隨著工業化與信息化的深度融合，智能化的工業控制系統在電力、交通、石化、市政、制造等涉及國計民生的各行各業越來越重要，來自信息網絡的安全威脅將逐步成為工業控制系統（IndustrialControlSystem，簡稱ICS）所面臨的最大安全威脅。國內主管部門及用戶也愈發重視ICS的安全問題。2013年國內已做了大量的關于工業控制系統安全的工作，工業控制系統相關的安全標準正在制訂過程中，電力、石化、制造、煙草等多個行業，已在國家主管部門的指導下進行安全檢查、整改。在此種工控安全生態環境下，控制工程中文版記者與國內安全專家綠盟科技公司的李鴻培博士進行了深入交流，與其探討了工控系統的安全風險及對策。

　　及時發現ICS的脆弱性

　　隨著我國工業化與信息化深度融合的快速發展，成熟的IT及互聯網技術正在不斷地被引入到工業控制系統中，這必然因為需要與其它系統進行互聯、互通、互操作而打破工業控制系統的相對封閉性。不像傳統IT信息系統軟件在開發時擁有嚴格的安全軟件開發規范及安全測試流程，工業控制系統開發時僅重視系統功能實現而缺乏相應的安全考慮，現有的工業控制系統中難免會存在不少危及系統安全的漏洞或系統配置問題，而這些系統的脆弱性均有可能被系統外部的入侵攻擊者所利用，輕則干擾系統運行、竊取敏感信息，重則有可能造成嚴重的安全事件。

　　李博士介紹：截止到2013年12月，綠盟科技安全漏洞庫中共收錄到386個與ICS相關的漏洞。國家信息安全漏洞共享平臺（CNVD）已累計發布了500多條ICS相關的漏洞。ICS漏洞數總體仍呈增長趨勢，2013年漏洞數增長變緩。

　　面對脆弱的工業控制系統，安全防護工作迫切需要得到應有的重視。李博士談到：安全防護是一個系統工程，包括從技術到管理各個方面的工作。其中最重要的就是對工業控制系統自身脆弱性問題的檢測與發現，只有及時發現工業控制系統存在的脆弱性問題，才能進一步執行相應的安全加固及防護工作。我們認為，安全行業廠商和工業控制系統廠商應盡早建立合作機制、建立國家或行業級的漏洞信息分享平臺與專業的關于工控系統的攻防研究團隊，并盡早開發出適合于工業控制系統使用的脆弱性掃描設備。

　　適用于工業控制系統的漏洞掃描器和傳統的IT系統漏洞掃描器相比，除了可以支持對常見的通用操作系統、數據庫、應用服務、網絡設備進行漏洞檢測以外，還應該支持常見的工業控制系統協議，識別工業控制系統設備資產，檢測工業控制系統的漏洞與配置隱患。通過使用工業控制系統掃描器，在工業控制系統設備上線前及維護期間進行脆弱性掃描，可以及時發現工業控制系統存在的脆弱性問題，了解工業控制系統自身的安全狀況，以便能夠及時地提供針對性的安全加固及安全防護措施。

　　重視APT攻擊的檢測與防護

　　近年來，工業控制系統安全威脅有所變化：單打獨斗到有組織團體——從攻擊個體到攻擊群體再到攻擊團體；攻擊動機不再是技術突破，而是更具功利性——經濟、政治與意識形態的驅動更加明顯。此外，針對工業控制系統的攻擊，不論是在規模宏大的網絡戰，還是在一般的網絡犯罪中，都可以發現高級持久威脅（AdvancedPersistentThreat，簡稱APT）的影子。自2010年APT出現后，安全業界已陸續報道了數十起APT攻擊事件。例如，2010年伊朗核電站遭遇Stuxnet攻擊，2011年全球化工行業被Nitro竊取數據，2012年中東能源行業被Shamoon擦寫硬盤數據和主引導記錄等等。

　　ICS公開漏洞中，2013年的新增漏洞中高危漏洞則超過一半。APT攻擊已成為針對ICS攻擊的重要手段。，李博士解釋，簡單地說，APT指一個具備相應能力和意圖的組織，針對特定實體發起的持續和有效的威脅。嚴格來說，APT能夠靈活地組合使用多種新型攻擊技術和方法，超越了傳統的基于特征簽名的安全機制的防御能力，能夠長時間針對特定目標進行滲透，并長期潛伏而不被發現，是一種嚴密組織化的行為，擁有大量的資金支持、優秀的管理能力和大量高端人才。

　　通常認為，APT攻擊包含情報收集、突破防線、建立據點、隱秘橫向滲透和完成任務五個階段。對此，綠盟科技給出了檢測與防護給出的建議：

　　（1）全方位抵御水坑攻擊?；谒?網站掛馬方式的突破防線技術愈演愈烈，并出現了單漏洞多水坑的新攻擊方法。針對這種趨勢，一方面寄希望于網站管理員重視并做好網站漏洞檢測和掛馬檢測；另一方面要求用戶（尤其是能接觸到工業控制設備的雇員）盡量使用相對較安全的Web瀏覽器，及時安裝安全補丁，最好能夠部署成熟的主機入侵防御系統。

　?。?）防范社會工程攻擊、阻斷CC通道。在工業控制系統運行的各個環節和參與者中，人往往是其中最薄弱的環節，故非常有必要通過周期性的安全培訓課程努力提高員工的安全意識。另外，也應該加強從技術上阻斷攻擊者通過社會工程突破防線后建立CC通道的行為，建議部署值得信賴的網絡入侵防御系統。

　?。?）工業控制系統組件漏洞與后門檢測與防護。工業控制系統行業使用的任何工業控制系統組件均應假定為不安全或存在惡意的，上線前必需經過嚴格的漏洞、后門檢測以及配置核查，盡可能避免工業控制系統中存在的各種已知或未知的安全缺陷。其中針對未知安全缺陷（后門或系統未聲明功能）的檢測相對困難，目前多采用系統代碼的靜態分析方法或基于系統虛擬執行的動態分析方法相結合的方式。

　?。?）異常行為的檢測與審計。

　　李博士強調：上述列舉出的APT突破防線和完成任務階段采用的各種新技術和方法，以及其他已經出現或者即將出現的新技術和方法，直觀上均表現為一種異常行為。建議部署工控審計系統，全面采集工業控制系統相關網絡設備的原始流量以及各終端和服務器上的日志；結合基于行為的業務審計模型對采集到的信息進行綜合分析，識別發現業務中可能存在的異常流量與異常操作行為，發現APT攻擊的一些蛛絲馬跡，甚至可能還原整個APT攻擊場景。

　　工業控制系統安全與傳統的信息安全不同，它通常關注更多的是物理安全與功能安全，而且系統的安全運行由相關的生產部門負責，信息部門僅處于從屬的地位。隨著信息化與工業化技術的深度融合以及潛在網絡戰威脅的影響，工業控制系統也將從傳統的僅關注物理安全、功能安全轉向更為關注信息系統安全。李博士認為：確保國計民生相關的工業控制系統安全已被提升到了國家安全戰略的高度，再加上工業控制系統跨學科、跨行業應用的特殊性，建立工控系統的安全保障體系必須通過國家、行業監管部門、工業控制系統用戶、工業控制系統提供商、信息安全廠商等多方面協同努力。