1.6.2 控制层的安全挑战

工业控制系统广泛应用于石油石化、冶金、勘探、电力、燃气以及市政等领域，用于控制关键生产设备的运行。工控系统越来越开放，减弱了控制系统与外界的隔离程度，随着黑客攻击技术的不断发展，工控系统的安全隐患问题日益严峻，任何一点受到攻击都有可能导致整个系统瘫痪。

传统工业控制安全主要关注控制过程的功能安全，信息安全防护能力不足。现有控制协议、控制软件等在设计之初主要基于IT和OT相对隔离以及OT环境相对可信这两个前提，同时由于工厂控制的实时性和可靠性要求高，诸如认证、授权、加密等安全功能被舍弃，生产控制层安全保障措施的缺失成为工业互联网演进过程中的重要安全问题。而且，对控制层设备开展安全防护面临诸多困难，比如控制层设备对实时性、可靠性的严苛要求导致传统的信息安全技术难以直接应用到工业现场。控制层设备多采用私有协议，且是为满足实时性、可靠性的要求而设计的，基本没有或很少在应用层采取安全防范措施。传统控制层设备主要使用物理隔离的手段，随着工业互联网的“互联互通”，使得控制层开始暴露给外部公共网络，破坏了物理隔离的安全保障。此外控制层设备通常会常年运行，受各种因素影响，控制层设备几乎从不进行软硬件升级，其安全漏洞难以及时消除，存在极大的安全隐患。

IT和OT的融合打破了传统安全可信的控制环境，网络攻击从IT层渗透到OT层，从工厂外渗透到工厂内，工业协议将面临很多网络安全问题，典型的如OPC协议，OPC Classic协议基于微软的DCOM协议，而DCOM协议在互联网上是极易受到攻击的，可见如果工厂使用了OPC协议，在工业互联网时代，该协议的网络安全将会是影响生产的最重大隐患之一。再比如DNP3.0通过功能码和限定词，规定了数据部分的数据大小，因而在链路层报文头中的数据长度值与功能码和限定词有内在的数值计算关系。但往往在实现DNP3.0协议时并未对其进行考虑，导致容易构造的非法数据被接受，从而引起缓冲区溢出。类似的例子还有很多，而且相信随着工业互联网的推进，越来越多的工业设备暴露在IT网络下，工业协议脆弱性问题还将进一步显现。

另外，随着工控系统越来越开放，高级持续性威胁（Advanced Persistent Threat, APT）成为威胁最大的攻击。APT攻击有极强的目的性和针对性，往往经过长期的经营与策划而具备高度的隐蔽性，可以隐匿自身，针对特定对象，长期、有计划性和组织性地窃取数据或执行其他攻击行为。这种攻击很难进行检测和防护，而目前缺乏有效的APT攻击检测和防护手段，工业互联网的发展使得控制层逐渐暴露给外部公共网络，更加大了APT攻击防护的难度。

针对工业控制系统的APT攻击一直是困扰工业互联网控制层安全的重大安全问题，而且控制层APT攻击已经存在了很长时间。APT攻击本身可能并非是由单一的一种攻击引起，可能是多种攻击，因此不单单涉及某个安全产品，需要实现很多安全产品协同操作，甚至还有可能需要经验丰富的安全工程师介入进行辅助分析和识别。相信未来APT攻击仍然是针对工业互联网控制层的最大安全威胁，并且将长期存在，针对APT的防护工作任重道远。