對工業控制網絡安全脆弱性分析技術的研究分析

黃培松

（國能（泉州）熱電有限公司，福建泉州，362000）

1 基于攻擊圖的工業控制網絡安全脆弱性分析

現代信息技術對企業的影響越來越大，工業控制網絡是工業數據通信與控制網絡的簡稱，是基于現代信息技術發展下形成的自動控制領域的網絡系統。工業控制網絡、計算機網絡技術、管理控制體系與自動控制技術緊密結合，是智慧電廠概念具體化的體現，這些能夠滿足企業管理過程當中對圖像、數據、控制等信號的高速傳輸要求，為企業運行提高效率[1]，也是能源集團企業未來發展方向。我廠網絡包含地調數據網、省調數據網、DCS 系統、SIS 系統、環保數據上傳網絡、辦公網絡機集團廣域網，是典型的工業、自動化控制、辦公、管理為一體的綜合性網絡。

作為當前網絡安全領域的研究熱點之一，網絡脆弱性評價不同于一般性能評價技術。入侵檢測、防火墻和病毒掃描等技術都是在攻擊進行時或發生后的被動檢測，而網絡脆弱性評價是由黑客攻擊和防范技術發展而來的，是一種在事前的主動探測，是針對攻擊行為構建安全模型。另一方面，根據安全模型可以獲得系統可能的行為和狀態，以此為基礎展開進一步的分析和計算，為完善系統安全策略提供幫助。

攻擊圖是通過物理的或者邏輯的方法相互相連的組件構成。為了生成攻擊圖，需要收集大量關于網絡中與安全相關的信息，如主機配置、主機漏洞、網絡拓撲、網絡配置等，然后根據網絡當中的攻擊動作間的因果關系分析出潛在的攻擊序列，發現工業控制網絡在運行過程當中可能遭受的攻擊路徑或具有關聯的攻擊路徑。以下將基于攻擊圖，從數據驅動分析，人在回路分析和協同共享進行分析。

1.1 數據驅動分析

傳統的被動防御手段在工業控制網絡安全防護上防御效果并不理想，而工業控制網絡態勢感知可以在掌握內部數據的同時，密切關注到組織以外的相關情報，所以態勢感知能夠在工業控制網絡發生安全威脅時采取及時的應急措施，做出正確的應對處理方式，保障工業控制網絡的安全。現在在工業控制網絡運行中有不同的網絡協議和總線設備，不同工業軟件運行環境要求也不同，所選操作系統也有很大區別，對不同的私有協議，總線設備和操作系統做出整合具有很高的難度，還要對風險威脅做出預判，這就給工業控制網絡安全帶來了更大的威脅[2]。所以，想要保障工業控制網絡安全，就不僅僅局限于威脅情報的采集，還要分享威脅情報，充分整合內外部數據，讓態勢感知系統發揮作用，只有這樣，才能夠在工業控制網絡安全受到威脅時，及時采取應急方案，作出正確的數據處理，而態勢感知想要發揮作用最重要的基礎就是數據，只有正確的數據處理才能夠保證態勢感知后續工作的運行。

1.2 人在回路分析

人在回路即人機閉環系統，也稱為人機互助系統，是機器學習，人工智能，機器智能可行的成長模式。通過人和機器的相互作用，建立仿真模型，在此過程中，主要是要依靠人腦進行態勢感知，例如通過操作員輸入指令后進行二次，三次的指令更正，在網絡環境當中，能更加準確的理解復雜的任務。人在回路模型中，人起到核心作用，在工業控制網絡運行時遭到危險或受到攻擊，失去人腦參與，會弱化外部威脅情報的傳輸，工業控制網絡只會被動防御，無法發揮態勢感知的作用。所以人在回路分析中，人腦地位很高，作用很大，人腦完成態勢感知才能夠賦予工業控制網絡感知數據收集和安全決策能力。人腦雖然具有十分重要的地位，但是管理也應當為相關人員提供必要的信息請報，操作員和安全管理員通過內部數據感知，設備狀態，安全配置和網絡流量，通過外部情報獲取漏洞信息和突發事件，通過人腦感知分析后做出態勢報告，才能形成與決策[3]。

1.3 協同共享分析

新時代網絡它實現了計算與通信的融合，基于大數據人工智能的網絡運維，減少了人為的差錯；智能化監控有利于提高網絡的安全防御水平。另一方面，虛擬化和定義能力及協議的互聯網化、開放化也引入了新的安全風險，使網絡有可能遭到更多的滲透和攻擊，而工業互聯網作為互聯網發展的下一方向同樣面臨著極大的安全威脅，工業互聯網的發展模糊了物理世界和虛擬世界的界限，由此引發的網絡攻擊往往會造成比過去更嚴重的影響。協同共享可以突破自身局限性，將威脅情報通過有效機制實現組織共享，進而整合組織力量，應對工業控制網絡威脅，做出安全防御反應，提高安全能力，進而避免工業控制網絡遭到破壞。協同共享分析，就是通過情報共享，整合組織力量，提升整體安全防御能力，以此來保障工業控制網絡安全[4]。

