Stuxnet

2010年1月， Stuxnet世界上首个专门针对工业控制系统编写的破坏性病毒出现。Stuxnet以SCADA和PLC系统为攻击目标，造成纳坦兹铀浓缩设施的快速旋转离心机分裂，从而对伊朗核计划造成重大损害。虽然未经证实，蠕虫被认为是美式/以色列网络武器。Stuxnet病毒通过USB传播感染。

INDUSTROYER

2016年的12月，由于Industroyer病毒的攻击，导致乌克兰的首都基辅超过1/5的区域断电长达一小时，该恶意软件涉及对各地变电站的能源开关及断路器的控制。一年之前也曾经发生过类似的攻击事件。

TRITON

2017年12月，位于沙特阿拉伯一座身份不明的发电站，安全系统受到Triton恶意软件攻击，造成其工业安全技术受损。该病毒利用运行Microsoft Windows操作系统中的漏洞，并且被认为是国家发起的攻击。之后工厂紧急关闭，没有造成任何伤害。

工业控制系统的网络威胁是真实存在的，近几年黑客的不断攻击也印证了这一点。尽管企业为确保功能安全，也相应地采取了许多防御措施以防止网络攻击，但这远远不足以应对当下威胁，还需要做些什么呢？

工业厂房中操作物理过程的控制系统是在所谓的“操作技术（OT）”环境中运营工作，OT系统优先考虑的是可靠性、可用性和可维护性。虽然传统IT系统中损坏的数据可能会对企业造成破坏，但不会危及生命。然而，如果当这些损坏的数据传送到一家工业厂房的数千个传感器时，就可能会造成严重的运营中断，并有可能引发重大事故，对人员、资产、环境和企业声誉产生灾难性的影响。

Stuxnet、Industroyer和Triton只是近年来关于恶意软件攻击关键基础设施数字控制系统的几个案例而已。其他可能的网络威胁情况还包括：来自远程/本地系统中未经授权的数据，或者使用未经授权的数据上传系统（例如，通过 USB 端口）。随着网络攻击频率的迅速提高，业界显然需要集中精力保护其自动化与控制系统，网络攻击不可避免，企业及早防范才是关键。

有效的信息安全

OT系统实现有效信息安全，主要通过以下多种方式：

• 采取系统全生命周期（从设计、操作以及系统和各组件的后续运营）的信息安全防御措施。

• 对系统进行信息安全的风险评估，以确保采取免受网络威胁（例如，遵循工业标准IEC 62443)。

• 确保整体安全，将网络安全与物理安全及流程安全措施相结合。

• 对系统网络安全进行漏洞评估和渗透性测试。

与功能安全紧密结合

功能安全领域已经有成熟的标准，既有通用的功能安全标准（IEC 61508），也有特定行业的功能安全标准（例如，过程工业 IEC 61511 标准和核工业 IEC 61513标准）。

这些标准涉及系统生命周期相关的软件、硬件和管理，而所有这些都容易受到网络攻击。

事实证明，防御性网络安全措施通常与项目生命周期中采取的功能安全措施是紧密结合的，这种配合将使得网络安全评估有机会受益于为实现系统功能安全所必须采取的安全措施，因为实现系统安全完整性的诸多手段与保护软件、硬件和程序免受网络攻击所需的手段类似。因此可以集中火力来预防网络安全漏洞。

信息安全与功能安全深度融合

然而，提供一个真正符合成本效益，并满足网络安全与功能安全优化的控制系统，就需要采用一种综合方法。网络安全与功能安全的融合越早，受益越大。
如果将两者进行有效整合，就需要在功能安全生命周期的每个阶段，都考虑到网络攻击的可能性。在理想情况下，同时进行安全风险识别与网络威胁识别，这样就能够消除或减少这两种来源风险，以获得最佳解决方案。

实现完整的网络安全可能包括：排除远程终端和数据端口，将设备重新定位到有人控制的中央控制室，避免在偏远地区使用可编程系统，以及在数据传输地方引入物理隔离（尤其是在控制系统与保护系统之间引入物理隔离）。其他规定还包括访问控制和密码保护访问。值得注意的是，在早期阶段把网络安全纳入考虑范畴，不仅可以减少后续开发周期的时间、故障和成本，而且可以在操作效率需求和功能安全需求之间做出权衡决策。

基于此，企业将形成一套完整的功能要求（包括网络安全要求和其他安全要求），使得最终设计能够符合标准，并建立一个有效的管理支持系统。

然而，这种方法也并非没有缺陷。以安全完整性等级（SIL）的设置为例，安全系统的SIL目标量化了每项安全功能所需的安全完整性等级，以便满足总体的风险目标。在IEC 61508中指定了四个等级，其中SIL 4表示最高的完整性要求。这些等级都具备非常精确的定义。

IEC 62443中相应的安全等级（SL）在选择和定义上都要主观得多，这反映了威胁的主观性质。因此，网络安全与功能安全的早期整合需要采用一种务实的方法和综合的安全思考方式，过度指定SL目标以满足假设的网络威胁可能会导致解决方案设计过度且代价高昂。