IT OT一体化的工业信息安全面临的风险

工业控制系统安全是国家关键信息基础设施安全的重要组成部分。在工业互联 、“中国制造2025”、“工业4.0”等趋势驱动下，随着云计算、物联 、大数据技术的成熟，IT/OT一体化已成为必然趋势。

IT/OT一体化在拓展了工业控制系统发展空间的同时，也带来了工业控制系统 络安全问题。近年来，随着安全事件的频繁发生，工业信息安全越来越受到政府、工业用户、科研机构和工控系统厂商的重视。企业为了管理与控制的一体化，实现生产和管理的高效率、高效益，普遍引入生产执行系统MES，实现管理信息 络与控制 络之间的数据交换和工业控制系统和管理信息系统的集成。MES不再是一个独立运行的系统，而要与管理系统甚至互联 互通、互联，从而引入 络攻击风险。

对于传统IT 络安全，保密性优先级最高，其次是完整性、可用性。工业 络则有明显的不同，工业 络更为关注的是系统设备的可用性、实时性， 除此特点外，IT系统和OT系统之间仍然存在很多差异性，如表所示。

由于IT系统和OT系统之间存在的众多差异，当工业互联 的IT/OT进行融合时会带来很多安全挑战。

1.1 首先是来自外部的安全挑战

l 暴露在外的攻击面越来越大

IT/OT一体化后端点增加，给工业控制系统（ICS）、数据采集与监视控制系统（SCADA）等工业设施带来了更大的攻击面。与传统IT系统相比较，II/OT一体化的安全问题往往把安全威胁从虚拟世界带到现实世界，可能会对人的生命安全和 会的安全稳定造成重大影响。

l 操作系统安全漏洞难以修补

工业控制系统操作站普遍采用PC+Windows的技术架构，任何一个版本的Windows自发布以来都在不停的发布漏洞补丁，为保证过程控制系统的可靠性，现场工程师通常在系统开发后不会对Windows平台打任何补丁，更为重要的是即使打过补丁的操作系统也很少再经过工控系统原厂或自动化集成商商测试，存在可靠性风险。但是与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成Windows平台乃至控制 络的瘫痪。

l 软件漏洞容易被黑客利用

黑客入侵和工控应用软件的自身漏洞通常发生在远程工控系统的应用上，另外，对于分布式的大型的工控 ，人们为了控制监视方便，常常会开放VPN tunnel等方式接入甚至直接开放部分端口，这种情况下也不可避免的给黑客入侵带来了方便之门。

l 恶意代码不敢杀、不能杀

基于Windows平台的PC广泛应用，病毒也随之而泛滥。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。这些恶意代码具有更强的传播能力和破坏性。

例如蠕虫病毒死灰复燃。与一般的木马病毒不同，这种病毒随着第三方打补丁工具和安全软件的普及，近些年来本已几乎绝迹。但随着永恒之蓝、永恒之石等 军武器的泄露，蠕虫病毒又重新获得了生存空间，死灰复燃。其最为显性的代表就是WannaCry病毒。基于工控软件与杀毒软件的兼容性，在操作站（HMI）上通常不安装杀毒软件，即使是有防病毒产品，其基于病毒库查杀的机制在工控领域使用也有局限性，主要是 络的隔离性和保证系统的稳定性要求导致病毒库对新病毒的处理总是滞后的，这样，工控系统每年都会大规模地爆发病毒，特别是新病毒。在操作站上，即插即用的U盘等存储设备滥用，更给这类病毒带来了泛滥传播的机会。

l DDOS攻击随时可能中断生产

拒绝服务攻击是一种危害极大的安全隐患，它可以人为操纵也可以由病毒自动执行，常见的流量型攻击如Ping Flooding、UDP Flooding等，以及常见的连接型攻击如SYN Flooding、ACK Flooding等，通过消耗系统的资源，如 络带宽、连接数、CPU 处理能力、缓冲内存等使得正常的服务功能无法进行。拒绝服务攻击非常难以防范，原因是它的攻击对象非常普遍，从服务器到各种 络设备如路由器、防火墙、IT防火墙等都可以被拒绝服务攻击。控制 络一旦遭受严重的拒绝服务攻击就会导致严重后果，轻则控制系统的通信完全中断，重则可导致控制器死机等。目前这种现象已经在多家工控系统中已经出现

