淺談工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

徐潤澤

摘 要 近年來，工業(yè)行業(yè)中的計算機技術(shù)的應(yīng)用越來越廣泛，雖然給工業(yè)行業(yè)的發(fā)展帶來了很大的促進(jìn)作用，但在工業(yè)控制系統(tǒng)中因網(wǎng)絡(luò)引發(fā)的安全事故發(fā)生率也在增長，因此加強網(wǎng)絡(luò)安全防護(hù)對于工業(yè)控制系統(tǒng)的正常運行非常重要。文章首先分析了現(xiàn)階段工業(yè)控制系統(tǒng)中網(wǎng)絡(luò)安全的現(xiàn)狀，并闡述了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全需求，進(jìn)而探討了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的建設(shè)，以期為先關(guān)的工作人員提供有價值參考。

關(guān)鍵詞 工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全：安全防護(hù);技術(shù);措施

前言

隨著工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)的高度融合，工業(yè)控制系統(tǒng)也受到了網(wǎng)絡(luò)安全的諸多方面的威脅，不僅直接影響了工業(yè)生產(chǎn)以及相關(guān)信息的安全，同時也對我們國家的經(jīng)濟發(fā)展甚至國家的安全造成了嚴(yán)重的威脅。因此只有通過加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)，提高工業(yè)控制系統(tǒng)運行的穩(wěn)定性和安全性，才能有效的降低網(wǎng)絡(luò)安全事故對工業(yè)控制系統(tǒng)的影響。

1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析

近年來我國工業(yè)控制系統(tǒng)安全事故頻發(fā)，對于我們國家的各方面安全、經(jīng)濟的發(fā)展以及社會的穩(wěn)定都有很大的影響，雖然也在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面給予了一定的完善措施，但其現(xiàn)狀仍不容樂觀，具體表現(xiàn)在以下幾方面的問題：①對于一些網(wǎng)絡(luò)安全隱患無法做到徹底根除。在我國工業(yè)控制體統(tǒng)中的設(shè)備存在著嚴(yán)重的漏洞后門問題，對于一些硬件的漏洞不僅要花費較高的修復(fù)成本，同時修復(fù)的難度也非常大，這就導(dǎo)致工業(yè)控制系統(tǒng)中一些網(wǎng)絡(luò)安全隱患無法做到徹底根除。②工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全難以深入。在我國有一部分廠家的工業(yè)控制系統(tǒng)都是采用一站式的控制模式，這對于工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全的檢測、檢測以及控制和防范等都造成了很大的制約，導(dǎo)致相關(guān)的網(wǎng)絡(luò)安全防護(hù)無法深入進(jìn)行。③工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)體系落后。由于我國在工業(yè)控制系統(tǒng)的研發(fā)方面起步晚，相關(guān)的技術(shù)以及設(shè)備等還不夠成熟，缺乏工業(yè)控制系統(tǒng)高端產(chǎn)品的自主研發(fā)，與此同時，在一些工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方面的先進(jìn)技術(shù)也多數(shù)受制于人，對于目前日益發(fā)展的國情這種技不如人、受制于人的局面對于我國各方面的發(fā)展都具有嚴(yán)重的制約，尤其是工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題，如果提高網(wǎng)絡(luò)安全防護(hù)是目前的首要工作[1]。

