工業4.0時代的工控網絡安全防護研究

宗健（重慶燃氣集團股份有限公司，重慶400020）

工業4.0時代的工控網絡安全防護研究

宗健（重慶燃氣集團股份有限公司，重慶400020）

在工業4.0時代，工業化與信息化的兩化融合是必然趨勢，工控系統利用最新的計算機網絡技術來提高系統間的集成、互聯以及信息化管理水平。工控系統安全的重要性及其普遍安全防護措施不足的現實，使得加強工業控制系統的安全性來說無疑是一項相對艱巨的任務。本文提出的工控網絡安全“白環境”解決方案是以可信防護為核心、可視化管理為支撐、大數據分析為保障的全方位工控安全解決方案。

工業4.0；工控網絡安全防護；解決方案

隨著工業信息化的快速發展以及工業4.0時代的到來，工業化與信息化的融合趨勢越來越明顯，工業控制系統也在利用最新的計算機網絡技術來提高系統間的集成、互聯以及信息化管理水平。未來為了提高生產效率和效益，工控網絡會越來越開放，不可能完全的隔離，所以這就給工控系統網絡安全防護帶來了挑戰。

近年來，多個重要且關乎國計民生的行業，如電力、石油、石化、軍工等均遭受到了嚴峻的工業控制網絡安全威脅，對此如何解決工控安全問題已成為企業面臨的嚴峻挑戰，受到越來越多的工業企業的關注，并且得到了國家的高度重視。針對關乎國家經濟命脈的重點行業，國家在鼓勵提高工業信息化的同時，將網絡安全問題提升到了國家戰略層面，要求各級政府部門和相關企業加大對于工控安全技術的研發力度，加速推進相關技術和解決方案的完善以及相關政策標準的推出。

1　工控網絡安全防護分析及建議

在工業控制網絡安全領域，很多企業機構根據內部工業控制系統的運行狀態，并結合整體的實時性、完整性和機密性的要求，對工業控制網絡安全產品提出了特定的需求。不同的行業領域內部使用了不同的網絡數據通信協議和標準，最常見的協議和標準包括ModBus、OPC、IEC～104、MMS、DNP3等。因此，市場對工業控制網絡安全產品的需求不僅迫切，對于產品服務的豐富性、廣度、深度也有著顯著而實際的需求。此外不同行業根據其生產工藝和設備特點，會對工業控制網絡安全產品提出擴展性、可審計性、保密性、易用性、通用性提出需求。

當面臨攻擊者的持續關注時，任何疏漏都可能導致災難。工業控制系統安全的重要性及其普遍安全防護措施不足的現實，使得加強工業控制系統的安全性來說無疑是一項相對艱巨的任務。本文提出以下針對工控網絡安全防護建議，期望能夠有效地降低工業控制系統所面臨的攻擊威脅：

1.1盡可能采用安全的通信協議及規范，并提供協議異常性檢測能力：源頭控制、檢測防護、

1.2建立針對工業控制系統的違規操作、越權訪問等行為的有效監管：異常行為檢測、安全審計；

1.3建立完善的工業控制系統安全保障體系，加強安全運維與管理：工業控制系統安全保障體系建設、安全運維與管理、加強人員的安全意識培訓和工作流程管理制度的落實等；

1.4加強針對工業控制系統的新型攻擊技術的防范研究。

2　工控網絡安全防護解決方案

工控系統部署后使用的生命周期都很長，目前國內大量運行中的工控設備在當初設計時多重視系統的功能實現，如何為這些工業控制系統提供適當的安全防護、安全增強和運維管理，同時保障生產安全、系統可靠性和可擴展性無疑是當前工控企業需要重點解決的問題。

2.1解決思路

以工控系統安全的視角，針對工控系統對可靠性、穩定性、運行連續性的嚴格要求，以及工控系統軟件和設備更新不頻繁，通信和數據較為特定的特點，建立工控系統安全生產運行的“可信網絡白環境”以及“軟件應用白名單”，構筑工業控制系統的網絡安全“白環境”，無需大量改造現有工控網絡和頻繁升級工控系統，技術可靠實用，可落地性強。

2.2實施方案

（1）網絡劃分

根據工控系統的業務與功能來評估計并劃分網絡區域，明確各網絡區域的邊界。網絡區域是一組物理或邏輯上的資產，基于重要性或事故影響，它們具有相同的安全需求。

（2）控制/數據業務流及協議識別

確定網絡域之間，工作組之間，上位機、下位機、服務器、客戶端、操作站、監控站之間的控制及數據業務流的傳輸關系，應用的協議等。

（3）建立可信網絡域

運用可信邊界網關、可信區域網關對不同的網絡域進行隔離，防護各域的網絡邊界。阻止來自辦公網絡的攻擊、病毒、木馬等感染入侵其它網絡域。抑制在某一個網絡域中的病毒木馬向其它網絡傳播擴散，縮小安全問題影響范圍。

（4）配置可信主機及可信服務器

針對每臺終端配置軟件白名單，建立工作站、服務器的軟件工作“白環境”。對于白名單以外的軟件、進程、通信等阻止運行。對于白名單內軟件的更新、修改、移動、刪除等操作進行審計或控制。

3　結語

本文提出的工控網絡安全解決方案是面向石油、石化、電力、燃氣、冶金、化工、鐵路、城市軌道交通等工控行業及相關研究機構推出的以可信防護為核心、可視化管理為支撐、大數據分析為保障的全方位工控安全解決方案。