工控系統安全防護問題對策分析

韓建樂 李輝

摘要：目前，我國的工業技術與信息技術逐漸的完善并不斷的創新，傳統意義上較為封閉并普遍認為安全的工業控制系統，正暴露在網絡攻擊、病毒、木馬等傳統網絡安全威脅下。作為國家關鍵基礎設施的重要部分，工控系統一旦受到攻擊容易造成設備受損、產品質量下降等問題，影響國民經濟和社會穩定，甚至危害國家安全。

關鍵詞：工控系統；安全防護；問題；對策

以往病毒攻擊主要力求網絡影響范圍，攻擊的手段大多以通用軟件的安全漏洞為突破口，而當前的許多網絡攻擊則充滿目的性，特別強調對行業的專用軟件實施攻擊；另一方面，這些攻擊雖然針對軟件，但并不一定是利用軟件本身的缺陷，安全是一個全方位的問題，攻擊可能來自于任何一個角度。由于工業控制系統設備及通信規約的專有性以及系統的相對封閉性，從而通常黑客的攻防研究工作多集中在互聯網或普通IT信息系統上，而很少關注工業控制系統。

1工業控制系統安全防護問題分析

1.1工業控制系統的技術隱患

工控系統的技術隱患主要包括系統操作平臺、工控系統應用軟件、工控系統網絡協議三個部分。第一，系統平臺。工控系統的操作平臺本身具有一定的安全漏洞。利用操作系統的漏洞，可能直接影響所部署的工控系統，從而破壞或控制企業的工控系統。第二，工控應用軟件。工控系統的所使用應用軟件的程序漏洞的給工控系統帶來最嚴重的危害。因為工控設備差異性和工控軟件的應用行為不同，所以不容易采用同一的防范策略，第三，工控系統網絡協議。工控系統所采用的PROFINET、OPC、DNP3、MODBUS、PROFIBUS、IEC-104等網絡協議都存在安全漏洞。比如在MicrosoftWindows系統中采用的OPC協議，除了MicrosoftWindows這個操作系統的安全漏洞，一般情況下，OPC協議為了實現信息交互的便利性，OPC客戶端在獲得數據時會采取同一個用戶名和同一個密碼。

1.2管理和運維安全問題

（1）未設立專門的信息安全崗位，信息安全管理和維護由業務部門按照自己的理解進行管理和維護，同時信息安全制度不完善。（2）在日常運行維護過程中普遍存在諸如介質未采用有效的手段進行管理和防護，容易造成病毒入侵和敏感信息泄露的風險。 （3）存在賬號共享、弱口令、未定期更改密碼的問題，例如信號系統的用戶權限普遍缺乏定期回顧檢查，容易造成越權、權限濫用導致的安全事故。（4）安全防護應急預案存在事故預想不全面、內容不完整、相關要求缺乏可操作性等問題，缺少演練、培訓和更新的相關內容，無法在真正的事故中及時響應和恢復系統。

2工業控制系統安全防護對策

2.1技術防護機制

工業控制系統是運用控制理論、計算機科學、儀器儀表燈技術，對生產過程的各種信息采集、分析、處理，并進行優化控制和合理的調度、管理，已達到提高生產效率的一種先進的現代工業系統。工業控制系統相對于其他的信息系統來說，它是一套獨立的網絡、獨立的系統，從目前的工業控制系統的安全風險主要是來自網絡的脆弱性、主機的脆弱性以及缺乏安全的操作規程和流程。工業控制系統的安全防護機制以建立“縱深防御”策略為主要思想，確保工業控制系統中即使某一點發生網絡安全事故，工業生產也能正常運行。

2.2建立工控安全管控體系

成立信息安全領導、工作小組，完善管理制度建設，明確責任分工，信息部門加強技術監督，工控設備部門加強防范意識，在“兩化”融合趨勢下，打破傳統專業分界壁壘，協同開展工作，進一步落實電力監控系統安全規范，嚴格執行外來人員、外接設備、外接介質管理，加強補丁、防病毒管理，并注重工控與信息安全的復合型技術人才培養。建立健全工控系統安全防護全生命周期管理體系，將信息安全防護滲透到可研、設計、施工、調試、運行等各階段工作中，實現全方位、全過程的覆蓋。在工控系統上線運行前或機組檢修期間開展以漏洞掃描為主體的系統風險評估，通過安全運維服務工具就地對工控系統和網絡進行安全掃描。包括操作系統漏洞掃描、組態軟件漏洞掃描；機組主控DCS包含的DPU以及機組輔控PLC等控制器漏洞掃描。建立健全工控事件應急工作機制，預防為主、平戰結合、快速反應、科學處置，加強風險監測，開展信息報送和通報，提高工控安全事件應急處置能力。

2.3安全培訓

為了將安全隱患減少到最低，不僅需要對安全管理員進行專業性的安全技術培訓，還需要加強對所有政府辦公人員的安全知識的普及，安全管理員培訓、考核管理規范安全管理員水平的高低和責任心強弱決定了安全防護具體實施的是否有效，因此對安全管理員定期培訓并進行嚴格的考核上崗顯得非常重要，主要內容包括：培訓對象確定；基于管理員角色定義前提下的技能要求；培訓內容；培訓組織、時間安排；培訓效果考核、評價；后續培訓計劃。普通員工安全基礎知識培訓管理規范普通員工側重于基礎知識和日常安全防范措施的實踐性培訓，主要內容包括：基本要求；培訓內容；培訓組織、時間安排；培訓效果考核、評價；后續培訓計劃。

2.4部署工控防火墻

使用工控防火墻將各工控OPC和SIS接口機之間的鏈接進行邏輯隔離，工控防火墻在繼承了傳統防火墻的基礎功能外，結合工控網絡特點，可更深層次的防護工控網絡中的攻擊。采用透明模式部署，并開啟故障旁路功能，不改變原有的網絡拓撲，確保正常業務不受影響；通過對工控協議深度分析，制定相應的工控網絡訪問控制策略，有效防止網絡內異常流量通過，保證網絡安全。

2.5網絡安全監測審計

在生產控制大區通信層環網、LCU子網旁路部署監測審計平臺，對網絡通信流量進行有效監視和威脅檢測。對向工控網進行的生產數據非法收集、惡意攻擊、數據篡改、違規操作進行告警和審計，為網絡安全管理人員提供線索依據和事件還原功能，對違規操縱和網絡攻擊行為可實時告警。

2.6集中安全監管

安全監管平臺對部署在整個工控系統的安全設備實現統一化安全監管和運維。實時收集現場安全設備信息、分析威脅情報信息，基于安全分析模型，實現全局的態勢安全預警與策略動態響應，實時發送現場的安全告警信息。

3結語

過智能保護終端對工控系統現地層的關鍵LCU進行安全防護，對非法操作進行有效攔截；在網絡邊界部署智能工業防火墻，抵御來自外界偽基站接入滲透控制系統的風險；在主控層的工程師站、操作員站、OPC服務器以及SIS接口機上部署工控衛士，防止誤操作和違規操作；對網絡通信流量進行有效監視和威脅檢測，對違規操縱和網絡攻擊行為實時告警；最后通過安全監管平臺，對部署在整個工控系統的安全設備實現統一化安全監管和運維。

參考文獻：

[1]徐新國.工控系統信息安全策略探討[J].自動化博覽.2017（11）.

[2]張曄.工控系統安全理念及解決方案[J].自動化博覽.2017（11）.

（作者單位：德龍鋼鐵有限公司）