1、我國工控系統(tǒng)信息安全發(fā)展座談會會議紀要（）主辦單位：中國儀器儀表學會 中國電子信息產(chǎn)業(yè)發(fā)展研 究院 會議籌劃 策劃人：仝培杰（信息安全與技術(shù) 雜志社 副主編）李明遠（中國儀器儀表學會學會部 主任/ 高級工程師） 執(zhí)行人：佟琳（信息安全與技術(shù)雜志社 副主編） 許鳳凱（中國軟件評測中心工業(yè)控制系統(tǒng)可靠性測試中心 副主任 / 博士）黃藍青（中國儀器儀表學會學會部）座談議題（1）對我國信息安全領域最新政策、技術(shù)標準的解讀。（2）我國工控系統(tǒng)應用對于信息安全需求的迫切性。（3）如何從國家政策指導、運行體制保障、制度建設、行 為規(guī)范、技術(shù)標準執(zhí)行、專項資金建立等諸多角度做支撐，來加 快工業(yè)系統(tǒng)信息安全建設

2、與發(fā)展的步伐。（ 4）如何從應用環(huán)境、安全審計、測量和控制、運維管理、 技術(shù)實施、 信息安全產(chǎn)品的選擇等諸多方面， 來確保工業(yè)系統(tǒng)的 安全運行和業(yè)務運行保障。主 持 人：劉靜平 信息安全與技術(shù)雜志社 主編 座談人員吳幼華 中國儀器儀表學會 副理事長兼秘書長 / 研究員級高級工程師崔書昆 中國信息安全標準化技術(shù)委員會 副主任夏德海 中國儀器儀表學會 技術(shù)顧問 / 教授級高級工程師 馬增良 中國科學院自動化研究所 綜合自動化技術(shù)工程中 心 研究員 / 總工程師歐陽勁松 機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所 所長 / 教授級高級工程師趙力行 北京自動化技術(shù)研究院 院長/ 教授級高級工程師高昆侖 中國電

3、力科學研究院信息安全研究所 所長劉 權(quán) 中國電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究所 所長 / 博士劉法旺 中國軟件評測中心 副主任 / 博士汪 彤 北京市勞動保護研究所 副所長杜京哲 中國工業(yè)軟件產(chǎn)業(yè)發(fā)展聯(lián)盟 常務副秘書長梅 恪 機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所 副總工程師 / 教授級高級工程師楊 帆 清華大學自動化系 講師 / 博士崔 琳 清華大學化學工程系 工程師 / 博士田雨聰北京國電智深控制技術(shù) XX公司總經(jīng)理助理/高級 工程師薛百華北京東土科技XX公司副總經(jīng)理/總工程師魏欽志北京力控華康科技 XX公司總經(jīng)理李洪波北京遠東儀表XX公司副總經(jīng)理明旭北京中科網(wǎng)威信息技術(shù) XX公司副總裁吳幼

4、華 關于工業(yè)控制系統(tǒng)安全問題的研討會， 在儀器儀表行業(yè)已經(jīng) 開過多次，尤其是近幾年國際上對工業(yè)信息安全問題引起了大家 的重視， 工業(yè)信息安全問題也越來越突顯。 首先我們要認識工業(yè) 化信息安全的重要性，其次要論述加強工業(yè)化信息安全的必要 性，加強安全的方法、措施和如何防范不安全的因素。通過這個 座談會的形式， 形成一個高層建議， 并建立一個工業(yè)信息安全聯(lián) 盟。Safety是一種安全的狀態(tài)，Security實際上是安全的措施。夏德海1. 存在問題現(xiàn)有的解決問題方案是被動的， 處于“挨打”的局面。 目前 的解決方案和標準是先將整個企業(yè)按地理位置或流程分為若干 區(qū)（Zone）各個區(qū)之間由管道來連接，在

