工業控制系統信息安全防護研究

（南網科研院 廣東 510000）

隨著我國經濟社會的快速發展和科技水平的不斷提升，工業控制系統在我國工業企業中的應用范圍進一步擴大，工業控制信息技術的發展不斷加快，不僅為提升整個工業領域的生產效益和經濟效益做出了重要貢獻，更對提升工業運營管理的質量有著不容忽視的積極作用。而在我國工業企業所采用控制系統性能不斷完善的同時，系統整體安全性標準也進一步提高。如何在工業控制系統設計與期間針對性地做出風險信息管理和防控，盡可能地提高整個工業控制信息系統的安全性和可靠性，使整個工業控制系統安全穩定運行并如期達到相關目標成為相關企業管理人員思考的重要問題。在此背景下，針對工業控制系統信息安全防護的相關研究和探討也就具備了重要理論意義和現實價值。

1 工業控制系統信息安全現狀

1.1 工業控制系統信息安全事件高發

近年來，工業控制系統信息安全事故發生數目呈逐漸上升趨勢，向來被人們認為是相對安全和可靠的封閉式工業控制信息系統逐步開放，逐漸成為世界各國黑客的重要攻擊目標。美國工業控制網絡安全數據庫相關數據表明，自2010年起，工業控制系統信息安全事故大幅度增加，由2010年的39 起直接增加到了2015年的295 起，五年時間內的工業控制系統信息安全事故統計示意圖如圖1所示。由該圖可知，短短五年時間里，工業控制系統信息安全事故發生的次數呈倍數增長，不斷沖擊著各行各業工業控制系統的進一步應用，給工業控制信息系統的安全使用和防護管理帶來了嚴重挑戰。

圖1 工業控制系統信息安全事故統計圖

1.2 工業控制系統漏洞數量逐年遞增

眾所周知，企業是工業控制系統的重要使用者，由于該系統的實際應用空間相對封閉和狹小，因此，在設計之初并沒有考慮到工業控制系統的信息安全和防護管理的問題。隨著現代社會工業控制系統開放性的不斷增強，系統安全運行和信息安全漏洞問題等不斷涌現，黑客在極大程度上能直接通過系統漏洞發起對某一企業工業控制系統的針對性攻擊，進而導致企業工業生產過程和經濟效益受到較大損失。2016年中國互聯網安全大會相關安全論壇中提到，2000年到2016年間有1552個工業控制軟件、硬件設備出現漏洞問題，涉及123 家工業控制系統廠商，而在工業控制系統廠商對其漏洞進行一定修復后，516個硬件設備漏洞仍未被修復。也就是說，工業控制系統在安全使用過程中的漏洞問題已十分嚴重，如何進一步解決工業控制系統信息安全防護問題已成為現階段工業控制系統使用企業面臨的重要挑戰。

2 工業控制系統及其特征

在工業控制系統中，研究信息安全防護問題的首要工作是將工業控制系統和傳統的計算機系統進行嚴格區分。就目前而言，傳統模式下的信息安全管理原則已不適用于我國現階段工業控制系統信息安全防護與管理不斷提升的要求，應遵循AIC 等基本原則，保證全面實現工業控制系統的信息安全管理目標。與此同時，針對工業控制系統的相關特點進行分析，工業控制系統是物理信息融合系統的重要組成部分，而信息技術系統在普遍情況下并不屬于信息系統。也就是說，針對工業控制系統的信息安全管理必須和傳統的信息系統管理模式進行嚴格有效區分。將工業控制系統的信息安全管理和信息技術系統甚至信息系統的本質進行科學區別是嚴格保證在信息安全管理方面實現工業控制系統目標的根本。在此背景下，筆者以某冶金工廠為例，勾畫出圖2所示的常見的工業控制系統網絡結構圖。

3 工業控制系統信息安全防護策略

3.1 入侵檢測技術

在工業控制系統的大環境下，入侵檢測技術主要是針對工業控制系統的各個關鍵節點進行一定的數據收集、整理和反饋，進而從數據中提取出反映工業控制系統行為的相關數據特征，在掌握設計識別技術和檢測算法技術的基礎上，對關鍵節點數據進行識別，盡可能地發現工業控制系統環境可能存在的入侵行為。

3.2 漏洞掃描與漏洞挖掘技術

一般而言，漏洞掃描技術主要是基于完整的工業控制系統及工業控制網絡安全漏洞數據庫，根據高頻漏洞掃描引擎和檢測規則等自動進行匹配，以掃描出企業所用工業控制系統內部關鍵設備、關鍵軟件和關鍵硬件等是否存在已知漏洞的方法。漏洞挖掘技術則可進一步分為靜態分析漏洞挖掘方法和動態分析漏洞挖掘方法兩大類。靜態分析漏洞挖掘方法在工業控制系統程序非運行狀態下對漏洞進行檢測和對比掃描，強化對靜態代碼審計、逆向分析和補丁等的對比研究，動態分析漏洞挖掘技術則是在系統軟件運行的情況下，對工業控制系統進行程序格式、黑盒子測試等針對性的漏洞掃描，以此發現工業控制系統可能存在的信息安全隱患，保障工業控制信息系統的安全運行。

3.3 訪問控制技術

通常情況下，訪問控制技術主要包括對工業控制系統內部相關數據信息的訪問控制策略、訪問控制模型和訪問控制框架等三大部分，而企業在開展工業控制系統安全信息防護過程中采用訪問控制技術的主要目的即最大限度地限制對工業控制系統內部任何受企業保護資源的數據訪問，盡可能地防止未授權人員對企業工業控制系統內部任何資源進行不合法訪問與瀏覽。

3.4 工業防火墻技術

眾所周知，傳統模式下的防火墻信息技術對進一步保護工業控制系統相關數據信息的內部和外部非法入侵并無較大實際意義。在工業控制系統中，企業為保護相關數據信息和資料必須進一步采用工業防火墻技術，該類防火墻技術和傳統模式下的防火墻信息技術相比具有以下三大優點：首先是工業防火墻技術具備對工業控制系統進行動態檢測和實時訪問控制的相關功能；其次，針對諸如OPC 等工業控制協議，工業防火墻技術相關內容具備支持性和兼容性；最后，工業防火墻技術能最大限度滿足工業控制系統較高的實時性需求和運行穩定性需求。

4 結語

總之，隨著現代社會信息技術和計算機技術應用水平的進一步提升，工業控制系統在企業實際應用過程中所面臨的信息安全風險和威脅不斷擴大。企業應在針對自身實際情況的基礎上，最大限度地對工業控制系統的信息安全進行不斷探索和實踐，最大程度上保證本企業工業控制系統的安全使用，保證本企業相關數據信息不被非法攻擊，進而最大程度上利用工業控制系統指導本企業日常生產和運營。