2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全需求

與傳統(tǒng)信息系統(tǒng)相比工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全具有一定的特殊性，其主要表現(xiàn)在以下幾方面的特性需求：①工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的邊界防護(hù)需求。網(wǎng)絡(luò)的邊界防護(hù)對于工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全具有重要的作用，但是在現(xiàn)階段的工程控制系統(tǒng)中對于網(wǎng)絡(luò)邊界防護(hù)并沒有做到實際的要求標(biāo)準(zhǔn)，導(dǎo)致工業(yè)控制系統(tǒng)中各項業(yè)務(wù)系統(tǒng)都存在一定的安全隱患。②工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的遠(yuǎn)程訪問防護(hù)需求。在工業(yè)控制系統(tǒng)中遠(yuǎn)程維護(hù)是其主要系統(tǒng)維護(hù)方式之一，但是這些遠(yuǎn)程維護(hù)的通道都是各個供應(yīng)商來提供，如果沒有做好相關(guān)的遠(yuǎn)程訪問防護(hù)很容易在進(jìn)行遠(yuǎn)程維護(hù)的過程中受到惡意入侵的威脅。③工業(yè)控制系統(tǒng)中網(wǎng)絡(luò)監(jiān)測與審計需求。在進(jìn)行工業(yè)控制系統(tǒng)的生產(chǎn)過程中，需要進(jìn)行一定的網(wǎng)絡(luò)監(jiān)測與審計工作，由于該工作涉及到大量的網(wǎng)絡(luò)監(jiān)測與審計的軟件，而部分生產(chǎn)廠商缺乏這些設(shè)備導(dǎo)致不能有效進(jìn)行生產(chǎn)過程中的數(shù)據(jù)監(jiān)測工作，同時對于出現(xiàn)問題和故障后也不能及時的做好審計工作，給工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全埋下一定的隱患。④工業(yè)控制系統(tǒng)中網(wǎng)絡(luò)操作系統(tǒng)漏洞管理需求。在工業(yè)控制系統(tǒng)的控制網(wǎng)絡(luò)生產(chǎn)過程中最常使用的操作系統(tǒng)是微軟以及Linux操作系統(tǒng)，由于控制網(wǎng)絡(luò)對于控制系統(tǒng)的要求非常高，在進(jìn)行操作系統(tǒng)漏洞的升級工作方面有著非常大的難度，導(dǎo)致操作系統(tǒng)會出現(xiàn)更多的安全漏洞[2]。⑤工業(yè)控制系統(tǒng)網(wǎng)絡(luò)惡意代碼風(fēng)險防范需求。在工業(yè)控制操作系統(tǒng)中通常需要安裝相應(yīng)的殺毒軟件來進(jìn)行一定的安全防護(hù)，但是如果沒有安裝或者安裝的殺毒軟件無法滿足相關(guān)的安全防護(hù)需求，就會導(dǎo)致工業(yè)控制系統(tǒng)被一些惡意代碼進(jìn)行攻擊破壞，從而影響工業(yè)控制系統(tǒng)的整體運行，嚴(yán)重還可能造成經(jīng)濟的損失和人員傷亡。

3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)

3.1 工業(yè)控制系統(tǒng)的三層架構(gòu)

工業(yè)控制系統(tǒng)的三層架構(gòu)主要分為以下三層：①計劃管理層：計劃管理層是為了讓相關(guān)的工作人員在制定工作計劃等工作上更加便捷，提高工作效率，通常情況下計劃管理層需要連接管理服務(wù)器。②制造管理層：制造管理層與計劃管理層相同點在于都需要連接上相應(yīng)的管理服務(wù)器，除此以外制造管理層還要在每個防火墻上連接上專屬的計算機系統(tǒng)。③工業(yè)控制層：工業(yè)控制層是這三層里面最為復(fù)雜的，不僅僅要像上面兩層一樣連接相應(yīng)的管理服務(wù)器以及終端，同時對于各個監(jiān)控終端也要做好相互連接的工作[3]。在對第一層和第二層進(jìn)行訪問時，可以采用實名制的方法進(jìn)行訪問，這樣可以有效的提升網(wǎng)絡(luò)安全系數(shù)，提高網(wǎng)絡(luò)安全保障。另外必須對整個工業(yè)控制系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測工作，這樣可以最大限度地避免惡意病毒或者軟件代碼等對工業(yè)控制系統(tǒng)進(jìn)行攻擊，給工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全造成威脅，從而保障工業(yè)控制系統(tǒng)中各層都能正常的完成自身的工作內(nèi)容。工業(yè)控制系統(tǒng)的分層式結(jié)構(gòu)不僅可以有效提升工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全，有效降低因為網(wǎng)絡(luò)導(dǎo)致的工業(yè)控制系統(tǒng)出現(xiàn)的安全問題，同時對于工業(yè)控制系統(tǒng)的整體性能也有很大的提升。

3.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)相關(guān)技術(shù)