5、管道上安裝防火墻或安 全網(wǎng)關， 再用黑名單和白名單的辦法， 若信息符合白名單的協(xié)議 就可通過。而所謂縱深防御，就是從企業(yè)的 ERP層往下，層層設 關，最多可達五層，而且按 IEC62443 標準，如有需要則還可在 重要的控制器前再設 “分”或“二次”防火墻。一旦出現(xiàn)工業(yè) 信息安全威脅， 生產(chǎn)人員不知道“敵人”何時入侵， 也不知已潛 伏的“定時炸彈”何時爆發(fā)，一有風吹草動，不免風聲鶴唳，草 木皆兵，怎么叫人安心生產(chǎn)？實用性有待驗證。 據(jù)了解， 目前的解決方案或標準均出自于 IT 行業(yè)，例如 IEC62443 標準。提及 IT 行業(yè)對信息要求排序是 “保密完整性可用性”； 而工控行業(yè)信息要求則為“

6、可用性 完整性保密性”。 從工控行業(yè)的觀點來看， 則應從“實用性 可靠性安全性”方面來對比。 有關安全的標準應該是強制性 的還是推薦性“預標準 ( Pre-standard )”？正在轉(zhuǎn)化的國際是 推薦性的。另外，有人認為在目前情況下， 安保作為推薦性標準也是可 以的。確實，目前企業(yè)均已采用了安全措施，如報警、聯(lián)鎖 、 自診斷、冗余，最高級的是熱備用的雙冗余，但再仔細想想， Security 與一般的安全不同，病毒主要攻擊的控制器，而雙冗 余的控制器我們一般都采用同一廠商、 同一型號的， 一旦給病毒 鉆了空子而失效，就會引發(fā)很大的問題。2. 應對策略 首先，我們應該研究具有中國特色的工控安保系

7、統(tǒng)。 既然我 們不滿足于被動的防御方式， 能不能改變一下思路， 采取主動的， 以攻為守的防御方式。其次，為了保護企業(yè)的安全，我們也可以加強立法，有必要 建立國家級的工控安保實驗室(或工程中心)。這個實驗室宜掛 靠在工業(yè)控制部門，而不要掛靠在 IT 行業(yè)，同時必須以工控人 員為主，以 IT 行業(yè)人員為輔，才能引入目前的 IT 行業(yè)中行之 有效的安保方案，如防火墻、殺毒、縱深防御、“密缶 ”、密網(wǎng)等。第三，工控安保認證中心必須立足國內(nèi)， 認證中心立足國內(nèi) 的目的，重要是防止技術(shù)泄密，保護我國的知識產(chǎn)權(quán)。最后，早注意培養(yǎng)“一專多能”的復合型安保人才。 工控和 IT 是兩個絕然不同的行業(yè)，一個人要同時

8、精通二者，很難甚至 是不可能的，但一專多能實踐證明是可以做到。（注：未能到會，但發(fā)來了書面發(fā)言）崔書昆1. 工業(yè)控制系統(tǒng)安全面臨巨大風險 一是來自自然環(huán)境因素和系統(tǒng)本身脆弱性。 2003年 8 月， 北美發(fā)生大停電事件， 起因于俄亥俄電廠高壓電線觸及路旁樹枝 而造成局部跳電， 原本采取隔離動作即可化解， 但監(jiān)控電廠運行 狀態(tài)的軟件設計有誤， 造成鄰近電廠接連跳電， 導致空前大停電， 影響 5000 萬人生活， 造成 100 多億美元的經(jīng)濟損失。 二 是來自黑客和惡意軟件等網(wǎng)絡攻擊。 2003 年，“震蕩波”蠕蟲 病毒在全球肆虐期間， 美國俄亥俄州核電站企業(yè)網(wǎng)絡感染蠕蟲并 擴散到核電站運行網(wǎng)，

9、造成了核電廠計算機癱瘓， 所幸該廠正在 進行例行維護并未上線，這次事故才沒有導致災難。三是來自對手的信息攻擊。美軍某前部長在其回憶錄中披 露， 1982年 6 月，美中央情報局通過利用美國銷售給前蘇聯(lián)的 控制軟件中的缺陷， 對前蘇聯(lián)進行了一次預設攻擊， 導致了前蘇 聯(lián)西伯利亞一條天然氣長輸管線發(fā)生大爆炸。 事情的真?zhèn)尉滞馊藷o從深究。據(jù)業(yè)界估計， 每年未加報道的攻擊事件在數(shù)百例之多。 2004年，美國國土安全部發(fā)現(xiàn) 1700個設施的SCAD/系統(tǒng)存有外部可 以攻擊的漏洞。 在震網(wǎng)病毒之后， 各國又發(fā)現(xiàn)德國西門子公司生 產(chǎn)的工控系統(tǒng)數(shù)十個新漏洞。 國外有機構(gòu)稱，我國生產(chǎn)的“組 件王”（ Kingv

