淺析工控網網絡安全防護

摘 要 隨著“智能制造2025”的推進，工控網絡在體系中占據的位置日趨重要，同時由于多因素的影響，導致存在的衍生性風險不斷增加，影響了工控網的安全使用。鑒于此，筆者結合自身經驗，從工控系統、個人行為、工控網絡架構等視角對存在的風險進行分析，并基于風險給出相應的防護對策，旨在有效提升網絡整體安全性。

關鍵詞 工控網;風險分析;安全;對策

引言

伴隨著工業4.0時代的到來，信息化及工業化融合的趨勢日趨顯著，基于計算機網絡技術來實現工業系統的集成，逐步提升工業生產效率，工控網絡也將逐步進行開放，同時在網絡安全層面遇到的挑戰也日趨增加。為此，如何強化工控安全技術研發力度，構建常態化安全監管機制，是目前解決工控網安全的關鍵所在。

1工控網絡安全維護中存在的風險分析

筆者結合自身的工作經驗及歷年的事件分析發現，發現工控網絡安全維護存在諸多問題，主要集中體現在三個方面。

1.1 工控系統安全風險

工控系統是一個復合系統，集成了眾多軟硬件于一體，其中軟件包含組態軟件、設備操作系統及管理系統等。而對于任何一種系統而言，如嵌入式系統或微軟操作系統，均存在較多的漏洞，它當受到病毒或者黑客入侵時，可以對工控網絡安全不同程度的破壞，進而影響了工控系統的穩健運行。

1.2 個人行為安全風險

在實踐中，員工或者用戶由于缺乏相應的技術模式或方法，在進行人工維護時沒有對軟件進行嚴格的監測或者控制，同時操作人員或者系統運維人員沒有足夠的網絡安全風險防范意識，隨意使用未經批準或者許可的操作行為或者軟件，這給工控網的運行帶來了較大的安全隱患。

1.3 工控網絡架構安全風險

當前，工控網絡架構存在雙向安全風險。從橫向邊界視角進行分析，企業現場管理系統、PLC系統、生產執行層均處于同一網絡體系下，通過遠程操作來實現對管理行為的制約，而遠程操作行為的受控率低，很容易對PLC系統與SCADA系統帶來潛在的危害，如拒絕式服務器攻擊、網絡風暴等對PLC系統的資源消耗較大，長時間運作可以使系統癱瘓等。

總而言之，新時期下，工控網絡由于系統平臺自身性脆弱、網絡架構存在漏洞、人工操作模式主觀性強等多重因素的影響，給工控網的安全運營帶來了較大隱患，因此需要從入侵防護、工控運維、操作防護等視角等進行多維對策制定[1]。

2提升工控網絡安全防護的策略

2.1 強化管控力度，提升系統防御性

一方面，應建立在線監測和兩網聯動的安全視圖，實現與工業控制網絡安全管理系統的橫向整合，有效加強對APT等攻擊行為的檢測，形成全局安全態勢感知、全過程的安全拓撲;同時將信息實時反饋到系統及管理人員，通過強化管控力度，來有效消除行為無法審計、無法管控的問題。

另一方面，應提升系統自身安全性建設。第一：提升邊界安全防護能力，考慮以車間為單位配置工業級訪問控制產品實現對于車間網絡邊界的隔離和細粒度控制，控制車間網絡輸入輸出行為。同時對現場工控設備的使用行為進行監控，在其前端部署訪問控制產品，實現進出雙向行為審計和訪問控制。第二：針對工業控制系統已知的安全漏洞特征，配置工業級入侵行為檢測和漏洞分析系統，對工業控制系統中的控制設備、應用或系統進行掃描、識別，來全面發現當前工控系統中存在的漏洞，給出清晰的定位及預防機制，最終構建面向工控網絡的安全有效性視圖，提升自身的防御能力。

2.2 提升安全意識

一方面，要強化工控網安全保密的意識，按照自頂向下的管理理念，提升全員安全保密的意識。工控網運行過程中，明確個體分工及職責所在，構建面向工控網的完善的保密機制及協議，建立問責機制，來實現有效約束;同時應不定期開展相關培訓，來強化設備使用、維護人員的安全保密意識，為增強實際效力，可以通過安全測評機構或者安全事故演練，來模擬突發事故時所產生的應急響應度，增強責任感。

另一方面，企業應加強安全方面投入，面向不同部門，根據業務需求來積極開展工控安全防護能力培訓及相應的評估，構建工控安全責任機制，同時對于工控網絡操作人員及使用人員構建安全業績考核，通過正負激勵機制來提升人員的安全意識及使命感[2]。

2.3 完善工控網絡安全架構

首先，應結合工控系統的使用功能及開展業務來進行網格區域的劃分，明確各個區域之間的有效邊界。網格區域作為邏輯或者物理上的資產，從安全事故的影響視角進行分析，它們的安全性需求相同。

其次，在進行數據/控制流的架構設計中，要嚴格明確工作組間、網絡域間、服務器、客戶端、監控站、上下位機等在數據業務及控制流程之間的傳輸對應關系，保證協議使用的匹配性，為安全隱患的入侵建立一道有效的“屏蔽網”。

然后，在工控網絡安全架構搭建時，采用分區域的隔離模式，構建彼此區域的網絡邊界形式，這樣可以有效防止工控網收到網絡入侵時，病毒會產生連續反應進而入侵其他網絡，來抑制病毒的擴散，從而使得安全范圍逐步縮小。

最后，構建工控網絡終端客戶白名單，搭建服務器、工作站的綠色運行環境。對于不在名單范圍的進程、軟件及通信等進行阻止，而對于白名單范圍內的移動、剪切、刪除、更新等操作來進行強化控制，確保數據的完整性[3]。

3結束語

新時代下，智能制造及5G的逐步深入推行，使得工控網絡的運用日趨頻繁，在企業生產生活中所扮演的作用將日益凸顯。然而給人們提供便利的同時，其潛在的網絡運營風險也無法掩蓋，因此針對出現的運行風險，需要綜合考慮風險及業務需求之間的均衡關系，強化操作人員的風險防范意識、完善工控網絡安全架構、實現全周期常態化監管等，來保障工控網絡的可靠、安全運行，最終為網絡安全保駕護航！

參考文獻

[1] 吳康錦.工控網中的安全應用[J].中國新通信，2013，15（07）：16-17.

[2] 張佳華.工控網與內部網絡的設計和安全防護[J].網絡安全技術與應用，2018，（11）：22-23.

[3] 劉勇.制造型企業工控網絡安全風險與防護探討[J].網絡安全技術與應用，2019，（06）：105-106.

作者簡介

袁徑舟（1974-），男，湖北武漢人;學歷：本科，高級工程師，現就職單位：武漢船用機械有限責任公司，研究方向：企業信息化。