淺談當前工業控制系統信息安全解決方案

邱金龍

【摘要】 工業控制系統，簡稱ICS，主要可以分為以下部分：SCADA（數據采集與監視控制系統）、DCS（分布式控制系統）、PLC（可編程邏輯控制器）及其他類的控制系統等。現階段工業控制系統已被廣泛應用在我國社會市場的各行業各領域，如電力企業、水力企業、石化企業、醫藥行業、食品行業、汽車行業及航天工業等，是我國基礎設施的構成部分之一，也與國家整體的戰略安全息息相關。基于此，對工業控制系統的信息安全作出保障，并制定相關的解決方案，是現階段工業技術員需要思考與分析的問題。本文首先對工業控制系統信息安全存在的問題進行介紹，再對工業控制系統安全解決方案展開研究與分析。

【關鍵詞】 工業控制系統 信息安全 存在問題 解決方案

按照工業控制系統信息安全的相關要求及防范手段的特點，當前工業控制系統對信息安全提出了解決方案，在控制系統內部建立防火墻、安裝入侵檢測系統及建立連接服務器的驗證機制，能夠在控制系統內部實現網絡安全設備交互信息的目的，以此可以提升工業控制系統的整體防御能力[1]。在此情況下，工業控制系統現已成為信息安全領域愈來愈受關注的話題與重點之一，對其中存在的問題加以解決是迫不可待的[2]。

一、當前工業控制系統信息安全存在問題分析

工業控制系統，一般來說可以分為三個層面，即現場控制層面、監控管理層面與生產控制層面。現場控制層面由生產設備、DCS及PLC等相關控制器組成，用來通訊的工具主要是工業以太網及現場總線；監控管理層面基本由上位機、數據服務器、監控設備及數據采集機等組成，用來通訊的工具為工業以太網及OPC；生產控制層面由管理終端組成，比如：供應鏈、質檢與物料等相關的管理服務器，主要用以太網來進行通訊。當前工業控制系統的信息安全問題來自以下方面：1、工業控制系統通訊方案較為落后守舊。大多數的工業控制系統通訊方案都具有一定的歷史，是由技術人員在多年前便已設計好的，基本上都是在串行連接的基礎上訪問網絡，設計時考慮的主要因素便是工業控制系統的可靠性與實用性，而忽視了控制系統的安全性，加之通訊方案對于用戶的身份認證、信息數據保密等這些方面存在考慮不足的問題[3]。2、接入限定點不夠明確。接入限定點不夠明確的問題主要體現在系統終端與計算機接口等，不同版本、不同安全要求及通訊要求的設備都可以直接或者間接連接互聯網，加上訪問的策略管理工作存在松散與懈怠的情況，能夠在一定程度上增加工業控制系統內部病毒感染的幾率[4]。3、工業控制系統信息安全的關注降低。現階段網絡安全方面很少有黑客攻擊工業網絡的情況發生，故工業控制系統技術人員對于工業控制系統信息安全的關注逐漸降低，也沒有制定科學化與合理化的工業控制系統安全方案、管理制度，也沒有加強培養操作人員與設計人員的安全意識，隨著時間的推移，人員的安全意識愈來愈淡薄，操作管理的實際技術能力與安全思想觀念存在差異，極容易出現違規操作與越權訪問的情況，給工業控制系統的生產系統埋下安全隱患[5]。4、在信息科學技術及工業技術的高速融合下，現代企業的物聯程度與信息化程度不斷提升，這樣便促使更多更智能的儀器設備將會在市場上出現，也將帶來更多的安全問題。

二、當前工業控制系統信息安全的相關特點分析

傳統計算機信息系統信息安全的要求主要有：保密性、可用性與完整性，而現代工業控制系統信息安全首要考慮的是可用性。工業控制系統的控制對象為不同方面的生產過程，如物理、生物與化學，系統終端設備與執行部位能夠嚴格設定生產過程中的實際操作，故在對安全措施進行調整與試行之前必須要將生產設備保持停機狀態，對工業控制系統采取的安全措施必須查看其是否具有一定的準確性及時效性，并要在停機狀態下對其進行測試與調整，但這些程序勢必會給企業帶來一定程度的經濟影響[6]。

