ICS（工業(yè)控制系統(tǒng)）安全問題越來越引起相關(guān)單位的重視，是因?yàn)檫@些年發(fā)生的ICS安全大事件進(jìn)入了大眾視野。ICS 是含著安全的鑰匙誕生的，它與互聯(lián)網(wǎng)天生隔絕，讓外部網(wǎng)絡(luò)的任何攻擊在最后一步戛然而止，但方法總比困難多，ICS 很難得手，不代表絕對不得手，一旦得手，就是大災(zāi)難，這是傳統(tǒng) ICS 的一個特點(diǎn)，外絕內(nèi)松，以為自己百毒莫侵，高枕無憂，所以對內(nèi)網(wǎng)安全十分忽視。這些年最為著名的 ICS 安全事件非震網(wǎng)莫屬，美國國家隊(duì)花費(fèi)巨資打造精巧的 Stuxnet（震網(wǎng)），對伊朗首座核電廠圍追堵截，以U盤的方式將其帶入工廠并感染 ICS，加速離心機(jī)轉(zhuǎn)速而致其損壞，使得濃縮鈾遲遲生產(chǎn)不出來，最終讓伊朗核計(jì)劃推遲2年。有人猜測是某個工程師被釣魚攻擊感染了電腦，然后把U盤帶入工廠；也有人猜測是工程師被收買，因?yàn)檎鹁W(wǎng)病毒的破壞目標(biāo)不只是離心機(jī)，還會針對其他零部件，所以要升級更新，需要有人拿新版本震網(wǎng)U盤久不久插一次 ICS。

信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)/工控系統(tǒng)安全之間的差異，加之工控系統(tǒng)不斷出現(xiàn)的安全問題和工業(yè)物聯(lián)網(wǎng)(IIoT)的激增，進(jìn)而推動了一輪新的共識。

NIST，ANSSI，ARC，Garter 集團(tuán)等都認(rèn)識到，對于工廠而言，要想維持安全可靠的運(yùn)營，需要把防止系統(tǒng)誤操作提到首要位置，而同時，IT 網(wǎng)絡(luò)的頭等大事則仍然是數(shù)據(jù)保護(hù)。

IT、OT優(yōu)先性差異

IT 網(wǎng)絡(luò)安全一直被定義為一整套保護(hù)數(shù)據(jù)機(jī)密性、完整性以及可用性的措施。而工控系統(tǒng)網(wǎng)絡(luò)安全則逐漸被定義為一套能確保物理工控流程以及流控電腦安全可靠運(yùn)行的措施。

NIST 800-82r2 建議：確保工控系統(tǒng)的網(wǎng)絡(luò)安全對于安全可靠地運(yùn)行現(xiàn)代工業(yè)流程非常重要。

ARC 顧問團(tuán)指出：工業(yè)流程安全可靠的運(yùn)行是至關(guān)重要的。這也是工業(yè)網(wǎng)絡(luò)安全有別于其他 IT 網(wǎng)絡(luò)安全項(xiàng)目的原因。

Gartner 則發(fā)現(xiàn)，從安全規(guī)劃和運(yùn)行角度來看，運(yùn)營技術(shù)環(huán)節(jié)在設(shè)計(jì)時的首要因素就是安全和可靠性。與信息技術(shù)相比，后者更側(cè)重?cái)?shù)據(jù)的機(jī)密性、完整性和可用性。這種優(yōu)先性上的差異導(dǎo)致了信息技術(shù)（IT）和運(yùn)營技術(shù)（OT）安全計(jì)劃的不同。在側(cè)重可靠性和安全性的網(wǎng)絡(luò)時，信息技術(shù)風(fēng)險評估方法就不適用，信息技術(shù)安全計(jì)劃通常也不太適合。

例如，Garter 2017年發(fā)表的《運(yùn)營技術(shù)和工業(yè)物聯(lián)網(wǎng)的七大網(wǎng)絡(luò)安全神話》一文中指出，用 IT 風(fēng)險評估方法來評估 OT 風(fēng)險是錯誤的，而企業(yè)也不能一開始就期望一個保護(hù)信息的安全架構(gòu)和設(shè)計(jì)能解決物理系統(tǒng)的特定需求。

工控系統(tǒng)安全是不同的

在設(shè)計(jì)工控安全計(jì)劃時，入侵防御被重視的程度遠(yuǎn)高于突發(fā)安全事故的檢測，響應(yīng)和恢復(fù)。而一個預(yù)防性的以 OT 為中心的安全方案應(yīng)包括以下要素：

周邊安全——重要的工廠通常都具備強(qiáng)大的物理和網(wǎng)絡(luò)周邊保護(hù)。這些地方都不允許公眾涉足其敏感物理設(shè)備。他們也不允許有人從外網(wǎng)測試其系統(tǒng)查找零日漏洞。

基于功能的設(shè)計(jì)——保護(hù)措施做得好的工業(yè)網(wǎng)站會精心設(shè)計(jì)自己的安全計(jì)劃，以抵御各種攻擊，而不是試圖感知特定攻擊者的動機(jī)。

而 Gartner 在報告中指出，側(cè)重工控系統(tǒng)防御性的原因是——“許多運(yùn)營技術(shù)安全的失敗會對物理環(huán)境產(chǎn)生直接影響，會潛在導(dǎo)致傷亡，環(huán)境破壞或服務(wù)的大規(guī)模中斷。雖然 IT 安全出行問題的后果嚴(yán)重并對業(yè)務(wù)產(chǎn)生威脅，但是 IT 安全的失敗很少危及人生安全或財(cái)產(chǎn)損失。”檢測，響應(yīng)和恢復(fù)在工控系統(tǒng)網(wǎng)絡(luò)中仍然很重要，但是首要的還是預(yù)防——畢竟，人身安全，環(huán)境災(zāi)難和被破壞的物理設(shè)備都是不能從備份中恢復(fù)的。

單向網(wǎng)關(guān)技術(shù)

在工控系統(tǒng)網(wǎng)絡(luò)防火墻連接方面，有記載的各種專家，標(biāo)準(zhǔn)和指導(dǎo)都推薦在工業(yè)環(huán)境的防火墻中使用單向網(wǎng)關(guān)和相關(guān)技術(shù)。用于工業(yè)網(wǎng)絡(luò)安全的 ANSSI 標(biāo)準(zhǔn)允許在 IT 網(wǎng)絡(luò)上使用防火墻，但是強(qiáng)烈推薦在 IT/OT 接口使用單向網(wǎng)關(guān)，且在連接最敏感工業(yè)網(wǎng)絡(luò)的接口是完全禁用防火墻。

單向網(wǎng)關(guān)可極大推進(jìn)工業(yè)物聯(lián)網(wǎng)的部署。單向網(wǎng)關(guān)與防火墻不同，它可以直接將工業(yè)網(wǎng)絡(luò)連接到IT，互聯(lián)網(wǎng)和云系統(tǒng)，但是不用擔(dān)心黑客攻擊滲透到受保護(hù)的工業(yè)網(wǎng)絡(luò)中。