工控安全渐入视野

    制造业细分行业众多、企业数量庞大，各个公司的管理水平及技术实力差别也大相径庭，安全防护难点和盲点均位列各个领域前茅。从2012年全球各个行业成为网络安全目标的份额来看，制造业占比为24%，位居各行业之首，成为安全威胁的“新宠”。

　　工业控制系统的使用范围不仅仅限于制造业，在矿产、公用事业、航空航天行业中的使用也相当广泛。据不完全统计，超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业，工业控制系统已是国家安全战略的重要组成部分。

　　随着企业内外网对接、信息系统与客户及供应商的联结、设备自动化的水平上升，企业的信息网络变得更加的开放与智能化。以智能精密机床为例，其系统的通讯方面已经配备了微机上才具备的USB接口与网线接口，未来的生产指令与调度程序将统一通过中央控制系统的方式加以推送，生产任务的建立、更换、取消也将更加智能。然而开放与智能带来的副作用就是安全威胁。有别于传统的安全威胁，如果工业控制成为了攻击的目标导致系统无法正常工作或损坏，那么将不仅仅限于虚拟化的信息层面，而直接影响人员的生命安全。事实上，国外此类事件的发生已经造成了严重的后果。

　　工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护。横向分层用来区分管理信息系统，每层系统有不同的信息系统管理需求，纵向分域用来分离各个不同的生产执行业务线，而区域分等级将根据资产与生产过程的核心等级逐级建立层层严格防护屏障，一旦产生了安全威胁能够将威胁控制在最小层面，防止其向其它层面扩散，最大程度上保证整体工业生产系统的安全与稳定。

　　通常横向分层分为计划管理层、制造执行层、工业控制层。计划管理层一般包括了以ERP为核心的管理信息系统。制造执行层处于工业控制层与计划管理层之间，主要负责生产管理和调度执行，通过制造执行层管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化，实现对工艺的过程监视与控制。工业控制层是直接面向生产的终端层，由自动化控制组件和实时数据采集、监测的过程控制组件共同构成，完成具体的加工作业、检测和操控作业、作业管理等功能。

    根据业界专业观点，工控系统的三层横向分层中需要对层与层之间的数据交换和信息处理进行防护，催生了工控系统的两层防护体系。首先是计划管理层与制造执行层之间进行的防护，避免这两层系统通讯交换带来的威胁，具体表现形式为避免非授权访问和滥用、对操作失误篡改数据及抵赖行为的可控制、可追溯性、避免终端违规操作、及时发现非法入侵行为、过滤恶意代码。其次是制造执行层与工业控制层之间的安全防护，通过部署工业安全防火墙的方式能够避免从计划管理层未经授权的指令或者有害代码，完成区域隔离、通信管控、实时报警等重要功能。