工業控制網絡安全脆弱性技術分析

宋輝輝

（山東港口集團煙臺港股份有限公司礦石碼頭分公司，煙臺 264000）

現階段互聯網高速發展，網絡安全成為了各個行業和領域廣泛關注的主要問題。而工業控制網絡是我國最為重要的基礎設施，其具有一定的重要性，因此工業控制網絡安全問題也成為了政府以及工業部門的關注焦點之一。通常引起工業控制網絡安全問題的原因是其網絡系統自身存在脆弱性，是指網絡中任何都能夠被當做攻擊前提的特點，所以必須要在工業控制網絡安全防御中通過脆弱性分析，以進行相應的安全加固措施和對策以最大限度的降低網絡安全風險和威脅程度。

1 基于攻擊圖的工業控制網絡安全脆弱性分析

1.1 數據驅動分析

工業控制網絡中的態勢感知與傳統的被動防御手段存在較大的區別，具體體現在需要掌握內部數據的同時，還要重視對組織以外的相關情報。就現階段來說，工業企業的私有協議以及儀器設備信息越來越多，工業企業之間的操作系統也各有不同，在利用態勢感知系統獲取數據，并對其進行整合、分析時具有一定的難度。所以組織不僅僅要受益于威脅情報，還要分享威脅情報，以此在內外部數據充分整合的基礎上，促使態勢感知系統能夠有效的發揮作用，支持相關人員能夠在面對威脅時正確的采取應急方案，所以必須要正確處理數據，以保障后期工作的有序開展[1]。

1.2 人在回路分析

人在回路的目的即是促使人與計算機進行良好的合作，這一過程中人腦起到的主要作用是進行一定的態勢感知，能夠在相對復雜的網絡環境中更加準確的理解較為復雜的任務。因此可以說人在整個回路中充當著比較重要的作用。一旦工業控制網絡受到攻擊，而沒有人的參與，就只會出現被動防御的局面，在很大程度上弱化了外部威脅情報的有效價值，而不能發揮全部作用。所以人在回路中具有較高的地位，可以賦予工業控制網絡一定的能力，在感知體系下收集數據進行安全決策等。同時管理還要為相關人員提供有效的情報信息，比如有關鍵信息基礎設施保護的規定、網絡安全事件案例以及突發網絡安全事件預警、工業控制網絡漏洞庫等信息，為相關人員的分析和決策提供支持[2]。

1.3 協同共享分析

協同共享是在工業企業現有的基礎上實現工業控制網絡自身局限性的突破，通過利用有效的機制來保障組織部門存在的威脅情報，促使其能夠在組織中共享，從而集合組織的各方力量針對工業控制網絡的整體安全水平出謀劃策，以此增強工業控制網絡的安全防御能力，避免因工業企業的關鍵基礎設施遭到破壞而影響正常的工業生產[3]。

2 工業控制網絡安全的有效防護防范

2.1 注重網絡安全審計

在當前互聯網時代的大背景下，工業控制網絡安全的重要性不可忽視，而網絡安全審計則能夠最大限度的幫助客戶了解到工業控制網絡的安全性，同時網絡安全審計還能夠針對存在的安全漏洞提出建議，促使防護體系更加安全和有效。因此在建立工業控制網絡安全防護方案時必須要注重對審計設備的安置，促使工業控制網絡能夠形成全天候實施監控的模式，保障工業企業的業務生產能夠更加快速和穩定。

2.2 在工業控制網絡中合理應用PLC

PLC 技術是一種便于操作、更加靈活敏捷的工業控制網絡編程技術，而且與其他技術相比具有編程簡單的優勢，在應用的過程中可以自動將與工業有關的數據參數等精準的錄入到系統中。另外在工業控制網絡中合理應用PLC 技術還能夠確保基礎設施正常有序運行，能夠進一步保障工業企業的工作計劃和方案，促使業務活動能夠順利實施。

2.3 建立工業控制網絡的邊界控制防護

首先要建立生產管理層與過程監控層之間的安全防護，這是由于網絡具有一定的共享性，所以其存在著諸多安全隱患和威脅，對于重要的生產資料保護則需要開展網絡防護，即在互通傳輸之間要設置單向的導入設備，能夠最大限度的阻止管理網絡對生產網絡的攻擊，并且利用物理式的單向方式還能夠合法的通過數據傳輸，從而實現準確、有效采集信息。其次是要建立過程監控層與現場控制層的安全防護，在當前網絡技術快速發展的背景下解決工業控制網絡安全問題，使用傳統的病毒防護方式已經無法滿足需求，必須要引進專業的設備，嚴格控制合法數據的傳輸和進出，對計算機病毒起到隔離作用，避免其他非法網絡入侵。可以對工業控制網絡進行合理劃分，通過運用網絡代理模式來保障OPC 通信的完善性和安全性；另外一方面是要對關鍵控制器采取防護手段，通常都會選擇工業防火墻，優化訪問控制系統，建立工業防火墻黑白名單，進而保障工業控制網絡運行的環境，提高通信效率。除此之外對專門的、特定的操作網址還要配備一定的專業控制器，以防止病毒入侵、破壞工業控制網絡的基礎設施。

3 結束語

綜上所述，現階段工業控制網絡存在很多的缺陷和問題，對工業企業的生產和業務活動產生了較大的影響。因此必須要針對可能出現問題的路徑進行仔細、合理分析，并對存在的安全隱患進行科學的風險評估，根據實際需求選擇修復方案和措施，盡可能的提高工業控制網絡的安全性和穩定性。