工業(yè)控制系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)的設(shè)計(jì)與實(shí)現(xiàn)

譚世兵

摘要：隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，工業(yè)互聯(lián)網(wǎng)在生產(chǎn)型企業(yè)中的地位日益重要。越來(lái)越多的工業(yè)系統(tǒng)也走上了大數(shù)據(jù)、科技化的發(fā)展道路，小到一個(gè)傳感器，大到一個(gè)注塑機(jī)等大型工業(yè)生產(chǎn)設(shè)備中的每一個(gè)環(huán)節(jié)，每一道生產(chǎn)工序都不能離開(kāi)工業(yè)互聯(lián)網(wǎng)的作用。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng);工業(yè)控制系統(tǒng);網(wǎng)絡(luò)入侵;檢測(cè);對(duì)策

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）30-0036-02

工業(yè)互聯(lián)網(wǎng)是第四次工業(yè)革命的關(guān)鍵基石和重要支撐。在黨中央、國(guó)務(wù)院決策部署下，在各部門的大力推動(dòng)和產(chǎn)業(yè)各方的共同努力下，工業(yè)互聯(lián)網(wǎng)在工業(yè)發(fā)展的各領(lǐng)域已得到廣泛應(yīng)用，在電力、石化等行業(yè)應(yīng)用成效顯著。工業(yè)互聯(lián)網(wǎng)技術(shù)在為工業(yè)生產(chǎn)帶來(lái)極大便利的同時(shí)，也存在著一定程度的風(fēng)險(xiǎn)，比如網(wǎng)絡(luò)入侵現(xiàn)象也日漸加劇，對(duì)于工業(yè)生產(chǎn)造成一定程度的損失，本文筆者就工業(yè)控制系統(tǒng)網(wǎng)絡(luò)入侵狀況進(jìn)行分析，并給出建議和對(duì)策。

1工業(yè)控制系統(tǒng)的子系統(tǒng)或功能組件

工業(yè)發(fā)展中，工業(yè)控制系統(tǒng)的子系統(tǒng)或功能組件的種類繁多，大致包括數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程測(cè)控單元（RTU）等相關(guān)信息系統(tǒng)。

數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)的組成部分包括計(jì)算機(jī)設(shè)備、工業(yè)過(guò)程控制組件，對(duì)于網(wǎng)絡(luò)組成的控制系統(tǒng)是最常見(jiàn)的手段，其基本思想是分散控制、集中操作、分級(jí)管理、配置靈活以及組態(tài)方便，可以實(shí)現(xiàn)工業(yè)生產(chǎn)的數(shù)據(jù)采集、監(jiān)測(cè)和控制，最終保證工業(yè)生產(chǎn)過(guò)程的正常。其次在工業(yè)控制系統(tǒng)中最耳熟能詳?shù)木褪欠植际娇刂葡到y(tǒng)，他的組成原理是一個(gè)由過(guò)程控制級(jí)和過(guò)程監(jiān)控級(jí)組成的以通信網(wǎng)絡(luò)為紐帶的多級(jí)計(jì)算機(jī)系統(tǒng)，綜合了計(jì)算機(jī)、通信、終端顯示和控制技術(shù)而發(fā)展起來(lái)的新型控制系統(tǒng)。這一系統(tǒng)的發(fā)展，提升了場(chǎng)上地區(qū)的綠色剝奪，可以實(shí)現(xiàn)工業(yè)生產(chǎn)自動(dòng)化需求，主要用于控制分散設(shè)備，針對(duì)采集系統(tǒng)、數(shù)據(jù)傳輸系統(tǒng)和HMI軟件，提供一個(gè)集中的監(jiān)視和控制系統(tǒng)，用于許多過(guò)程的輸入和輸出。在工業(yè)實(shí)踐中它可收集現(xiàn)場(chǎng)信息，將信息傳遞到一個(gè)中央計(jì)算機(jī)設(shè)備，并以圖形或文本方式給操作員顯示該信息，以便操作員監(jiān)視或從實(shí)時(shí)的中心位置控制整個(gè)系統(tǒng)。整體的基礎(chǔ)和核心要算分布式控制系統(tǒng)。對(duì)于整個(gè)系統(tǒng)的實(shí)時(shí)性、可靠性和擴(kuò)充性來(lái)說(shuō)，網(wǎng)絡(luò)起到的作用越來(lái)越大，這就要求分布式控制系統(tǒng)具備實(shí)時(shí)性的要求，也就是說(shuō)在確定的時(shí)間限度實(shí)現(xiàn)對(duì)信息的傳遞。所謂的“確定”的時(shí)間限度，ue也就是說(shuō)信息傳輸可以掙脫環(huán)境的束縛，指無(wú)論在何種情況下，信息傳送都能在這個(gè)時(shí)間限度內(nèi)完成，而這個(gè)時(shí)間限度則是根據(jù)被控制過(guò)程的實(shí)時(shí)性確定的，因此，衡量系統(tǒng)網(wǎng)絡(luò)性能的指標(biāo)并不是網(wǎng)絡(luò)的速率，即通常所說(shuō)的每秒比特?cái)?shù)。

