什么是工業控制系統

工業控制系統是數據采集與監視控制系統、分布式控制系統、過程控制系統、可編程邏輯控制器和其他控制系統的總稱。工業控制系統通常由共同作用實現某一工業用途的控制部件組合而成，是工業生產基礎設施的關鍵組成部分，廣泛應用于電力、水利、化工、交通、能源、冶金、航空航天等國家重要基礎設施領域，超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統實現自動化作業。

工業控制系統的主要功能是將操作站發出的控制指令和數據（如打開或關閉一個閥門）推送到控制現場執行機構，同時 采集控制現場的狀態信息反饋給操作站，并通過數字、圖形等形式展現給操作人員。簡單地說，工業控制是利用電子電器、機械元件、控制設備、計算機系統等實現對工業設備的自動控制。

隨著經濟與技術的發展，工業控制系統在應對傳統功能安全威脅的同時，也面臨越來越多的工業控制信息安全威脅。工業互聯網是工業網絡的智能化和網絡化擴展的結果，而工業網絡以工業控制系統為核心，因此工業控制系統也是工業互聯網的核心。工業互聯網安全保障的核心是保障工業控制系統正常運轉。

工業控制系統是數據采集與監視控制系統、分布式控制系統、過程控制系統、可編程邏輯控制器和其他控制系統的總稱。工業控制系統通常由共同作用實現某一工業用途的控制部件組合而成，是工業生產基礎設施的關鍵組成部分，廣泛應用于電力、水利、化工、交通、能源、冶金、航空航天等國家重要基礎設施領域，超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統實現自動化作業。

工業控制系統的漏洞有以下這些類型：

• 通信協議漏洞：工業化與信息化的融合和物聯網的發展，使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中，隨之而來的通信協議漏洞問題也日益突出。例如，OPC Classic協議（OPC DA，OPC HAD和OPC A&E）基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通信采用不固定的端口號，從而導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此，確保使用OPC通信協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。

• 操作系統漏洞：目前大多數工業控制系統的工程師站/操作員站/HMI都是Windows平臺的，為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，通常現場工程師在系統開始運行后不會對Windows平臺安裝任何補丁，但是存在的問題是，不安裝補丁，系統就存在被攻擊的可能，從而埋下安全隱患。

• 安全策略和管理流程漏洞：追求可用性而犧牲安全，是很多工業控制系統存在的普遍現象，缺乏完整、有效的安全策略與管理流程也給工業控制系統信息安全帶來了一定的威脅。例如，工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

• 殺毒軟件漏洞：為了保證工控應用軟件的可用性，許多工控系統操作員站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要經常更新，這一要求尤其不適合于工業控制環境，而且殺毒軟件對新病毒的處理總是滯后的，從而導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

• 應用軟件漏洞：由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題；另外，當應用軟件面向網絡應用時，必須開放其應用端口。因此，常規的IT防火墻等安全設備很難保障其安全性。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞來獲取諸如污水處理廠、天然氣管道，以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。