1　工控系統(tǒng)安全現(xiàn)狀

　　1.1　工控系統(tǒng)現(xiàn)狀

　　目前,，各類信息安全均面臨著廣泛的威脅,，而工控系統(tǒng)尤為突出，主要是因?yàn)楣I(yè)控制領(lǐng)域信息安全的先天不足：

　　(1)工控設(shè)備(如PLC,、DCS等)以及工控協(xié)議本身普遍在設(shè)計(jì)之初就較少考慮信息安全方面的問題,。工控設(shè)備主要關(guān)注的是功能安全，系統(tǒng)的穩(wěn)定性及可靠性方面;互聯(lián)網(wǎng)通常都通過加密,、身份認(rèn)證等方式來保證協(xié)議傳輸?shù)陌踩?，如SSH,、HTTPS協(xié)議。而工控協(xié)議基本都是采用明文方式傳輸,，并且缺少身份認(rèn)證的支持,，這在傳統(tǒng)IT領(lǐng)域是絕對(duì)無法接受的。

　　(2)工控系統(tǒng)在建設(shè)之初較少考慮信息安全問題,。較早建立的工控系統(tǒng)很少有與外網(wǎng)進(jìn)行信息交互的需求,，因此主要采用物理隔離的方式部署，即使存在一些問題,，也沒有暴露出來,。

　　(3)隨著互聯(lián)網(wǎng)的發(fā)展，“兩化融合”,、“互聯(lián)網(wǎng)+”,、“工業(yè)4.0”等概念的推進(jìn)，工控系統(tǒng)與互聯(lián)網(wǎng)的信息交互變得十分必要且頻繁,，這就把系統(tǒng)中隱藏的風(fēng)險(xiǎn),、漏洞暴露出來，同時(shí)也會(huì)引入新的風(fēng)險(xiǎn),。

　　基于上述原因,，當(dāng)前工控系統(tǒng)信息安全形勢(shì)嚴(yán)峻。根據(jù)監(jiān)測(cè)數(shù)據(jù)顯示,，我國(guó)很多重要控制系統(tǒng)都暴露在互聯(lián)網(wǎng)上,，涉及市政供水供熱、能源,、水利等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域,，一旦被攻擊，后果將非常嚴(yán)重,。

　　1.2　工控系統(tǒng)安全防護(hù)現(xiàn)狀

　　由于工控領(lǐng)域缺乏信息安全基礎(chǔ),，面臨諸多風(fēng)險(xiǎn)，為提高工控系統(tǒng)的安全,，借助工控系統(tǒng)專業(yè)信息安全產(chǎn)品進(jìn)行加固是主要措施之一,。從國(guó)家層面也在鼓勵(lì)適用于工業(yè)控制系統(tǒng)的信息安全產(chǎn)品的發(fā)展，2012年及2013年國(guó)家發(fā)改委組織的年度國(guó)家信息安全專項(xiàng)中扶持的領(lǐng)域均包括工業(yè)控制領(lǐng)域,。因此,，近年工控信息安全產(chǎn)品得到了快速的發(fā)展。

　　雖然有一定的國(guó)家層面的支持,，但目前工控信息安全產(chǎn)業(yè)鏈發(fā)展還相對(duì)遲緩,，主要由于用戶需求不是很明確，缺少國(guó)家政策的強(qiáng)力推動(dòng),，如工控系統(tǒng)的等級(jí)保護(hù),。

　　若要工控系統(tǒng)信息安全有質(zhì)的發(fā)展,，需要開發(fā)安全型的PLC、DCS及安全的工控協(xié)議,，并制定工控信息安全產(chǎn)品,、工控系統(tǒng)設(shè)備安全及工控系統(tǒng)安全的系列標(biāo)準(zhǔn)體系，來引領(lǐng)工控信息安全的健康發(fā)展,。

