工業網絡信息安全研究

李愷

[摘 要]隨著油氣生產技術與互聯網的融合發展，工業企業逐漸認識到工業網絡安全的重要性，本文結合采油廠的工業網絡信息安全防范建設，分析了工業網絡信息安全中存在的一些問題及解決方案。

[關鍵詞]工業網絡；信息安全；防火墻

doi：10.3969/j.issn.1673 - 0194.2017.20.096

[中圖分類號]TP309 [文獻標識碼]A [文章編號]1673-0194（2017）20-0-02

0 引 言

近年來，網絡經濟的全球化帶動了社會各行業的發展，工業企業的工業網絡技術發展尤為迅速，從傳統PLC邏輯控制自動化到工業實時以太網再到物聯網，從具有專有性、專用性的網絡環境轉變成開放、集成、高效的工業網絡環境。目前，隨著信息化建設及數字油田建設的深入，工業網絡能夠實現實時控制、實時監控、實時響應和遠程系統監視等，石油開采以及石油儲運的生產和經營過程，全部都將依托于工業網絡。工業網絡的應用廣度和深度都達到了前所未有的高度，也將為企業帶來可觀的經濟效益。但是，工業網絡也存在各種安全隱患，攻擊工業網絡的事件時有發生，針對工業控制系統的網絡攻擊也愈演愈烈。企業也逐漸意識到工業網絡信息安全的重要性，國家也陸續出臺了一系列有關工控安全的標準及規范。因此，工業企業在采用新的工業IT應用技術的同時，更應該健全工業網絡的安全防控機制，通過掌握防范和攻擊技術，做到有針對性地進行防范。

1 工業網絡概述

工業網絡是企業網絡的一個重要分支，是指在一個工業企業范圍內，將信號檢測、信號傳輸、數據處理、儲存、計算和控制等設備或系統連接在一起，以實現企業內的資源共享、信息管理、過程控制和經營決策等。

目前，工業網絡有典型的3層架構：第1層為設備層網絡，第2層為控制層網絡，第3層為管理層網絡。三層網絡架構廣泛應用于工廠企業的工控環境中，各層級網絡采用不同的開放式通訊協議和物理接口，使網絡互聯成為可能。工業網絡大多采用這種系統網絡架構，能夠確保數據傳輸穩定可靠。

從工業網絡體系結構可以看出，工業網絡是一個網絡控制系統，控制系統的穩定性不能因為網絡攻擊而被破壞。管理層和控制層之間的訪問安全機制必須要確保需要保密的數據不被竊取。

2 工業網絡環境中存在的問題

一些早期建設的采油廠，網絡規劃簡單，基本是按照辦公業務網絡進行建設的，沒有統一規劃建設工業數據網絡，到后期只是簡單地將工控設備網絡接入辦公業務網絡，使實時工業數據與日常辦公數據一同在物理網絡里傳輸。在這種網絡環境下，工業數據和自動化生產設備暴露在開放的網絡環境下，容易遭受辦公業務網絡內的病毒、外部黑客和不法分子的攻擊，不僅數據安全得不到保證，而且一旦出現網絡設備故障，將會同時影響自動化數據傳輸和日常公務運行。工業網絡環境中存在的問題主要有以下幾個方面。

2.1 缺乏清晰的網絡邊界

工業網絡中存在著業務特點、安全需求不同的單元域，如控制單元域、工程組態域、監控域和辦公域等。不同的單元域間簡單地完全互聯、容易導致不同性質的業務、設備、通信混在一起，會給關鍵的生產控制帶來風險。不同的單元域之間缺少必要的隔離措施，網絡接入缺少防護、認證，存在非法接入的可能。

2.2 缺乏針對病毒、蠕蟲等惡意程序的防護措施

首先，在工業協議中，工業企業通常使用非加密設計，從硬件角度來說也不支持加密手段，在工控設備中也經常會開啟其他服務，如FTP、HTTP、SSH等，但卻缺少保護措施，一旦開啟這些服務將會導致整個設備容易被病毒、蠕蟲等惡意程序攻擊。

其次，大多數工業控制系統的工程師站、操作站、HMI都是Windows平臺的。為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，出于應用軟件與操作兼容性考慮，工程師在系統運行后通常不會對Windows平臺安裝任何補丁，從而埋下安全隱患。