10、iew ）亦存在漏洞。2. 加強控制系統(tǒng)安全勢在必行（1）將工業(yè)控制系統(tǒng)安全納入我國網(wǎng)絡和信息安全管理范 圍及防護體系；（ 2）加快制定國家關于工控系統(tǒng)安全的法規(guī)和 技術(shù)標準的步伐；（ 3）加強工業(yè)控制系統(tǒng)安全技術(shù)研究、開發(fā) 與應用，把工控系統(tǒng)安全建立在“自主可控”基礎之上；（4）總結(jié)我國工控系統(tǒng)安全防護的有用經(jīng)驗并予以推廣；（5）開展工控系統(tǒng)安全的宣傳與學術(shù)交流，提高工控系統(tǒng)安全 意識。Stuxnet 病毒之類的威脅，發(fā)展到現(xiàn)在，已經(jīng)遠不止對工控 系統(tǒng)、一般自動化系統(tǒng)構(gòu)成威脅，而是對所有采用計算機、嵌入 式芯片的系統(tǒng)構(gòu)成了威脅，包括電網(wǎng)生產(chǎn)調(diào)度、油氣生產(chǎn)運輸、 石油化工生產(chǎn)、核設施、航空航天

11、、城市軌道交通、高速列車、 水利樞紐、物流、城市上下水、衛(wèi)生醫(yī)療等國家社會基礎設施。 我們在看到上述具體威脅時更應舉一反三， 關注我們面臨的信息 戰(zhàn)、網(wǎng)絡戰(zhàn)多方面威脅。（注：未能到會。內(nèi)容摘自“ 2011 中國信息安全技術(shù)大會” 上的主題演講。）馬增良建立工控系統(tǒng)信息安全產(chǎn)品的認證評價體系。在實驗室已經(jīng)通過認證的工控系統(tǒng)在實際上線運行后不一定保證安全，這里面包括管理、操作、通信接口、集成等方方面面的協(xié)作。評估是必 要的，但不足以保證上線后的安全。杜京哲從工業(yè)軟件企業(yè)方面說，西門子公司提出部署縱深防御體 系?？v深防御解決方案具體包括保證自動化工廠的物理安全，建立安全策略與流程，進行網(wǎng)絡分區(qū)與邊界

12、保護， 建立安全的單元 間通信，系統(tǒng)加固與補丁管理，惡意軟件的檢測與防護，訪問控 制與賬號管理，記錄設備訪問日志并進行必要的審計等。簡而言之，就是確保只有絕對必要的人員才能在物理上接觸到工控設 備。工控設備在網(wǎng)絡上要與其他不必要的相連的系統(tǒng)斷開，維護防火墻的完整性，堅持打上最新的軟件安全補丁等。工控信息安 全問題不僅僅是技術(shù)層面的問題， 而是從意識培養(yǎng)開始涉及到管 理、流程、架構(gòu)、技術(shù)、產(chǎn)品等各方面的系統(tǒng)工程，要求工控系 統(tǒng)的管理者、運營者和產(chǎn)品廠商的共同參與和協(xié)作。 國內(nèi)的一些 信息安全企業(yè)也提出了一些措施， 像工控系統(tǒng)安全平臺。工控系 統(tǒng)安全平臺的核心思想是要對工控系統(tǒng)進行分層分域分等級，

13、構(gòu)建三層架構(gòu)二層防護的安全體系架構(gòu)。歐陽勁松1.工業(yè)自動化領域?qū)踩拍罘譃槿悾?物理安全、 信息安 全和功能安全。 功能安全是為了達到設備和工廠安全功能， 受保 護的和控制設備的安全相關部分必須正確執(zhí)行其功能， 而且當失 效或故障發(fā)生時， 設備或系統(tǒng)必須仍能保持安全條件或進入到安 全狀態(tài)（或避免因自動化系統(tǒng)功能失效導致的人身安全事故， 及 對財產(chǎn)、環(huán)境等造成影響的安全工程）。物理安全是減少由于電 擊、著火、輻射、機械危險、化學危險等因素造成的危害。功能 安全是從系統(tǒng)自身失效引發(fā)的影響進行預防考慮， 而信息安全是 從外部攻擊造成的影響進行預防考慮。 功能安全和物理安全均可 定性、定量分析，同

