找準(zhǔn)風(fēng)險(xiǎn)落實(shí)防護(hù)定位

　　由工業(yè)4.0可以看出，工控系統(tǒng)必將與信息化融合。

　　普度大學(xué)很早就提出了自動(dòng)化的經(jīng)典五層普度模型(如下圖所示)，這個(gè)模型其實(shí)把自動(dòng)化與信息化已經(jīng)關(guān)聯(lián)在了一起。

　　普度模型

　　工控系統(tǒng)的信息安全問題，在各層上都面臨著來自不同方面的威脅,企業(yè)網(wǎng)的管理信息層面臨來自互聯(lián)網(wǎng)的攻擊，也有企業(yè)內(nèi)部惡意的攻擊通過企業(yè)網(wǎng)進(jìn)入工控網(wǎng)，一直到現(xiàn)場(chǎng)網(wǎng)絡(luò);在控制層有系統(tǒng)管理人員非法操作，最嚴(yán)重的要屬第三方運(yùn)維人員的對(duì)現(xiàn)場(chǎng)設(shè)備的操作;還有遠(yuǎn)程撥號(hào)的攻擊，有部分現(xiàn)場(chǎng)還有野外搭線的威脅。

　　國(guó)際NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》中已經(jīng)詳細(xì)描述了各種威脅來源，也從策略程序、平臺(tái)及網(wǎng)絡(luò)等方面講述了可能的風(fēng)險(xiǎn)和脆弱性。

　　當(dāng)然不同行業(yè)面臨的威脅和風(fēng)險(xiǎn)重點(diǎn)不同，比如軍工行業(yè)主要強(qiáng)調(diào)工控網(wǎng)和涉密網(wǎng)連接時(shí)的信息保密;石化強(qiáng)調(diào)DCS系統(tǒng)生產(chǎn)的連續(xù)和非異常;電力強(qiáng)調(diào)SCADA調(diào)度系統(tǒng)的不中斷等等。

　　總體上，明晰面臨的風(fēng)險(xiǎn)才能進(jìn)行有針對(duì)性的防護(hù)。信息安全防護(hù)的整體架構(gòu)性必須要跟工業(yè)自動(dòng)化體系保持一致，方可成為同一體系，因此在GT/T 26335-2010工業(yè)企業(yè)信息化集成系統(tǒng)規(guī)范中提到了工業(yè)企業(yè)信息化集成總體架構(gòu)。

　　無論是從普度模型還是工業(yè)企業(yè)信息化集成架構(gòu)圖中都可以看出，防護(hù)必須全方位考慮。例如，早在2005年，電力系統(tǒng)的二次防護(hù)方案中就提出了“縱向隔離、橫向分區(qū)”的概念。

　　雖然工業(yè)4.0已經(jīng)非常明確工業(yè)系統(tǒng)將會(huì)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)化，但距離現(xiàn)在各行業(yè)的實(shí)際情況還有一段時(shí)間，但由于事關(guān)生產(chǎn)就無小事，不能輕舉妄動(dòng)。作為信息安全建設(shè)方，要深入研究工業(yè)網(wǎng)絡(luò)中使用的協(xié)議，以實(shí)現(xiàn)對(duì)工業(yè)網(wǎng)絡(luò)的異常監(jiān)測(cè)和防護(hù)，下表中列出部分通訊協(xié)議：