最后，為了保證工控應用軟件的可用性，許多工控系統操作站通常不會安裝殺毒軟件，即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒軟件的病毒庫需要不定期更新，這一要求尤其不適合于工業控制環境。這些因素都導致整個設備容易被病毒、蠕蟲等惡意程序攻擊。

2.3 應用軟件漏洞

首先，由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題，當應用軟件面向網絡應用時，就必須開放其應用端口。其次，大部分工控軟件都是根據現場情況進行二次開發，軟件成熟度及安全性都得不到保證。

3 工業網絡安全防護建議

筆者通過整理老采油廠工業網絡環境中的一些主要問題發現，工業網絡中的安全風險不能只靠單一的“網閘”式管理，需要采用硬件、軟件加管理的安全模式。基于此，本文提出了以下安全建議。

3.1 劃分工業網絡安全區域

首先，在工業網絡中，技術人員可以采用網絡物理鏈路隔離，建設一套工業網專用的物理鏈路。其次，技術人員要在工業網絡與辦公業務網絡的交換接口處架設工業級邊界網關，最好能夠以功能區域為單位架設區域網關，并采用防火墻等技術實現網絡隔離。再次，技術人員可以通過對工業控制協議的深度解析，運用“白名單+智能學習”技術建立工控網絡安全通信模型，阻斷一切非法訪問，僅允許可信的流量在網絡上進行傳輸，為工控網絡與外部網絡互聯、工控網絡內部區域之間的連接提供安全保障。

3.2 構建工業級安全管理平臺和報警管理平臺

在構建工業級安全管理平臺的過程中，技術人員要將所有部署在工業網絡里的安全設備建立組態進行統一管理，并監控工業網絡中的所有安全設備的運行參數，確保能夠及時集中下發安全策略至各個安全設備，在有病毒入侵或者策略調整的時候可以節約大量時間。

在構建工業級報警平臺的過程中，技術人員一方面要對報警信息進行等級劃分，并根據不同的報警等級來制定工作的優先級；另一方面要確保能夠及時捕獲現場所有安裝有工業防火墻的通訊信道中的攻擊，并詳細顯示攻擊來自哪里、使用何種通信協議、攻擊目標是誰，以總攬大局的方式為工業網絡故障的及時排查、分析提供可靠依據。

3.3 完善工業網絡中權限控制與訪問控制

首先，技術人員要完善訪問控制策略，分別從入網訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網絡服務器安全控制策略、網絡監測、鎖定控制策略和防火墻控制策略等7個方面保護內部系統與資源，防止外部未授權用戶及入侵者的非法訪問與破壞。

其次，技術人員通過控制防火墻防護策略，可將需要封閉或開放的端口或者ip地址、MAC地址制作成管理模版，根據現場的生產設備情況來定制模版。只開放使用資源，對其他資源進行控制，從而對網絡環境進行管控，減少攻擊風險。

4 結 語

工業網絡的安全是順利開展生產的前提。本文只是給出了工業網絡基本的安全解決意見，隨著IT技術、網絡應用技術的不斷發展，企業使用的工業控制設備越來越多，新的網絡問題一定會如影隨形。面對復雜的網絡環境，石油企業只有采取科學、合理的安全管理措施，對企業安全策略和安全防護體系進行不斷改善，才能全方位地保障工業網絡及工業設備的安全。

主要參考文獻

[1]李振汕.物聯網安全問題研究[J].信息網絡安全，2010（12）.

[2]董棟，王寧.網絡信息安全存在的問題及對策研究[J].網絡安全技術及應用，2015（8）.

[3]李慧，劉彩云.淺析計算機網絡信息安全和防護[J].黑龍江科技信息，2015（15）.

[4]林躍，張建華.工業通信網絡及系統技術[J].自動化與儀表，2009（7）.

[5]江正戰.現場總線與工業控制網絡[J].微型機與應用，1995（11）.

[6]劉麗娜.工業網絡信息安全現狀分析及安全防護系統研究[J].網絡安全技術與應用，2017（5）.

[7]李玉敏.工業控制網絡信息安全的防護措施與應用[J].中國儀器儀表，2012（11）.

[8]繆學勤.工業網絡信息安全轉向硬件解決方案[J].自動化博覽，2010（4）.endprint