14、時都有相關的國際標準和國家標準體系，而 信息安全方面尚無可量化的指標。 三類安全雖然考慮問題的出發(fā) 點不同， 但事實上他們對系統(tǒng)造成的影響結(jié)果是一致的， 且這三 類安全問題的防護是相輔相成的， 因此在考慮工控系統(tǒng)的安全性 時，應綜合考慮，不應以偏代全。2. 工業(yè)控制系統(tǒng)與 IT 系統(tǒng)對信息安全的需求考慮存在明顯 差異，工控系統(tǒng)最先考慮的是系統(tǒng)可用性，第二位是完整性，第 三是保密性， IT 系統(tǒng)首先是保密性、完整性，最后才是可用性。3. 工控系統(tǒng)信息安全工作首要在于建立統(tǒng)一的標準體系。 我 們正在轉(zhuǎn)化 IEC 62443的幾個標準，同時也在制定評估方法和驗 收規(guī)范兩個國家標準。 要以規(guī)范和標準為

15、主體來規(guī)范工作， 希望 國家盡快地建立我們自己的評估體系和標準體系。4. 工控系統(tǒng)信息安全認證工作需要一個不斷加深理解的過 程，建議先從評估開展起來，一步步來，不可一蹴而就。信息安 全和物理安全、功能安全最大的不同是不可示人，要自己認證， 國家應該把這個認證嚴格抓在自己手上，并且規(guī)范它的體系， “實現(xiàn)自己的保險柜自己上鎖”。5. 要本著為用戶服務， 為用戶解決實際問題的立場出發(fā)， 與 用戶相結(jié)合來做信息安全的評測和要求。6. 做信息安全的體系和標準， 應該與培訓和宣貫相結(jié)合， 應 該走到用戶中去，提高用戶信息安全的意識。7. 做好工控系統(tǒng)信息安全的相關工作， 必須工業(yè)測控專家和 信息安全專家相

16、結(jié)合，共同推進。劉權(quán)1.關鍵信息基礎設施安全狀況堪憂，國家安全面臨挑戰(zhàn) 據(jù)統(tǒng)計，我國芯片、操作系統(tǒng)等軟硬件產(chǎn)品，以及通用協(xié)議 和標準 90%以上依賴進口。當前針對關鍵信息基礎設施的網(wǎng)絡攻 擊持續(xù)增多， 甚至出現(xiàn)了政府和恐怖分子支持的高級可持續(xù)性威 脅（APT。APT是針對特定組織的、復雜的、多方位的網(wǎng)絡攻 擊，這類攻擊目標性強，持續(xù)時間長，一旦成功則可能導致基礎 網(wǎng)絡、重要信息系統(tǒng)和工業(yè)控制系統(tǒng)等癱瘓， 將給我國國家安全 等帶來嚴峻挑戰(zhàn)。2. 推動關鍵信息基礎設施安全保障工作一是啟動信息安全核心技術(shù)產(chǎn)品的安全檢查工作。加強國外進口技術(shù)和產(chǎn) 品，以及新技術(shù)、新產(chǎn)品和新業(yè)務的漏洞分析工作，提升安全

17、隱患的發(fā)現(xiàn)能力，促進漏洞信息共享。建立進口重大信息技術(shù)、產(chǎn) 品及服務的安全檢測與審核制度， 對進口技術(shù)和產(chǎn)品的安全進行 風險評估。逐步實現(xiàn)核心技術(shù)產(chǎn)品的國產(chǎn)化替代，真正實現(xiàn)“以我為主，自主可控”。二是加強關鍵信息基礎設施安全防護工作。 進一步完善等級保護制度和標準，繼續(xù)做好等級保護定級工作， 根據(jù)系統(tǒng)等級和面臨風險有針對性加強管理和技術(shù)防護。加強風險評估工作，做好系統(tǒng)測評、安全檢查等，及時發(fā)現(xiàn)風險隱患， 完善安全措施。三是重點保障工業(yè)控制系統(tǒng)安全。全面落實關 于加強工業(yè)控制系統(tǒng)信息安全管理的通知，切實加強對重點領域工業(yè)控制系統(tǒng)的信息安全管理工作，完善和加強工業(yè)控制系統(tǒng) 安全檢查和測評工作。劉法

