“互聯(lián)網(wǎng)+”新形態(tài)下工控系統(tǒng)的網(wǎng)絡(luò)安全淺析

◆張佳華

“互聯(lián)網(wǎng)+”新形態(tài)下工控系統(tǒng)的網(wǎng)絡(luò)安全淺析

◆張佳華

（上海復(fù)合材料科技有限公司 上海 201114）

互聯(lián)網(wǎng)作為現(xiàn)在計(jì)算機(jī)行業(yè)的最重要產(chǎn)物，隨著各行各業(yè)的發(fā)展和計(jì)算機(jī)技術(shù)的快速發(fā)展，已經(jīng)走進(jìn)了各家各戶各個(gè)行業(yè)，而“互聯(lián)網(wǎng)+”作為目前特別流行的一個(gè)產(chǎn)業(yè)，對(duì)現(xiàn)在的工業(yè)也產(chǎn)生了深遠(yuǎn)的影響。如何把網(wǎng)絡(luò)安全的等級(jí)進(jìn)行提升，由一開始的被動(dòng)防御，變成主動(dòng)防御防護(hù)，軟件運(yùn)行在操作系統(tǒng)之上，就會(huì)存在不可避免的漏洞等。本文基于“互聯(lián)網(wǎng)+”的新形勢(shì)環(huán)境，講述了工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)，供讀者參考。

安全；網(wǎng)絡(luò)防護(hù)；互聯(lián)網(wǎng)＋

0 引言

在計(jì)算機(jī)的發(fā)展史上曾發(fā)生過多次木馬病毒入侵電腦的事件，其中比較有名的就是微軟的安全漏洞導(dǎo)致的電腦被鎖死的事件，解決方法只有交解鎖費(fèi)或者刷系統(tǒng)，而這兩個(gè)方式都會(huì)造成非常嚴(yán)重的經(jīng)濟(jì)損失。類似的事件還有，例如“網(wǎng)絡(luò)天空”，“Worm_Mytob.x”這兩個(gè)病毒都是通過郵件的方式對(duì)電腦發(fā)動(dòng)攻擊，這些外在的威脅在這兩年已經(jīng)變得越來越嚴(yán)重，進(jìn)而導(dǎo)致網(wǎng)絡(luò)犯罪的事件也明顯增多[1]。而工業(yè)互聯(lián)網(wǎng)作為連接工業(yè)全系統(tǒng)、全價(jià)值鏈、全產(chǎn)業(yè)鏈，保證智能化工業(yè)全面發(fā)展的關(guān)鍵部分和基礎(chǔ)設(shè)施，現(xiàn)已成為傳統(tǒng)產(chǎn)業(yè)向智能產(chǎn)業(yè)、實(shí)體經(jīng)濟(jì)和虛擬經(jīng)濟(jì)結(jié)合的關(guān)鍵點(diǎn)和核心載體，已逐步表現(xiàn)出超強(qiáng)的統(tǒng)領(lǐng)能力，讓傳統(tǒng)行業(yè)有了新的發(fā)展契機(jī)。智能出行現(xiàn)在早已經(jīng)開始普及，共享單車、無人駕駛、無人機(jī)配送貨物、外賣等等產(chǎn)業(yè)都是在傳統(tǒng)模式上進(jìn)行的升級(jí)更新，這樣的大型企業(yè)一旦遭受到網(wǎng)絡(luò)攻擊，就會(huì)導(dǎo)致用戶信息的流失，用戶對(duì)高科技產(chǎn)物信任度的缺失都會(huì)影響到企業(yè)的生存[2]。

