工業自動化控制系統信息安全研究

胡 銳

武漢鋼鐵有限公司熱軋廠 湖北 武漢 430070

一、工業自動化控制系統的應用優勢

1.1 靈活操控工業設備

流程工業中,設備數量眾多,動輒數千個設備聯合運行;設備門類復雜,從原理到結構各不相同;品牌繁雜,幾乎是萬國設備,進口設備與國產設備協同運行;通過自動化的系統構建,可使得工業的設備用具能夠一體化的進行協調,互相完善對方的運行不足,使得工業的生產能夠持續化的進行。

1.2 透明工廠成為可能

自動化技術將工業的各個接口進行統一化的管理,構建統一化的操作模式,通過后臺的集中管理,同步化的了解工業生產各個層面的信息,及時的獲取工業生產的危險警報,并定位隱患問題。使得透明工廠成為可能。

1.3 人工智能助力生產效率

全數字的工廠,大量的生產信息進入數據服務中心。建立在歷史數據記錄上的大數據分析,為人工智能提供了數據源。通過計算機輔助手段,將每個工況下的生產數據與設備數據進行分析,通過基于現代控制理論的智能優化軟件,迅速為特定裝置量體定做一套具備預估、優化功能的控制算法,能夠大幅提高企業的生產效率,獲得豐厚的經濟收益。

二、工業自動化控制系統中應用計算機技術的優勢

2.1 首先,計算機技術的應用可使自動化控制系統具有交互性及可操作性特點。所以,在整個系不同設備之間可實現相互代替以及替換。

2.2 其次,計算機技術的應用可使自動化控制系統具備開放性特點。在工業自動化系統中,通過對計算機技術進行運用,可使其具備開放性及公開性特點,其中對于開放性特點而言,其表現主要為能夠使全部設備與系統連接,從而使各個相關設備均能夠保證運轉正常。在實際操作過程中,相關工作人員可依據實際工作需求,對接入設備及系統進行合理選擇,具有較強靈活性及便捷性。

2.3 應用計算機技術可使自動化控制系統具有智能化特點。在工業自動化控制系統中,通過對計算機技術進行應用,可使系統總線具備智能化特點,在實際工作過程中,在利用傳感設備的基礎上,對于現場各個相關設備,現場總線可進行分析及監控,同時在此基礎上可實現自動化控制設備,從而可對設備運行狀態實行實時監測,對于系統運行過程中所出現故障可及時進行處理。

2.4 應用計算機技術可使自動化控制系統具有較高精確性。相比于普通調節器而言,在工業自動化控制系統中,通過對計算機技術進行運用,由于計算機具有較強數值運算能力,可對偏差最大程度地進行縮小及控制,從而保證在元件老化及噪音等因素不會對控制精度產生影響,可使系統精確性得到較好保證。

三、工業自動化控制系統的安全隱患分析

3.1 操作系統的隱患

當前大多數工業自控系統都是windows平臺的,考慮到操作系統與控制系統的兼容性,對windows平臺往往不安裝補丁,系統的穩定性無法保證。各個品牌廠家的組態監控軟件依賴于windows操作系統自帶的各種服務,任何一個服務出現損壞,則會導致監控軟件的部分功能甚至全部功能失效。

3.2 通信協議的隱患

信息化和工業化的高層次的深度結合,使得TCP/IP等通用協議和技術越來越廣泛地應用在工業自控網絡中,這就減弱了控制系統與外界的隔離。病毒、木馬向控制網擴散,工業自控系統的安全隱患問題日益嚴峻。

3.3 殺毒軟件的隱患

殺毒軟件的病毒庫需要不斷的更新,這一要求不適合工業控制環境,許多工控系統通常不會安裝殺毒軟件。即使安裝了殺毒軟件,由于軟件對新病毒的處理總是滯后的,在使用過程中也有很大的局限性。

四、建立工業控制系統安全的防范對策

4.1 基于終端的工業系統安全防御體系

工業網絡中同時存在保障工業系統的工業控制網絡和保障生產經營的辦公網絡,考慮到不同業務終端的安全性與故障容忍程度的不同,對其防御的策略和保障措施應該按照等級進行劃分,實施分層次的縱深防御體系。按照業務職能和安全需求的不同,工業網絡可劃分為：滿足辦公終端業務需要的辦公區域;滿足在線業務需要DMZ區域;滿足ICS管理與監控需要的管理區域;滿足自動化作業需要的控制區域。

4.2 辦公網絡終端的安全防御

辦公網絡相對于工業控制網絡是開放的,其安全防御的核心是確保各種辦公業務終端的安全性和可用性,以及基于終端使用者的角色實施訪問控制策略。辦公網絡也是最容易受到攻擊者攻擊并實施進一步定向攻擊的橋頭堡,實施有效的辦公網絡終端安全策略可最大限度的抵御針對ICS 系統的破壞。辦公網絡通用終端安全防御能力建設包括：木馬等病毒威脅系統正常運行惡意軟件防御能力;基于白名單的惡意行為發現與檢測能力;終端應用控制與審計能力;基于角色的訪問控制能力;系統漏洞的檢測與修復能力;基于系統異常的恢復能力。

4.3 工業控制網絡終端的安全防御

工業控制網絡具有明顯的獨有特性,其安全防御的核心是確保控制系統與監控系統的可用性,以及針對ICS系統與管理員、ICS系統內部自動化控制組件間的訪問控制策略。同時需要確保控制系統在發生異常或安全事件時,能 夠在不影響系統可用性的情況下,幫助管理員快速定位安全故障點。同時,在確保控制系統可用性的前提下,工業控制網絡終端安全防御能力建設需要做到如下幾個方面：基于行業最佳實踐標準的合規保證能力;基于白名單策略的控制終端惡意軟件防御能力;基于白名單的惡意未知行為發現與檢測能力;基于ICS協議的內容監測能力;基于控制系統的漏洞及威脅防御能力;基于可用性的最小威脅容忍模型建設能力;基于事件與行為的審計能力;基于可用性的系統補丁修復能力;終端安全的應急響應能力。

結束語

綜上所述,加強對工業自動化控制系統信息安全問題的研究分析,對于其良好實踐效果的取得有著十分重要的意義,因此在今后的工業自動化控制系統應用過程中,應該加強對信息安全關鍵環節與重點要素的重視程度。