控制系统的网络安全防护方案——C点工作室数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与MIS网络、因特网等公共网络连接，造成病毒、木马等威胁向工业控制系统扩散，工业控制系统安全问题日益突出。

2010年发生的“震网”病毒时间，充分反映出工业控制系统信息安全面临严峻的形势。

工业控制系统信息安全防护是一个刻不容缓的课题，我们要从技术层面和管理层面着手，建设工业控制系统网络安全。

1、安全隐患分析1.1 安全漏洞由DCS、PLC和SCADA等控制系统构成的控制网络，在过去几十年的发展中呈现出整体开放的趋势。

在新一代DCS的操作站中，几乎清一色采用PC+Windows 的技术架构，同时，DCS网络技术也呈现出开放的特征。

网络技术开放性体现在DCS可以从多个层面与第三方系统互联，同时支持多种网络协议。

目前在与企业管理层信息平台互联时，大多采用基于TCP(UDP)/IP协议的以太网通信技术，使用OPC等开放接口标准。

开放性为用户带来的好处毋庸置疑，但由此引发的各种安全漏洞与传统的封闭系统相比却大大增加。

对于一个控制网络系统，产生安全漏洞的因素是多方面的。

1)网络通信协议安全漏洞✧缺乏对用户身份的鉴别✧缺乏对路由协议的鉴别认证TCP/UDP自身缺陷2)操作系统安全漏洞：微软在设计Windows操作系统时是本着简单易用为原则的，因而忽略了安全方面的考虑，留下了很多隐患。

3)应用软件安全漏洞:处于应用层的应用软件产生的漏洞是最直接、最致命的。

一方面这是因为应用软件形式多样，很难形成统一的防护规范以应对安全问题；另一方面最严重的是，当应用软件面向网络应用时，就必须开放其应用端口。

例如，要想实现与操作站OPC服务器软件的网络通信，控制网络就必须完全开放135端口，这时防火墙等安全设备已经无能为力了。

而实际上，不同应用软件的安全漏洞还不止于此。

1.2 安全隐患安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。

随着越来越多的控制网络系统通过信息网络连接到互联上，这种威胁就越来越大。

目前互联网上已有几万个黑客站点，黑客技术不断创新，基本的攻击手法已达上千种。

这些攻击技术一旦被不法之徒掌握，将产生不良的后果。

对于控制网络系统，由于安全漏洞可能带来的直接安全隐患有：1) 入侵2) 拒绝服务攻击3) 病毒与恶意代码1.2.1入侵系统被入侵是系统常见的一种安全隐患。

黑客侵入计算机和网络可以非法使用计算机和网络资源，甚至是完全掌控计算机和网络。

控制网络的计算机终端和网络往往可以控制诸如大型化工装置、公用工程设备，甚至核电站安全系统等大型工程化设备。

黑客一旦控制该系统，对系统造成一些参数的修改，就可能导致生产运行的瘫痪，就意味着可能利用被感染的控制中心系统破坏生产过程、切断整个城市的供电系统、恶意污染饮用水甚至是破坏核电站的正常运行。

随着近些年来越来越多的控制网络接入到互联网当中，这种可能就越来越大。

1.2.2拒绝服务攻击受到拒绝服务攻击是一种危害很大的安全隐患。

常见的流量型攻击如Ping Flooding、UDP Flooding等，以及常见的连接型攻击如SYN Flooding、ACK Flooding等，通过消耗系统的资源，如网络带宽、连接数、CPU处理能力等使得正常的服务功能无法进行。

拒绝服务攻击难以防范的原因是它的攻击对象非常普遍，从服务器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻击。

控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪，与控制系统的通信完全中断等。

可以想像，受到拒绝服务攻击后的控制网络可能导致网络中所有操作站和监控终端无法进行实时监控，其后果是非常严重的。

而传统的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。

1.2.3病毒与恶意代码病毒与恶意代码:病毒的泛滥是大家有目共睹的。

全球范围内，每年都会发生数次大规模的病毒爆发。

目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。

除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。

新型的恶意代码具有更强的传播能力和破坏性。

例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。

传统病毒的自我复制过程需要人工干预，无论运行感染病毒的实用程序，或者是打开包含宏病毒的邮件等，没有人工干预病毒无法自我完成复制、传播。

但蠕虫却可以自我独立完成以下过程：1)查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其它远程系统地址列表找出下一个攻击对象。

2)建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接，如Telnet连接等。

3)实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。

一旦计算机和网络染上了恶意代码，安全问题就不可避免。

2、常规安全防护方案目前,以MES为代表的信息系统在实现控制网络接入信息网络时，也基本都考虑了对控制网络的安全防护。

但目前对控制网络的防护，大部分采用的是常规网络安全技术，主要包括防火墙、IDS、VPN、防病毒等。

2.1 防火墙防火墙由于其自身机理的原因，存在很多先天不足，主要包括：1)由于防火墙本身是基于TCP/IP协议体系实现的，所以它无法解决TCP/IP协议体系中存在的漏洞。