在這兩年的國家級(jí)論壇上也開展了多次網(wǎng)絡(luò)安全會(huì)議和集體討論，這其中的原因就有包括伊朗核試驗(yàn)的系統(tǒng)遭受到網(wǎng)絡(luò)攻擊，而這件事件不僅對(duì)伊朗造成了恐慌，也給世界的互聯(lián)網(wǎng)安全蒙上了一層陰影，我國也從這件事件之后對(duì)網(wǎng)絡(luò)安全提出了更高的要求。圖1表示了我國大陸被篡改網(wǎng)站數(shù)量類型分布。在2018年的政府工作報(bào)告中，工信部部長苗圩表示，2018年要深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，開展工業(yè)互聯(lián)網(wǎng)發(fā)展的323行動(dòng)。其中的第一個(gè)3就是要打造網(wǎng)絡(luò)、平臺(tái)、安全三大體系。從這方面也能看出政府對(duì)網(wǎng)絡(luò)安全的重視程度明顯的提高。工信部繼《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》等指導(dǎo)文件后又發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃》。如果說前幾個(gè)文件是指導(dǎo)性文件的話，那么該文件就是前面3個(gè)文件的擴(kuò)展和闡述，闡述了在未來我們要在工業(yè)控制系統(tǒng)安全方面如何去做和重點(diǎn)去做什么，也明確提出了建立多級(jí)聯(lián)動(dòng)的安全機(jī)制和全國工控安全在線監(jiān)測(cè)網(wǎng)絡(luò)、全國工控安全應(yīng)急資源庫、仿真測(cè)評(píng)平臺(tái)、信息共享平臺(tái)、信息通報(bào)平臺(tái)等多個(gè)戰(zhàn)略目標(biāo)。政府單位對(duì)網(wǎng)絡(luò)安全這么重視可以看出網(wǎng)絡(luò)安全在未來發(fā)展前景中占有絕對(duì)的必要性，作為新時(shí)代的企業(yè)如果想要與時(shí)俱進(jìn)就必須注重發(fā)展網(wǎng)絡(luò)安全。

1 網(wǎng)絡(luò)攻擊的方式

網(wǎng)絡(luò)攻擊的方法可以分為多種形式，例如利用MAC的唯一性，或者篡改IP地址等，這些都是涉及傳輸方面的一些方式，再者就是利用程序的漏洞。

圖1 分布圖

在一些公認(rèn)的平臺(tái)上把網(wǎng)絡(luò)攻擊分為四種形式，也俗稱四類攻擊法，第一類是拒絕服務(wù)攻擊，這主要包括一些網(wǎng)絡(luò)轟炸的攻擊方式。第二類是利用型攻擊，這個(gè)一般就是隨著你的操作來一步步地進(jìn)行攻擊，木馬病毒并不是很容易被發(fā)現(xiàn)，包括特洛伊木馬，緩沖區(qū)溢出等等，這些看似是比較老舊的攻擊方法，但產(chǎn)生的危害還是非常明顯的。第三類是信息收集型攻擊，包括地址掃描、端口掃描、反響映射、DNS域轉(zhuǎn)換等這些涉及硬件方面的攻擊，其中利用MAC地址也是屬于這一種，第四類是假消息攻擊，這種攻擊比較常見，例如常見的網(wǎng)絡(luò)詐騙也可以劃分到這個(gè)領(lǐng)域。

作為工業(yè)程序，一般受到郵箱攻擊，還有類似特洛伊木馬病毒的攻擊方法可能性比較大，產(chǎn)生的危害也比較明顯，數(shù)據(jù)的丟失，程序的破壞都會(huì)對(duì)工業(yè)的正常運(yùn)轉(zhuǎn)造成傷害。還有計(jì)算機(jī)病毒，嚴(yán)重的計(jì)算機(jī)病毒可以導(dǎo)致數(shù)據(jù)丟失、網(wǎng)絡(luò)中斷、服務(wù)器癱瘓等等問題，進(jìn)而也可以修改計(jì)算機(jī)上的內(nèi)容，以假亂真，而這都是我們要防御的對(duì)象。

2 抵御攻擊

抵御入侵可以分為主動(dòng)預(yù)測(cè)和主動(dòng)防御，以及被動(dòng)防御。主動(dòng)監(jiān)測(cè)到危險(xiǎn)之后進(jìn)行報(bào)警，然后對(duì)其進(jìn)行主動(dòng)防御，這也就是入侵監(jiān)測(cè)系統(tǒng)。在去年的一份調(diào)查報(bào)告中指出，有85%的企業(yè)認(rèn)為他們可以做好網(wǎng)絡(luò)防御，但在半年內(nèi)就有40%的企業(yè)遭到了攻擊，這次調(diào)查涉及了5個(gè)國家共600個(gè)企業(yè)負(fù)責(zé)人，他們分別來自美、英、澳、馬來西亞和新加坡等多個(gè)國家，企業(yè)規(guī)模均超過1000人以上，可以說是非常具有權(quán)威性了。那我們應(yīng)該怎么做才可以更大概率地抵御攻擊呢，首先，劃分出程序的自抵抗攻擊并增大攻擊難度，例如工程師站、服務(wù)器的密碼定期更換，防止密碼泄露，DCS上鎖，用DCS組態(tài)的電腦不準(zhǔn)連接企業(yè)管理網(wǎng)或者外網(wǎng)。還要對(duì)文件進(jìn)行加密，使用全磁盤加密可以確保寫入到存儲(chǔ)磁盤的所有數(shù)據(jù)被默認(rèn)加密以增大攻擊難度，這為企業(yè)提供了很好的基礎(chǔ)保護(hù)。如果企業(yè)要保護(hù)敏感信息，他們應(yīng)該為其最敏感的文件夾創(chuàng)建單獨(dú)的加密文件卷。

