工控網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究

河南中煙工業(yè)有限責(zé)任公司洛陽卷煙廠 河南 洛陽 471000

1 理論綜述

1.1 工業(yè)控制網(wǎng)絡(luò)的概念 在現(xiàn)場總線技術(shù)的基礎(chǔ)上發(fā)展了工業(yè)控制網(wǎng)絡(luò)，它是用具有數(shù)字通信能力并能大量分散在生產(chǎn)現(xiàn)場的測量控制儀表作為網(wǎng)絡(luò)節(jié)點(diǎn)而構(gòu)成的。工業(yè)網(wǎng)絡(luò)具有很高的公開性，對(duì)于通信協(xié)議的要求也很高。它的運(yùn)作主要是把現(xiàn)場的設(shè)備之間的信息可以自由交流，在這樣就更容易完成控制系統(tǒng)的任務(wù)，完成速度更快，與工業(yè)控制網(wǎng)絡(luò)相比，現(xiàn)場總線就不能很好地完成這個(gè)任務(wù)。

1.2 工業(yè)控制網(wǎng)絡(luò)的特點(diǎn) 工業(yè)控制網(wǎng)絡(luò)同時(shí)具有諸多特點(diǎn)。它具有實(shí)現(xiàn)互連設(shè)備間、系統(tǒng)間的信息傳遞與溝通的互操作性；還具有可以與世界任何地方遵守同標(biāo)準(zhǔn)的其它設(shè)備連接的系統(tǒng)開放性；與此同時(shí)，工業(yè)控制網(wǎng)絡(luò)還可以與紅外線、電力線、同軸電纜等很多設(shè)備合作，這就使得它可以適應(yīng)不同的現(xiàn)場環(huán)境；還有一個(gè)明顯的特點(diǎn)就是通信實(shí)時(shí)性，能提供相對(duì)應(yīng)的實(shí)時(shí)通信，具有時(shí)間管理功能。

2 工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2.1 工控網(wǎng)絡(luò)架構(gòu)安全風(fēng)險(xiǎn) 縱向邊界安全風(fēng)險(xiǎn)：企業(yè)經(jīng)營管理層與企業(yè)生產(chǎn)層控制網(wǎng)絡(luò)利用了物聯(lián)網(wǎng)技術(shù)和互聯(lián)網(wǎng)技術(shù)，網(wǎng)絡(luò)攻擊或工業(yè)病毒極容易通過無線網(wǎng)絡(luò)(RFID、WLAN)和互聯(lián)網(wǎng)的數(shù)據(jù)傳輸路徑進(jìn)入生產(chǎn)環(huán)境的工業(yè)控制網(wǎng)絡(luò)。

橫向邊界安全風(fēng)險(xiǎn)：企業(yè)生產(chǎn)執(zhí)行層、現(xiàn)場設(shè)備層的管理系統(tǒng)、SCADA系統(tǒng)、PLC系統(tǒng)處于同一網(wǎng)絡(luò)平面，由遠(yuǎn)程操作管理行為帶來的入侵或病毒很容易對(duì)SCADA系統(tǒng)與PLC系統(tǒng)造成危害，來自企業(yè)經(jīng)營管理層的網(wǎng)絡(luò)風(fēng)暴、ARP攻擊、拒絕式服務(wù)攻擊很容易消耗SCADA、PLC系統(tǒng)的資源，使得SCADA、PLC系統(tǒng)無法正常工作。

2.2 工控系統(tǒng)安全風(fēng)險(xiǎn) 系統(tǒng)中相關(guān)軟硬件漏洞問題，系統(tǒng)平臺(tái)軟件包括設(shè)備操作系統(tǒng)、組態(tài)軟件和管理系統(tǒng)等。微軟操作系統(tǒng)、以及一些嵌入式系統(tǒng)也都存在很多漏洞，這些漏洞可以直接被黑客(如震網(wǎng)病毒)利用破壞生產(chǎn)網(wǎng)絡(luò)。

2.3 行為及運(yùn)維管理風(fēng)險(xiǎn) 進(jìn)行人工維護(hù)時(shí)缺乏技術(shù)手段對(duì)系統(tǒng)運(yùn)行的軟件進(jìn)行嚴(yán)格控制和監(jiān)測審計(jì)，運(yùn)維人員、操作員缺乏網(wǎng)絡(luò)安全意識(shí)，可隨意使用未經(jīng)允許的軟件或操作，為工業(yè)生產(chǎn)環(huán)境帶來安全風(fēng)險(xiǎn)。

3 工控網(wǎng)絡(luò)信息安全技術(shù)的運(yùn)用

工控網(wǎng)絡(luò)信息系統(tǒng)安全系統(tǒng)功能根據(jù)工控網(wǎng)絡(luò)信息系統(tǒng)安全系統(tǒng)架構(gòu)可知，系統(tǒng)相關(guān)功能主要如下：

3.1 關(guān)鍵設(shè)備安全防護(hù) 關(guān)鍵設(shè)備安全防護(hù)主要采用安全運(yùn)維管控系統(tǒng)措施，實(shí)現(xiàn)工程師站、操作員站對(duì)外部存儲(chǔ)器(如U盤)、鍵盤和鼠標(biāo)等使用USB接口設(shè)備的識(shí)別，對(duì)外部存儲(chǔ)器的使用進(jìn)行嚴(yán)格控制。

