工控系统安全与传统IT系统安全的差异性

工控系统近年来成为颇受关注的，工业控制系统关乎着重大基础设施的运行稳定与否，其防御自然不可小觑。

工控系统与传统IT系统的差异性

工控系统与传统的信息不同，它通常更关注物理与功能；而且系统的运行由相关的生产部门负责，其防护考虑的是系统隔离和人员管理，而很少考虑信息以及网络入侵威胁。在传统的信息，通常认为保密性的优先级，完整性次之，可用性。而在考虑工控系统时，则需要首先考虑系统的可用性、其次是完整性，才是保密性。

绿盟科技研究院战略师李鸿培认为：由于工业控制系统作为企业的核心生产运营系统，其工作环境具有严格的管理，外人很难进入；同时，系统自身也多与企业的办公网络（普通IT）系统之间存在的隔离措施，与互联网也多处于物理隔离的状态。而且工业控制系统主要由基于嵌入式操作系统（如VxWorks、uCLinux、WinCE等）及通信协议或通信规约（如OPC、ModBus、DNP3等）的工业控制设备或系统（PLC、RTU、DCS、SCADA等）组成。

也就是说，工业控制系统的相对封闭性以及其系统设备及通信规约的专有性，使得我们在考虑工业控制系统性及应对策略时将与传统IT信息系统存在较大的差异。李鸿培说道。

而随着信息化与工业化的融合以及潜在网络战威胁的影响，工业控制系统也将从传统的仅关注物理、功能转向关注信息系统。

工控系统面临的威胁与攻击方式

那么，当前工控系统都面临哪些威胁与攻击呢？近年来，针对工业控制系统的攻击，不论是规模宏大的网络战，还是在一般的网络犯罪，都可以发现APT攻击的影子。李鸿培说道。

对此李鸿培进一步解释道：与针对传统IT系统的攻击方式相比，工控系统所面临的攻击多是有组织的团队出于的目的（政治、经济、意识形态等）、采用多种攻击手法相协同的性攻击；因其背后可能会有利益集团的支持，其攻击可能会采用基于0-day漏洞的多种新型攻击手法或攻击模式，以尽可能规避工控系统的防护机制。

依据我们针对漏洞的趋势分析，自从2011年'震网病毒'事件以后，公开漏洞库中的新增漏洞信息中，高风险漏洞的占比急剧减少，也可能据此推测，被雪藏的新风险漏洞极有可能被作为0-day漏洞被用在未来某个APT攻击工具中。李鸿培说道。

而根据绿盟科技2013年针对典型用户的调研分析结果，用户当前最关心的具体威胁为业务中断、违规外联、违规操作及系统配置的不以及恶意代码（木马、病毒等）攻击。对工控系统来说，其业务中断可能会是因工控系统的功能失效（功能、性问题）或是因入侵攻击或系统违规行为所造成的后果。

可以说，工控风险源自漏洞、人员、流程、物理缺陷等，但其中最核心的是漏洞、人员；主要表现为针对工控系统/设备漏洞的攻击行为、内外部人员的恶意/违规操作行为。

工控系统的研究和防护现状

工控系统的问题在国内许多信息相关的技术大会上作为重要的研讨议题频繁出现，已成为工控系统相关的各行业以及信息的研究机构、厂商所关注的热点方向之一。同时，在政策订、技术标准研制、基金支持、行业内合作等方面也在逐步加大推动的力度。

目前我国工业控制系统相关的标准正在制订过程中，电力、石化、制造、市政等重要行业的用户，已在主管部门的指导下进行检查、整改；强调人员管理和制度流程的规范性、系统网络的性以及系统操作的合规性。

但在这一过程中，仍需要针对工控系统的防护产品的支持。李鸿培强调道，这是因为：传统的信息及网络厂商以往对工控系统的关注不够；同时工控系统厂商则更关注工控系统的功能实现及可用性，而没有考虑来自信息网络的攻击威胁。信息厂商、工控系统厂商需要从各自擅长的着手，研究工控系统及通信协议的脆弱性和所面临的威胁与攻击手段，探索工控系统的防护措施。

而据李鸿培介绍，当前多数行业工控系统的防护能力也严重不足：人员意识不强，缺乏明确的管理制度及人员意识培训；缺乏系统的防护体系规划和风险评估机制；缺乏系统操作人员的角色定位、授权流程及操作规程；缺乏相应的操作行为审计机制；缺乏系统数据备份等。随着两化融合推进及工控系统的信息化程度的提高，工控系统的问题将突出。

传统信息厂商面对工控系统仍存瓶颈

目前，针对工控系统的主要防护方式是采用域隔离及纵深防御的体系化防护方案，已有相关的厂商推出工控墙、隔离网关、工控审计系统等产品。

然而，因工控环境与IT系统差异较大，参与工控研究、服务或产品的人员也需具备工控系统知识、需能够理解工控系统的业务逻辑，熟悉工控系统与各种工控设备。因此，对于传统的信息厂商而言，面对工控系统的防护，也存在的瓶颈问题。

工控系统对传统信息厂商来说是一个相对陌生的研究，传统的厂商不能简单的用IT解决方案的思路去应对工控问题，需要对被保护对象（工控系统）及其所面临的威胁，有深入的研究和理解。因工控系统的多样性，仅凭一己之力，难以接触到工控环境中的各种系统、设备和协议，也难以做好工控。李鸿培说道。

同样，工控系统厂商和用户也面临着信息系统攻防能力及经验不足的问题。所以，作为一个新的、战略性的，工业控制系统需要、行业主管部门、工业控制系统的企业（用户）、工业控制系统提供商、信息提供商等跨、跨行业的多方位的合作。