18、旺隨著兩化融合的不斷深入，工控系統(tǒng)被廣泛應用于戰(zhàn)略基礎 設施、軍工武器裝備等，且越來越多采用通用協(xié)議、 硬件和軟件， 并與公共網(wǎng)絡進行互連。一旦工控系統(tǒng)受到攻擊，將會直接導致 重要基礎設施癱瘓，甚至引發(fā)國家經(jīng)濟、社會劇烈動蕩和生態(tài)環(huán) 境嚴重破壞。此外，工控系統(tǒng)的核心技術(shù)受制于國外，高端市場 擁有自主知識產(chǎn)權(quán)的產(chǎn)品和系統(tǒng)較少。因此，如何確保工控系統(tǒng)的安全可控，不僅僅是單個研究機構(gòu)或企業(yè)要思考的問題，更需要國家層面進行戰(zhàn)略布局，產(chǎn)業(yè)界群策群力?；谶@個考慮，今 天的研討會可以說是意義重大。在過去的幾年中，中國軟件評測中心針對工控系統(tǒng)的安全可 靠性問題，建立了專門的研究團隊，搭建模擬仿真實驗環(huán)境，研

19、 制測評技術(shù)規(guī)范，研發(fā)專業(yè)測評工具，目前正在承建離散型行 業(yè)信息技術(shù)應用共性技術(shù)支持和公共服務平臺 。借著今天這次 機會，也想和各位專家探討兩個問題：二是在目前的工控系統(tǒng)信息安全檢查過程中， 主管部門更多 的是側(cè)重管理層面。 對于實際在線運行的系統(tǒng)， 如何在不妨礙其 正常運行的情況下，采取技術(shù)檢查手段？也想請教一下各位專 家，有沒有什么好的建議或行之有效的最佳實踐。高昆侖 工控系統(tǒng)信息安全的三個基本屬性包括完整、可用和保密。工控系統(tǒng)的信息安全能直接破壞功能安全。 在考慮功能安全的同 時，為了保證系統(tǒng)的功能在各種情況下萬無一失的運作， 會考慮 很多風險因素，信息安全也考慮范圍內(nèi)。在傳統(tǒng) IT 領

20、域提出的 安全是信息安全， 在工控領域提出的安全則是信息安全和功能安 全，但是這二者的目標是一個，就是保證功能安全。我們做了很 多年的傳統(tǒng)信息安全， 真正能做到什么程度心里沒底， 關鍵是產(chǎn) 業(yè)鏈不行， 要做到安全必須要在產(chǎn)業(yè)鏈的層面做到自主可控。 信 息安全測試是必要的， 但有了測試也不能保證絕對安全， 只能讓 風險降低。王彤任何測評都不能保證系統(tǒng)以后的安全運行， 軟件測評和評估 的目的就是發(fā)現(xiàn)缺陷， 逐步豐富缺陷的數(shù)據(jù)庫， 為以后的設計人 員避免這些缺陷提供相應的依據(jù)， 使風險降到最低。 為了保證工 控系統(tǒng)的安全要邁出的第一步就是評估。楊帆清華大學吳澄院士在幾個場合都講了工控系統(tǒng)的信息安全

21、問題，認為它是值得關注的重要技術(shù)問題。 吳澄院士提出了幾個 建議：加強工業(yè)控制系統(tǒng)漏洞及其挖掘技術(shù)的研究； 進行工業(yè)控 制系統(tǒng)安全應用行為分析與學習能力研究； 建立必要的工控系統(tǒng) 安全應急響應機制；加強國產(chǎn)工控軟件的核心技術(shù)研究。我認為，工控系統(tǒng)信息安全與傳統(tǒng)的安全性研究有一些區(qū) 別。過程安全( Safety )主要關注物理世界( Physical Space ) 本身的安全性， 信息安全 (Security )主要關注信息世界 ( Cyber Space)的安全問題，前者首要關注的是可用性，后者首要關注 的是保密性。 而工控系統(tǒng)信息安全則主要關注信息世界的攻擊對 物理世界所可能產(chǎn)生的影響，保