2工業(yè)控制系統(tǒng)網(wǎng)絡(luò)入侵的可能情況

網(wǎng)絡(luò)是一個(gè)工具，它能給我們帶來(lái)方便和快捷，但也極容易別社會(huì)上一些另有企圖的人利用，各種網(wǎng)絡(luò)安全態(tài)勢(shì)變得越來(lái)越復(fù)雜，數(shù)據(jù)泄露、黑客攻擊等事件愈演愈烈，給個(gè)人、企業(yè)和社會(huì)造成極大的傷害和破壞。在當(dāng)前信息化技術(shù)與工業(yè)空前融合的趨勢(shì)下，物聯(lián)網(wǎng)、大數(shù)據(jù)的應(yīng)用在工業(yè)生產(chǎn)中越來(lái)越普遍，各個(gè)工業(yè)生產(chǎn)環(huán)節(jié)的諸多設(shè)備都會(huì)連網(wǎng)接入網(wǎng)絡(luò)，用網(wǎng)絡(luò)來(lái)監(jiān)測(cè)維護(hù)設(shè)備。可是在在為工業(yè)發(fā)展帶來(lái)利好因素的同時(shí)，也為工業(yè)物聯(lián)網(wǎng)帶來(lái)挑戰(zhàn)，不少專家稱快速發(fā)展的工業(yè)生產(chǎn)背后有一個(gè)巨大的威脅。當(dāng)工業(yè)系統(tǒng)被黑客人侵時(shí)候，黑客可能會(huì)改寫(xiě)控制程序，引發(fā)后續(xù)一系列問(wèn)題，這對(duì)工廠簡(jiǎn)直是一個(gè)災(zāi)難。根據(jù)網(wǎng)絡(luò)安全公司卡巴斯基實(shí)驗(yàn)室最新報(bào)告稱，在最容易受到網(wǎng)絡(luò)攻擊的行業(yè)，制造業(yè)首屈一指，數(shù)量甚至達(dá)到工業(yè)控制系統(tǒng)和制造業(yè)的計(jì)算機(jī)的入侵?jǐn)?shù)量占所有攻擊的三分之一。報(bào)告中對(duì)易受到攻擊的工業(yè)類型做了分析，大多是材料、設(shè)備和貨物的制造這一類公司。其中工程、教育和食品飲料受影響較大。報(bào)告就網(wǎng)絡(luò)入侵工業(yè)系統(tǒng)的途徑進(jìn)行分析，得出結(jié)論為主要通過(guò)是企業(yè)和工業(yè)網(wǎng)絡(luò)之間的接口，比如我們工業(yè)生產(chǎn)中經(jīng)常發(fā)生的，工業(yè)網(wǎng)絡(luò)的互聯(lián)網(wǎng)接入，移動(dòng)電話網(wǎng)絡(luò)將工業(yè)網(wǎng)絡(luò)上的計(jì)算機(jī)連接到因特網(wǎng)上等等。筆者通過(guò)調(diào)查發(fā)現(xiàn)，近年來(lái)工業(yè)系統(tǒng)網(wǎng)絡(luò)人侵情況從行業(yè)分布來(lái)看，能源、關(guān)鍵制造業(yè)及水處理是主要行業(yè)。此外我國(guó)國(guó)家信息安全漏洞共享平臺(tái)所收錄的安全漏洞數(shù)量也持續(xù)走高。2018年1月至2018年5月，根據(jù)統(tǒng)計(jì)，信息安全漏洞總數(shù)達(dá)6730個(gè)，工業(yè)控制系統(tǒng)漏洞總數(shù)為190個(gè)，主要分布在能源、制造、商業(yè)設(shè)施、水務(wù)、市政等重點(diǎn)領(lǐng)域。其中，能源行業(yè)工控安全漏洞為65個(gè)，占比34.2%。在工業(yè)控制系統(tǒng)子漏洞庫(kù)中，新增的高危漏洞有95個(gè)，占該子漏洞庫(kù)新增數(shù)量的50%。

3工業(yè)控制系統(tǒng)中網(wǎng)絡(luò)入侵檢測(cè)的設(shè)計(jì)與實(shí)現(xiàn)

工業(yè)控制系統(tǒng)可以實(shí)現(xiàn)對(duì)工業(yè)發(fā)展實(shí)時(shí)數(shù)據(jù)采集，加強(qiáng)工業(yè)生產(chǎn)的自動(dòng)化水平和智能化水平，控制系統(tǒng)通過(guò)改變主電路或控制電路的接線和改變電路中電阻值來(lái)控制電動(dòng)機(jī)的啟動(dòng)、調(diào)速、制動(dòng)和反向的主令裝置，完成協(xié)調(diào)和指揮整個(gè)工業(yè)生產(chǎn)的自動(dòng)化操作。

