工業(yè)控制系統(tǒng)的信息安全策略分析

余推波?何江銀?黃岷?張艷梅

摘 要 在現(xiàn)代化社會(huì)，工業(yè)控制系統(tǒng)越來(lái)越在企業(yè)生產(chǎn)、水利設(shè)施、電力設(shè)備、道路運(yùn)輸?shù)刃袠I(yè)中被普遍應(yīng)用。與過(guò)去的傳統(tǒng)控制系統(tǒng)相比，現(xiàn)代化工業(yè)控制系統(tǒng)的安全性和穩(wěn)定性更高，對(duì)企業(yè)發(fā)展也在發(fā)揮著越來(lái)越重要的作用。本文首先對(duì)工業(yè)控制系統(tǒng)的基本內(nèi)涵進(jìn)行闡述，然后分析其安全要求和存在的威脅，最后提出相關(guān)工業(yè)控制系統(tǒng)的信息安全策略，旨在為促進(jìn)我國(guó)工業(yè)控制系統(tǒng)的長(zhǎng)期穩(wěn)發(fā)展提供借鑒。

關(guān)鍵詞 工業(yè)控制系統(tǒng);信息安全;策略分析

1工業(yè)控制系統(tǒng)基本內(nèi)涵

工業(yè)控制系統(tǒng)的發(fā)展以計(jì)算機(jī)技術(shù)為基礎(chǔ)，實(shí)現(xiàn)對(duì)于對(duì)象的監(jiān)測(cè)、管理和控制，是一種較為專業(yè)的物理控制系統(tǒng)。常見的工業(yè)控制系統(tǒng)包括過(guò)程控制部分、監(jiān)督測(cè)試部分、信息采集部分等，較為綜合性，受網(wǎng)絡(luò)技術(shù)影響較大。更為具體化來(lái)說(shuō)，控制系統(tǒng)由傳感器、執(zhí)行器、通信單元和控制部分等組成，具體的工業(yè)控制系統(tǒng)內(nèi)容如下圖1所示[1]。

2工業(yè)控制系統(tǒng)的安全要求

2.1 可用性要求

與其他系統(tǒng)技術(shù)如IT信息安全技術(shù)等，工業(yè)控制系統(tǒng)安全的首要要求是可用性。對(duì)于工業(yè)企業(yè)來(lái)說(shuō)，設(shè)備進(jìn)行更新升級(jí)或更換的過(guò)程需要消耗大量的人力、物力和財(cái)力。因此，工業(yè)控制系統(tǒng)需要充分發(fā)揮可用性，根據(jù)工業(yè)實(shí)際需求，提前性的進(jìn)行控制系統(tǒng)更新，避免造成不必要的浪費(fèi)。

2.2 實(shí)時(shí)性要求

工業(yè)控制系統(tǒng)能夠在運(yùn)行過(guò)程中對(duì)企業(yè)產(chǎn)品生產(chǎn)進(jìn)行及時(shí)的判斷和管理。工業(yè)控制系統(tǒng)的信息安全對(duì)于其實(shí)時(shí)性要求很高，這需要在嚴(yán)格且科學(xué)的操作環(huán)境下進(jìn)行。與傳統(tǒng)的信息技術(shù)相比，當(dāng)工業(yè)控制系統(tǒng)進(jìn)行信息安全策略時(shí)，可能會(huì)對(duì)其實(shí)時(shí)的應(yīng)對(duì)效果造成影響[2]。

3工業(yè)控制系統(tǒng)面臨的信息安全威脅

在對(duì)工業(yè)控制系統(tǒng)進(jìn)行信息安全保護(hù)時(shí)，往往面臨著兩方面的威脅。①系統(tǒng)相關(guān)威脅。由于工業(yè)控制系統(tǒng)從本義上來(lái)說(shuō)屬于信息系統(tǒng)的一種，因此會(huì)面臨相關(guān)系統(tǒng)的威脅。比如系統(tǒng)協(xié)議漏洞、系統(tǒng)操作漏洞、系統(tǒng)代碼質(zhì)量問(wèn)題、補(bǔ)丁管理方式問(wèn)題、信息泄露等等。②過(guò)程相關(guān)威脅。這種威脅類型主要是指工業(yè)控制系統(tǒng)在運(yùn)行過(guò)程中發(fā)生的信息安全問(wèn)題，一旦發(fā)生會(huì)造成系統(tǒng)出現(xiàn)故障，嚴(yán)重時(shí)會(huì)導(dǎo)致整個(gè)工業(yè)控制系統(tǒng)癱瘓，使信息出現(xiàn)泄露和錯(cuò)誤[3]。

4關(guān)于工業(yè)控制系統(tǒng)的信息安全策略和建議

4.1 網(wǎng)絡(luò)邊界防護(hù)

