图1  NNP实时地对流动的数据进行安全防护，防止恶意软件的攻击

办公室领域制定并开发了抵抗恶意软件攻击的战略和实际产品，但不能直接应用于生产环境中。解决这一问题的一种可能性是：对恶意软件进行扫描。

Stuxnet公司清楚地证明了如今已经能够有效地对恶意软件进行控制了，不仅在办公室环境中，而且也扩展到了生产环境中；能够有效防止恶意软件对生产设备控制系统的攻击。多年来，办公室领域中对抗恶意软件攻击已经形成了一套完整的战略和安全防护产品；但是这些战略和计算机防护软件不能直接“转移”到工业生产环境中使用。而现有的生产控制系统的访问扫描应用得很好，因为扫描过程所占用的资源需求受到了生产数据交换量的限制，必须服从生产控制过程的需要。另外，杀毒软件也能够干扰控制过程，例如实时过程中得到的应答不能超出规定时间，不能对人员和设备造成损害。

软件不允许打补丁

生产环境与办公室环境不同：办公室中的每台计算机是互不干涉、单独工作的；而生产环境中的计算机控制着机床设备复杂的运动，保证它们之间相互协调、连续的工作。生产过程中的每一次计算机重启、打补丁都会导致整个生产过程的中断，都会因设备停机带来昂贵的经济损失。由于机床控制计算机是整个机床的一个组成部分，因此软件升级更新和系统打补丁都会带来机床设备控制系统的变化，导致无法保障正常生产。因此，生产环境中使用的计算机系统大多数都是过时的老旧系统，是多少年来都没有更新或者没有打补丁的操作系统和应用软件。

扫描方案简单易行

过去的生产控制系统与外界隔绝，都有着相对较长的使用寿命；不与办公室计算机连接，不与互联网连接并受到防火墙的保护，也避免了感染病毒的危险。随着自动化技术的发展，通过工业以太网将办公室计算机与生产控制计算机连接起来，从而实现了PPS（生产计划与控制系统）和ERP（企业资源计划系统）的集中控制。这样，恶意软件就可以通过软件漏洞或者没有打补丁的后门进入生产控制计算机中，例如通过感染病毒的U盘、笔记本电脑或者手机进入到办公环境中的计算机中，从而也可以畅通无阻地进入到生产设备的控制系统和SCADA数据采集和监控系统环境中。

若要让操作者每天都用U盘备份数据，以便于PPS的系统更新、打补丁，那么没有一个企业是能够做到或者愿意做的。作为防止病毒、恶意软件攻击的替代方案，需要的是可以安装在现有工业生产环境中使用的、尽可能不中断生产过程的、可以快速完成的解决方案。这里有一种合适的硬件解决方案，是一种安装在办公环境中的扫描解决方案：完成在生产设备控制系统中不希望有的扫描。使用这一病毒防护技术的前提条件是：按照不同的重要性标准对网络进行隔离，就像国内的VDI/VDE 2182技术规范、国际的ISA 99标准中所规定的保证安全生产所采取的措施和方法。

图2  NNP既可以作为软件也可以在戴尔服务器上使用

在扫描恶意软件时，数据流在网络的两个接口处被杀毒软件扫描、检查双向流动的数据流中是否含有恶意软件（图1）。这样，不仅生产系统的网络受到了保护，防止了来自办公室环境恶意软件的攻击；而且生产控制系统网络里一直未被发现的、受到感染的文件也被查出。还有一个不同于前两个接口、设置了其他IP地址的第三个接口，它的作用是访问管理以及与SNMP（简单网络管理协议）通讯并发出报警提示。但它首先用于通过互联网自动地更新标识符和扫描引擎。由Norman公司提供的解决方案Norman Network Protection（NNP）对所有能够传输恶意软件的通讯技术协议文件进行扫描（图2），例如CIFS、SMB/SMB2、HTTP、FTP、SMTP、POP3、RPC、TFTP和IRC；对比特流和MSN进行封锁，拥有手动维护的URL阻止列表。

与网络拓扑技术无关

这种生产环境中的在线监测解决方案最具决定性意义的是：它是一种透明的解决方案，一种与网络拓扑无关的解决方案，一种可以使用现有网络元器件的解决方案。因此从安全保护的角度出发，它被列入了OSI参考模型中，既无需代理服务器或者网关，也不用考虑通讯网络的性质。这就是说：它与计算机所使用的操作系统无关、与计算机类型无关。由于无需对现有网络系统进行改造，因此也不涉及到生产厂家的三包问题。它的配置工作仅限于管理端口的IP地址设置；安装和调试只需一只手就可以完成。在代理服务器基础产品中，常见的时间延迟问题在软件包基础上的扫描解决方案中已减小到了微不足道的程度。