3.2 數(shù)據(jù)中心安全防護(hù) 數(shù)據(jù)中心主要通過數(shù)據(jù)脫敏、工業(yè)網(wǎng)關(guān)、入侵檢測、數(shù)據(jù)銷毀及備份和恢復(fù)等安全防護(hù)措施，對(duì)數(shù)據(jù)的訪問外發(fā)進(jìn)行嚴(yán)格控制，并采用數(shù)據(jù)脫敏、備份和恢復(fù)機(jī)制，以保護(hù)數(shù)據(jù)安全。

數(shù)據(jù)脫敏：在輸出或共享前對(duì)數(shù)據(jù)進(jìn)行脫敏處理，脫敏后不可恢復(fù)。

工業(yè)網(wǎng)關(guān)：基于物理隔離的白名單控制，在兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，采用完全的私有方式，進(jìn)行格式化數(shù)據(jù)塊的無協(xié)議“擺渡”。

入侵檢測系統(tǒng)：具備敏感數(shù)據(jù)外發(fā)檢測、服務(wù)器非法外聯(lián)檢測、僵尸網(wǎng)絡(luò)檢測等多項(xiàng)功能，同時(shí)集成了沙箱檢測能力，是一種積極主動(dòng)的安全防護(hù)技術(shù)，能夠?yàn)橛脩籼峁┥疃裙舴烙蛢?nèi)網(wǎng)安全保護(hù)。

數(shù)據(jù)銷毀：為防止數(shù)據(jù)被惡意恢復(fù)，在對(duì)新的租戶重新分配資源之前，需要對(duì)存儲(chǔ)空間中的數(shù)據(jù)進(jìn)行徹底抹除。根據(jù)不同的數(shù)據(jù)類型以及業(yè)務(wù)部署情況，采用邏輯卷清零或隨機(jī)數(shù)多次覆寫、消磁或物理粉碎等措施。

備份和恢復(fù)：制定數(shù)據(jù)備份策略，定期對(duì)數(shù)據(jù)進(jìn)行備份。當(dāng)發(fā)生數(shù)據(jù)丟失事故時(shí)，能及時(shí)恢復(fù)備份數(shù)據(jù)，保障企業(yè)生產(chǎn)正常運(yùn)轉(zhuǎn)，從而降低用戶的損失。

3.3 應(yīng)用安全防護(hù) 應(yīng)用安全主要針對(duì)工業(yè)云平臺(tái)和應(yīng)用程序、網(wǎng)絡(luò)等采取的安全防御措施，并通過安全數(shù)據(jù)化、數(shù)據(jù)可視化方式，采用餅圖、曲線圖、態(tài)勢圖等可視化展示平臺(tái)，使管理者可快速全面掌控企業(yè)安全狀況，為快速?zèng)Q策與運(yùn)維診斷提供支撐。

工業(yè)云平臺(tái)：主要通過行為異常監(jiān)測和阻止、安全監(jiān)測、虛擬化安全、DDoS防御系統(tǒng)等安全防御措施。對(duì)工業(yè)應(yīng)用程序、運(yùn)行參數(shù)(如網(wǎng)絡(luò)流量、主機(jī)資源和存儲(chǔ)等)以及各類日志及網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問行為等進(jìn)行實(shí)時(shí)監(jiān)測與檢測，當(dāng)發(fā)現(xiàn)異常行為時(shí)，立即產(chǎn)生報(bào)警或阻止異常行為，同時(shí)對(duì)安全事件進(jìn)行評(píng)估。同時(shí)通過采用虛擬化加固等防護(hù)措施，避免虛擬化出現(xiàn)安全問題，影響上層平臺(tái)的安全。

應(yīng)用程序：主要有身份認(rèn)證系統(tǒng)、軟件防篡改、安全監(jiān)測審計(jì)等安全防御措施。在使用前，采用代碼測試、完整性校驗(yàn)、源代碼加密處理及程序和數(shù)據(jù)備份等措施，防止工業(yè)控制軟件發(fā)生篡改；在使用時(shí)，采用身份認(rèn)證授權(quán)機(jī)制、數(shù)字簽名和訪問控制技術(shù)、密碼技術(shù)等，實(shí)現(xiàn)用戶、設(shè)備和數(shù)據(jù)的完整性、一致性；在使用過程中，通過漏洞掃描工具等方式探測網(wǎng)絡(luò)設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)的漏洞情況，同時(shí)記錄操作人員的錯(cuò)誤和越權(quán)行為，并及時(shí)提供預(yù)警信息。

安全防護(hù)可視化：通過對(duì)各安全監(jiān)測防護(hù)系統(tǒng)的集成，建立安全數(shù)據(jù)展示平臺(tái)，可實(shí)時(shí)從全局掌控企業(yè)安全態(tài)勢，協(xié)助工程師快速發(fā)現(xiàn)、定位、解決安全問題，為企業(yè)安全問題提供輔助決策能力。