1、工業控制系統與IT信息系統的區別

　　工業控制系統由控制器、PLC模塊、DCS控制柜、觸摸屏、HMI設備、通訊卡等硬件，以及SCADA組態軟件、編程軟件、操作系統軟件等軟件組成，應用于工業現場環境，用于不同行業的生產業務場景。

　　為滿足工業企業日常生產計劃性、連續性、高可靠性等業務場景要求，工業控制系統通常具有通信網絡冗余、運行時間長、設備老舊、更新換代不頻繁等特征，在業務流程和運行特點上與傳統IT信息系統有很大不同。

　　隨著工業控制系統開放性越來越強，為達到工業控制系統集成和使用的便利性目的，系統網絡中廣泛應用工業以太環網、OPC、Modbus、S7等工業專有通信協議；同時在過程控制層面，應用了基于商用操作系統或數據庫系統的PC服務器和終端產品，很容易遭到來自企業管理網或互聯網的病毒、木馬、黑客等外來攻擊。

　　IT信息系統中黑客攻擊目標多為獲取私密數據、個人信息，而針對工業控制系統的攻擊目標通常為造成系統宕機、破壞通信網絡、修改工藝參數，引發安全事故，造成不同規模的經濟損失或爆炸、人員傷亡等嚴重后果，甚至摧毀關鍵信息基礎設施。

　　工業控制系統有許多區別于傳統IT信息系統的特點，面臨不同的安全風險。工業控制系統與IT信息系統本質上的差異，決定了工業控制系統信息安全建設與IT信息系統安全建設的不同。因此必須在符合工業控制系統本身技術和環境具體要求與特點的前提下，以保障生產業務連續性為主要目標，開展工業控制系統信息安全建設。

　　2、傳統安全防護方式不適用于工控環境

　　2.1   網絡層面分析

　　首先在網絡方面，防火墻、入侵檢測等傳統網絡安全設備，僅能夠實現對外部入侵及網絡異常行為的管理和監測，但是不能對網絡通訊內容，以及已經授權的人員進行內部網絡訪問的行為進行監控，因此，對于正常網絡訪問行為導致的網絡資源濫用、敏感信息泄露、違規操作、文件上傳、下載、刪除等違法操作無能為力，難以實現對網絡行為的在線實時監控管理及安全事件的追溯取證。

　　另一方面，由于工業控制系統采用的控制協議與傳統的網絡高層應用協議不同，具有私有、專用的特點；而且許多工業控制協議沒有提供保護流量的措施，攻擊者只需訪問網絡并了解協議，即可以在沒有任何阻力的情況下進行網絡攻擊。并且工業控制系統對環境適應性具有較高要求，使傳統的網絡審計技術手段不能滿足現階段工業控制系統網絡安全監測的需求。

　　2.2   應用層面分析

　　從業務應用層面考慮，工業控制網絡與傳統IT網絡的業務應用流程、應用方式均不同，如果僅僅基于五元組無法達到預期目的，而是需要從更深層面對業務進行分析，通過關聯分析的技術手段，發現針對業務系統的違規行為，真正發現安全事件并進行告警。

　　例如，傳統的審計措施在經過對五元組信息進行審計分析時，發現某賬戶在某時間段內頻繁查詢核心客戶資料數據庫，從而進行告警，并告知管理員該異常賬戶的行為。但是可能該客戶正在下載客戶資料，屬于正常操作行為，而不是違規行為。

　　因此要實現類似行為的發現，光靠協議分析是不夠的。協議分析只能將此類行為對應的零散的數據報文截獲出來，并變成一條條的事件信息。只有找出存在業務流程中的用戶訪問行為、操作行為等不同行為的規律和特征，從業務角度配置訪問控制策略，并且通過對這些事件信息進行關聯分析，才能將其轉化為有意義的事件告警信息。

