工業自動化控制系統信息安全研究

李明華 公帆

摘要：當自動化控制系統導入工業行業后，同步而來的信息安全隱患逐步暴露出來。自動化技術中利用微電子技術、計算機軟件等模式控制工業的運作流程，使得工業信息歸攏，工業生產完成集約化的變革。信息的高度集中，也帶來了風險的集中。為保證生產的安全，控制信息安全研究就勢在必行。

關鍵詞：工業；自動化控制系統；信息安全；研究

1、工業自動化控制系統的應用優勢

1.1靈活操控工業設備

流程工業中，設備數量眾多，動輒數千個設備聯合運行；設備門類復雜，從原理到結構各不相同；品牌繁雜，幾乎是萬國設備，進口設備與國產設備協同運行；通過自動化的系統構建，可使得工業的設備用具能夠一體化的進行協調，互相完善對方的運行不足，使得工業的生產能夠持續化的進行。

1.2透明工廠成為可能

自動化技術將工業的各個接口進行統一化的管理，構建統一化的操作模式，通過后臺的集中管理，同步化的了解工業生產各個層面的信息，及時的獲取工業生產的危險警報，并定位隱患問題。使得透明工廠成為可能。

1.3人工智能助力生產效率

全數字的工廠，大量的生產信息進入數據服務中心。建立在歷史數據記錄上的大數據分析，為人工智能提供了數據源。通過計算機輔助手段，將每個工況下的生產數據與設備數據進行分析，通過基于現代控制理論的智能優化軟件，迅速為特定裝置量體定做一套具備預估、優化功能的控制算法，能夠大幅提高企業的生產效率，獲得豐厚的經濟收益。

2、工業自動化控制系統的安全隱患分析

2.1操作系統的隱患

當前大多數工業自控系統都是windows平臺的，考慮到操作系統與控制系統的兼容性，對windows平臺往往不安裝補丁，系統的穩定性無法保證。各個品牌廠家的組態監控軟件依賴于windows操作系統自帶的各種服務，任何一個服務出現損壞，則會導致監控軟件的部分功能甚至全部功能失效。

2.2通信協議的隱患

信息化和工業化的高層次的深度結合，使得TCP/IP等通用協議和技術越來越廣泛地應用在工業自控網絡中，這就減弱了控制系統與外界的隔離。病毒、木馬向控制網擴散，工業自控系統的安全隱患問題日益嚴峻。

2.3殺毒軟件的隱患

殺毒軟件的病毒庫需要不斷的更新，這一要求不適合工業控制環境，許多工控系統通常不會安裝殺毒軟件。即使安裝了殺毒軟件，由于軟件對新病毒的處理總是滯后的，在使用過程中也有很大的局限性。

2.4工業自控軟件的隱患

工業自控軟件面向網絡應用時，就必須開放其應用端口，而常規的IT防火墻很難保障其安全性，針對組態軟件的攻擊會從根本上破壞工控系統。黑客很可能會利用一些工業自控軟件的安全隱患獲取如大型設備的開、停等控制權，一旦這些控制權被黑客所掌握，可能造成相關企業的設備運行異常，甚至造成停工、停產等嚴重事故。

2010年9月，伊朗政府宣布，大約3萬個網絡終端感染“震網”，病毒攻擊目標直指核設施。病毒攻擊帶來的不僅僅是生產安全，還牽扯嚴重的社會安全，假如放射l生物質泄漏，將會造成不亞于切爾諾貝利核電站泄漏帶來的嚴重災難。

3、建立工業控制系統安全的防范對策

3.1基于終端的工業系統安全防御體系

工業網絡中同時存在保障工業系統的工業控制網絡和保障生產經營的辦公網絡，考慮到不同業務終端的安全性與故障容忍程度的不同，對其防御的策略和保障措施應該按照等級進行劃分，實施分層次的縱深防御體系。按照業務職能和安全需求的不同，工業網絡可劃分為：滿足辦公終端業務需要的辦公區域；滿足在線業務需要DMZ區域；滿足ICS管理與監控需要的管理區域；滿足自動化作業需要的控制區域。

3.2辦公網絡終端的安全防御

辦公網絡相對于工業控制網絡是開放的，其安全防御的核心是確保各種辦公業務終端的安全性和可用性，以及基于終端使用者的角色實施訪問控制策略。辦公網絡也是最容易受到攻擊者攻擊并實施進一步定向攻擊的橋頭堡，實施有效的辦公網絡終端安全策略可最大限度的抵御針對ICS系統的破壞。辦公網絡通用終端安全防御能力建設包括：木馬等病毒威脅系統正常運行惡意軟件防御能力；基于白名單的惡意行為發現與檢測能力；終端應用控制與審計能力；基于角色的訪問控制能力；系統漏洞的檢測與修復能力；基于系統異常的恢復能力。

3.3工業控制網絡終端的安全防御

工業控制網絡具有明顯的獨有特性，其安全防御的核心是確保控制系統與監控系統的可用性，以及針對ICS系統與管理員、ICS系統內部自動化控制組件間的訪問控制策略。同時需要確保控制系統在發生異常或安全事件時，能夠在不影響系統可用性的情況下，幫助管理員快速定位安全故障點。同時，在確保控制系統可用性的前提下，工業控制網絡終端安全防御能力建設需要做到如下幾個方面：基于行業最佳實踐標準的合規保證能力；基于白名單策略的控制終端惡意軟件防御能力；基于白名單的惡意未知行為發現與檢測能力；基于ICS協議的內容監測能力；基于控制系統的漏洞及威脅防御能力；基于可用性的最小威脅容忍模型建設能力；基于事件與行為的審計能力；基于可用性的系統補丁修復能力；終端安全的應急響應能力。

3.4工業網絡終端安全管控平臺建設

安全管控平臺不僅是實施工業數據采集和監控內容的匯聚中心，基于ICS安全威脅的知識庫仿真模塊，更可實時對檢測到的異常或未授權訪問進行核查評估，并將風險通過短信、郵件等方式對管理員告警。為確保安管平臺的可用性和時效性，可基于云計算與虛擬化技術對管理平臺進行建設，目前較成熟的私有云安全技術、虛擬終端管理技術、數據災備技術，都可為ICS系統統一管理提供良性的技術支撐。在客戶端系統資源優化方面，先進的私有云平臺可將信息終端繁重的功能負載遷移到云端執行，為系統的關鍵應用提供寶貴的計算資源，實現工業系統調度與計算資源的最大利用。

結束語

工業自動化控制系統信息安全是控制系統和信息安全的充分結合，是當下工業生產的潮流。不僅要求企業了解計算機控制系統，還要求企業懂得如何保障信息安全。工業自動化控制系統信息安全涉及到企業生產的多個環節，需要各個生產部門的完美協作。相信在企業、員工與政府三方的共同努力下，工業自動化控制系統必將不斷完善，信息安全也將得到充分保障。