2 工業控制網絡安全防護方案

2.1 網絡安全審計

現代科技技術和互聯網為企業的發展帶來了更多可能，在享受互聯網技術帶來便利的過程當中，也應當重視起信息安全和網絡安全，所以加強工業控制網絡安全防護十分重要，是保障工業企業網絡安全和信息安全的重要環節。網絡安全審計能夠保障網絡安全，促進網絡健康有序發展，在工業控制網絡當中，重視網絡安全審計能夠更直觀的反映出工業控制網絡的安全性，及時通知客戶了解安全性的同時，通過網絡安全審計還能夠對工業控制網絡中存在的安全漏洞提出建議，從而可以有效增強安全防護體系的安全系數和有效性，所以在構建工業控制網絡的過程當中，一定要重視安全防護方案中的網絡安全審計設計，通過網絡安全審計設計實現全天監控，促進工業控制網絡的安全運行，保障工業控制網絡穩定性和運行效率[5]。

2.2 DCS 系統的推廣應用

DCS（分散控制系統）是以微處理器為基礎，采用控制功能分散、顯示操作集中、兼顧分而自治和綜合協調的設計原則的新一代儀表控制系統；其主要特征是它的集中管理和分散控制。由于其采用微型處理器，結合計算機、通訊、顯示和控制4C 技術，具有分散控制，集中管理，分級管理，配置靈活，組態方便的特點，所以是現在較為常用的工業控制網絡。DCS其最大的特點就是垂直整合能力強，能向下兼容多個不同網絡協議、總線協議，并且可靠性極高，應用DCS 系統能夠確保工業控制網絡安全有序運行，其原因是DCS 是具有分布式微處理器的自動化控制數字運算器，可以將控制指令隨時載入內存進行儲存和執行，能夠實現邏輯控制，模擬控制，多機通信等多種復雜功能，并保證在某模塊出問題是，不影響整個系統運行，所以DCS 推廣應用可以切實提高工業控制網絡安全防范，應當將DCS 系統納入到企業工作計劃和方案當中，以此來保障網絡的安全運行和企業業務的順利實施[6]。

2.3 建立邊界控制防護

想要切實提高工業控制網絡的安全性，在提高安全防護措施的時候也應當重視，工業控制網絡邊界控制防護，在建立邊界控制防護的過程當中，最重要的就是要建立生產管理層和過程監控層之間的安全防護。由于運行中所采用的工業控制網絡，具有實時共享性，所以這也形成了網絡脆弱性的原因之一，高度的共享性使工業控制網絡存在更多的安全隱患和安全威脅，所以在享受網絡帶來的便利同時，應當對重要的生產資料采取網絡防護措施。而通常工業控制網絡當中采取的防護措施就是在互通傳輸之間設置單向導入設備，通過這樣的安全防護，能夠阻止管理網絡對生產網絡造成的攻擊，而且單項導入設備能夠準確有效的采集數據信息，保障合法的通過數據傳輸，所以在保障工業控制網絡安全性的同時，也能夠提高信息采集的準確率，保障網絡運行的精確性[7]。

除此之外，在建立生產層和過程監控層的安全防護基礎之上，還要建立過程監控層與現場控制層的安全防護，隨著網絡技術的不斷發展，網絡病毒也隨之更新換代，網絡病毒層出不窮，傳播方式也愈加多樣，所以想要真正的解決工業控制網絡安全問題，就應當加強安全防護，引進專業設備、合法合規的隔離器，對于網絡傳輸當中的數據傳輸加強控制，摒棄傳統的病毒防護方式，通過設備更新換代，嚴控數據傳輸，嚴格隔離計算機病毒，嚴格防止非法入侵，同時合理運用網絡代理模式，保障網絡通信的完善性和安全性，在工業控制網絡建設過程當中應當做好合理等級劃分，以此來提高工業控制網絡的安全系數，在此基礎之上，還應當對現場微處理器加強安全防護，要提高工業控制網絡的安全系數，在防火墻選擇上，應當選擇專業性較高的工業防火墻，精心挑選，嚴格設計訪問控制系統，優化訪問控制方案，通過工業防火墻建立數據訪問黑白名單，為工業控制網絡運行提供更加安全穩定的運行環境。

在加強工業控制網絡安全性的同時，應當保障工業控制網絡運行的效率，只有加強數據傳輸，數據采集和數據準確性，保障通信效率，才能夠真正發揮工業控制網絡的優勢，不僅僅要在技術層面完善創新，還應當對專門的特定的IP 配備專業控制器，這樣才能夠增強安全系數，避免新型病毒的入侵，保障工業控制網絡基礎設施的安全，防止遭到破壞，實現工業控制網絡智能化和共享控制平臺的實現。