工控網中的安全應用

吳康錦

【摘要】在“數字工廠”、“數字平臺”的只能化發展推動下，越來越多的企業面臨工控網絡和信息網絡的連接管理應用，使得工控網自身安全問題逐漸凸顯。例如不能即使更新操作系統、沒有殺毒軟件、使用為驗證的通信協議、使用默認密碼等。時間表明，來自工控網絡自身的管理漏洞、信息網絡、移動存儲介質、英特網以及其他因素導致的網絡安全問題正在逐漸在控制系統中擴散，直接影響工控網的安全性和穩定性。

【關鍵詞】云計算工控網安全策略

隨著信息化的不斷深入，各種工業網絡安全技術越來越受到重視，主要有安全管理、IT安全防護技術和工業防火墻等。但是即使是全套的安全防護技術，目前也不能完全阻止工控網內病毒的入侵和攻擊行為。有效加強工控網絡的安全性，需要提升工控網的管理控制能力和其網絡自身的安全防護能力。

一、工控網安全問題

在一般的工控網中，ERP、OA、EMS、LIMS等系統均處于辦公網絡中，辦公網絡通過防火墻等安全設備直接與互聯網連接，工控網絡通過防火墻與辦公網連接，防火墻開啟有限的安全策略保障辦公網與工控網監的數據傳輸。

二、工控網安全部署

2.1工控網安全目標

要保證工控網絡的安全穩定運行必須達到三個目標：（1）通訊可控。能夠直觀的觀察、監控、管理通信中的數據流，對通信終端嚴格控制，減少通信的物理鏈接及設備，這是首要達到的目標。對控制網絡，僅僅只需要保證制造商專有協議通過，對于其它通訊一律禁止，創造一個私有通信網絡環境。（2）區域隔離。對于工控網絡而言，其自身不能夠創造病毒、攻擊。所有病毒及攻擊來源于外部網絡環境，對于工控網絡按照特定區域劃分，重點保障生產控制的穩定性和安全性。即使所在的控制局部網絡出現問題，也需要保證裝置或工程的安全穩定運行。通過安全設備部署，為控制系統創造一個相對獨立、安全的網絡環境。（3）報警追蹤。能夠及時發現網絡中存在的病毒感染及其它問題，能夠準確找到故障的發生點，將網絡安全問題消滅在萌芽中，同時通過對報警時間記錄存儲，為已經發生過的安全事件提供分析依據。

2.2工控網安全部署

2.2.1防火墻策略部署

工業以太網作為上層信息管理網的數據平臺，將盡可能多的生產裝置上實時數據采集到實時數據庫中并經防火墻傳送數據至MES和ERP：具體接口連接為工業以太網、防火墻、DMZ中間區域防護和MES數據采集服務器等。由于MES和ERP與商用Internet相連，為保證工業以太網的切實安全，采用DMZ隔離區，內網和外網的緩沖，中間防護策略。

將上層信息管理網需要訪問的實時數據庫容錯服務器置于DMZ層，使來自上層的信息管理網只能通過外部防火墻訪問到實時數據庫服務器，而不能通過內部防火墻至工業以太網。這樣來自Internet的攻擊將要通過外部防火墻、堡壘主機和內部防火墻等三道相互獨立的防線才能到達工業以太網，使攻擊難度大大加強，相應內部網絡的安全性也就大大加強。

2.2.2入侵檢測部署

入侵檢測作為有效過濾外來攻擊或病毒傳播的手段，同時也能夠及時發現工控網絡中所存在的問題。

1、實時性：盡快發現網絡攻擊或者攻擊的企圖，預先阻止進一步的攻擊活動，把損失控制在最小限度。實時入侵檢測可以避免常規情況下，管理員對系統日志進行審計以辨別入侵行為時的低效和延遲。實時監控及攔截意外攻擊行為。

2、可擴展性：在新的攻擊類型出現時，入侵檢測系統能夠檢測到新的攻擊行為。入侵檢測系統的整體功能設計上，具有可擴展的結構，以便系統結構本身能夠適應未來可能出現的擴展要求。

3、事件記錄：對于檢測到的入侵事件必須具備完善的日志記錄和日志審計功能。

4、安全性：入侵檢測系統不會向其宿主計算機系統以及其所屬的計算機環境中引入新的安全問題及安全隱患。

2.2.3云桌面部署

云桌面的部署包括兩個方面：工控網絡內部云桌面和工控網外云桌面。通過工控網云桌面部署減少工控網絡內外訪問物理設備，減少工控網內被攻擊的可能性。同時，在工控網內部署云桌面可以加強工控網內的桌面安全管理，避免部署PC終端給工控網絡帶來的管理問題和安全問題。同時加強工控網絡內部辦公部署的靈活性。

1、集中運維管理。工控網絡內部設備配置不盡相同，管理人員難以對其管理和控制。PC機硬件的多樣化以及用戶的個性化需求也不盡相同，而傳統工控網絡內部用戶可訪問資源難以控制，通過部署云桌面，根據用戶自身特性，控制其訪問資源，達到訪問安全控制的目的。云桌面的部署將所有硬件資源（除顯示設備、鍵盤鼠標），統一管理，減少移動存儲等外來設備對工控網絡造成的影響。同時云服務中心能夠記錄用戶在正?；蚍钦Ｊ褂没顒又械母鞣N操作記錄，通過日志審計及時發現存在的問題。

2、實現數據保護與防泄密。防止因終端設備的硬件或軟件故障而導致對正常業務的影響，確保文件丟失或系統崩潰時能夠進行快速恢復，以及防止何終端設備因失竊而帶來的潛在風險。降低或避免敏感業務數據通過網絡傳輸過程中所面臨的竊聽、惡意篡改、中間人攻擊等風險。

3、加強部署靈活性。工控網內部署基礎的PC應用主機其一系列行為是當前IT部門的一個挑戰，但是隨著數字化工廠的逐步實施，已經成為必不可少的措施。云計算網絡部署在中控網絡中既能夠保障桌面應用于控制網絡的隔離需求，同時能夠將具備基礎硬件的桌面終端靈活部署到工控網絡中。

三、結束語

在網絡信息飛速發展的今天，“數字工廠”、“智能工廠”越來越多，如何實現工控網信息的有效、安全應用成為未來企業工業控制信息網發展的方向，而要達到這一目標還需要發揮新的信息技術優勢。