實踐證明傳統信息安全產品不能解決工業控製係統的安全問題

womenzaixianchangtiaoyanshifaxian，yixiegongyekongzhixitongdewangluozhong，yijingyoubushuchuantongdefanghuoqiangchanpin
，zaigongzuozhanshangyeyouanzhuangshaduruanjianchanpin。danshi，chuantongdefanghuoqiangzaibaohuO P C服務器時
，由於不支持OPC協議的動態端口開放，不得不允許O P C客戶端和O P C服務器之間大範圍內的任意端口號的T C Plianjie，yincifanghuoqiangtigongdeanquanbaozhangbeijiangzhizuidi
，congerhenrongyishoudaoeyiruanjianheqitaanquanweixiedegongji。erfanbingduruanjian，tongchangyindebudaojishigengxin
，daozhishiquleduizhuliubingdu
、惡意代碼的防護能力。現場調研的另一個發現，是工業控製係統的係統漏洞，不能像IT係統一樣，得到及時的漏洞修複，大量漏洞長期存在。

綜上所述，傳統信息安全產品（如防火牆
、反病毒軟件）及傳統信息安全的管理方法（如漏洞及時修複）並不適用於工業控製係統，不能解決其信息安全問題。

為什麼傳統信息安全產品/方法不適用於工業控製係統

傳統信息安全產品/方法不適用於工業控製係統，是由於工業控製係統相對於IT信息係統的有其獨特差異性，而傳統信息安全產品是針對IT信息係統的需求開發的。工業控製係統相對於IT信息係統的差異，在信息安全需求方麵主要有以下體現：

1. 
   1)  工業控製係統以“可用性”為第一安全需求，而IT信息係統以“機密性”為第一安全需求。在信息安全的三個屬性（機密性
   、完整性
   、可用性）中，IT信息係統的優先順序是機密性、完整性、可用性
   ，而工業控製係統則是可用性、完整性
   
   、機密性。這一差異，導致工業控製係統中的信息安全產品，必須從軟硬件設計上達到更高的可靠性，例如硬件要求無風扇設計(風扇平均無故障時間不到3年)。另外，導致傳統信息安全產品的“故障關閉”原則如防火牆故障則斷開內外網的網絡連接
   ，不適用於工業控製係統，工業控製係統的需求是防火牆故障時保證網絡暢通。
   
   2)  工業控製係統不能接受頻繁的升級更新操作
   ，而IT信息係統通常能夠接受頻繁的升級更新操作。這對依賴一個黑名單庫來提供防護能力的信息安全產品（例如：反病毒軟件，IDS/IPS）是一個嚴峻的挑戰。

2. 
   3)  工業控製係統對報文時延很敏感，而IT信息係統通常強調高吞吐量。在網絡報文處理的性能指標（吞吐量
   、並發連接數
   、連接速率、時延）中
   ，IT信息係統強調吞吐量、並發連接數、連接速率，對時延要求不太高（通常幾百微秒）
   ；而工業控製係統對時延要求高，某些應用場景要求時延在幾十微秒內，對吞吐量、並發連接數、連接速率往往要求不高。這一差異，導致工業控製係統中的信息安全產品
   ，必須從CPU選型
   
   、軟硬件架構上做到低時延，這對當前一些基於x86 CPU及開源軟件架構的信息安全產品是一個嚴峻挑戰。

3. 
   4)  工業控製係統基於工業控製協議（例如
   ，OPC
   、Modbus、DNP3
   、S7）
   ，而IT信息係統基於IT通信協議（例如，HTTP、FTP
   、SMTP、TELNET）。雖然，現在主流工業控製係統已經廣泛采用工業以太技術
   ，基於IP/TCP/UDP通信
   ，但是應用層協議是不同的，這就要求信息安全產品必須支持工業控製協議（例如，OPC、Modbus、DNP3、S7），否則就會出現上麵提到的為了支持OPC Classic服務而放開大量TCP端口的問題。

4. 
   5)  工業控製係統的工業現場環境惡劣（如，野外零下幾十度的低溫、潮濕、高原、鹽霧）
   ，而IT信息係統通常在恒溫、恒濕的機房中。這就要求工業控製係統中的信息安全硬件產品
   ，必須按照工業現場環境的要求專門設計硬件，做到全密閉、無風扇，支持﹣40℃～70℃等。

所(suo)以(yi)
，要(yao)想(xiang)解(jie)決(jue)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)的(de)信(xin)息(xi)安(an)全(quan)問(wen)題(ti)，傳(chuan)統(tong)信(xin)息(xi)安(an)全(quan)產(chan)品(pin)和(he)解(jie)決(jue)方(fang)案(an)並(bing)不(bu)是(shi)一(yi)劑(ji)對(dui)症(zheng)良(liang)藥(yao)，工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)需(xu)要(yao)有(you)一(yi)套(tao)為(wei)自(zi)己(ji)量(liang)身(shen)打(da)造(zao)的(de)信(xin)息(xi)安(an)全(quan)產(chan)品(pin)，才(cai)能(neng)有(you)效(xiao)抵(di)禦(yu)工(gong)業(ye)係(xi)統(tong)麵(mian)臨(lin)的(de)各(ge)種(zhong)安(an)全(quan)威(wei)脅(xie)，為(wei)客(ke)戶(hu)帶(dai)來(lai)工(gong)控(kong)安(an)全(quan)防(fang)護(hu)的(de)真(zhen)正(zheng)價(jia)值(zhi)。