工业控制系统漏洞怎么办

① 工业控制系统面临的安全威胁主要有哪些

(1) 心怀不满的在职员工的恶意行为

这些人了解工艺，能够接触到各种设备，但是计算机能力一般。恶意操作也许就是激情而为，事后希望能够掩饰破坏行为。

(2) 无特殊需求的黑客

这些人计算机能力较强，但是难以直接接触到各种设备，对工厂情况了解不多，很多可能只是因为好奇、偶然性的行为对工控系统进行破坏，对破坏行为和过程不一定要掩饰。

(3) 心怀不满的离职员工恶意行为

这些人了解工艺，不一定能够接触到各种设备，但可能利用制度漏洞在离职后仍然保有网络接入或直接接触设备的可能，计算机能力一般，对破坏行为希望能够掩饰。2000年，澳大利亚水处理厂事故。

(4) 经济罪犯的恶意行为

目标明确，希望劫持控制系统后换取经济利益。2008年，黑客入侵南美洲电力勒索政府事故。

(5) 恐怖分子的恶意行为

目标明确，希望劫持控制系统后造成重大社会影响。2019年，委内瑞拉电网断电事故。

② 为什么黑客想要毁掉工业4.0

这个世界有这么一群人，也在密切关注工业4.0。只不过，他们的方式和你不太一样。
如果你是普通民众，那么可能你关注的是，工业4.0能给你的生活带来什么；如果你是企业家，你可能想知道，工业4.0能帮你的企业提升多少利润；如果你是政府官员，你可能在考虑，工业4.0到底应该如何规划和发展。
都是积极、有益的一面。
但这群人不一样，他们关注的，是如何毁掉工业4.0！
严格来说，他们和工业4.0并没有什么不共戴天之仇，甚至，他们比你还热爱工业4.0，希望工业4.0时代早点到来。
他们想毁掉工业4.0的原因，只有一个，因为他们是黑客。
是的，实际上不只是工业的4.0时代，当工业和网络刚刚产生交集的时候，这群“地下幽灵”就已经盯上了它。
只不过，最近几年，当工业的智能化、网络化、信息化趋势越来越明显，他们毁掉工业的欲望和决心也越发强烈。
毁掉它，对黑客有什么好处？
天下熙攘，皆为利来，好处自然只有一个，利益。
随便翻翻最近几年的一些经典案例，就能知道，相比普通的消费网络领域，搞定一个工业控制系统或者工业控制网络，能给黑客带来多大的利益。
2015年以前，在网络安全圈流传最广的例子，当属2010年“震网”病毒干掉伊朗核电站事件。
迄今为止，它是谁研制的，怎么潜入伊朗核电站等问题，仍在困扰军事战略家、信息安全专家以及公众。
目前可以肯定的是，它确实在2010年7月，攻击了伊朗的纳坦兹铀浓缩工厂，侵入了控制离心机的主机，改变了离心机转速，导致工厂约1/5的离心机瘫痪报废。
（时任伊朗总统内贾德视察核设施，红圈内的红点表示有两台离心机已经损坏）
他说，以色列迪莫纳核基地和美国能源部下属的国家实验室用了两年时间，联合研制了“震网”病毒，目的是给美国和以色列的敌人“制造点麻烦”。
且不论真假，至少按照大部分军事战略专家和信息安全专家的评估，它让伊朗花了两年时间恢复核计划，作用已经赶上了一次军事打击，而且效果更好，没有人员伤亡，也没有发生战争。
前面说“震网”是2015年以前最经典的案例，2015年以后，最经典的案例，则是去年年底和今年年初刚刚发生的乌克兰电网被黑事件。
2015圣诞前夕一直到2016年1月，乌克兰的变电站控制系统持续遭到网络攻击，至少三个区域的约140万居民失去了电力供应，大规模停电3~6个小时。
与此同时，电力部门报修的电话线路也遭到恶意软件攻击堵塞，停电+通信中断，引起了当地民众的极大恐慌。