TrueCrypt是加密文件卷這方面最流行的軟件程序之一，它可以用來在項(xiàng)目突然被關(guān)閉之前創(chuàng)建加密文件卷。當(dāng)然還有開源程序VeraCrypt和CipherShed，這兩款產(chǎn)品都可以用于Windows、OS X和Linux。VeraCrypt是TrueCrypt的分支，而CipherShed是源自上一版本的TrueCrypt或者版本7.1a。

USB閃存驅(qū)動(dòng)器作為用在計(jì)算機(jī)大型數(shù)據(jù)文件傳送的工具展現(xiàn)出了它的物美價(jià)廉，對(duì)于一些對(duì)網(wǎng)絡(luò)安全要求不高的用戶和企業(yè)都是非常不錯(cuò)的選擇，但對(duì)安全要求高的企業(yè)和政府單位來說就不安全了，其中容易被盜或者說不小心丟失這種情況就會(huì)造成不必要的損失，當(dāng)然了這也只是小概率事件，最主要的還是操作不當(dāng)造成的數(shù)據(jù)泄露這樣的問題危害比較大，并且刪除了還可以通過數(shù)據(jù)軟件恢復(fù)以前刪除的數(shù)據(jù)。這個(gè)弊端加大了不安全系數(shù)，現(xiàn)在的解決方案一般是用Windows或者OS X平臺(tái)內(nèi)置的加密功能來對(duì)USB閃存存儲(chǔ)的數(shù)據(jù)進(jìn)行加密，但綜合來看并不推薦使用USB閃存驅(qū)動(dòng)器[1]。

多因素身份驗(yàn)證是指在允許你登錄到系統(tǒng)之前，對(duì)額外的信息來源進(jìn)行驗(yàn)證。這是在門口又設(shè)立的一道關(guān)卡，更像是門口的保安，對(duì)進(jìn)入的數(shù)據(jù)進(jìn)行掃描和檢查可以過濾掉不安全的數(shù)據(jù)，現(xiàn)在很多的云存儲(chǔ)服務(wù)都在使用，例如Dropbox，以及Google apps等流行的服務(wù)，所以極力推薦使用。

對(duì)郵箱攻擊的抵御方法是在Gmail.com或Outlook.com等域名注冊(cè)郵箱地址，作為接收密碼重置消息的備份電子郵箱賬戶。

上述方法是比較常用的一些方法，可以抵御絕大部分攻擊，但最主要的還是要增大攻擊難度，例如定期更換密碼（密碼使用多種字符類型，密碼長度較長），定期檢查路由器，這都可以極大地增加攻擊難度。

對(duì)于操作系統(tǒng)的安全漏洞，我們需要保持系統(tǒng)的最新版本，不要擅自更改系統(tǒng)文件，進(jìn)行安全審核后再更改，因?yàn)橄到y(tǒng)的安全也就決定了是否有后門可以走。

3 總結(jié)

網(wǎng)絡(luò)安全作為非常熱門的話題被人們熱議，貼近我們的日常生活，人們總是幻想人工智能機(jī)器人取代人類統(tǒng)治世界，這就是對(duì)網(wǎng)絡(luò)安全和計(jì)算機(jī)安全的思考，而工業(yè)作為網(wǎng)絡(luò)安全的風(fēng)口浪尖上的部分，所面臨的損害也都是普通損害的上千萬倍，如果支付寶受到網(wǎng)絡(luò)攻擊那對(duì)國民經(jīng)濟(jì)造成的危害可想而知，所以作為新形勢(shì)下的工業(yè)一定要注重網(wǎng)絡(luò)安全建設(shè)。

[1]胡景軍，陳云，洪詩定.SCADA系統(tǒng)實(shí)現(xiàn)Web服務(wù)的關(guān)鍵技術(shù)[J].化工自動(dòng)化及儀表，2014．

[2]沈培璐，陳彬．基于管控一體化系統(tǒng)的第三方數(shù)據(jù)通信整合[J].化工自動(dòng)化及儀表，2016．

[3]美報(bào):“震網(wǎng)”開啟網(wǎng)絡(luò)戰(zhàn)新時(shí)代[N/OL].新華網(wǎng)，2015.