淺析工業自動化控制系統信息安全

摘要：本文介紹了工業自動化控制系統的安全現狀，對安全隱患進行了分析，并針對工業自動化控制系統提出了切實可行的安全防范措施。

關鍵詞：工業自動化控制；信息安全；防范措施

一、工業自動化控制系統的安全現狀

去年兩會期間，信息安全首次在兩會報告中出現，很多代表紛紛就安全話題進行了提案。今年，信息安全依舊受兩會熱議。早日實現核心信息技術和產品的自主可控，擺脫受制于人的局面，是我國信息化建設的關鍵環節，也是保護信息安全的重要目標。

眾所周知，工業自控系統在發展初期，都是采用專用的硬件、軟件和通訊協議，對于傳統的現場總線來說根本不存在信息安全問題。但是，隨著計算機和網絡技術的發展，以太網的應用，特別是信息化和工業化的高層次的深度結合，工業自控系統越來越多地兼容通用協議，并以各種方式與互聯網等公共網絡連接。病毒、木馬、黑客對工業自控系統攻擊逐漸增多，工業自控系統信息安全問題日益突出。如：2010年10月伊朗核電站受到Stuxnet病毒攻擊事件，最終導致延期發電，并對伊朗國內工業造成大面積影響。該病毒可通過局域網或USB傳播到自動化設備中，并從中竊取數據，破壞控制系統的穩定性，導致停產事故的發生。

二、工業自動化控制系統的安全隱患分析

1、操作系統的隱患

當前大多數工業自控系統都是Windows 平臺的，考慮到操作系統與控制系統的兼容性，對Windows 平臺往往不安裝補丁。因此系統就存在被攻擊的可能，有很大的安全隱患。

2、通信協議的隱患

信息化和工業化的高層次的深度結合，使得TCP/IP 等通用協議和技術越來越廣泛地應用在工業自控網絡中，這就減弱了控制系統與外界的隔離。病毒、木馬向控制網擴散，工業自控系統的安全隱患問題日益嚴峻。

3、殺毒軟件的隱患

殺毒軟件的病毒庫需要不斷的更新，這一要求不適合工業控制環境，許多工控系統通常不會安裝殺毒軟件。即使安裝了殺毒軟件，由于軟件對新病毒的處理總是滯后的，在使用過程中也有很大的局限性。

4、工業自控軟件的隱患

工業自控軟件面向網絡應用時，就必須開放其應用端口，而常規的IT 防火墻很難保障其安全性，針對組態軟件的攻擊會從根本上破壞工控系統。黑客很可能會利用一些工業自控軟件的安全隱患獲取如大型設備的開、停等控制權，一旦這些控制權被黑客所掌握，可能造成相關企業的設備運行異常，甚至造成停工、停產等嚴重事故。

三、工業自動化控制系統的安全防范措施

1、加強信息安全管理：

（1）數據管理

大數據時代，工業自動化控制系統安全首先從數據加密入手。對于敏感數據的采集、傳輸、存儲、利用等，要采取訪問權限控制、數據加密等措施加以保護。

（2）連接管理

斷開工業自控系統同公共網絡之間的所有不必要連接。對確實需要的連接，企業應采取設置防火墻、單向隔離等措施加以防護。嚴格控制在工業自控系統和公共網絡之間交叉使用移動存儲設備以及便攜式計算機。

（3）組網管理

豐富網絡框架，防止網絡防護千篇一律。對無線組網采取嚴格的安全監測，防止經無線網絡進行惡意入侵，尤其要防止通過侵入遠程終端單元進而控制部分或整個工業自控系統。

（4）賬戶管理

嚴格賬戶管理，定期對賬戶、口令、端口、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，及時更改產品安裝時的預設口令，關閉無關的端口和服務。

（5）升級管理

嚴格軟件升級、補丁安裝管理，加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線服務。

2、及時跟蹤最新的信息安全規范，如IEC、ISO等專業機構發布的指導性文件規范。及時關注技術動態，如西門子基于縱深防御理念的安全工控系統。針對安全攻擊的發展變化，制定、采納符合本單位實際要求的安全策略。

西門子基于縱深防御理念的安全工控系統

“縱深防御”策略是目前提高工業自控系統信息安全的很好選擇。在外部世界的威脅和工控網絡之間建立盡可能多層次的防護。通過部署多層次的、具有不同針對性的安全措施，保護關鍵的工業自動化控制過程與應用的安全。建立“縱深防御”的最有效方法是將網絡劃分為不同的安全區，在安全區之間按照一定規則安裝防火墻。即使在某一點發生網絡安全事故，工廠操作人員能夠及時準確的確認故障點，并排除問題，從而保證裝置或工廠的正常安全穩定運行。

3、增強報警管理平臺

工業自動化控制系統的報警管理平臺，除集成系統中所有事件的報警信息外，還應負責捕獲現場所有安裝有工業防火墻的通訊信道中的攻擊，并且顯示攻擊目標、攻擊來源。對未知惡意代碼的滲透、潛伏、攻擊等各個階段，進行發現、跟蹤、告警、攔截。為工廠網絡故障的及時排查、分析提供了可靠依據。

4、保護關鍵控制器

對關鍵控制器的保護應使用專業的工業防火墻。首先，對防火墻進行組態時只允許制造商專有協議通過，阻擋任何非法訪問；其次，可以對網絡通訊流量進行管控，規定只有某個專有操作站才能訪問關鍵控制器。

四、結束語

在工業自控系統的安全領域，沒有絕對的信息安全，也沒有牢不可破的安全機制。隨著越來越多的安全事件的發生，我們不但要認識到技術防護的重要性，更要從意識開始培養，重視企業自控系統的安全和監管，不斷應對各種新生工業自動化控制系統的安全威脅。

參考文獻：

1、《關于加強工業控制系統信息安全管理的通知》，工信部協，[2011]451號，《計算機安全》，2012年

2、王偉，《加強工業控制系統安全防護的認識與思考》，中國信息化，2014

作者簡介：趙玲玲（1975-），女，山東淄博人，大學學歷，研究方向：水利工業自動化。