和“震网”事件一样，谁干的，为了什么等问题还是个迷，由于没有斯诺登这样的“内部人士”爆料，乌克兰局势又不稳定，各种风言风语满天飞。
有人甚至把它和大国博弈的局势联系到一起。因为这次攻击电力系统的恶意软件“暗黑能源”，某些国家曾用它过用来攻击其他一些东欧国家。
不管是黑客的炫技或者是国家工程，至少，和“震网”一样，它也达到了破坏的目的。
工业系统这么脆弱？还是“敌人”太狡猾
在你的印象中，用来控制电力、制造、能源、水利等工业设施的系统，是不是应该固若金汤。又或者，你应该或多或少听说过，工业控制系统都有个内网隔离的做法。
是的，大部分有操守的国家，都会对关键的工业设施进行隔离，网络和信息化控制系统更是如此，不仅不和外网连接，还会进行严格的物理隔离，修上水泥墙、关入小黑屋什么的保护起来。
但即便如此，为什么核电站离心机被干掉、变电站被撂倒的事情还是会发生，黑客的技术和手法竟如此高明？
很遗憾告诉你，除去病毒编制部分要点网络和计算机技术，黑客搞定工业控制系统的其他手法，其实并没有多高明，你最多只能把它称为“敌人太狡猾”。
因为绝大多数把病毒弄进工业控制系统的手法，都来自社会工程学。
什么是社会工程学？
按照专业点的说法，叫“一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法”。
实际上，通俗一点解释，没那么高大上，就是坑蒙拐骗。
比如，关于“震网”病毒如何传播到与外网隔离的离心机控制系统上的，有一个普遍认同的说法，是控制系统主机被人插了个带病毒的U盘。
等等，带病毒的U盘？核设施管理这么严格，怎么带进去的？
最有意思的一种猜测是，攻击方在核电站工作人员的工作和生活地点，扔了好多精美的U盘，工作人员一时喜欢，捡起来带了进去。当然，U盘里的病毒经过遮掩处理，一般人是觉察不到的。
如果这个猜测有点开玩笑，那么乌克兰电力控制系统事件被挖出来的攻击手法就更能说明问题。
刨根问底之后，众多网络安全公司发现了搞定乌克兰电力系统的源头，竟来自一封电子邮件。
当时，乌克兰电力公司的下属机构和另一家公司不少人都收到一封电子邮件，标题是：“注意！2016-2025 年OEC乌克兰发展计划研讨会变更举行日期”。
邮件内容大意是：根据乌克兰法律“运营乌克兰电力市场的原则”以及“未来十年乌克兰联合能源系统的订单准备系统运营商发展计划”，经乌克兰煤炭工业能源部批准的No.680 20140929系统运营商，在其官方网站发布。主题是：“乌克兰2016年至2025年联合能源系统发展规划”。发展规划具体内容草案在邮件附件中。
发件人是乌克兰某国有电力公司，当然，邮箱肯定是伪造的。
但这样的邮件，对于电力系统的人来说，就和我们收到了来自支付宝或运营商的账单一样。很多人会完全放松警惕。
下载了发展规划草案附件后，是一个“老实巴交”的Excel文件，打开这个文件后，会跳出一个提示：“请注意！本文件创建于新版本的Office软件中。如需展示文件内容，需要开启宏。”
此时，大多数人估计会一边吐槽单位的办公软件这么落后，一边点击“同意”下载。
那么，恭喜你，你成功帮黑客下载了病毒。
接下来，这个下载的恶意代码会在暗地里继续下载全套的攻击软件，并帮黑客留一个后门，再往后，你也知道了，控制电力控制系统，搞破坏。
看下整个过程，和我们常见的电信诈骗有什么区别？完全没有，就是坑蒙拐骗，使出各种手段，能让你安上病毒就行。