　　2　工控信息安全產(chǎn)品及標(biāo)準(zhǔn)情況

　　2.1　工控信息安全專用產(chǎn)品

　　2.1.1　典型工控信息安全產(chǎn)品介紹

　　近年來公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心(以下簡(jiǎn)稱“檢測(cè)中心”)對(duì)工控信息安全專用產(chǎn)品的檢測(cè)情況如表1所示,。在2013年之前，工控信息安全專用產(chǎn)品還相當(dāng)少,，從2014年開始有較大發(fā)展,，并處于快速發(fā)展期。

　　表1 工控信息安全專用產(chǎn)品檢測(cè)數(shù)量情況

　　從表1中看出,，目前工控信息安全產(chǎn)品較多的有兩類：

　　第一類為隔離類產(chǎn)品,，主要部署在工控系統(tǒng)中控制網(wǎng)與管理網(wǎng)之間。包括協(xié)議隔離產(chǎn)品,，采用雙機(jī)架構(gòu)，兩機(jī)之間不使用傳統(tǒng)的TCP/IP進(jìn)行通信,，而是對(duì)協(xié)議進(jìn)行剝離,，僅將原始數(shù)據(jù)以私有協(xié)議(非TCP/IP)格式進(jìn)行傳輸。其次還有網(wǎng)閘,，除了做協(xié)議剝離,，兩機(jī)中間還有一個(gè)擺渡模塊，使得內(nèi)外網(wǎng)之間在同一時(shí)間是不聯(lián)通的,，比較典型的是OPC網(wǎng)閘,，主要還是傳輸監(jiān)測(cè)數(shù)據(jù)，傳輸控制命令的網(wǎng)閘還相當(dāng)少,。另外還有單向?qū)朐O(shè)備,，主要采用單向光纖、VGA視頻信號(hào)等方式從物理上保證傳輸?shù)膯蜗蛐?，其缺點(diǎn)是不能保證傳輸數(shù)據(jù)的完整性,，但對(duì)于將控制網(wǎng)中的監(jiān)測(cè)數(shù)據(jù)傳輸?shù)狡髽I(yè)辦公網(wǎng)還是可行的?？傮w來說,，由于隔離類產(chǎn)品采用雙機(jī)架構(gòu)，中間私有協(xié)議通信,，即使外端機(jī)被攻擊者控制,，也無法侵入內(nèi)端機(jī)，其安全性要高于防火墻設(shè)備,。

　　第二類為工控防火墻,，根據(jù)防護(hù)的需要,，在工控系統(tǒng)中部署的位置存在多種情況，通常用于各層級(jí)之間,、各區(qū)域之間的訪問控制,，也可能部署在單個(gè)或一組控制器前方提供保護(hù)。工控防火墻采用單機(jī)架構(gòu),，主要對(duì)基于TCP/IP工業(yè)控制協(xié)議進(jìn)行防護(hù),。通過鏈路層、網(wǎng)絡(luò)層,、傳輸層及應(yīng)用層的過濾規(guī)則分別實(shí)現(xiàn)對(duì)MAC地址,、IP地址、傳輸協(xié)議(TCP,、UDP)和端口,，以及工控協(xié)議的控制命令和參數(shù)的訪問控制。工控防火墻從形態(tài)來說主要分兩種,，一類是在傳統(tǒng)IT防火墻的基礎(chǔ)上增加工控防護(hù)功能模塊,，對(duì)工控協(xié)議做深度檢查及過濾。還有一類工控防火墻是參考多芬諾工業(yè)防火墻的模式來實(shí)現(xiàn)的,。

　　其它的工控信息安全產(chǎn)品目前相對(duì)較少,，主要包括工控審計(jì)、工控漏洞掃描,、工控主機(jī)防護(hù)等產(chǎn)品,。此外還有2013年發(fā)改委專項(xiàng)支持的10款工控網(wǎng)關(guān)產(chǎn)品。

