1.5.2 控制层的安全风险

当前，工厂控制安全主要关注控制过程的功能安全，对于网络安全的防护能力不足。现有控制协议、控制软件等在设计之初主要基于IT和OT相对隔离以及OT环境相对可信这两个前提，同时工程控制的实时性和可靠性要求高，诸如认证、授权、加密等需要增加开销的网络安全功能被舍弃，因此也就极大增加了控制层面的安全风险。

（1）身份的合法性

主要包括控制设备的合法性以及设备内运行的软件的合法性。如果可以在控制层上随意安插未知的控制设备，该未知控制设备可能直接接管了大量工厂生产设备，这样会对整个工业互联网控制层的网络安全造成非常大的隐患。除此之外，控制设备自身软件的合法性也需要受到关注，例如控制设备的软件升级，所要升级的软件是否为合法软件、有没有被篡改、有没有插入一些恶意程序，这些都将给工业互联网造成潜在安全风险。身份的合法性除了包括控制设备合法性外，操作员的合法性也是必不可少的，很多工业控制系统在操作的时候仅仅是对用户和密码进行验证，并没有对操作者身份进行识别和验证，这样做安全隐患较大，试想一个攻击者如果通过社工的手段得到工业控制系统的用户名和密码，再进行一些破坏活动，那么所造成的严重后果可想而知。

（2）权限的适度性

随着工业互联网IT和OT网络的融合，使控制设备能够直接访问IT网络变成现实。目前国内外已经有大量的PLC直接暴露在公网上，成为攻击者的攻击目标，而这些控制设备通常情况下并不应该暴露在公网上。控制设备访问权限的缺失导致这些控制设备直接暴露给攻击者，攻击者可以轻易地通过IT网络实现对控制设备注入恶意程序、窃取敏感生产数据甚至改变正常生产作业程序，从而达到破坏工业生产的目的。

工业控制系统自始至终都是攻击者最热衷的攻击对象，从以往曝出的工业互联网安全事件上就能看得出来，大部分是针对工业互联网控制层的攻击，其中针对SCADA系统的攻击最多，并且攻击者除了使用各种攻击技术外，还会使用社会工程学的方法，因此身份和权限在控制层的重要性是显而易见的。但是身份和权限的范围并不应只局限于设备和操作员，同时应该扩展到工控系统的软件和升级等其他领域，确保设备、系统软件和操作员这三者的身份与权限的合法性、正确性，才是降低控制层安全风险的关键。