得承认，很多工业控制系统确实很脆弱
没错，除了“敌人太狡猾”，确实在有些领域，工业控制系统存在不少漏洞，甚至在一些地方和行业“惨不忍睹”。
不说全球，单看看我们自己。
乌克兰电力系统事件后，国内网络安全公司知道创宇对全球工控设备组建进行了侦测分析，整理出了《暴露在 Internet 上的工业控制设备》的报告。
报告中侦测了交通、能源、水利等多个领域，从中发现我国有一些重要工业控制系统正处于严重的安全威胁之中。
这张图是全球及我国(含台湾地区)暴露在网络上的工业控制设备统计，可以看到，我国各种控制协议的工业控制设备中，完全暴露在外，换句话说，就是可以轻易被攻击的，多达935个。
下面还有一些具体城市的数据。
看不懂协议名称的话，看城市就好。可以看到，我国大陆地区长春、合肥、南京等城市，以及我国台湾地区的工控系统面临较大安全风险。
为什么这么惨？
其实原因大部分都是一个，不重视！
一位曾经在某能源系统科技部门担任过总监的人士告诉过《财经国家周刊》，我国的大工业大制造设备基本都在国企手里，由于体制机制等原因，大多数国企并不认为自己会成为攻击目标，给自己的工业控制系统添加安全防护系统也不是工作的首选。
也有些企业，认识到工业控制系统安全的重要性，但由于没有专业知识、人员和部门支撑，所以往往是买个防火墙装上就完事了。
更严重的是，一些企业的生产系统还在用2003年的Windows 2003系统，幸运的话还可以找到1998年发布的Windows 98系统。随便拿台外部电脑或外网设备连接一下，就能轻松搞定它。
试想下，如果这些设备被控制，轨道交通被人控制，电力被人切断，水坝开合被人操纵，那是多么可怕的场景和后果。
工业控制系统这么重要，怎么办？
当然不能坐以待毙。
对于工业企业来说，最要紧的事情自然是提高工业控制系统的安全意识，有漏洞查漏洞，有问题解决问题，赶紧加强针对性的防护措施。
这里需要注意的是，和其他领域的网络安全防护一样，工业控制系统的安全防护也是一个系统性工程，要引入整体和全周期的防护理念和措施，不能再延续过去的旧思维，买个防火墙装上了事。
至于黑客玩社会工程学，坑蒙拐骗渗透传播病毒，没什么别的办法，只能加强关键领域、部门和设施工作人员的安全防护意识，脑子里多根弦，同时制定严格的管理制度和权责要求。
对于国家来说，要做的事情就更多了。
首先机制上就有很多工作可以做，比如建立一个国家在关键基础设施和重要系统遭受大规模高强度攻击时的响应机制及协调机构，同时组建以工业企业、信息网络、公共安全为主的应急联动机制，制定应急响应处理办法。
再比如做好威胁情报研究。各方联动，形成合力，提供更有价值的威胁情报信息，建立更有实用性的威胁情报库，为政府机构、安全厂商、企事业用户提供更好的支持。
除了机制上的事情，技术上也有一些办法。
最要紧的是做好整个防护体系的“供应链”安全。特别是在国家工业领域一些关键基础设施和重要信息系统新建项目上，必须要强化项目规划和设计阶段的信息安全风险评估，引入第三方安全机构或服务商对技术实施方案和产品供应链进行审查。
更靠谱的办法是整体考虑工业控制系统安全体系，从涉及国计民生的关键基础设施入手，加大投资力度，大力发展具有自主知识产权的安全防护技术和产品。
也就是用我国自己的安全工控系统，替换掉进口产品。不过，和芯片、操作系统一样，因为起步太晚，我国的工控系统技术成熟度不够，所以自主研发这条路只能一步步来，急也没用。