針對(duì)上文中提到的安全威脅，分析其存在的主要原因：①一些工業(yè)系統(tǒng)應(yīng)用的傳統(tǒng)IT技術(shù)不能與系統(tǒng)實(shí)際需求相匹配，造成服務(wù)器、網(wǎng)頁(yè)漏洞等問(wèn)題的出現(xiàn);②企業(yè)在工業(yè)控制系應(yīng)用過(guò)程中，忽略了其信息安全，造成了公共網(wǎng)絡(luò)泄露。因此，為了提高工業(yè)控制系統(tǒng)的信息安全，需要進(jìn)行網(wǎng)絡(luò)邊界防護(hù)。首先對(duì)企業(yè)工業(yè)控制系統(tǒng)進(jìn)行保護(hù)隔離，提高其與公共網(wǎng)絡(luò)連接的安全防護(hù)，比如添設(shè)防火墻等，減少外部系統(tǒng)攻擊。其次，當(dāng)工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)進(jìn)行連接時(shí)，進(jìn)行身份驗(yàn)證、訪問(wèn)權(quán)限設(shè)置、信息登記等信息安全保護(hù)措施，提高工業(yè)控制系統(tǒng)的信息安全性。身份驗(yàn)證除了較為傳統(tǒng)的密碼驗(yàn)證外，還可以添加生物令牌或物理令牌，綜合提高系統(tǒng)安全性。

4.2 添加冗余拓?fù)浜蛥f(xié)議功能

大多數(shù)的工業(yè)控制系統(tǒng)的通信協(xié)議由以太網(wǎng)和IP網(wǎng)絡(luò)構(gòu)成，因此為了提高工業(yè)控制系統(tǒng)的信息安全性，可以為以太網(wǎng)進(jìn)行RSTP協(xié)議，即網(wǎng)格拓?fù)洹６槍?duì)IP網(wǎng)絡(luò)，可以進(jìn)行系統(tǒng)備份協(xié)議，比如OSPF協(xié)議、VRRP協(xié)議等。這些協(xié)議能夠在信息傳輸過(guò)程中添加密匙，為工業(yè)控制系統(tǒng)提供更加安全穩(wěn)定的信息交互和傳輸通道，保護(hù)系統(tǒng)內(nèi)部信息安全。

4.3 加設(shè)安全模塊

簡(jiǎn)單來(lái)說(shuō)，加設(shè)安全模塊就是在不改變工業(yè)控制住系統(tǒng)基礎(chǔ)數(shù)據(jù)傳輸系統(tǒng)的前提下加設(shè)一層安全層。安全層用來(lái)對(duì)可能產(chǎn)生的安全攻擊進(jìn)行防護(hù)，從而提高信息的完整性和安全性。需要注意的是，在加設(shè)安全模塊過(guò)程中，要注意對(duì)安全模塊的計(jì)算進(jìn)行簡(jiǎn)化控制，避免造成較多的系統(tǒng)資源占用。同時(shí)，對(duì)安全模塊的實(shí)際匹配度進(jìn)行多次測(cè)試和計(jì)算，提高其與不同工業(yè)控制系統(tǒng)的兼容性。

4.4 優(yōu)化系統(tǒng)控制器設(shè)計(jì)

從物理系統(tǒng)角度出發(fā)，可以為工業(yè)控制系統(tǒng)進(jìn)行控制器設(shè)計(jì)優(yōu)化。優(yōu)化過(guò)程中需要著重關(guān)注系統(tǒng)的不同狀態(tài)預(yù)測(cè)和算法控制，即信息安全攻擊的破壞程度，從而進(jìn)行解決措施算法的創(chuàng)新。根據(jù)工業(yè)控制系統(tǒng)的實(shí)際需要，可以采用卡爾曼濾波和x2故障檢驗(yàn)法對(duì)系統(tǒng)進(jìn)行攻擊和故障檢查和測(cè)驗(yàn)，充分考慮系統(tǒng)的信息傳遞實(shí)時(shí)性和系統(tǒng)平臺(tái)的能力范圍[4]。

5結(jié)束語(yǔ)

綜上所述，有效的信息安全管理不僅能夠提高工業(yè)控制系統(tǒng)運(yùn)行的安全性，降低不良攻擊行為的負(fù)面影響，而且能夠?yàn)槠髽I(yè)提升經(jīng)濟(jì)效益提供更加可靠的保障。為了不斷提高工業(yè)控制系統(tǒng)的安全性，相關(guān)部門和企業(yè)需要提高信息保護(hù)重視程度，加大網(wǎng)絡(luò)技術(shù)研發(fā)力度和創(chuàng)新水平，為經(jīng)濟(jì)發(fā)展保駕護(hù)航。

參考文獻(xiàn)

[1] 翁明磊.工業(yè)控制系統(tǒng)信息安全初探[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，（5）：23-24.

[2] 楊海文，黨瑞，梁瀟.工業(yè)控制系統(tǒng)信息安全管理措施研究[J].信息系統(tǒng)工程，2019，（5）：54.

[3] 譚新章.工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)研究[J].電腦編程技巧與維護(hù)，2019，（7）：145-146.

[4] 朱毅明.工業(yè)控制系統(tǒng)信息安全業(yè)務(wù)發(fā)展思路[J]. 自動(dòng)化博覽，2014，（10）：78-79.