　　2.1.2　工控信息安全產(chǎn)品分類

　　從產(chǎn)品的保護(hù)對(duì)象,、防護(hù)功能來看,，工控信息安全產(chǎn)品主要分為以下幾類：

　　(1)邊界防護(hù)類

　　這類產(chǎn)品通常以串接方式工作，部署在工控以太網(wǎng)與企業(yè)管理網(wǎng)絡(luò)之間,、工廠的不同區(qū)域之間,，或者控制層與現(xiàn)場(chǎng)設(shè)備層之間。通過一定的訪問控制策略,，對(duì)工控系統(tǒng)邊界,、工控系統(tǒng)內(nèi)部區(qū)域邊界進(jìn)行保護(hù)。工控防火墻,、工控隔離產(chǎn)品均屬于邊界防護(hù)類,。由于這類產(chǎn)品以串接方式部署，同時(shí)具有阻斷功能,，產(chǎn)品的穩(wěn)定可靠,、功能安全要求較高，產(chǎn)品的異常將會(huì)對(duì)工控系統(tǒng)的正常運(yùn)行帶來直接影響,。

　　(2)審計(jì)監(jiān)控類

　　這類產(chǎn)品通過鏡像接口分析網(wǎng)絡(luò)流量,，或者通過代理及設(shè)備的通用接口進(jìn)行探測(cè)等方式工作,，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量或設(shè)備的異常情況并告警，通常不會(huì)主動(dòng)去阻斷通信,。主要包括工控審計(jì)產(chǎn)品,、工控入侵檢測(cè)產(chǎn)品、工控漏洞掃描及挖掘產(chǎn)品,、工控安全管理平臺(tái)等,。這類產(chǎn)品自身的故障不會(huì)直接影響工控系統(tǒng)的正常運(yùn)行，也更容易讓用戶接受,。

　　(3)主機(jī)防護(hù)類

　　工控系統(tǒng)中會(huì)部署一定數(shù)量的主機(jī)設(shè)備,，如工程師站、操作員站等,。這些設(shè)備往往是工控系統(tǒng)的風(fēng)險(xiǎn)點(diǎn),，病毒的入侵、人為的誤操作等威脅主要都是通過主機(jī)設(shè)備進(jìn)入工控系統(tǒng),。因此,，這些主機(jī)有必要進(jìn)行一定的防護(hù)。目前主要有兩種針對(duì)主機(jī)設(shè)備的防護(hù)產(chǎn)品：一種為鎧甲式防護(hù)產(chǎn)品,，通過接管主機(jī)設(shè)備的鼠標(biāo)/鍵盤輸入,、USB等外圍接口來保證主機(jī)的安全;另一種就是白名單產(chǎn)品，通過在主機(jī)上安裝代理程序,，限制只有可信的程序、進(jìn)程才允許運(yùn)行,，防止惡意程序的侵入,。

　　2.1.3　工控信息安全產(chǎn)品的發(fā)展

　　IT領(lǐng)域的信息安全產(chǎn)品已經(jīng)非常豐富，在工控信息安全防護(hù)方面是可以借鑒的,。很多產(chǎn)品經(jīng)過適當(dāng)?shù)母倪M(jìn),，增加工控防護(hù)的相關(guān)功能，提高其穩(wěn)定性和可靠性,，就能夠應(yīng)用于工控系統(tǒng),。目前市面上較多產(chǎn)品均是基于這個(gè)思路來實(shí)現(xiàn)的。但從用戶的角度來看,，部署信息安全產(chǎn)品,，提高系統(tǒng)安全防護(hù)的同時(shí)，特別是針對(duì)帶阻斷防護(hù)功能的產(chǎn)品,，也引入了潛在的風(fēng)險(xiǎn)點(diǎn),。因此，在工控系統(tǒng)內(nèi)部部署訪問控制類產(chǎn)品,，對(duì)用戶來說還需要一定的時(shí)間來接受,。而審計(jì)監(jiān)控類,、主機(jī)防護(hù)類產(chǎn)品相對(duì)潛在風(fēng)險(xiǎn)要小很多，將是工控信息安全產(chǎn)品的一個(gè)快速發(fā)展方向,。