③ 工业控制系统行业的危害程度有哪些

工业控制系统行业的危害程度：一般的环境威胁， 严重的意外威胁，以及其他相当危害程度威胁所造成资产损失的信息安全风险。

从八十年代后期开始，由于大规模集成电路的发展，许多传感器、执行机构、驱动装置等现场设备智能化，人们便开始寻求用一根通信电缆将具有统一的通信协议通信接口的现场设备连接起来。

在设备层传递的不再是I/O（4～20mA/24VDC）信号，而是数字信号，这就是现场总线。由于它解决了网络控制系统的自身可靠性和开放性问题，现场总线技术逐渐成为了计算机控制系统的发展趋势。

由于实际应用中一个系统很可能采用多种形式的现场总线,因此如何把工业控制网络与数据网络进行无缝的集成,从而使整个系统实现管控一体化,是关键环节。现场总线系统在设计网络布局时,不仅要考虑各现场节点的距离,还要考虑现场节点之间的功能关系、信息在网络上的流动情况等。

由于智能化现场仪表的功能很强,因此许多仪表会有同样的功能块,组态时选哪个功能块是要仔细考虑的;要使网络上的信息流动最小化。同时通信参数的组态也很重要,要在系统的实时性与网络效率之间做好平衡。

④ 求问工业控制系统的安全漏洞有哪些

但是随着近年来信息技术的快速发展，工控系统越来越开放，更多的采用通用操作系统、通讯协议和标准，与信息化系统结合也越来越紧密，信息安全的问题也就显得尤为突出，“震网”病毒事件为我们敲响了警钟。早在2010年我们就向工信部信息安全协调司提交了“关于工业控制系统信息安全应当引起高度重视的情况报告和相关管理建议”，工控系统在我国已经广泛应用于国民经济的各主要行业和领域，成为国家关键基础设施的重要组成，但是绝大部分采用国外产品，一旦出现问题往往是灾难性的，造成的损失也是巨大的，因此工控系统的安全问题是关系国家经济安全和战略安全的重要问题。
工控系统包括的种类很多，根据不同的应用环境，大致可以分为设备级、现场级和系统级。设备级和现场级系统大多采用嵌入式的结构，使用专用实时操作系统和实时数据库。由于其计算资源有限，为了保证实时性和可用性，系统在设计时往往无法过多考虑信息安全的需求，从关键芯片到文件系统、进程调度、内存分配等都可能存在安全漏洞。随着设备和现场级系统越来越智能化和网络化，它已经成为重点攻击目标。类似“震网”病毒入侵PLC这种具有很强目的性和专业性的入侵攻击，一旦掌握了系统的安全漏洞，其后果和损失往往是巨大的。在系统级，由于考虑人机交互以及与其它生产管理系统、信息系统的互联，越来越多的采用通用操作系统，例如操作员站一般采用的都是WINDOWS平台，但为了系统的稳定运行，通常现场工程师在系统投入运行后不会对系统平台安装任何补丁，从而使通用操作系统的安全漏洞暴露无遗。
在网络方面，随着TCP/IP 协议和OPC 协议等通用协议越来越广泛地应用在工业控制网络中，通信协议漏洞问题也日益突出。例如：OPC通讯采用不固定的端口号，导致目前几乎无法使用传统的IT防火墙来确保其安全性。
对于应用软件，一方面随着越来越多的功能要求，工业软件的规模和复杂度不断增大，再加上普遍使用中断和优先级来满足系统实时性需求，带来了软件流程不确定性问题，这些都加大了对软件进行测试的难度。另一方面由于缺少统一的安全防护规范，工业软件普遍存在安全设计缺陷，而应用软件产生的漏洞是最容易被攻击者利用，取得被控设备的控制权，从而造成严重后果。

⑤ 回顾工控系统安全史上的几起非常典型的影响巨大的攻击事件中,采取的攻击方式

摘要 近年来，随着工业控制系统网络和物联网环境变得更加开放与多变，工业控制系统则相对变得更加脆弱，工业控制系统的各种网络攻击事件日益增多，暴露出工业控制系统在安全防护方面的严重不足。工业控制系统的安全性面临巨大的挑战。仅仅2018年，就爆发了多次工控安全事件。我们仅以其中比较有代表性的八次典型工控安全事件为例，以此正视工业控制系统所面临的安全威胁。

⑥ 我国政府哪个部门，何时印发 关于加强工业控制系统信息安全管理的通知

【法规标题】《关于加强工业控制系统信息安全管理的通知》

【颁布单位】工业和信息化部

【发文字号】工信部协[2011]451号

【颁布时间】2011-9-29

《关于加强工业控制系统信息安全管理的通知》

工信部协[2011]451号

各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：

工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：

一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性

数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

二、明确重点领域工业控制系统信息安全管理要求

加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。各地区、各部门、各单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求。

（一）连接管理要求。

1. 断开工业控制系统同公共网络之间的所有不必要连接。

2. 对确实需要的连接，系统运营单位要逐一进行登记，采取设置防火墙、单向隔离等措施加以防护，并定期进行风险评估，不断完善防范措施。

3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。

（二）组网管理要求。

1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。

2. 采取虚拟专用网络（VPN）、线路冗余备份、数据加密等措施，加强对关键工业控制系统远程通信的保护。

3. 对无线组网采取严格的身份认证、安全监测等防护措施，防止经无线网络进行恶意入侵，尤其要防止通过侵入远程终端单元（RTU）进而控制部分或整个工业控制系统。

（三）配置管理要求。

1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。

2. 严格账户管理，根据工作需要合理分类设置账户权限。

3. 严格口令管理，及时更改产品安装时的预设口令，杜绝弱口令、空口令。

4. 定期对账户、口令、端口、服务等进行检查，及时清理不必要的用户和管理员账户，停止无用的后台程序和进程，关闭无关的端口和服务。

（四）设备选择与升级管理要求。

1. 慎重选择工业控制系统设备，在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务，确保产品安全可控。

