問題分析

在上(shàng)位機上(shàng)運行(xíng)的程序都是組态軟件廠商開(kāi)發的專用程序，或者是工程師(shī)開(kāi)發的衍生(shēng)程序，這些(xiē)程序對于傳統的防病毒軟件來(lái)講，往往是不被識别的，很(hěn)容易被錯誤終止或删除。由于上(shàng)位機上(shàng)的應用程序“服役”時(shí)間(jiān)較長，它又很(hěn)容易成為(wèi)攻擊者的目标和(hé)惡意代碼注入的對象。

上(shàng)位機和(hé)現場(chǎng)設備之間(jiān)的通(tōng)信往往是專業的工控協議，這些(xiē)協議在設計(jì)之初，隻考慮到了功能特性，忽略了安全性的設計(jì)，因此，網絡協議比較脆弱，技(jì)術(shù)深厚的攻擊者往往比較容易挖掘到0day漏洞并進行(xíng)利用。由于工控行(xíng)業設備長周期運行(xíng)的特點，這些(xiē)漏洞會(huì)長期存在，得(de)不到修複，這給惡意的攻擊者提供了足夠的攻擊準備時(shí)間(jiān)，也使得(de)攻擊路徑不易被發覺，攻擊後果更加慘重。

由于工控網絡的相對封閉，工程師(shī)站(zhàn)上(shàng)使用移動存儲介質拷貝數(shù)據的行(xíng)為(wèi)比較普遍，這為(wèi)攻擊者提供了一條便捷的攻擊路徑，大(dà)量移動存儲介質的不合規使用也為(wèi)病毒的傳播和(hé)蔓延提供了便利。

工程師(shī)的誤操作(zuò)或者未授權的惡意操作(zuò)也會(huì)使上(shàng)位機的軟件環境發生(shēng)變化，可(kě)能促發生(shēng)産故障，引發安全生(shēng)産事故。

在工業特定工作(zuò)中部分系統調試和(hé)維護時(shí)，通(tōng)常需要本地或遠程接入上(shàng)位機，對這些(xiē)接入的移動終端缺乏有(yǒu)效的安全監管，易導緻病毒引入或被植入惡意代碼。

工業主機自身操作(zuò)系統記錄的日志(zhì)有(yǒu)限，并沒有(yǒu)存儲機制(zhì)，日志(zhì)信息更是簡單。缺乏有(yǒu)效的審計(jì)能力，對發生(shēng)的安全事件無法追蹤記錄。

防護思考

對于上(shàng)述脆弱性和(hé)威脅，工業企業可(kě)通(tōng)過提升企業人(rén)員網絡安全意識，加強供應鏈的管理(lǐ)，強化上(shàng)位機防禦技(jì)術(shù)和(hé)審計(jì)機制(zhì)，建立綜合防禦體(tǐ)系，降低(dī)安全風險，以保護工業主機安全和(hé)正常生(shēng)産秩序。

上(shàng)位機作(zuò)為(wèi)工控網絡環境的一部分，那(nà)麽上(shàng)位機安全防護也是整體(tǐ)工控網絡安全防護的一部分，不能僅僅期望通(tōng)過在上(shàng)位機上(shàng)實施一種安全手段就能全部解決上(shàng)位機安全問題，也不能在其上(shàng)下遊乃至整個(gè)工控網絡環境中留下“安全短(duǎn)闆”。應本着“集中規劃、分步實施”的原則來(lái)整體(tǐ)解決工控上(shàng)位機的安全問題。應對工控環境的資産、網絡結構、制(zhì)度等進行(xíng)全面的安全分析，對安全風險、威脅進行(xíng)詳盡的評估，從而制(zhì)定周全的安全解決方案和(hé)實施規劃。通(tōng)過分步實施來(lái)逐步提升工控網絡的安全防範能力。

在防範深度上(shàng)，應充分分析各生(shēng)産網絡區(qū)域的重要性和(hé)業務的重要性，實現真正的安全結構分區(qū)，針對不同的安全分區(qū)的需求，實現層次化的安全防護，在保證“可(kě)用和(hé)安全”的前提下，盡量減少(shǎo)引入不利于工控環境的方案。