找准边界，吃定安全 | 万物互联，怎么摸清工业控制系统中的安全边界？

必须采用纵深防御的安全理念，以被保护的工业控制系统为核心，构建起多层级的纵深防御体系

一、工控系统防护理念的演变

工业控制系统网络安全防护理念经历了四个阶段的演变。

• 第一阶段是 2010 年震网病毒发生之前，仅强调网关、网闸、单向隔离等物理隔离，后来发现隔离是十分脆弱的，现代高级持续性攻击都是针对隔离系统的。
• 第二阶段由传统信息安全厂商提出的纵深防御体系，大多数项目演变为信息安全产品的简单堆砌，带来了更多的故障点，这些故障点在不同的系统中造成了很大的危害，所以不能完全适应工业网络安全的特点。
• 第三阶段是目前所处的从工业控制系统内部生长的持续性防御体系，通过基础硬件创新来实现，低延时、高可靠、可定制化、持续更新、简单化的实施和操作等。虽然这个阶段现在还有很多的问题要解决，但是确实有效性在逐渐的提升。
• 第四阶段是近两年来以美国、以色列为代表的以攻为守的国家战略，在国家层面注重攻击技术的研究、实验、突破和攻防演示实验室的建设，以攻击技术的提高，带动防御技术的提高，以攻击威慑力，换取安全性。

二、工控系统安全的趋势和建议

在当今技术高速发展，系统结构日趋复杂，攻击手段不断翻新，尤其出现了高级可持续威胁的信息安全大背景下，想要把所有的攻击都阻拦在防护之外，已经是不可能的事情。因此，要保证工业控制系统的安全，必须采用纵深防御的安全理念，以被保护的工业控制系统为核心，构建起多层级的纵深防御体系。
第一步，需要在工业控制系统的对外边界上建立起良好的“边界系统”，借助传统 IT 系统的相关经验和产品，同时充分结合工控系统性能特点，利用工控防火墙、工控网闸等安全隔离设备，在工控系统的边界上构筑安全防线。
第二步，需要为工业控制系统建立全面的“防御系统”，它包括了工控监测审计系统、安全管理平台和安全态势感知等安全部件，用以检测和抵御入侵工控系统的攻击行为。

三、工控安全边界界定及第一道防线

参考 IEC 62264-1 的层次结构模型划分可分为 5 个层级，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层；
• 企业资源层主要包括 ERP，PLM 等功能单元，用于为企业决策层员工提供决策运行手段；• 生产管理层主要包括 MES 系统功能单元，用于对生产过程进行管理，如制造数据管理、生产调度管理等；• 过程监控层主要包括工程师站、操作员站与 HMI 系统功能单元，用于对生产过程数据进行采集与监控，并利用 HMI 系统实现人机交互；• 现场控制层主要包括各类控制器单元，如 PLC、DCS 控制单元等，用于对各执行设备进行控制；• 现场设备层主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作。
由此可见，工控安全边界主要指办公网与生产网的网络边界防护、生产网内部各生产车间或工艺流程网络边界防护、关键 PLC 控制设备的安全防护。可以通过工业防火墙实现管理网与生产网的隔离，并保证数据传输需求；根据业务划分安全区域，针对跨装置存在的操作站互联情况，在操作站之间加装工业防火墙，实现安全域间的安全通信；通过工业防火墙对控制系统进行防护，保护关键控制器（如 PLC）的数据在传输中不被病毒篡改及删除，防止控制网中节点感染病毒。