在網(wǎng)絡(luò)入侵系統(tǒng)的設(shè)計(jì)中要注意從以下幾方面人手，一是部署入侵檢測(cè)系統(tǒng)。作為防火墻的補(bǔ)充，入侵檢測(cè)系統(tǒng)作為一種安全防護(hù)工具，用于發(fā)現(xiàn)和抵御黑客攻擊，可以為網(wǎng)絡(luò)安全提供內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)和動(dòng)態(tài)檢測(cè)，在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)收到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。這就要求我們具備一批專業(yè)性的網(wǎng)絡(luò)安全人才，實(shí)現(xiàn)資源配置的精準(zhǔn)化，減少無(wú)效勞動(dòng)力輸出，節(jié)約社會(huì)成本，提升專業(yè)的理論和技術(shù)知識(shí)，從而導(dǎo)致我國(guó)工業(yè)互聯(lián)網(wǎng)安全水平不斷提高。例如：許多醫(yī)院從事檔案管理的人員都是兼職的，這就使得工作人員在工作中缺少經(jīng)驗(yàn)，同時(shí)導(dǎo)致工作人員對(duì)于資料存檔范圍不清楚等問(wèn)題，這些問(wèn)題的產(chǎn)生會(huì)對(duì)檔案管理造成嚴(yán)重影響。

二是配置漏洞掃描工具。任何系統(tǒng)和網(wǎng)絡(luò)都有漏洞，但通過(guò)漏洞掃描等手段，可以對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)，選擇一批典型工業(yè)企業(yè)、平臺(tái)企業(yè)開(kāi)展安全檢查評(píng)估試點(diǎn)，發(fā)現(xiàn)通報(bào)整改，形成全社會(huì)范圍內(nèi)的示范帶動(dòng)作用，切實(shí)促進(jìn)工業(yè)企業(yè)的發(fā)展。三是加強(qiáng)防火墻技術(shù)和網(wǎng)絡(luò)隔離技術(shù)的研發(fā)。為了使信息系統(tǒng)在保障安全的基礎(chǔ)上被正常訪問(wèn)，需要一定的設(shè)備來(lái)對(duì)系統(tǒng)實(shí)施保護(hù)。可以說(shuō)，設(shè)置防火墻的目的就是隔離內(nèi)部和外部網(wǎng)，保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊。網(wǎng)絡(luò)隔離，就是兩個(gè)或兩個(gè)以上的計(jì)算機(jī)或網(wǎng)絡(luò)，不相連、不相通、相互斷開(kāi)。如果用戶確定交換的內(nèi)容是完全可信和可控的，那么網(wǎng)絡(luò)隔離是用戶解決網(wǎng)絡(luò)安全問(wèn)題的最佳選擇。四是設(shè)立專門的信息技術(shù)管理部分，落實(shí)信息管理人員的責(zé)任。在企業(yè)內(nèi)部，要明確各信息管理人員崗位分工和崗位職責(zé)，注重隱私和身份權(quán)限，避免員工私有數(shù)據(jù)與公司數(shù)據(jù)相混淆，不同部門、不同業(yè)務(wù)的數(shù)據(jù)相混淆。公開(kāi)分享企業(yè)信息的行為，一定要慎重。最好基于云計(jì)算，對(duì)數(shù)據(jù)進(jìn)行分離。嚴(yán)控訪問(wèn)信息的權(quán)限，特殊事務(wù)的數(shù)據(jù)，只有少數(shù)人才能訪問(wèn)。另外，定期對(duì)安全人員進(jìn)行檢查、培訓(xùn)，提高企業(yè)人員的計(jì)算機(jī)應(yīng)用水平及網(wǎng)絡(luò)安全保密意識(shí)，嚴(yán)防內(nèi)鬼。除此之外，網(wǎng)絡(luò)入侵防范措施還包括加密與認(rèn)證技術(shù)、客戶端的防護(hù)、最小授權(quán)原則、遠(yuǎn)程訪問(wèn)控制、數(shù)據(jù)備份與恢復(fù)等一系列措施。最后政府工信部要進(jìn)一步完善安全管理體系，加快出臺(tái)安全指導(dǎo)性文件，研制安全標(biāo)準(zhǔn)為了確保這些資料能夠得到有效的利用，工業(yè)生產(chǎn)必須要建立規(guī)范化、科學(xué)化和系統(tǒng)化的網(wǎng)絡(luò)安全防范機(jī)制。首先要將網(wǎng)絡(luò)安全納入一體化的管理目標(biāo)中，同時(shí)要合理的建立內(nèi)部管理機(jī)制。其次，要結(jié)合工業(yè)部門的實(shí)際情況制定嚴(yán)格的規(guī)章制度，以此確保相關(guān)工作人員按照制度進(jìn)行操作，從而使工業(yè)生產(chǎn)各項(xiàng)工作能夠按照相關(guān)制度和規(guī)范進(jìn)行規(guī)范化操作，從而確保工業(yè)生產(chǎn)網(wǎng)絡(luò)絕對(duì)安全。最后，由于工業(yè)生產(chǎn)中網(wǎng)絡(luò)入侵有一部分是熟人作案，就是員工的監(jiān)守自盜現(xiàn)象，對(duì)于這鐘情況表，要加強(qiáng)對(duì)員工檔案的規(guī)范，這對(duì)于工業(yè)生產(chǎn)和信息化的建設(shè)都有極大的意義。因此不同的工業(yè)部門要根據(jù)自己的發(fā)展情況，大力采購(gòu)一些先進(jìn)的檔案管理設(shè)備，這樣才能使檔案管理跟得上社會(huì)發(fā)展步伐。信息化的建設(shè)最重要的就是硬件和軟件設(shè)備，工業(yè)部門要想全面的實(shí)施檔案管理信息化建設(shè)，就必須要投入大量的資金對(duì)現(xiàn)有的硬件和軟件設(shè)備進(jìn)行有效的更好與換代，以此來(lái)確保工業(yè)檔案管理實(shí)施現(xiàn)代化建設(shè)，在大數(shù)據(jù)背景下，通過(guò)整合海量信息資源以此來(lái)建立跨平臺(tái)、跨系統(tǒng)、跨數(shù)據(jù)結(jié)構(gòu)的共享檔案信息平臺(tái)，使信息以網(wǎng)絡(luò)的形式進(jìn)行存儲(chǔ)，用戶直接在互聯(lián)網(wǎng)上就可以查找自己想要得到的相關(guān)信息，使用戶得到全新的查詢體驗(yàn)。