　　2.2　工控系統(tǒng)信息安全產(chǎn)品技術(shù)標(biāo)準(zhǔn)

　　我國(guó)對(duì)信息安全產(chǎn)品(當(dāng)然也包括工控信息安全產(chǎn)品)實(shí)現(xiàn)銷售許可制度,，只有通過檢測(cè)中心依據(jù)相應(yīng)的國(guó)家標(biāo)準(zhǔn)、公共安全行業(yè)標(biāo)準(zhǔn)檢測(cè)合格之后,，才允許在國(guó)內(nèi)銷售,，國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)不能覆蓋的時(shí)候，檢測(cè)中心也會(huì)制訂相應(yīng)的檢驗(yàn)規(guī)范,、檢測(cè)條件作為檢驗(yàn)依據(jù),。因此，對(duì)工控信息安全產(chǎn)品來說,，制訂相應(yīng)的標(biāo)準(zhǔn)非常重要,。由于工控信息安全近年才受到關(guān)注，并且標(biāo)準(zhǔn)的制定周期也比較長(zhǎng),，目前,，有大批標(biāo)準(zhǔn)尚處于編制過程中。

　　(1)邊界防護(hù)類產(chǎn)品標(biāo)準(zhǔn)

　　《信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》,，國(guó)標(biāo)在編,。

　　《信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》，國(guó)標(biāo)在編,。包括邏輯隔離,、網(wǎng)閘。

　　《信息安全技術(shù) 工業(yè)控制系統(tǒng)邊界安全專用網(wǎng)關(guān)產(chǎn)品安全技術(shù)要求》,，行標(biāo)在編,，該標(biāo)準(zhǔn)基于發(fā)改委信息安全專項(xiàng)提出。

　　(2)審計(jì)監(jiān)控類產(chǎn)品標(biāo)準(zhǔn)

　　《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》,，國(guó)標(biāo)在編,。

　　《信息安全技術(shù) 工業(yè)控制安全管理平臺(tái)安全技術(shù)要求》，行標(biāo)在編,。

　　《信息安全技術(shù) 工業(yè)控制系統(tǒng)入侵檢測(cè)產(chǎn)品安全技術(shù)要求》,，行標(biāo)在編。

　　(3)主機(jī)防護(hù)類產(chǎn)品檢測(cè)條件

　　由于標(biāo)準(zhǔn)的申報(bào)與編制需要一定的周期,，市場(chǎng)出現(xiàn)了某些安全防護(hù)產(chǎn)品,，檢測(cè)中心則針對(duì)此類產(chǎn)品編制檢測(cè)條件，并經(jīng)專家團(tuán)評(píng)審?fù)ㄟ^后,，檢驗(yàn)中心按檢測(cè)條件來檢測(cè)這些產(chǎn)品,。包括：

　　ICS主機(jī)安全防護(hù)與審計(jì)監(jiān)控產(chǎn)品安全檢測(cè)條件;

　　文件加載執(zhí)行控制產(chǎn)品安全檢測(cè)條件。

　　(4)其它類產(chǎn)品標(biāo)準(zhǔn)

　　《信息安全技術(shù) 工業(yè)控制系統(tǒng)軟件脆弱性掃描產(chǎn)品安全技術(shù)要求》，行標(biāo)在編,。

　　《信息安全技術(shù) 安全采集遠(yuǎn)程終端單元(RTU)安全技術(shù)要求》,，行標(biāo)在編。

　　標(biāo)準(zhǔn)的制定,，既要具備適應(yīng)性,，能夠滿足用戶的需求，與當(dāng)前的技術(shù)水平相符,，又要具備一定的前瞻性,，能夠指導(dǎo)和引領(lǐng)該類產(chǎn)品的發(fā)展。而目前工控信息安全還處于起步發(fā)展階段,，這將使得工控信息安全產(chǎn)品標(biāo)準(zhǔn)的制定難度頗大,，主要表現(xiàn)在：