络风暴经常是由于ARP欺骗引起的flood攻击，或者因工控信息 络因环路故障造成的 络风暴，这种攻击往往发生在同一 段的控制区域中，占用大量的带宽资源，工控系统疲于处理各种 文，将系统资源消耗殆尽，使工业系统 文无法正常传输。目前的工业总线设备终端对此类拒绝服务攻击和 络风暴基本没有防范能力，另外，传统的安全技术对这样的攻击也几乎不可避免，缺乏有效的手段来解决，往往造成严重后果。

l 高级持续性威胁时刻环伺

高级持续性威胁的特点是：目的性非常强，攻击目标明确，持续时间长，不达目的不罢休，攻击方法经过巧妙地构造，攻击者往往会利用 会工程学的方法或利用技术手段对被动式防御进行躲避。而传统的安全技术手段大多是利用已知攻击的特征对行为数据进行简单的模式匹配，只关注单次行为的识别和判断，并没有对长期的攻击行为链进行有效分析。因此对于高级持续性威胁，无论是在安全威胁的检测、发现还是响应、溯源等方面都存在严重不足。

1.2 另一方面是来自工业系统自身安全建设的不足

l 工业设备资产的可视性严重不足

工业设备可视性不足严重阻碍了安全策略的实施。要在工业互联 安全的战斗中取胜，“知己”是重要前提。许多工业协议、设备、系统在设计之初并没有考虑到在复杂 络环境中的安全性，而且这些系统的生命周期长、升级维护少也是巨大的安全隐患。

l 很多工控设备缺乏安全设计

主要来自各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等方面，其在设计之初可能未考虑完整性、身份校验等安全需求，存在输入验证，许可、授权与访问控制不严格，不当身份验证，配置维护不足，凭证管理不严，加密算法过时等安全挑战。例如：国产数控系统所采用的操作系统可能是基于某一版本Linux进行裁剪的，所使用的内核、文件系统、对外提供服务、一旦稳定均不再修改，可能持续使用多年，有的甚至超过十年，而这些内核、文件系统、服务多年所爆出的漏洞并未得到更新，安全隐患长期保留。

l 设备联 机制缺乏安全保障

工业控制系统中越来也读的设备与 络相连。如各类数控系统、PLC、应用服务器通过有线 络或无线 络连接，形成工业 络；工业 络与办公 络连接形成企业内部 络；企业内部 络与外面的云平台连接、第三方供应链连接、客户的 络连接。由此产生的主要安全挑战包括： 络数据传递过程的常见 络威胁（如：拒绝服务、中间人攻击等）， 络传输链路上的硬件和软件安全（如：软件漏洞、配置不合理等），无线 络技术使用带来的 络防护边界模糊等。

l IT和OT系统安全管理相互独立互操作困难

随着智能制造的 络化和数字化发展，工业与IT的高度融合，企业内部人员，如：工程师、管理人员、现场操作员、企业高层管理人员等，其“有意识”或“无意识”的行为，可能破坏工业系统、传播恶意软件、忽略工作异常等，因为 络的广泛使用，这些挑战的影响将会急剧放大；而针对人的 会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。因此，在智能制造+互联 中，人员管理也面临巨大的安全挑战。

l 生产数据面临丢失、泄露、篡改等安全威胁

智能制造工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题，不管数据是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上，海量数据都将面临数据丢失、泄露、篡改等安全威胁。

1.3 面临的问题

传统的企业安全防御体系的特点是：单点防御，各自为战。企业往往是分别从不同的厂商哪里采购了各种各样的安全产品或服务，尽管表面上看起来“设施齐全”，但实际上不同的安全产品之间却是在各自为政，独立运行的，从而使企业总是无法全面的把控自身 络安全问题，对于自身安全状况也处于一种完全不自知的状态。同时，传统的企业安全防御体系还普遍存在重防御，轻应急的问题，一旦发生安全事件，企业往往无所适从，从而产生了很多不必要的损失，或者是使损失不必要扩大。

随着两化融合建设步伐的加快，如何有效化解安全风险，有效应对各种突发性安全事件已成为不容忽视的问题。与传统安全相比，两化融合的信息安全系统不仅部署地域分散，规模庞大，而且与业务系统耦合性较高；如何将现有安全系统纳入统一的管理平台，实现安全形势全局分析和动态监控已成为各级信息系统维护部门面临的主要问题。如何对应数据的集中管理趋势，通过集中收集、过滤、关联分析安全事件，提供安全趋势 告，及时作出反应，实现对风险的有效控制成为下一步安全亟待解决的问题。

而在互联 +时代，要解决前文所述的企业面临的各类安全问题，就需要在企业中建立一套全新的，适应各类安全威胁的，甚至是未知威胁的现代企业安全防护体系，其核心思想是：建立数据驱动的，协同联动的，云+端+边界的立体纵深防御体系，同时还要建立迅捷有效的 络安全应急响应体系，以应对各种突发的 络安全事件。