4結(jié)束語(yǔ)

隨著我國(guó)的不斷進(jìn)步，工業(yè)發(fā)展地越來(lái)越快，工業(yè)的發(fā)展帶動(dòng)了人均收入的增高，生活質(zhì)量上有了很大的提高，對(duì)工業(yè)生產(chǎn)的需求也日益多樣化。工業(yè)互聯(lián)網(wǎng)平臺(tái)體系正在快速建立，新型網(wǎng)絡(luò)技術(shù)已在工業(yè)場(chǎng)景中探索應(yīng)用，5G商用牌照的發(fā)放，為工業(yè)互聯(lián)網(wǎng)發(fā)展提供重要網(wǎng)絡(luò)技術(shù)支持，同時(shí)，工業(yè)互聯(lián)網(wǎng)也面臨著很多風(fēng)險(xiǎn)考驗(yàn)，外部風(fēng)險(xiǎn)加劇，互聯(lián)網(wǎng)和工業(yè)的深度融合，打破了傳統(tǒng)工業(yè)領(lǐng)域相對(duì)封閉可信的環(huán)境，互聯(lián)網(wǎng)的安全威脅滲透延伸至工業(yè)領(lǐng)域，加之由于存在技術(shù)漏洞，易被黑客攻陷，對(duì)工業(yè)系統(tǒng)造成危害，工業(yè)互聯(lián)網(wǎng)一旦遭受網(wǎng)絡(luò)攻擊不僅會(huì)造成系統(tǒng)或服務(wù)中斷、數(shù)據(jù)泄露等傳統(tǒng)互聯(lián)網(wǎng)安全問(wèn)題，甚至?xí)l(fā)生產(chǎn)安全問(wèn)題。因此，筆者認(rèn)為，對(duì)工業(yè)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)完全防范與檢測(cè)是一個(gè)長(zhǎng)期性的工作，企業(yè)必須做好切實(shí)可行的網(wǎng)絡(luò)安全防護(hù)措施，實(shí)時(shí)對(duì)工業(yè)互聯(lián)網(wǎng)安全進(jìn)行規(guī)劃和防護(hù)，這也是為整個(gè)工業(yè)生產(chǎn)體系和企業(yè)戰(zhàn)略規(guī)劃體系的安全發(fā)展奠基，企業(yè)工業(yè)控制系統(tǒng)的生存之道就是提供超越客戶預(yù)期的產(chǎn)品，無(wú)論是從產(chǎn)品性能、作用還是質(zhì)量，都要不能出現(xiàn)誤差，要保證最佳的工業(yè)制造，切實(shí)提高工業(yè)系統(tǒng)的安全性，增強(qiáng)工業(yè)生產(chǎn)的效能，促進(jìn)現(xiàn)代經(jīng)濟(jì)的發(fā)展。