截至到2010年10月，全球已有約45000個網絡感染Stuxnet“超級工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。工廠車間信息安全面臨越來越多的挑戰，加強工廠網絡信息安全的防護已經刻不容緩。

         信息安全對于保障企業關鍵業務的運行非常重要，因此也越來越得到企業的重視。目前大部分的企業內部都建立了信息安全的防護機制，尤其是在病毒防護上，眾多企業都異常的重視。但是，目前的病毒防護大部分企業都只注重辦公網的防護，幾乎很少企業涉及到對于工業網絡的病毒防護。因為通常我們認為，計算機病毒無法影響到工控機的運行，因為大部分病毒是基于windows平臺運行的。但是，在2010年震網(Stuxnet)病毒誕生改變了這一現實。這種復雜的電腦病毒將惡意軟件作為一種網絡武器來使用，通過USB和其他機制傳播，可以影響特定工業控制系統的運行。

         隨著工業自動化程度的提高，在享受IT技術帶來的益處的同時，針對工業控制網絡的安全威脅也在與日俱增控制工程網版權所有，工控機所受威脅也越來越大。據國家信息安全漏洞庫公開數據表明，2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。面對成倍增長針對工業控制系統的病毒，未來，工業網絡信息安全會面臨越來越多的挑戰，工業網絡信息安全防護已經到了刻不容緩的地步了。

          一、Stuxnet病毒的新警示

         導語：截至到2010年10月，全球已有約45000個網絡感染Stuxnet“超級工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。工廠車間信息安全面臨越來越多的挑戰，加強工廠網絡信息安全的防護已經刻不容緩。Stuxnet是一種計算機蠕蟲病毒，通過Windows操作系統此前不為人知的的漏洞感染計算機，同時該病毒針對具有西門子WINCC平臺的控制系統以及Step7文件進行攻擊，由于該病毒能夠修改WINCC平臺數據庫變量，在Step7程序中插入代碼以及功能塊，即能夠對控制系統發動攻擊控制工程網版權所有，故部分專家定義Stuxnet為“超級工廠病毒”。這個病毒，目前已經對伊朗國內工業控制系統產生極大影響，截至到2010年10月，全球已有約45000個網絡被該蠕蟲感染。西門子WINCC平臺在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控，一旦攻擊成功，則可能造成使用這些企業運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。

        Stuxnet病毒主要通過U盤和局域網進行傳播，由于安裝SIMATIC WinCC系統的電腦一般會與互聯網物理隔絕，因此黑客特意強化了病毒的U盤傳播能力。如果企業沒有針對U盤等可移動設備進行嚴格管理，導致有人在局域網內使用了帶毒U盤，則整個網絡都會被感染。因此，為了保證工廠信息安全，避免類似Stuxnet病毒的傳播，必須加強工廠信息安全體系及架構的建設。

         二、工廠信息安全的定義

         導語：工廠信息安全防護包括：保護在工廠車間中廣泛使用的如，工業以太網、數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等網絡設備及工業控制系統的運行安全，確保工業以太網及工業系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞，為企業正常生產提供信息服務。

         對于工廠信息安全，目前還沒有一個公認、統一的定義，但是目前對于信息安全，已經有較為統一的認識。信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。信息安全主要包括以下五方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。其根本目的就是使內部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認證、訪問控制，不能有非法軟件駐留，不能有非法操作。工廠的信息安全就是應該對工廠車間內部的系統及終端設備進行安全防護。根據工廠內部所涉及的終端設備及系統，工廠信息安全包括：保護在工廠車間中廣泛使用的如，工業以太網、數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等網絡設備及工業控制系統的運行安全，確保工業以太網及工業系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞，為企業正常生產提供信息服務。工廠信息安全涉及邊界如圖1所示。

        MES系統的防護相對特殊，既要直接采集來源于生產現場的數據，同工廠生產車間中的各項終端設備都會進行直接的數據交互，而且也要同上層的ERP系統進行通訊，因此MES系統在大多數企業中，為了方便與ERP系統之間的數據交互與員工訪問，通常會劃分在辦公網的安全防護體系中。但是，實際上由于MES系統能夠直接對工業控制系統進行訪問，因此，對于MES系統的防護應該提升其系統防護級別，將MES系統與辦公網進行隔離。工廠信息安全中最為基礎的部分就是工業以太網，所以工業以太網網絡首先得必須保證7*24*365天的可用性，必須能夠不間斷的可操作，能夠確保系統的可訪問性，數據能夠實時進行傳輸，需要有完備的保護方案。工業以太網與普通辦公網具體區別如下表所示：

                                                                                      表1 工業以太網與普通辦公網對比

        工廠信息安全的所帶來的風險十分廣泛，大致的威脅級別可以分為：未授權訪問、數據竊取、數據篡改、病毒破壞工廠導致停產、破壞工廠導致事故。

        1. 未授權訪問未授權訪問是指，未經授權使用網絡或未授權訪問網絡資源、文件的一種行為。主要包括非法進入系統或網絡后進行操作的行為。

        2.數據竊取通過未授權的訪問、網絡監聽等非法手段獲取到有價值的信息或數據。

        3. 數據篡改據篡改即是對計算機網絡數據進行修改、增加或刪除，造成數據破壞。

        4.破壞工廠導致停產通過病毒或其他攻擊手段對包括PLC、DCS在內的工業控制系統進行攻擊，導致其無法正常工作從而影響企業的正常生產。

        5. 破壞工廠導致事故通過破壞工業控制系統的正常運作，導致控制無法正常讀取諸如溫度、轉速等及時信息導致控制系統發出錯誤指令而導致的工廠事故。

         三、工廠信息安全五層四區域的防護體系

         對于工廠信息安全，僅靠傳統的殺毒軟件進行防護是遠遠不夠的。只有一套完善的網絡體系架構，才能真正的對于工廠信息安全進行防御。工廠信息安全的建設應該采用五層防御體系進行構建，嚴格的對區域進行劃分。

        第一道防線：商業(IT)防火墻，目前幾乎所有的企業都有這一層的防護。此層的目的是將內部網和Internet網分開，從而保護內部網免受非法用戶的侵入。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。通過此層的防御，可以過濾掉絕大多數的網絡攻擊。入侵者如果穿越防火墻，首先到達的就是辦公網絡的DMZ區域。但是辦公網絡的DMZ區域是不會涉及到工廠車間網絡的任何服務器，所以，對于工廠信息的安全起到了最初級的防護作用。

第二道防線：抵御多種威脅的安全網關CONTR