工控網絡安全技術的應用研究

河南中煙工業有限責任公司洛陽卷煙廠 河南 洛陽 471000

1 理論綜述

1.1 工業控制網絡的概念 在現場總線技術的基礎上發展了工業控制網絡，它是用具有數字通信能力并能大量分散在生產現場的測量控制儀表作為網絡節點而構成的。工業網絡具有很高的公開性，對于通信協議的要求也很高。它的運作主要是把現場的設備之間的信息可以自由交流，在這樣就更容易完成控制系統的任務，完成速度更快，與工業控制網絡相比，現場總線就不能很好地完成這個任務。

1.2 工業控制網絡的特點 工業控制網絡同時具有諸多特點。它具有實現互連設備間、系統間的信息傳遞與溝通的互操作性；還具有可以與世界任何地方遵守同標準的其它設備連接的系統開放性；與此同時，工業控制網絡還可以與紅外線、電力線、同軸電纜等很多設備合作，這就使得它可以適應不同的現場環境；還有一個明顯的特點就是通信實時性，能提供相對應的實時通信，具有時間管理功能。

2 工控網絡安全風險

2.1 工控網絡架構安全風險 縱向邊界安全風險：企業經營管理層與企業生產層控制網絡利用了物聯網技術和互聯網技術，網絡攻擊或工業病毒極容易通過無線網絡(RFID、WLAN)和互聯網的數據傳輸路徑進入生產環境的工業控制網絡。

橫向邊界安全風險：企業生產執行層、現場設備層的管理系統、SCADA系統、PLC系統處于同一網絡平面，由遠程操作管理行為帶來的入侵或病毒很容易對SCADA系統與PLC系統造成危害，來自企業經營管理層的網絡風暴、ARP攻擊、拒絕式服務攻擊很容易消耗SCADA、PLC系統的資源，使得SCADA、PLC系統無法正常工作。

2.2 工控系統安全風險 系統中相關軟硬件漏洞問題，系統平臺軟件包括設備操作系統、組態軟件和管理系統等。微軟操作系統、以及一些嵌入式系統也都存在很多漏洞，這些漏洞可以直接被黑客(如震網病毒)利用破壞生產網絡。

2.3 行為及運維管理風險 進行人工維護時缺乏技術手段對系統運行的軟件進行嚴格控制和監測審計，運維人員、操作員缺乏網絡安全意識，可隨意使用未經允許的軟件或操作，為工業生產環境帶來安全風險。

3 工控網絡信息安全技術的運用

工控網絡信息系統安全系統功能根據工控網絡信息系統安全系統架構可知，系統相關功能主要如下：

3.1 關鍵設備安全防護 關鍵設備安全防護主要采用安全運維管控系統措施，實現工程師站、操作員站對外部存儲器(如U盤)、鍵盤和鼠標等使用USB接口設備的識別，對外部存儲器的使用進行嚴格控制。

3.2 數據中心安全防護 數據中心主要通過數據脫敏、工業網關、入侵檢測、數據銷毀及備份和恢復等安全防護措施，對數據的訪問外發進行嚴格控制，并采用數據脫敏、備份和恢復機制，以保護數據安全。

數據脫敏：在輸出或共享前對數據進行脫敏處理，脫敏后不可恢復。

工業網關：基于物理隔離的白名單控制，在兩個獨立主機系統之間，采用完全的私有方式，進行格式化數據塊的無協議“擺渡”。

入侵檢測系統：具備敏感數據外發檢測、服務器非法外聯檢測、僵尸網絡檢測等多項功能，同時集成了沙箱檢測能力，是一種積極主動的安全防護技術，能夠為用戶提供深度攻擊防御和內網安全保護。

數據銷毀：為防止數據被惡意恢復，在對新的租戶重新分配資源之前，需要對存儲空間中的數據進行徹底抹除。根據不同的數據類型以及業務部署情況，采用邏輯卷清零或隨機數多次覆寫、消磁或物理粉碎等措施。

備份和恢復：制定數據備份策略，定期對數據進行備份。當發生數據丟失事故時，能及時恢復備份數據，保障企業生產正常運轉，從而降低用戶的損失。

3.3 應用安全防護 應用安全主要針對工業云平臺和應用程序、網絡等采取的安全防御措施，并通過安全數據化、數據可視化方式，采用餅圖、曲線圖、態勢圖等可視化展示平臺，使管理者可快速全面掌控企業安全狀況，為快速決策與運維診斷提供支撐。

工業云平臺：主要通過行為異常監測和阻止、安全監測、虛擬化安全、DDoS防御系統等安全防御措施。對工業應用程序、運行參數(如網絡流量、主機資源和存儲等)以及各類日志及網絡監控系統的訪問行為等進行實時監測與檢測，當發現異常行為時，立即產生報警或阻止異常行為，同時對安全事件進行評估。同時通過采用虛擬化加固等防護措施，避免虛擬化出現安全問題，影響上層平臺的安全。

應用程序：主要有身份認證系統、軟件防篡改、安全監測審計等安全防御措施。在使用前，采用代碼測試、完整性校驗、源代碼加密處理及程序和數據備份等措施，防止工業控制軟件發生篡改；在使用時，采用身份認證授權機制、數字簽名和訪問控制技術、密碼技術等，實現用戶、設備和數據的完整性、一致性；在使用過程中，通過漏洞掃描工具等方式探測網絡設備與標識解析節點的漏洞情況，同時記錄操作人員的錯誤和越權行為，并及時提供預警信息。

安全防護可視化：通過對各安全監測防護系統的集成，建立安全數據展示平臺，可實時從全局掌控企業安全態勢，協助工程師快速發現、定位、解決安全問題，為企業安全問題提供輔助決策能力。