論網絡技術背景下的工業網絡安全防護

摘 要：2010年10月發生在伊朗核電站的“震網”（Stuxnet）病毒，給其核電系統造成了不可挽回的損失，也為各個企業的工業網絡使用安全提供警示。目前，很多企業都把工業網絡的安全防護提到了前所未有的高度，加大了人力和經濟的投入，確保內部核心網絡的安全。結合從事煤礦工業網絡維護經驗，分析了目前工業網絡應用存在的問題。

關鍵詞：工業網絡；應用；分析

隨著信息網絡技術的發展，網絡傳輸速率、穩定性、可靠性等有了很大的進步，技術的進步促進了以太網絡向工業網絡的延伸。工業網的應用是對傳統以太網絡技術的延伸，是工業網絡協議和以太網絡協議的結合。而現實的技術發展滿足了工業網絡應用的幾個關鍵需求，首先，以太網滿足了工業網實時性的要求，快速交換機和光纖通訊的普遍應用，建設1000M、10G的內部工業網成為普遍，滿足了工業控制對實時性的要求，其次滿足了工業網穩定性的要求，技術的不斷進步對于網絡設備的性能大為提升，專用的工業網絡交換機能夠在很寬的溫度范圍內正常工作，能夠適應嚴酷的工業生產環境，保證了工業網絡的穩定性，這是工業網絡得以應用推廣的關鍵因素，使得工業網能夠實現實時控制、實時監控、實時響應、遠程系統監視等。工業自動化網絡的應用廣度和深度都達到了前所未有的高度，也為企業帶來了可觀的經濟效益和社會效益。

1 工業以太網技術的特點

1.1 網絡傳輸的時效性

工業網絡不同于一般的應用網絡，少許的延遲、丟包等問題不會太影響用戶的感受，也不會造成什么大的損失，而工業控制網絡則不同，有些應用系統的控制需要很頻繁的定時刷新現場的設備控制參數，如果網絡延遲、丟包等會給工業網絡的控制系統造成巨大的隱患，可能引起很大的事故，傳統的以太網絡性能不能滿足工業控制網絡的需求，所以傳統的工業控制還是以總線現場控制為多。但是快速以太網絡的發展，為工業網的發展帶來了新的契機，也奠定的目前工業網絡快速發展的基礎，快速以太網的發展主要有以下幾個方面：（1）交換機性能的大幅提升和光纖通信的普遍應用，以太網的傳輸速度逐步發展到目前的100M、1000M、10G甚至更高，加之路由多功能應用，數據包分別轉發，避免數據的碰撞，使得網絡信號傳輸效率更高，完全滿足工業網對實時性的要求；（2）工業網中使用的交換機都有數據存儲、轉發的功能，通過劃分VLAN，使得工業網絡中傳輸的數據根據不同的網段傳輸，避免數據的相互干擾，也提高了系統中數據傳輸的穩定性，這一特點也為工業網的廣泛應用提供基礎。一個網絡可以接入不同的控制系統和應用系統，系統之間互不干擾，以目前我礦工業網的運行為例則接入了視頻系統，人員定位系統、電力監控系統等；（3）網絡中的設備端口大都支持全雙工通訊，數據在發送的時候能夠接收數據，使得網絡系統通訊的時效性大大提高，而且目前使用的交換機、光纖接口等部件為模塊化設計，出現問題能夠及時的進行恢復和處理，也提高了系統運行的時效性和可維護性。

1.2 系統具有很高的穩定性與可靠性

盡管工業現場的環境極為惡劣，但本身又要求系統具有極高的穩定性和可靠性，滿足實時性以及設備的不間斷運行。一般表現在兩個方面的設計特點，首先是專用工業級的網絡應用設備的高性能，比如工業交換機相對于一般使用的交換機，具有更高的適應環境能力，很高的溫度適應范圍，具備冗余電源保證供電系統的穩定，以適應極端的工作環境。其次是網絡結構的設計要有充分的冗余，一般通過是環網設計、鏈路聚合，一個節點或是一段網絡通信線纜出現問題后不影響整體的網絡的運行。尤其是在煤礦井下的惡劣環境中更要考慮線纜傳輸的安全穩定。再者是設備的可維護性強，現在的設備一般采用模塊化安裝，轉換接口模塊化，模塊要有充分的備用，有問題能夠及時得到處理，保證系統的穩定性和可靠性。

