工控系統網絡信息安全初探

摘 要：信息化與工業化的深度融合，使得原本相對獨立的工業控制系統越來越多地與企業管理網互聯互通，信息安全威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。

關鍵詞：工控系統；網絡；信息安全

中圖分類號：TP273 文獻標識碼：A 文章編號：1674-7712 （2014） 16-0000-01

隨著信息化與工業化的不斷融合，企業管理信息系統（如MES系統）不斷利用數據采集與過程控制系統進行互聯，完成經營管理層與車間執行層的信息交互，使企業管理層能實時了解車間的生產情況，消除信息孤島，提高生產效率。然而，信息化與工業化的深度融合，使得原本相對獨立的工業控制系統越來越多地與企業管理網互聯互通，信息安全威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。

一、傳統信息安全防御技術

目前作為主流的網絡安全防御技術主要有三類：防火墻、防病毒和入侵檢測防御系統。

（1）防火墻技術。防火墻技術包括包過濾、狀態檢測、應用代理等技術。屬于網絡層的安全防御手段。

（2）防病毒技術。防病毒軟件的基本技術是病毒特征碼的檢查。病毒特征代碼需要進行及時更新，才可能檢查出新出現的病毒。

（3）入侵檢測/防御系統（IDS/IPS）技術。IDS/IPS通過抓取網絡上數據報文，對其內容進行比對，如果符合稱為Signature的特征庫所描述的內容，就認為是攻擊行為，進行報警和攔截。特征庫可以通過網絡進行更新和升級。

綜上所述的防火墻、防病毒、IDS/IPS等技術手段不針對任何特定的網絡或信息系統，比較通用，但傳統防御技術在工控系統運用存在如下缺陷：

1）事后防御，不能防患于未然。

2）需要頻繁的維護更新，管理代價巨大。

3）不能兼容工控系統的通訊協議。

二、安全隔離技術

安全隔離技術，是目前大型工控企業正在或準備使用的工控網絡安全解決方案，它是通過隔離控制網絡與信息網絡，阻斷兩個網絡之間的所有網絡連接的方式，在防止信息安全威脅在兩個網絡之間傳播的同時，保障兩個網絡能夠安全的進行信息傳遞的防御技術，具備如下技術特點：

（1）系統由控制網數據采集單元（內網單元）、信息網通訊單元（外網單元）及數據安全交換區三個部分組成。安全交換區隔離內、外網的所有網絡連接，只允許配置的合法數據通過安全交換區，在兩個網絡之間傳遞。

（2）內、外網單元之間只能通過安全交換區進行“純數據”的傳遞，內外網無法直接建立任何的協議會話，從而阻斷以共同協議為載體的信息安全風險傳遞。

三、工控系統信息安全實例

如圖1所示：將網絡分為控制層、數采層、辦公層三個區域，控制層與數采層通過工業安全隔離網關相連，辦公層和數采層通過硬件防火墻只與對外開放的WEB服務器相連接。在此基礎上，將傳統信息安全防御技術與安全隔離技術相結合，可以較大提高控制系統的信息安全，具體實施方案：

（1）數采專網。實時數據庫系統網絡結構嚴格采用專網架構，從硬件設備上進行物理隔離，不允許外部網絡訪問專網，確保系統網絡方面的穩定性及安全性。

（2）權限控制。所有實時數據庫系統的用戶必須經過系統認證，只有通過認證的用戶方可訪問系統，用于數據采集傳輸的專有賬戶只具備User權限，為只讀用戶，不具備寫入權限，任何用戶都無法通過此賬號對工程師站進行寫入操作。

（3）殺毒軟件。實時數據庫系統WEB服務器安裝企業版殺毒軟件，并且WEB服務器病毒庫實時更新和定期查殺病毒。

（4）本地安全策略。實時數據庫系統數采服務器上配置本地安全策略，只允許相關的工程師站的IP及數采主服務器與之通訊，并且只開放數采服務器必要的通訊端口，其他的都封掉。數采服務器上通過配置本地安全策略限制協議，只開放TCP/IP和ICMP（ping）協議。

（5）TCP/IP過濾。通過TCP/IP過濾開放必需的通訊端口，其他所有端口都封掉。

（6）采用工控信息安全數采網關。工控網關采用UNIX操作系統，同時具備數據采集、數據緩存、數據轉發、狀態監測、防火墻和身份認證等功能。

四、結束語

隨著安全隔離技術的不斷發展，還可在數采層和辦公層中增加管理網、工控網安全隔離區，建立工控信息安全管理平臺，實現病毒入侵防護與管控平臺聯動、控制與預警，病毒、攻擊、數據流量、日志綜合展示與監控的功能。

參考文獻：

[1]王擁軍，李建青.淺談企業網絡安全防護體系的建設[J].信息安全與通信保密，2013（07）：153-171.

[2]趙江濤.淺析計算機網絡安全防范措施[J].科技風，2011（08）：56-58.

[作者簡介]廖曉潔（1964-），女，高級工程師，本科，研究方向：DCS、實時數據庫。