工業網絡信息安全現狀分析及安全防護系統研究

◆劉麗娜

(濟南職業學院 山東 250014)

工業網絡信息安全現狀分析及安全防護系統研究

◆劉麗娜

(濟南職業學院 山東 250014)

本文針對國內工業網絡信息安全存在的問題，分析了網絡信息安全現狀進行了分析，指出了信息安全漏洞，提出了安全防護策略。

應用安全；工業網絡；數據安全

0 前言

二十世紀九十年代以前的大多數控制系統一般都采用專用的硬件、軟件和通信協議，有自己獨立的操作系統，系統之間的互聯要求也不高，因此幾乎不存在網絡安全風險。多年來企業更多關注的是管理網絡的安全問題，許多企業對控制系統安全存在認識上的誤區：認為控制系統沒有直接連接互聯網、黑客或病毒不了解控制系統，無法攻擊控制系統，因此控制系統是安全的。而實際情況是，企業的許多控制網絡都是“敞開的”，系統之間沒有有效的隔離。同時黑客和病毒的入侵途徑又是多種多樣的，因此盡管企業網內部安裝了一些網絡安全防護產品，施行了各類網絡安全技術，但隨著信息化的推動和工業化進程的加速，工廠信息網絡、移動存儲介質、因特網以及其它因素導致的信息，安全問題正逐漸向控制系統擴散，直接影響了工廠生產控制的穩定與安全。近幾年來，國內、外許多企業的 DCS控制系統已經有中病毒或遭黑客攻擊的現象，給安全生產帶來了極大的隱患[1]。

1 工業網絡的信息安全漏洞

信息化時代的來臨使工業控制系統暴漏出一些信息安全漏洞。

1.1 操作系統漏洞

目前大多數工業控制系統的工程師站/操作站/HMI都是Windows平臺的，為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，現場工程師在系統開車后通常不會對Windows平臺安裝任何補丁，從而埋下安全隱患。

1.2 安全策略和管理流程漏洞

追求可用性而犧牲安全，是很多工業控制系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給工業控制系統信息安全帶來了一定的威脅。例如工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略[2]。

1.3 殺毒軟件漏洞

為了保證工控應用軟件的可用性，許多工控系統操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒軟件的病毒庫需要不定期的經常更新，這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

1.4 應用軟件漏洞

由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題；另外當應用軟件面向網絡應用時，就必須開放其應用端口?；ヂ摼W攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。

2 系統設計

策略設計要求對系統目標作明確而充分的分析，了解系統的要求及對系統目標的具體實現，并掌握系統的功能結構，如大數據收集、病毒數據庫的建設、物理環境、安全策略、路由協議與安全協議的部署等。

2.1 設計目標

根據對該系統的要求，本系統可以實現以下目標：物理環境下隔斷內部攻擊，網絡環境下隔斷網絡攻擊。對局域網內的數據進行MD5數據加密。系統運行穩定，安全可靠。

2.2 功能結構

根據工業網絡的特殊性，可以將其分為物理環境和網絡環境兩個部分進行設計。網絡端主要用于搜集病毒數據庫，建立即時防范機制，物理端主要用于用戶注冊和登錄、信息的發送、文件的加密傳送等，功能結構如圖1所示。

圖1 系統功能結構

2.3 網絡管理

安裝數據庫軟件SQL Server軟件，用于對全網上路由器的連接進行可視化管理和監控。

數據庫設計是指根據用戶的需求，在某一具體的數據庫管理系統上，設計數據庫的結構和建立數據庫的過程。本系統為使數據和程序更加安全、穩定、可靠，采用了SQL Server數據庫。SQL Server的數據庫是用來存放數據、視圖、索引、存儲過程等對象的“容器”。該項目數據庫名為“病毒數據庫”，病毒數據庫包含三個體系結構用于保存不同的信息，如基本表，儲存文件，視圖狀態，如圖2所示。

圖2 數據庫特性圖

2.4 系統特點整個網絡為一個工業領域專用的覆蓋的數據通信網絡，支持業務、辦公自動化以及病毒防御的應用。

（1）支持多協議

路由器本身就支持多種網絡協議，并且可以根據用戶的需求有效的控制每種協議對網絡資源的使用，可根據用戶的策略控制哪種應用占用多少帶寬。

（2）技術先進，性能優越

采用先進的路由技術，充分發揮Cisco路由器這個領域中的領先性能，網絡性能最佳，可使商業銀行在國內網絡建設中的居于領先地位。

（3）帶寬利用率

高通信線路采用DDN或幀中繼信道 、速率高、質量好，并且Cisco路由器也可實現針對不同協議的排隊、優先級、壓縮等功能，充分有效的利用帶寬。

（4）可靠性高

Cisco路由器可提供全面的路由備份、迂回功能，利用Cisco 的eigrp路由協議可自動實現對通信子網的路由迂回。

（5）安全性高

保證工行數據安全性Cisco路由器的強大的防火墻功能，可實現針對應用一級的防火墻過濾，防止非法用戶對關鍵數據的存取。

（6）可升級性、可擴展性強

Cisco路由器可支持當前及未來的各種網絡技術及接口介質，采用的FLASH技術易于升級，所選的關鍵設備均留有擴展端口。

3 結語

針對國內工業網絡信息安全存在的問題，分析了網絡信息安全現狀進行了分析，指出了信息安全漏洞，提出了安全防護策略及策略的優勢。

[1]李栓保． 網絡安全技術[M]．西安：清華大學出版社，2012．

[2]許勇．工業通信網絡技術和應用[J]．西安電子科技大學出版社，2003．