在進(jìn)行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的過程中，一些防護(hù)技術(shù)的應(yīng)用對于網(wǎng)絡(luò)安全防護(hù)具有重要的作用，以下列舉幾個在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中比較關(guān)鍵的網(wǎng)絡(luò)安全防護(hù)技術(shù)：①惡意代碼防護(hù)技術(shù)：在工程控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)中惡意代碼防護(hù)技術(shù)是最近也是最關(guān)鍵的一門技術(shù)，在傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)中通常采用的黑名單查殺病毒模式會導(dǎo)致一些誤殺誤刪等問題的發(fā)生，另外這種防護(hù)模式對于普通的系統(tǒng)來說會有嚴(yán)重的傷害。在現(xiàn)階段采用的白名單查殺病毒模式相對于之前的模式就有了很大的提高，不僅有效降低了誤殺誤刪的問題發(fā)生率，同時也不會對工業(yè)控制系統(tǒng)產(chǎn)生負(fù)面影響。②主機外設(shè)管理技術(shù)：部分工作人員在使用工業(yè)控制系統(tǒng)的過程中常常會講一些U盤、手機、筆記本電腦等設(shè)備連接到系統(tǒng)的主機上，這樣會導(dǎo)致一些木馬病毒或者計算機病毒等入侵工業(yè)控制系統(tǒng)，給系統(tǒng)的運行造成影響。所以必須完善相關(guān)的主機外設(shè)管理制度，同時加強對系統(tǒng)的監(jiān)控力度，避免因連接外部設(shè)備給工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全造成威脅。③漏洞發(fā)掘和安全監(jiān)測：網(wǎng)絡(luò)漏洞對于工業(yè)控制系統(tǒng)的影響后果非常嚴(yán)重，所以不能僅僅局限在漏洞出現(xiàn)后的補救措施，要采取主動尋找漏洞的策略來進(jìn)行漏洞的發(fā)掘，從而能最大限度地發(fā)現(xiàn)漏洞并及時采取措施避免情況的惡化，在流量檢測方面需要選用專業(yè)能力較強的工作人員來進(jìn)行分析，另外對于系統(tǒng)整體的防護(hù)方面，發(fā)現(xiàn)問題要及時分析產(chǎn)生的根源并采取有效的解決措施，這樣可以大大降低漏洞對于系統(tǒng)的影響程度[4]。

3.3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施

在工業(yè)控制系統(tǒng)中對于一些相對重要的設(shè)備以及網(wǎng)絡(luò)區(qū)域等可以采取相應(yīng)的措施進(jìn)行與外界環(huán)境的隔離處理，具體可以采取以下措施進(jìn)行：①工業(yè)安全網(wǎng)隔離法：在工業(yè)控制系統(tǒng)中對于孔子系統(tǒng)以及數(shù)采機就可以采用這種隔離方法進(jìn)行隔離，通過這種隔離方法不僅可以保證系統(tǒng)正常的完成數(shù)據(jù)采集、物理格局以及網(wǎng)關(guān)等重要的工作任務(wù)，與此同時可以有效降低因網(wǎng)絡(luò)安全造成的故障問題發(fā)生率。②“2+1”物理隔離法：在工業(yè)控制系統(tǒng)中數(shù)采機與控制系統(tǒng)的構(gòu)架之間通常是采用這種隔離方法進(jìn)行隔離的，通過該方法隔離后沒有私密密碼的數(shù)據(jù)就無法進(jìn)入到控制系統(tǒng)，有效防止外來入侵，提升了控制系統(tǒng)整體的安全系數(shù)[5]。③防火墻隔離：在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中不僅僅要防止網(wǎng)絡(luò)因其的安全事故的發(fā)生，同時也要保障數(shù)采機能夠順利地通過外網(wǎng)獲取信息，因此可以采用防火墻的方法來對工業(yè)數(shù)據(jù)進(jìn)行篩選，從而可以保障工業(yè)控制系統(tǒng)中所有訂單訪問對象都是合法的，對于一些不合法的訪問直接拒絕，這樣會保證工業(yè)控制系統(tǒng)隨時保持在一個安全戒備的運行狀態(tài)中。

4 結(jié)束語

綜上所述，網(wǎng)絡(luò)安全問題對于工業(yè)控制系統(tǒng)的影響非常嚴(yán)重，通過采用相關(guān)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，以及采用各種隔離方法進(jìn)行網(wǎng)絡(luò)區(qū)域以及設(shè)備的隔離等可以有效降低網(wǎng)絡(luò)安全問題對工業(yè)控制系統(tǒng)的威脅，同時也能夠?qū)崿F(xiàn)各個操作系統(tǒng)的正常運行，同時加強對工業(yè)控網(wǎng)絡(luò)的各方面數(shù)據(jù)的監(jiān)測，可以有效提升工業(yè)控制系統(tǒng)運行過程中的穩(wěn)定性和安全性。

參考文獻(xiàn)

[1] 徐海洲.基于軟件定義網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)信息安全防護(hù)設(shè)計及實現(xiàn)[D].武漢：華中科技大學(xué)，2019.

[2] 馬祥厚，劉曉壘.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系研究[J].信息系統(tǒng)工程，2018，（8）：77.

[3] 傅一帆，霍玉鮮.網(wǎng)絡(luò)安全等級保護(hù)工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)體系設(shè)計[J].警察技術(shù)，2017，（5）：19-22.

[4] 朱世順，劉行.新形勢下電力工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)保障體系研究[J].保密科學(xué)技術(shù)，2017，（5）：62-64.

[5] 謝豐.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊與安全防護(hù)思考[J].保密科學(xué)技術(shù)，2016，（9）：18-21.