22、密性對可用性的影響更為重要， 因此是Cyber Physical System(CPS領域需要研究的問題，這不僅需要搞信息安全的專家學者關注， 更需要控制界人士的高 度關注和廣泛參與。目前最有代表性的一份建議文件是2011 年6月NIST發(fā)布的工業(yè)系統(tǒng)安全指南(SP800-82)，這里面 提出了有關工控系統(tǒng)縱深防御體系架構(gòu)的建議， 但這個報告更多 是站在網(wǎng)絡安全等技術(shù)角度進行的， 并未全面使用工控系統(tǒng)的控 制特性，因而是遠遠不足的。從學術(shù)研究的角度，除了提煉、解決現(xiàn)實問題以外，還要有 一定的超前性和深入性， 建議有兩方面工作可以做： 一是從攻擊 的角度建模， 在這個基礎上， 對攻擊的危害和后果

23、進行評估和評 價，建立攻擊的檢測機制；二是從控制系統(tǒng)設計的角度，來改進 估計和設計算法，保證工控系統(tǒng)在攻擊條件下也能維持正常功 能，或者在攻擊后能迅速恢復功能， 最多只是造成控制性能的損 失。崔琳在化工領域不強調(diào)百分之百的安全， 所謂的安全就是把風險 控制在可以接受的范圍。 功能安全歸為可靠性方面， 對于信息安 全， Safety 和 Reliability 不屬于信息安全主要的研究內(nèi)容， 可以用功能安全的方式來解決。田雨聰信息安全主要考慮的是安全性和保密性， 應該從以下幾個方 面考慮：從操作系統(tǒng)上，盡量不用微軟的Win dows操作系統(tǒng)，采用 Linux 系統(tǒng)或者自己優(yōu)化過的系統(tǒng)或做一些安全

24、加密； 從網(wǎng)絡 上，應做適當?shù)母綦x。信息安全要做到幾個適度：適度的開放， 適度的保密， 有些協(xié)議尤其是底層協(xié)議要保密或做一些適當?shù)募?密措施。 一個系統(tǒng)如果過分地強調(diào)信息安全，就會造成成本飛升和性能的下降。魏欽志1. 工控行業(yè)的國產(chǎn)化程度問題 隨著工業(yè)控制系統(tǒng)、網(wǎng)絡、協(xié)議的不斷發(fā)展和升級，不同廠 商對于以太網(wǎng)技術(shù)也在加速推廣，而國內(nèi) 80%以上的控制系統(tǒng)由 國外品牌和廠商所占據(jù)，核心的技術(shù)和元件均掌握在他人手里， 這給國內(nèi)的工業(yè)網(wǎng)絡安全形勢，造成了極大的威脅和隱患。2. 軟件和硬件的漏洞問題國家信息安全漏洞共享平臺（ China NationalVulnerability Database ，

25、簡稱 CNVD,在 2011 年 CNVD攵錄 了 100 余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較 2010 年大幅增長近 10 倍，涉及西門子、北京三維力控和北京亞 控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。 相關企業(yè)雖然積極 配合CNCER處理了安全漏洞，但這些漏洞可能被黑客或惡意軟 件利用。 這些漏洞都是高危的， 工控軟件要有一個安全編程的思 想。3. 工控安全和 IT 安全的區(qū)別首要區(qū)別就是協(xié)議。比如 OPC因為其基于DCOMfc術(shù)，在 進行數(shù)據(jù)通訊時，為了響應請求，操作系統(tǒng)就會為開放從 1024 到 5000 動態(tài)端口使用， 所以 IT 部門在使用普通商用防火墻時根 本沒有任

