北京力控华康科技有限公司总经理  魏钦志

   北京力控华康科技有限公司成立于2009年，专业从事工业网络通信和网络安全产品与服务。力控华康成立了专门的工业网络安全实验室，主要从事SCADA、PLC、DCS的漏洞挖掘。

   工业网络的发展带来信息安全挑战

   随着计算机网络技术在PCS系统中的深入应用，以及MAV理念逐步得到认可，自动控制系统仅为“信息孤岛“的时代已经过去。大型化、集成化的PCS系统是历史发展的必然趋势！

   以太网、无线设备、远程配置、Windows和Linux操作系统等技术在工业控制系统中的应用，使其正在向网络化新型控制系统演变，控制系统与控制网络开放性主要体现在：

   第四代DCS整体呈现开放性 ；基于PC架构的计算机应用的普及；Windows平台的广泛应用；基于IEEE802.3的工业以太网普及；大量采用TCP(UDP)/IP网络协议；OPC、ModbusTCP等统一接口标准。

   从网络安全的角度来看，这一系统“有巨大的挑战，很容易被利用”。

   国家信息安全漏洞共享平台（China National VulnerabilityDatabase，简称CNVD）在2011年收录了100余个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍，涉及西门子、北京三维力控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞，但这些漏洞可能被黑客或恶意软件利用。

   力控华康的应对策略

   那么对于不同的行业、不同的网络架构，需要找到不同的有针对性的解决方案。

   对此，力控华康提出的第一个原则即基于“白名单”的工控安全机制。“白名单”机制要求我们在信息传输的时候，只能够通过你使用到的协议进行传输。

   第二个原则是提倡用户建立网络物理隔离 ，建议用户把办公网和控制网，即信息网和控制网的信息分开。力控华康提供可靠的隔离网关产品，其采用安全的物理隔离“2+1”系统架构，即独立的运算单元和存储单元，各自运行独立的操作系统和应用系统，安全隔离区采用私有加密的数据交互技术，数据交换不依靠TCP/IP协议，采用私有的定制操作系统。具有强大的数据交换能力和多种工业通信协议支持，完整的安全策略部署 ，可靠的冗余方案和故障自诊断技术。

  第三，力控华康提出引入防火墙技术，在引入防火墙技术的同时需考虑工业行业的特点，首先要求对于工业协议进行深度的分析，即可配置控制指令、寄存器地址、点名信息等。并且采用工业化设计。

   第四，力控华康和一些企业合作，提供漏扫和入侵检测。入侵预防系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙的补充。 入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

   最后，建立工业网络私有云管理平台。构建满足工业控制系统的全厂级风险识别模型，除了需要细化工业控制系统的风险因素，还需要建立基于工业控制系统的安全管理域，实施分等级的基线建设，兼顾包括终端与链路、威胁与异常、安全与可用性等综合因素的功能考虑。包括：

   方便地对整个系统里所有安全设备模块、控制器和工作站，进行部署、监控和管理；

   规则辅助生成，指导用户方便快捷地从权限、授权管理报告中，创建防火墙的规则；

   自动阻止并报告任何与系统流量不匹配的规则；

   接收、处理和记录由安全模块所上传的报警信息；

   全网流量收集识别能力；

   基于白名单的终端应用控制能力；

   实时ICS 协议与内容识别能力；

   异常行为的仿真能力；

   可视化配置、组态；

   安全事件搜索、跟踪和预处理能力。 

   摘自《自动化博览》2013年1期