根據相關的研究報告顯示，在已公布于社會與民眾的工業控制系統漏洞中，拒絕服務類與控制軟件類等漏洞造成系統業務停止的比重，分別占據了百分之三十三與百分之二十，這樣的情況，便給工業控制系統的實用功能帶來了巨大的威脅，不但會在信息安全方面造成信息丟失，增加工業生產過程中生產設備出現故障的幾率，而且會在最大程度上造成操作人員的意外傷亡情況及設備損壞情況，造成企業經濟利益嚴重虧損。

三、當前工業控制系統信息安全解決方案分析

1、主動隔離式。主動隔離式信息安全解決方案的提出，來自于管道與區域的基本概念，即將同樣性能與安全要求的相關設備安置在同一個區域內，通訊過程主要靠專門管道來完成，并利用管道管理工作來起到抵制非法通信的作用，能夠集中防護網絡區域內或者外部的所有設備。這種方案，相對來說具有一定的有效性，可以按照實際需求來靈活運用工業控制系統，并為其實施信息安全防護工作，但在實施這種解決方案之前，必須先確定防護等級與安全范圍，并尋找出一種適度的防護與經濟成本折中辦法。

2、被動檢測式。被動檢測式解決方案是一種以傳統計算機系統為基礎的新型網絡安全保護方案，因為計算機系統本身便具有結構化、程序化及多樣化等特點，故除了采取對用戶的身份認證與加密數據等防護技術之外，還添設了查殺病毒、檢測入侵情況及黑名單匹配等手段，以此有助于確定非法身份，并結合多方面的部署來提升網絡環境的安全。這種方案的硬件設備除了原部署的系統之外，還能利用代理終端的白名單技術來實現主機的入侵抵制功能，這些措施能夠減少對原來系統具備性能的負面影響，達到工業控制系統實用的目標。但網絡威脅的特征庫無法及時更新，故黑名單技術對于新出現的違法入侵行為不能做出實時回應，故對于工業控制系統來說還是帶來了一定的危害。

結束語：總而言之，本文主要對當前工業控制系統信息安全存在的問題展開分析，針對工業控制系統通訊方案較為落后守舊、接入限定點不夠明確及工業控制系統信息安全的關注降低等問題，研究了當前工業控制系統信息安全的特點，最后對當前工業控制系統信息安全解決方案展開剖析，即主動隔離式與被動檢測式。當然，要完全解決工業控制系統存在的問題，還得要求我國政府機關及相關部門提高網絡安全的意識，構建并不斷完善一個有效、科學且合理的安全機制，以此來推動我國工業控制系統的發展。

參 考 文 獻

[1]朱世順，黃益彬，朱應飛，張小飛.工業控制系統信息安全防護關鍵技術研究[J].電力信息與通信技術，2013，11：106-109.

[2]張波.西門子縱深防御DCS信息安全方案在青島煉化項目的應用[J].自動化博覽，2015，02：42-45.

[3]陳紹望，羅琪，陸曉鵬.海洋石油平臺工業控制系統信息安全現狀及策略[J].自動化與儀器儀表，2015，05：4-5+8.

[4]張波.基于縱深防御理念的DCS信息安全方案在青島煉化項目的應用[J].中國儀器儀表，2014，02：30-35.

[5]周顯兵，馮慧山，王士新.淺析工業過程控制系統網絡安全解決方案[J].石油化工自動化，2014，01：10-13.

[6]梁瀟，高昆侖，徐志博，鄭曉崑.美國電力行業信息安全工作現狀與特點分析[J].電網技術，2011，12：221-228.