26、何意義。對于一般防火墻更無法進行剖析，而使OPC客 戶端可以輕易對OPC服務器數(shù)據(jù)項進行讀寫，一旦黑客對客戶端 電腦取得控制權(quán)，控制系統(tǒng)就面臨很大風險。 黑客可以很輕松 地獲得系統(tǒng)所開放的端口，獲取 / 偽裝管理員身份，對系統(tǒng)進行 惡意破壞，影響企業(yè)的正常生產(chǎn)運營。其次，是訪問機制的區(qū)別。4. 對工控信息安全發(fā)展的幾點建議 一是采用白名單的機制。 白名單主動防御技術(shù)是通過提前計 劃好的協(xié)議規(guī)則來限制網(wǎng)絡數(shù)據(jù)的交換， 在控制網(wǎng)到信息網(wǎng)之間 進行動態(tài)行為判斷。 通過對約定協(xié)議的特征分析和端口限制的方 法，從根源上節(jié)制未知惡意軟件的運行和傳播。二是做邊界隔離（網(wǎng)閘等）。在工業(yè)控制領域，網(wǎng)絡物理隔 離

27、也開始得到應用和推廣。通常采用“ 2+1”的三模塊架構(gòu)，內(nèi) 置雙主機系統(tǒng)， 隔離單元通過總線技術(shù)建立安全通道以安全地實 現(xiàn)快速數(shù)據(jù)交換。 網(wǎng)絡物理隔離提供的應用專門針對控制網(wǎng)絡的 安全防護，因此它只提供控制網(wǎng)絡常用通信功能如OPC、Modbus等，而不提供通用互聯(lián)網(wǎng)功能， 因此更適合于控制網(wǎng)絡與辦公網(wǎng) 絡，以及控制網(wǎng)絡各獨立子系統(tǒng)之間的隔離。三是采取深度過濾的機制。 對于大多數(shù)通訊控制設備， SCADA和工業(yè)協(xié)議，如 MODBUS/ TC,EtherNet/IP 和DNP3等被大量 使用。不幸的是，這些協(xié)議在設計時，沒有安全加密機制，通常 也不會要求任何認證，便可以在遠程對一個控制裝置執(zhí)行命令

28、。 這些協(xié)議應該只被允許在控制網(wǎng)絡單向傳輸， 不準許在辦公網(wǎng)絡 穿透到控制網(wǎng)絡。能夠完成以上功能的工業(yè)防火墻或者安全路由器， 通常被部 署在具有以太網(wǎng)接口的 I/O 設備和控制器上， 從而避免因設備聯(lián) 網(wǎng)而造成的病毒攻擊或廣播風暴， 還可以避免各子系統(tǒng)間的病毒 攻擊和干擾。四是盡量避免非控制人員對設備本身或界面進行操作。 目前 的工業(yè)網(wǎng)絡安全設備通常由簡單的 IT 通用防火墻、桌面級反病 毒軟件、虛擬專用網(wǎng)、物理隔離網(wǎng)關等安全工具構(gòu)成，產(chǎn)品功能 單一，購置成本高昂，配置、管理、維護、升級極其復雜，不符 合工控專業(yè)人員的操作習慣， 綜合使用成本很高， 很多單位由于 沒有相應的技術(shù)人員或無力承擔多

29、種安全工具的購置和使用費 用，從而對重要的業(yè)務應用裹足不前。5. 在企業(yè)中信息安全問題不知道誰負責，要明確權(quán)責。薛百華信息安全未來更重要的一個問題不是系統(tǒng)而是芯片。 采用國 外設備可靠性不行，我們的系統(tǒng)安全是治標不治本。李洪波1. 不同行業(yè)不同專業(yè)對信息安全的理解可能不一樣。2. 系統(tǒng)的國產(chǎn)化問題， 在石化系統(tǒng)里占主流的工控系統(tǒng)都是 國外的。明旭與工業(yè)領域相比，傳統(tǒng) IT 信息領域最大的不同在于其影響 范圍主要在虛擬的數(shù)字空間， 需要借助人的作用才會對真實世界 造成影響； 而工業(yè)領域是真實世界的重要組成部分， 是現(xiàn)代人類 文明的基礎， 工業(yè)領域的信息安全問題會直接對工業(yè)生產(chǎn)造成損 失，對社會秩序造成重大的影響甚至威脅到人類的安全。 我們認 為從網(wǎng)絡安全的角度出發(fā)， 可以用新問題、 老方法的方式來看待 工業(yè)控制網(wǎng)絡安全問題。1.工業(yè)控制網(wǎng)絡安全和傳統(tǒng)網(wǎng)