如何建立工业控制系统事前事中事后防护系统

　　工业控制系统信息安全内涵、需求和目标特性，决定了需要一些特殊的信息安全技术、措施，在工业生产过程中的IED、plc、RTU、控制器、通信处理机、SCADA系统和各种实际的、各种类型的可编程数字化设备中使用或配置，达到保障工业控制系统生产、控制与管理的安全功能目标。所有自动控制系统信息安全的基础技术是访问控制和用户身份认证，在此基础上发展了一些通过探针、信道加密、数据包核查和认证等手段保护通信数据报文安全的技术。为实现功能安全前提下的工业控制系统信息安全，需要构筑工业控制系统信息安全事前、事中和事后的全面管理、整体安全的防护技术体系。

　　事前防御技术是工业控制信息安全防护技术体系中较为重要的部分，目前有很多成熟的基础技术可以利用：访问控制/工业控制专用防火墙、身份认证、ID设备、基于生物特征的鉴别技术、安全的调制解调器、加密技术、公共密钥基础设施(PKI)、虚拟局域网(VPN)。

　　2.事中响应技术

　　入侵检测(IDS)技术对于识别内部的错误操作和外部攻击者尝试获得内部访问权限的攻击行为是非常有效的。它能够检测和识别出内部或外部用户破坏网络的意图。IDS有两种常见的形式：数字签名检测系统和不规则检测系统。入侵者常常通过攻击数字签名，从而获得进入系统的权限或破坏网络的完整性。数字签名检测系统通过将现在的攻击特性与已知攻击特性数据库进行比对，根据选择的灵敏程度，最终确定比对结果。然后，根据比对结果，确定攻击行为的发生，从而阻断攻击行为并且通报系统管理员当前系统正在遭受攻击。不规则检测技术通过对比正在运行的系统行为和正常系统行为之间的差异，确定入侵行为的发生且向系统管理员报警。例如，IDS能够检测在午夜时分系统不正常的活跃性或者外部网络大量访问某I/O端口等。当不正常的活动发生时，IDS能够阻断攻击并且提醒系统管理员。

　　以上两种IDS系统都有其优点和缺点，但是，它们都有一个相同的问题——如何设置检测灵敏度。高灵敏度会造成错误的入侵报警，IDS会对每个入侵警报作相应的系统动作，因此，过多的错误入侵警报，不仅会破坏正常系统的某些必须的功能，而且还会对系统造成大量额外的负担。而低灵敏度会使IDS不能检测到某些入侵行为的发生，因此IDS会对一些入侵行为视而不见，从而使入侵者成功进入系统，造成不可预期的损失。

　　3.事后取证技术

　　审计日志机制是对合法的和非合法的用户的认证信息和其他特征信息进行记录的文件，是工业控制系统信息安全主要的事后取证技术之一。因此，每个对系统的访问及其相关操作均需要记录在案。当诊断和审核网络电子入侵是否发生时，审计日记是必不可少的判断标准之一。此外，系统行为记录也是工业SCADA系统信息安全的常用技术。

　　这些是在工业控制系统信息安全中一些常用的、常规性技术，而在工业控制系统信息安全实施过程中，还有一些特别的关键技术。