　　(1)工控信息安全標(biāo)準(zhǔn)既涉及工業(yè)控制，又涉及信息安全,，究竟歸口哪個(gè)標(biāo)委會(huì)需要考慮?是TC260(全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)),，還是TC124(全國(guó)工業(yè)過程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì))。如《工業(yè)控制系統(tǒng)信息安全》GB/T30976-2014就同時(shí)歸口兩個(gè)標(biāo)委會(huì),。就算不管歸口問題,，標(biāo)準(zhǔn)的評(píng)審過程中應(yīng)該需要有這兩方面的專家參與。

　　(2)不同行業(yè)和環(huán)境的需求差別大,，如電力,、石化行業(yè)，標(biāo)準(zhǔn)制定的通用性難度非常大,，如果全部按最嚴(yán)格標(biāo)準(zhǔn)要求,，勢(shì)必增加企業(yè)成本。

　　(3)工控協(xié)議種類繁多,，實(shí)現(xiàn)架構(gòu)差異大,。這導(dǎo)致很難提出一套各種協(xié)議都能支持的技術(shù)要求。

　　(4)當(dāng)前產(chǎn)品種類與數(shù)量有限,，用戶的需求也不是很明確,。而在編制過程中,，首先就需要廣泛調(diào)研用戶需求,、產(chǎn)品現(xiàn)狀。這也會(huì)給工控信息安全相關(guān)標(biāo)準(zhǔn)的編制帶來困難,。

　　3　工控信息安全產(chǎn)品測(cè)評(píng)及主要問題

　　信息安全產(chǎn)品的第三方檢測(cè)是非常有必要的,，一是確認(rèn)產(chǎn)品與相關(guān)標(biāo)準(zhǔn)的符合性，二是在檢測(cè)的過程中能夠發(fā)現(xiàn)產(chǎn)品的一些潛在缺陷,。完善,、全面、合理的第三方檢測(cè)還能增強(qiáng)用戶使用該類產(chǎn)品的信心,。對(duì)于信息安全產(chǎn)品,，我國(guó)強(qiáng)制的第三方檢測(cè)主要為檢測(cè)中心的銷售許可檢測(cè),。

　　由于目前相應(yīng)的工控信息安全產(chǎn)品的國(guó)家標(biāo)準(zhǔn)、公共安全行業(yè)標(biāo)準(zhǔn)均未發(fā)布,，而這類產(chǎn)品的銷售許可檢測(cè)需要依據(jù)一定的標(biāo)準(zhǔn)或者規(guī)范,。工控系統(tǒng)與傳統(tǒng)的IT系統(tǒng)有著較大差別，直接采用IT系統(tǒng)的相關(guān)標(biāo)準(zhǔn)肯定是不合適的,。因此,，目前主要采取的方式是，主要依據(jù)相應(yīng)的IT標(biāo)準(zhǔn),，除去部分明確不適用的條款,，并增加部分工控系統(tǒng)的技術(shù)要求，以這種方式作為過渡,。下面以工控防火墻為例來加以說明,。

　　3.1　工控防火墻測(cè)試

　　3.1.1　測(cè)評(píng)依據(jù)

　　(1)主要依據(jù)傳統(tǒng)IT檢測(cè)標(biāo)準(zhǔn)《信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》GB/T 20281-2006來執(zhí)行，除去明確不適用的條款,，包括：

　　深度包檢測(cè)：此要求是針對(duì)用于互聯(lián)網(wǎng)的通用協(xié)議(HTTP,、SMTP等)，在工業(yè)控制網(wǎng)絡(luò)一般不會(huì)用到,，作為不適用項(xiàng),。

　　NAT(地址轉(zhuǎn)換)：傳統(tǒng)防火墻必需的功能，通過地址轉(zhuǎn)換隱藏真實(shí)的IP,，并盡量少占用有限的IP地址資源,，在工控系統(tǒng)中為可選要求，部署在控制系統(tǒng)下層時(shí)通常以透明模式部署,。