　　2.3   主機層面分析

　　傳統的安全軟件防范病毒和木馬，主要采用基于特征分析和基于操作行為分析兩種方式。

　　第一種基于特征分析的病毒防范方式，主要是通過提取惡意程序的特征碼，并記錄到病毒庫中，當下次再遇到含有這種特征碼的程序，就可以直接進行查殺。基于特征分析是查殺病毒和木馬的主要方式，其優點是快捷方便，在惡意程序運行之前，就可以進行查殺了。但是其缺點也很明顯，當一個病毒或木馬加殼或者改變加殼方式之后，特征碼會發生改變，這種方法就不奏效了。

　　第二種基于操作行為的病毒防范方式，主要是通過監測行為的動態性實現惡意程序攔截。例如木馬要修改計算機的注冊表信息，這是一種惡意行為。殺毒軟件在運行的過程中，會監視注冊表，在發現有軟件正在修改注冊表時進行提醒，或者直接進行攔截。基于行為分析的優點是能夠通過分析行為，準確地攔截惡意程序，甚至一些新的木馬或病毒，均可以通過這種方式進行查殺。缺點是查殺速度較慢，并且當木馬或病毒一直潛伏著、不運行的時候，就沒辦法進行查殺了。

　　而在工業控制環境中，作為“控制大腦”的上位機安裝的應用軟件種類較少，其應用多為工業特定應用，且出于應用軟件運行角度考慮，上位機往往不會安裝殺毒軟件；或者即使安裝了殺毒軟件，也存在病毒庫、殺毒軟件版本更新不及時等安全問題；另外如果使用傳統的主機惡意代碼檢測工具對工業主機進行掃描檢測操作，那么工業主機應用的調用進程執行操作方式極有可能被誤判為惡意程序，并被檢測工具加以刪除或隔離，從而影響生產正常進行。所以傳統的惡意代碼防范軟件不適用于工業控制環境。

　　綜上所述，傳統的安全防護方式并不適用于工控環境，在網絡安全威脅越來越嚴重的形勢下，需要應用適用于工業生產控制環境的安全防護技術，為工業控制系統穩定運行提供安全保障。

　　3、基于行為分析適用于工業控制系統信息安全

　　相較于傳統信息系統環境，工業控制系統一旦建立，其中的終端設備、控制設備、網絡設備、采集設備等工控設備已經按照提前設計好的規則集成為一個生產控制環境，且這個生產控制環境無論是硬件設備，還是上位機、服務器中安裝的應用軟件在相當長的一段時間內都不會進行變更。

　　以上特點決定了工業環境中的業務邏輯相對固定，基于業務應用的工業生產行為及業務行為也具有比較高的固定模式，因此，我們可以通過對生產業務及應用流程的深入分析，獲取一個基于應用行為的工業行為畫像。然后基于行為分析識別越權訪問、工藝參數修改、基于合法路徑合法行為的非法攻擊等異常行為。

　　首先在網絡層面，采用基于行為分析的技術手段，一是可以通過提前設定好的規則策略來限制網絡數據的交換，并在不同網絡之間以及關鍵系統、設備之間進行動態的行為判斷，識別網絡中的異常訪問行為；二是可以根據網絡協議和數據報文的行為特征，有效過濾和阻斷網絡中的外來攻擊行為。

　　其次在應用層面，采用基于行為分析的技術手段，可根據業務構建行為安全基線，識別內部異常、違法操作行為，并對超出安全基線的行為進行報警，避免類似“震網”事件的發生。

　　最后在主機層面，采用基于行為分析的技術手段，通過詳細記錄用戶的操作行為，可實時監控分析應用程序和人工操作的行為規律，及時發現主機下線、資源不足、非法應用啟動、惡意篡改及非法外設接入等安全事件，實現對工業主機的細粒度管控，保障終端設備安全。

　　4、小結

　　基于行為分析的防護手段適用于工業控制系統環境，相較于傳統的信息安全技術措施，能夠更好的保障控制系統信息安全。