2. 加强对技术服务的信息安全管理，在安全得不到保证的情况下禁止采取远程在线服务。

3. 密切关注产品漏洞和补丁发布，严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。

（五）数据管理要求。

地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等，要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护，切实维护个人权益、企业利益和国家信息资源安全。

（六）应急管理要求。

制定工业控制系统信息安全应急预案，明确应急处置流程和临机处置权限，落实应急技术支撑队伍，根据实际情况采取必要的备机备件等容灾备份措施。

三、建立工业控制系统安全测评检查和漏洞发布制度

（一）加强重点领域工业控制系统关键设备的信息安全测评工作。全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。重点领域的有关单位要请专业技术机构对所使用的工业控制系统关键设备进行安全测评，检测安全漏洞，评估安全风险。工业和信息化部会同有关部门对重点领域使用的工业控制系统关键设备进行抽检。

（二）建立工业控制系统信息安全检查制度。工业控制系统运营单位要从实际出发，定期组织开展信息安全检查，排查安全隐患，堵塞安全漏洞。工业和信息化部适时组织专业技术力量对重点领域工业控制系统信息安全状况进行抽查，及时通报发现的问题。

（三）建立信息安全漏洞信息发布制度。开展工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作，及时发布有关漏洞、风险和预警信息。

四、进一步加强工业控制系统信息安全工作的组织领导

各地区、各部门、各单位要将工业控制系统信息安全管理作为信息安全工作的重要内容，按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，建立健全信息安全责任制。各级政府工业和信息化主管部门要加强对工业控制系统信息安全工作的指导和督促检查。有关行业主管或监管部门、国有资产监督管理部门要加强对重点领域工业控制系统信息安全管理工作的指导监督，结合行业实际制定完善相关规章制度，提出具体要求，并加强督促检查确保落到实处。有关部门要加快推动工业控制系统信息安全防护技术研究和产品研制，加大工业控制系统安全检测技术和工具研发力度。国有大型企业要切实加强工业控制系统信息安全管理的领导，健全工作机制，严格落实责任制，将重要工业控制系统信息安全责任逐一落实到具体部门、岗位和人员，确保领导到位、机构到位、人员到位、措施到位、资金到位。

二〇一一年九月二十九日

⑦ 工业自动化控制系统安全防护措施有哪些

一、基本的网络信息安全考虑
网络信息安全的观念是关于保护网络基础架构本身；保护用于建立和管理网络功能的网络协议。这些关键概念用于解决方案的所有层次和区域。这些步骤帮助用户保护IACS网络和IACS应用，防止多种方式的攻击。下面内容是信息安全基线的关键区域：
● 基础设备架构-对网络基础架构访问的信息安全管理；
● 交换基础架构-网络访问和第2层设计考虑；
● 路由基础架构-保护网络第3层路由功能，防止攻击或误用； ● 设备的弹性和可存性-保护网络的弹性和可用性；
● 网络遥测-监视和分析网络行为和状态，对问题和攻击做出识别和反应。
这些实践可应用于不同的层、区域和相关的网络架构。
二、IACS 网络设备的保护
这个概念描述了保护关键IACS端点设备本身的实践，特别是控制器和计算机。因为这些设备在IACS中扮演着重要的角色，他们的信息安全是要给予特殊关照。这些概念包括下面内容：
● 物理安全－这个层限制区域、控制屏、IACS设备、电缆、控制室和其他位置的授权人的访问，以及跟踪访问者和伙伴；
● 计算机加固－这包括补丁程序管理和防病毒软件，以及能够删除不使用的应用程序、协议和服务等；
● 应用信息安全－这包含鉴定、授权和审核软件，诸如用于IACS
● 控制器加固－这里指处理变更管理和限制访问。
三、单元/区域 IACS 网络信息安全
应用于单元/区域的关键信息安全观念包括下面的部分：
● 端口信息安全，密码维护，管理访问单元/区域网络基础架构； ● 冗余和不需要服务的禁用；
● 网络系统信息登录，使用简单网络管理协议（SNMP）和网络信息监视；
● 限制广播信息区域，虚拟局域网（VLAN）和网络协议的种类； ● 计算机和控制器的加固。
四、制造 IACS 网络的信息安全
制造区域的设计考虑和实施要在早期阶段讨论，特别要考虑关键的单元/区域。另外，应用这些考虑，用于制造区的关键信息安全考虑包括下面内容：
● 路由架构的最佳实践，覆盖路由协议成员和路由信息保护，以及路由状态变化记录；
● 网络和信息安全监视；
● 服务器信息安全覆盖端点信息安全；
● FactoryTalk应用信息安全。
五、隔离区和IACS防火墙
DMZ和工厂防火墙是一个保护IACS网络和IACS应用的基本措施。结合防火墙和DMZ的概念是用于IACS网络信息安全的关键的纵深防御的方法。DMZ和工厂防火墙的设计和实施指南的关键特性和功能包括以下方面：
● 部署工厂防火墙管理在企业和制造区之间的信息流。一个工厂防火墙提供了下面的功能：
- 在网络区之间，通过指定的信息安全层建立的通信模式，比如建立隔离区DMZ；
- 在不同区域之间所有通信状态包的检查，如果在上面允许的情况下；
- 从一个区域企图访问另一个区域的资源时，强制执行用户鉴定，比如从企业层企图访问DMZ的服务；
- 侵入保护服务（IPS）检查在区域之间的通信流，设计成能够识别和阻止各种潜在的攻击。
● 不同区域之间的 DMZ中的数据和服务能够安全地共享。

