截至到2010年10月，全球已有約45000個網(wǎng)絡感染Stuxnet“超級工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。工廠車間信息安全面臨越來越多的挑戰(zhàn)，加強工廠網(wǎng)絡信息安全的防護已經(jīng)刻不容緩。

         信息安全對于保障企業(yè)關鍵業(yè)務的運行非常重要，因此也越來越得到企業(yè)的重視。目前大部分的企業(yè)內(nèi)部都建立了信息安全的防護機制，尤其是在病毒防護上，眾多企業(yè)都異常的重視。但是，目前的病毒防護大部分企業(yè)都只注重辦公網(wǎng)的防護，幾乎很少企業(yè)涉及到對于工業(yè)網(wǎng)絡的病毒防護。因為通常我們認為，計算機病毒無法影響到工控機的運行，因為大部分病毒是基于windows平臺運行的。但是，在2010年震網(wǎng)(Stuxnet)病毒誕生改變了這一現(xiàn)實。這種復雜的電腦病毒將惡意軟件作為一種網(wǎng)絡武器來使用，通過USB和其他機制傳播，可以影響特定工業(yè)控制系統(tǒng)的運行。

         隨著工業(yè)自動化程度的提高，在享受IT技術帶來的益處的同時，針對工業(yè)控制網(wǎng)絡的安全威脅也在與日俱增控制工程網(wǎng)版權所有，工控機所受威脅也越來越大。據(jù)國家信息安全漏洞庫公開數(shù)據(jù)表明，2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。面對成倍增長針對工業(yè)控制系統(tǒng)的病毒，未來，工業(yè)網(wǎng)絡信息安全會面臨越來越多的挑戰(zhàn)，工業(yè)網(wǎng)絡信息安全防護已經(jīng)到了刻不容緩的地步了。

          一、Stuxnet病毒的新警示

         導語：截至到2010年10月，全球已有約45000個網(wǎng)絡感染Stuxnet“超級工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。工廠車間信息安全面臨越來越多的挑戰(zhàn)，加強工廠網(wǎng)絡信息安全的防護已經(jīng)刻不容緩。Stuxnet是一種計算機蠕蟲病毒，通過Windows操作系統(tǒng)此前不為人知的的漏洞感染計算機，同時該病毒針對具有西門子WINCC平臺的控制系統(tǒng)以及Step7文件進行攻擊，由于該病毒能夠修改WINCC平臺數(shù)據(jù)庫變量，在Step7程序中插入代碼以及功能塊，即能夠對控制系統(tǒng)發(fā)動攻擊控制工程網(wǎng)版權所有，故部分專家定義Stuxnet為“超級工廠病毒”。這個病毒，目前已經(jīng)對伊朗國內(nèi)工業(yè)控制系統(tǒng)產(chǎn)生極大影響，截至到2010年10月，全球已有約45000個網(wǎng)絡被該蠕蟲感染。西門子WINCC平臺在我國的多個重要行業(yè)應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業(yè)的人機交互與監(jiān)控，一旦攻擊成功，則可能造成使用這些企業(yè)運行異常，甚至造成商業(yè)資料失竊、停工停產(chǎn)等嚴重事故。

        Stuxnet病毒主要通過U盤和局域網(wǎng)進行傳播，由于安裝SIMATIC WinCC系統(tǒng)的電腦一般會與互聯(lián)網(wǎng)物理隔絕，因此黑客特意強化了病毒的U盤傳播能力。如果企業(yè)沒有針對U盤等可移動設備進行嚴格管理，導致有人在局域網(wǎng)內(nèi)使用了帶毒U盤，則整個網(wǎng)絡都會被感染。因此，為了保證工廠信息安全，避免類似Stuxnet病毒的傳播，必須加強工廠信息安全體系及架構的建設。

         二、工廠信息安全的定義

         導語：工廠信息安全防護包括：保護在工廠車間中廣泛使用的如，工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡設備及工業(yè)控制系統(tǒng)的運行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務。