2 工業網絡的安全防護問題

工業網絡的應用廣度和深度都達到了前所未有的高度，提高了工廠企業的運作效率，提高了企業的經濟效益，但是依賴網絡的系統運行也存在一定的風險，如果不能夠很好的避免和防護，同樣也會給企業造成很大的損失，工業網絡面臨的安全風險問題主要有以下幾個方面。

（1）硬件網絡設備風險，首先是交換機，端口模塊等，工業網絡需要的是24小時不間斷的運行，而且部分環境及其惡劣，高溫高濕度，盡管設備有很好的性能，但還是不可避免的會遇到設備損壞問題，這個問題要在建網之初，充分考慮做好預案。

如做好設備冗余、熱備、電源冗余，故障檢測手段等，保證工業網絡所運行的設備能夠不間斷的運行。再者是數據傳輸線路的問題，網絡信號的傳輸現在大都是通過光纖傳輸，線路的維護在運行中同樣重要，尤其是在煤礦井下，這一點就顯得極為重要，井下鋪設的光纜通信線路一般是依附巷幫而鋪設，如果遇到巷道幫來壓沒有及時發現就有可能造成通訊中斷問題。

（2）操作系統和殺毒軟件的更新問題。工業網絡一般是內部網絡，為安全起見一般和外部網絡隔離，這樣就造成內部網絡的計算機操作系統和殺毒軟件無法升級，為系統安全留下隱患。

針對這樣的問題要有專門的維護人員定期進行系統和殺毒關鍵的升級，升級有兩種方式一是經過防火墻、網閘防毒墻等安全設備直接連接到外部網絡進行升級，二是通過專用的存儲工具下載升級包在內網計算機上升級，升級前做好系統的備份，出現不兼容等問題時能夠及時恢復。

（3）使用U盤、光盤、筆記本接入導致的病毒傳播問題。內網設備在運行中，會不可避免的使用到U盤、光盤等進行資料的轉移和處理，這就給整個內部工業網絡的運行造成了一個很大的隱患，因為一旦出現病毒感染，可能對整個內網的設備是致命的，會給企業造成無法挽回的損失，這個問題通過兩個方面做好這工作，一是可以通過系統的安全設置禁止系統的UBS接口和光盤的使用，相應的內網電腦都要設置足夠復雜的開機密碼和屏保密碼。二是加強人員的管理，機房建立訪問登記制度，處理故障使用專用的筆記本等，避免出現通過存儲介質引入病毒的情況。

（4）存在工業控制系統被有意或無意控制的風險問題。如果對工業控制系統的操作行為沒有監控和響應措施，工業控制系統中的異常行為或人為行為會給工業控制系統帶來很大的風險。

因此要完善工業控制系統的監控和管理措施，做到各部分操作有記錄可查，責任到人。

（5）工業控制系統控制終端、服務器、網絡設備故障沒有及時發現而響應延遲的問題，這個問題主要是完善監控系統建設，把系統設備運行的主要參數，集成到一個系統中來，實現對服務器和網絡設備的實時監控，有故障及時發現，其次是建立合理的人員巡查制度，及時發現和解決問題。

3 結束語

國內外發生了多起由于工控系統安全問題而造成的生產安全事故。給企業造成很大的經濟損失，同時也影響到國家的安全的問題，為此，工信部2011年10月下發了“關于加強工業控制系統信息安全管理的通知”，要求各級政府和國有大型企業切實加強工業控制系統安全管理。可見工業網絡的安全不同于一般網絡的安全，更關乎一個企業的安全和效益，甚至國家的利益，盡管工業網絡在應用實施和運行中不可避免會出現各種問題，但信息化的發展是一個趨勢，網絡的應用必然會越來越廣泛，不斷有新的系統接入到網絡，只要防控得當，就能充分發揮工業網絡的高效便捷，避免風險帶來的損失。

參考文獻

[1]中華人民共和國工業和信息化部.關于加強工業控制系統信息安全管理的通知[S].

[2]王浩，吳中福，王平.工業控制網絡安全模型研究[J].計算機科學，2007，34（5）：96-98.

[3]蘭昆，饒志宏，唐林，等.工業SCADA系統網絡的安全服務框架研究[J].信息安全與通信保密，2010（3）：47-49.