⑧ 大数据时代工控系统安全水多深

大数据时代工控系统安全水多深

“互联网+”战略的提出，也给工业的发展插上了腾飞的翅膀。不过，当互联网与工业控制系统接通，也为黑客等恶意攻击者提供了攻击的入口。曾经轰动一时的伊朗核设施遭遇黑客攻击的事件，就是一次典型针对工业控制系统的网络攻击。所以，当工业与互联网融合，首先需要做好安全防护。

有调查数据显示，近几年已经发现的工业控制系统漏洞超过了500个，呈现快速增长趋势，这对业务连续性、实时性要求很高的工业控制系统来说，造成了极大的安全威胁。2014年ICS-CERT所公布的数据中，工控安全事件达632件，而且多集中于能源行业（59%）和关键制造业（20%）。

工业网络控制系统的特性，使得其在安全防护上也有许多特殊的要求。无论是互联网还是工业控制系统，在设计之初都没有考虑到网络安全这个后来才出现的问题，当工业互联网出现后，其安全隐患就显得更为突出。工业控制系统需要安全，但又不能影响其业务运行，如何做好平衡性、消除安全防护保障措施对系统的负担，是工业互联网安全所面临的挑战。

工控系统的特殊性对安全有特殊要求，比如工控系统对延时很敏感，业务流程一环扣一环，安全产品的接入可能造成额外延时，影响整体业务。早期，人们对于工业控制系统安全问题关注的焦点主要在于其物理安全与功能安全，比如系统运行是否顺畅，是否出现过异常中断等等。而且，设备的安全运行一般由生产部门负责，并非由信息部门主导。工业控制系统安全与传统的信息安全又截然不同，关注更多的是物理安全与功能安全，而且系统的安全运行由相关的生产部门负责，信息部门仅处于从属的地位。

随着信息化与工业控制系统的深度融合以及潜在网络战威胁影响，工业控制系统也将从传统的仅关注物理安全、功能安全转向更为关注信息系统安全；这种转变也将在国家政策的推动下对传统的工业企业产生较大的影响。

纵观国内外，虽然喊有工控系统安全防护措施的安全厂商很多，但技术与产品质量参差不齐，加上工控系统牵一发而动全身的历史特殊性，国家也尚无统一的一套合规标准和检测尺度、相关法律法规。

当然，目前确保国计民生相关的工业控制系统安全已被提升到了国家安全战略的高度，再加上工业控制系统跨学科、跨行业应用的特殊性；使其安全保障体系的建立必须在国家、行业监管部门、工业控制系统企业（用户）、工业控制系统提供商、信息安全厂商等多方面的协同努力下才能够实现。

大数据环境下，众安全厂商还需在工控系统安全这片深水中齐努力，耕耘出一片自己的天地。

以上是小编为大家分享的关于大数据时代工控系统安全水多深的相关内容，更多信息可以关注环球青藤分享更多干货