　　動(dòng)態(tài)端口開放：是針對(duì)FTP和Oracle數(shù)據(jù)庫(kù)常見的互聯(lián)網(wǎng)協(xié)議,，要求支持動(dòng)態(tài)端口開放，在工控系統(tǒng)中不會(huì)用到,。

　　抗?jié)B透：部分針對(duì)HTTP,、郵件等協(xié)議的要求，作為不適用項(xiàng),。

　　性能要求：不做強(qiáng)制要求,，工控系統(tǒng)中流量通常都比較小，產(chǎn)品的吞吐性能一般不會(huì)成為瓶頸,，但部分系統(tǒng)中對(duì)設(shè)備帶來的延時(shí)要求非常高,。

　　(2)在國(guó)標(biāo)的基礎(chǔ)上，增加工業(yè)控制系統(tǒng)安全需求的部分要求,。

　　基于白名單的訪問控制策略,，包括網(wǎng)絡(luò)層及應(yīng)用層的白名單。網(wǎng)絡(luò)層的白名單是，規(guī)則允許的MAC,、IP,、端口才能通過。應(yīng)用層的白名單是,，允許執(zhí)行的控制命令能通過,，其它的默認(rèn)禁止。

　　工業(yè)控制協(xié)議過濾,，這是工控防火墻最核心的功能,。首先需要對(duì)協(xié)議格式進(jìn)行檢查，阻止不符合協(xié)議規(guī)約的訪問請(qǐng)求;其次需要對(duì)請(qǐng)求的內(nèi)容進(jìn)行檢查,，如讀寫操作,、操作的地址范圍，以及操作值,。

　　支持OPC協(xié)議的動(dòng)態(tài)端口開放,。該協(xié)議在工控系統(tǒng)中廣泛使用，其特點(diǎn)是不采用固定端口通信,，而是在會(huì)話建立時(shí)協(xié)商一對(duì)動(dòng)態(tài)端口,。

　　多工作模式。在工控系統(tǒng)中把一個(gè)設(shè)備加進(jìn)去,，如果誤阻斷的話,，后果非常嚴(yán)重。因此需要具備驗(yàn)證模式,，試運(yùn)行一段時(shí)間,，只報(bào)警不阻斷，來檢查規(guī)則的合理性,。

　　具有高可靠性,。

　　3.1.2　典型的功能要求項(xiàng)測(cè)試——工業(yè)控制協(xié)議過濾

　　(1)實(shí)現(xiàn)技術(shù)

　　分析應(yīng)用層數(shù)據(jù)，對(duì)協(xié)議格式進(jìn)行檢查,。阻斷不符合協(xié)議規(guī)約的請(qǐng)求,，這種請(qǐng)求可能為攻擊行為，并可能對(duì)控制器帶來不可預(yù)見的后果,。

　　獲取協(xié)議中各所需參數(shù),，如功能碼、操作對(duì)象地址,、操作值等,，將其與設(shè)定的訪問控制規(guī)則進(jìn)行比對(duì),。放行規(guī)則允許的通訊,，否則就阻斷。

　　(2)測(cè)評(píng)方法

　　協(xié)議格式檢查，采用專用定制測(cè)試工具來檢測(cè),。正常協(xié)議的訪問可以通過真實(shí)設(shè)備或者模擬軟件來實(shí)現(xiàn),，而不符合協(xié)議規(guī)約的異常請(qǐng)求(非標(biāo)準(zhǔn)功能碼、異常長(zhǎng)度,、超越限值等)就需要定制開發(fā)的工具來實(shí)現(xiàn),。

　　被測(cè)設(shè)備配置允許某項(xiàng)工控協(xié)議。

　　從客戶端發(fā)起符合協(xié)議規(guī)約的所有請(qǐng)求,，如最典型的MODBUS TCP/IP協(xié)議,，通過服務(wù)端接收到的數(shù)據(jù)包進(jìn)行判斷，檢測(cè)防火墻是否有誤阻斷,。