2)防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。

从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。

3)防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。

4)防火墙的安全性与其速度和多功能成反比。

防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越多越细，对CPU和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。

5)防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。

从实际应用来看，防火墙较为明显的局限性包括以下几方面：1)OPC基于DCOM机制，无法穿透防火墙。

2)防火墙不能阻止感染病毒的程序和文件的传输。

就是防火墙只能做网络四层以下的控制，对于应用层内的病毒、蠕虫都没有办法。

3)防火墙不能防范全新的威胁，更不能防止可接触的人为或自然的破坏。

4)防火墙不能防止由自身安全漏洞引起的威胁。

5)防火墙对用户不完全透明，非专业用户难于管理和配置，易造成安全漏洞。

6)防火墙很难为用户在防火墙内外提供一致的安全策略，不能防止利用标准网络协议中的缺陷进行的攻击，也不能防止利用服务器系统漏洞所进行的攻击。

7)由于防火墙设置在内网与外网通信的信道上，并执行规定的安全策略，所以防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，增加了网络传输延时，如果防火墙出现问题，那么内部网络就会受到严重威胁。

8)防火墙仅提供粗粒度的访问控制能力。

它不能防止数据驱动式的攻击。

防火墙正是由于这些缺陷与不足，导致目前被攻破的几率已经接近50%。

虽然目前最流行的安全架构是以防火墙为核心的安全体系架构。

通过防火墙来实现网络的安全保障体系。

然而，以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。

仅有防火墙的安全架构是远远不够的。

2.2 其他安全技术其它安全技术如IDS、VPN、防病毒产品等与产品与防火墙一样，也都有很强的针对性，只能管辖属于自己管辖的事情，出了这个边界就不再能发挥作用。

1)IDS作为可审查性产品最大的局限性是漏报和误报严重，几乎不是一个可以依赖的安全工具，而是一个参考工具。

漏报等于没有报，误报则是报错了，这两个特点几乎破坏了入侵检测的可用性。

2)VPN作为一种加密类技术，不管哪种VPN技术，在设计之初都是为了保证传输安全问题而设计的，而没有动态、实时的检测接入的VPN主机的安全性，同时对其作“准入控制”。

这样有可能因为一个VPN主机的不安全，导致其整个网络不安全。

3)防病毒产品也有局限性，主要是对新病毒的处理总是滞后的，这导致每年都会大规模地爆发病毒，特别是新病毒。

3、网络隔离防护产品在防火墙的发展过程中，人们最终意识到防火墙在安全方面的局限性。

高性能、高安全性、易用性方面的矛盾没有很好地解决。

防火墙体系架构在高安全性方面的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，网络隔离技术应运而生。

网络隔离的指导思想与防火墙也有很大的不同，体现在防火墙的思路是在保障互联互通的前提下，尽可能安全；而网络隔离的思路是在必须保证安全的前提下，尽可能支持数据交换，如果不安全则断开。

网络隔离技术主要目标是解决目前信息安全中的各种漏洞：操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等，网络隔离是目前唯一能解决上述问题的安全技术。

3.1 网络隔离原理网络隔离产品主要的技术原理是从OSI模型的七层上全面断开网络连接，同时采用“2+1”的三模块架构，即内置有两个主机系统，和一个用于建立安全通道可交换数据的隔离单元。

这种架构可以实现连接到外网和内网的两主机之间是完全网络断开的，从物理上进行了网络隔离，消除了数据链路的通信协议，剥离了TCP/IP协议，剥离了应用协议，在安全交换后进行了协议的恢复和重建。

通过TCP/IP协议剥离和重建技术消除了TCP/IP协议的漏洞。

在应用层对应用协议进行剥离和重建，消除了应用协议漏洞，并可针对应用协议实现一些细粒度的访问控制。

从TCP/IP的OSI数据模型的所有七层断开后，就可以消除目前TCP/IP 存在的所有攻击。

3.2 传统网闸传统网闸产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统，因此它提供的应用也以通用的互联网功能为主。

例如，目前大多数网闸都支持：文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。

在工业领域，网闸也开始得到应用和推广。

但除了用于办公系统外，当用于隔离控制网络时，由于网闸一般都不支持工业通信标准如OPC、Modbus，用户只能使用其TCP/UDP定制功能。

这种方式需要在连接网闸的上、下游增加接口计算机或代理服务器，并定制通信协议转换接口软件才能实现通信。

3.3 工业网络安全防护网关工业网络安全防护网关是近几年新兴的一种专门应用于工业领域的网络隔离产品，它同样采用“2+1”的三模块架构，内置双主机系统，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。