         對于工廠信息安全，目前還沒有一個公認、統(tǒng)一的定義，但是目前對于信息安全，已經(jīng)有較為統(tǒng)一的認識。信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認證、訪問控制，不能有非法軟件駐留，不能有非法操作。工廠的信息安全就是應該對工廠車間內(nèi)部的系統(tǒng)及終端設備進行安全防護。根據(jù)工廠內(nèi)部所涉及的終端設備及系統(tǒng)，工廠信息安全包括：保護在工廠車間中廣泛使用的如，工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡設備及工業(yè)控制系統(tǒng)的運行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務。工廠信息安全涉及邊界如圖1所示。

        MES系統(tǒng)的防護相對特殊，既要直接采集來源于生產(chǎn)現(xiàn)場的數(shù)據(jù)，同工廠生產(chǎn)車間中的各項終端設備都會進行直接的數(shù)據(jù)交互，而且也要同上層的ERP系統(tǒng)進行通訊，因此MES系統(tǒng)在大多數(shù)企業(yè)中，為了方便與ERP系統(tǒng)之間的數(shù)據(jù)交互與員工訪問，通常會劃分在辦公網(wǎng)的安全防護體系中。但是，實際上由于MES系統(tǒng)能夠直接對工業(yè)控制系統(tǒng)進行訪問，因此，對于MES系統(tǒng)的防護應該提升其系統(tǒng)防護級別，將MES系統(tǒng)與辦公網(wǎng)進行隔離。工廠信息安全中最為基礎的部分就是工業(yè)以太網(wǎng)，所以工業(yè)以太網(wǎng)網(wǎng)絡首先得必須保證7*24*365天的可用性，必須能夠不間斷的可操作，能夠確保系統(tǒng)的可訪問性，數(shù)據(jù)能夠實時進行傳輸，需要有完備的保護方案。工業(yè)以太網(wǎng)與普通辦公網(wǎng)具體區(qū)別如下表所示：

                                                                                      表1 工業(yè)以太網(wǎng)與普通辦公網(wǎng)對比

        工廠信息安全的所帶來的風險十分廣泛，大致的威脅級別可以分為：未授權訪問、數(shù)據(jù)竊取、數(shù)據(jù)篡改、病毒破壞工廠導致停產(chǎn)、破壞工廠導致事故。

        1. 未授權訪問未授權訪問是指，未經(jīng)授權使用網(wǎng)絡或未授權訪問網(wǎng)絡資源、文件的一種行為。主要包括非法進入系統(tǒng)或網(wǎng)絡后進行操作的行為。

        2.數(shù)據(jù)竊取通過未授權的訪問、網(wǎng)絡監(jiān)聽等非法手段獲取到有價值的信息或數(shù)據(jù)。

        3. 數(shù)據(jù)篡改據(jù)篡改即是對計算機網(wǎng)絡數(shù)據(jù)進行修改、增加或刪除，造成數(shù)據(jù)破壞。

        4.破壞工廠導致停產(chǎn)通過病毒或其他攻擊手段對包括PLC、DCS在內(nèi)的工業(yè)控制系統(tǒng)進行攻擊，導致其無法正常工作從而影響企業(yè)的正常生產(chǎn)。

        5. 破壞工廠導致事故通過破壞工業(yè)控制系統(tǒng)的正常運作，導致控制無法正常讀取諸如溫度、轉速等及時信息導致控制系統(tǒng)發(fā)出錯誤指令而導致的工廠事故。

         三、工廠信息安全五層四區(qū)域的防護體系

         對于工廠信息安全，僅靠傳統(tǒng)的殺毒軟件進行防護是遠遠不夠的。只有一套完善的網(wǎng)絡體系架構，才能真正的對于工廠信息安全進行防御。工廠信息安全的建設應該采用五層防御體系進行構建，嚴格的對區(qū)域進行劃分。

        第一道防線：商業(yè)(IT)防火墻，目前幾乎所有的企業(yè)都有這一層的防護。此層的目的是將內(nèi)部網(wǎng)和Internet網(wǎng)分開，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。通過此層的防御，可以過濾掉絕大多數(shù)的網(wǎng)絡攻擊。入侵者如果穿越防火墻，首先到達的就是辦公網(wǎng)絡的DMZ區(qū)域。但是辦公網(wǎng)絡的DMZ區(qū)域是不會涉及到工廠車間網(wǎng)絡的任何服務器，所以，對于工廠信息的安全起到了最初級的防護作用。

第二道防線：抵御多種威脅的安全網(wǎng)關CONTR