　　采用類似模糊測(cè)試技術(shù),，發(fā)起不符合協(xié)議規(guī)約的混雜請(qǐng)求，把數(shù)據(jù)長(zhǎng)度不對(duì)或字段不對(duì)的請(qǐng)求混合正常請(qǐng)求,，通過服務(wù)器接收數(shù)據(jù)進(jìn)行判斷,，檢測(cè)防火墻能否將符合規(guī)約的數(shù)據(jù)通過，不符合規(guī)約的數(shù)據(jù)阻斷,，并生成統(tǒng)計(jì)報(bào)表,。

　　協(xié)議參數(shù)檢查，通過真實(shí)工控設(shè)備或得到廣泛認(rèn)可的模擬軟件,，手工檢測(cè)即可,。

　　(3)預(yù)期結(jié)果

　　符合協(xié)議規(guī)約、規(guī)則允許的請(qǐng)求可以通過防火墻,，不會(huì)被誤阻斷;

　　不符合協(xié)議規(guī)約或沒有規(guī)則允許的請(qǐng)求將被阻止,。

　　3.1.3　測(cè)試的難點(diǎn)

　　對(duì)產(chǎn)品的測(cè)試深度往往是無止境的，需要兼顧投入與產(chǎn)出,。對(duì)工控信息安全產(chǎn)品,，部分測(cè)試投入是很大的，但又是必須的,。如：

　　對(duì)協(xié)議格式的檢查,，部分產(chǎn)品可能僅針對(duì)協(xié)議的幾個(gè)重要字段進(jìn)行檢查，而未做到全覆蓋,。在測(cè)試時(shí),，需要遍歷協(xié)議的各種異常，測(cè)試用例將非常龐大,，且非常耗時(shí),。

　　另外，產(chǎn)品的穩(wěn)定性,、可靠性測(cè)試也是測(cè)試的難點(diǎn),。不僅包括硬件層面,，還包括軟件層面。對(duì)于廠商來說,，還能夠通過將大量的設(shè)備放置在特定的惡劣環(huán)境中長(zhǎng)時(shí)間運(yùn)行,，來檢查設(shè)備的故障率。對(duì)于第三方測(cè)試,，就難以操作了,。

　　3.2　檢測(cè)過程中常見的問題

　　(1)防護(hù)功能不足(工控防火墻)

　　協(xié)議格式檢查的不全面，僅針對(duì)部分字段進(jìn)行檢查,。

　　部分產(chǎn)品控制的深度不夠,。控制粒度由淺到深依次是功能碼級(jí)別,、地址級(jí)別,、控制值范圍。產(chǎn)品可能僅控制到功能碼級(jí)別,，不能控制到地址和控制值這個(gè)深度,。

　　(2)產(chǎn)品自身安全不足

　　產(chǎn)品自身存在安全漏洞，包括支撐系統(tǒng),、管理界面,。目前很多產(chǎn)品采用B/S方式管理，管理界面存在注入,、認(rèn)證繞過的漏洞,。

　　身份鑒別措施、配置信息保護(hù),、安全審計(jì)方面不足,。

　　(3)安全保障措施不足

　　開發(fā)安全方面：研發(fā)的物理環(huán)境沒有明確隔離、開發(fā)主機(jī)及服務(wù)器缺乏足夠的安全保護(hù)措施,、研發(fā)網(wǎng)絡(luò)與互聯(lián)網(wǎng)未采取嚴(yán)格的隔離措施等,。

　　交付方面：主要缺少交付過程的安全措施。如果此過程中被惡意植入后門,、感染病毒,，威脅也很大。

　　配置管理方面：配置庫(kù)權(quán)限控制不夠嚴(yán)格;配置管理計(jì)劃與實(shí)際管理不符等,。