工业控制系统在安全监测部署方面的注意事项

工业控制系统广泛应用于设计国计民生的关键基础设施，工业控制系统的安全关系到国家的战略安全。工业控制系统环境相对封闭，使得来自系统内部人员在应用系统层面的误操作、违规操作或故意破坏性操作成为工业控制系统所面临的主要安全风险。因此，对于生产网络的访问行为、特定控制协议内容的真实性、完整性进行监控、管理与审计是非常有必要的。

在工业控制网络中部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备(如工控入侵或异常检测类设备、工控网络防病毒系统等)，及时发现、报告网络攻击(如病毒木马感染、端口扫描、暴力破解等)或异常行为(如异常流量、异常指令、伪造工控协议报文、畸形报文等)，并根据影响范围和后果进行处理。

明确重要工业控制设备清单，主要包括但不限于数据采集与监控系统(SCADA) 、分布式控制系统(DCS) 以及可编程控制器(PLC)等。一旦重要的控制设备被非法入侵者攻击或非法篡改指令，可能会导致信息泄露或生产装置不能正常运转。因此，除了要保证能及时发现针对工控网络的攻击和异常行为，还要针对重要工业控制设备的异常行为采取防护措施。

通过在重要工控设备前端部署可对所使用的工业控制系统协议进行深度包监测的防护设备，对Modbus、S 7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤，实时探测到协议异常和应用程序破坏策略的行为，阻断不符合协议标准的数据包以及不符合业务要求的操作指令和数据内容，限制违法操作。

为了及时发现重大工控安全事件，企业应加大工控安全监测力度，实施建议如下：

在工业控制网络核心节点旁路部署工控网络安全监测设备，实时监测工控网络的异常行为，帮助企业了解其工业控制网络的安全状况。从工控安全监测系统中获得应急响应需要的相关信息，快速获得线索，对事件进行及时响应。工控网络安全监测设备部署下图所示。

工控网络安全监测设备， 如针对工业控制系统的IDS入侵检测系统、PS入侵检测与防御系统、工控异常监测系统等。该类型设备需要监测的信息包括：通用网络入侵行为(如各种木马、蠕虫、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、OPC web sever挂马等) ， 以及专门针对工业控制网络的攻击行为(如利用已知工控设备漏洞的入侵攻击行为，基于主流工业通信协议的异常流量、异常指令及伪造工业指令和畸形报文)等。