同时可以对病毒实现监控和防御。

　　3、 菲尼克斯电气mGuard工业控制系统信息安全解决方案的特点

　　菲尼克斯电气的mGuard工业防火墙技术始于2001年，为工业企业客户提供信息安全产品和相关技术服务，目前在全球已经安装了超过10万个工业级防火墙。主要的客户包括汽车、机械制造、仪表自动化、能源、轨道交通。

　　所提供的产品和服务包括mGuard硬件防火墙，内嵌式的Linux OS内核程序，mGuard相关软件解决方案以及mGuard的各种定制化信息安全服务。

　　mGuard主要安全性能介绍：

　　a) OPC深度数据包监测技术

　　许多工业级蠕虫病毒都是通过远程过程调用(RPC)协议进行传播，在现代工业控制系统中，RPC协议被广泛使用，工业集成技术OPC Classic就需要允许RPC通讯。因此它经常被黑客和病毒利用，用以攻击SCADA和工业控制系统。如果禁用RPC协议，会导致工业控制系统通讯故障，OPC深度数据包监测技术(DPI)可以识别正常的OPC通讯请求，并阻止恶意信息和不恰当的SCADA/ICS通讯，同时避免对控制系统造成不必要的影响，这在工业控制系统信息安全防护中是十分必要的。

　　DPI细粒度防火墙控制将精确地保证服务器与客户端之间的OPC通讯，提供最高级别的安全，确保针对蠕虫病毒的防护。甚至，mGuard的智能深度数据包检测技术还可以使OPC通讯在NAT路由模式下正常工作(如IP掩蔽或1:1NAT模式)，世界上只有mGuard工业防火墙具有这样的技术。

　　b) 恶意软件及病毒检测技术

　　传统的防火墙仅能禁止黑客的入侵和蠕虫病毒的传播，不能对工控机中潜在的病毒进行防控，也无法根除这些危险源。

　　菲尼克斯电气的mGuard工业防火墙具有通用互联网文件系统完整性监测技术(CIFS Integrity Monitoring，简称CIM)。利用这个技术，mGuard可以定期监测指定工控机内文件系统，判断该计算机系统中的.EXE文件和.DLL文件是否被非授权的改写。

　　mGuard还可以利用CIFS病毒扫描技术，调用病毒扫描服务器，对指定工控机内的文件系统进行病毒扫描，这样就可以主动消灭恶意软件和病毒，该功能对于工控机的硬件性能和系统兼容性没有任何特殊要求。

　　总体来说CIM技术可以为工业控制系统提供信息安全防护，而不需要为工控机升级安全补丁，并与原有硬件和系统软件兼容，可永久在线监测和扫描，对病毒有防御功能，不占用CPU和网络负载，支持Win95/98, CE5+, NT, 2000, XP, Vista, 7 及各种LINUX 操作系统，当发现病毒或非正常的文件写入时将触发报警并自动响应(如启动第三方病毒工具，升级安全级别)。使用CIM技术，将节省大量系统信息安全升级改造的成本。

　　c) 三种不同的防护模式

　　为了提高工业控制系统信息安全，需要对工业控制系统网络划分成不同安全级别的区域，从而实现纵深防御来隔离系统中的重要部分。菲尼克斯电气的mGuard具有三种不同的防护模式，可以灵活的适用于不同的安全区域。

　　i. 单一隐秘模式(专利技术)：

　　隐秘模式用于完美保护某个单一设备，在这样的模式中mGuard不具备IP地址，因此对于黑客来说完全是隐形的，这样的模式也不会改变原有的网络结构，mGuard将会过滤所有通向被保护设备的数据。

　　ii. 多重隐秘(桥接)模式：

　　多重隐秘(桥接)模式用于保护一组设备，mGuard将会过滤所有通向被保护设备的数据，在这样的结构中，mGuard需要一个内部的网络IP地址。多重隐秘(桥接)模式一般用来保护多台设备，而这些被保护设备与非安全设备有可能在同一网段内。

　　iii. 路由模式:

　　路由模式用来在两个网络之间建立安全防护，mGuard将会完美保护位于内部网络的控制设备，mGuard在外部网络(子网A)和内部网络(子网B)各需要一个IP地址。路由模式一般用来连接工业控制网络和办公网络。

　　d) mGuard Secure Cloud 技术

　　通过mGuard Secure Cloud技术，菲尼克斯电气的安全专家可以通过远程VPN功能为mGuard客户提供各种不同级别的安全服务，比如说，定期为客户的工业控制系统和数据做安全检查，并出具相应的专业报告，为客户的工业控制系统信息安全提供专家级的建议。

　　e) mGuard硬件装置

　　菲尼克斯电气可以提供适用于不同场合的mGuard工业防火墙，这些不同的硬件具有相同的固件并且可以获得免费升级服务，都可以通过WEB界面进行配置，也可以通过mGuard Device Manager管理软件进行集中的管理和配置，可以互相兼容，全部支持mGuard Secure Cloud服务。

　　如今，全世界的工业大国都纷纷将工控及其安全问题提到战略级别，比如德国工业4.0就将工控安全作为重要环节单独考虑。2011年9月，工信部还特别下发《关于加强工业控制系统信息安全管理的通知》。2015年2月1日，推荐性国家标准GB/T30976.1～.2-2014《工业控制系统信息安全》正式开始实施。由此可见，加强工业控制系统信息安全工作已是当务之急。而菲尼克斯电气的mGuard工业防火墙所具有的多重防护模式、深度数据包检测技术、恶意软件及病毒检测技术和mGuard Secure Cloud 技术是专门针对工业领域开发的信息安全防护技术，将对工业控制系统信息安全保障工作提供有力支持。