工業控制系統網絡入侵檢測的設計與實現

譚世兵

摘要：隨著互聯網技術的飛速發展，工業互聯網在生產型企業中的地位日益重要。越來越多的工業系統也走上了大數據、科技化的發展道路，小到一個傳感器，大到一個注塑機等大型工業生產設備中的每一個環節，每一道生產工序都不能離開工業互聯網的作用。

關鍵詞：工業互聯網;工業控制系統;網絡入侵;檢測;對策

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）30-0036-02

工業互聯網是第四次工業革命的關鍵基石和重要支撐。在黨中央、國務院決策部署下，在各部門的大力推動和產業各方的共同努力下，工業互聯網在工業發展的各領域已得到廣泛應用，在電力、石化等行業應用成效顯著。工業互聯網技術在為工業生產帶來極大便利的同時，也存在著一定程度的風險，比如網絡入侵現象也日漸加劇，對于工業生產造成一定程度的損失，本文筆者就工業控制系統網絡入侵狀況進行分析，并給出建議和對策。

1工業控制系統的子系統或功能組件

工業發展中，工業控制系統的子系統或功能組件的種類繁多，大致包括數據采集與監視控制（SCADA）系統、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程測控單元（RTU）等相關信息系統。

數據采集與監視控制系統的組成部分包括計算機設備、工業過程控制組件，對于網絡組成的控制系統是最常見的手段，其基本思想是分散控制、集中操作、分級管理、配置靈活以及組態方便，可以實現工業生產的數據采集、監測和控制，最終保證工業生產過程的正常。其次在工業控制系統中最耳熟能詳的就是分布式控制系統，他的組成原理是一個由過程控制級和過程監控級組成的以通信網絡為紐帶的多級計算機系統，綜合了計算機、通信、終端顯示和控制技術而發展起來的新型控制系統。這一系統的發展，提升了場上地區的綠色剝奪，可以實現工業生產自動化需求，主要用于控制分散設備，針對采集系統、數據傳輸系統和HMI軟件，提供一個集中的監視和控制系統，用于許多過程的輸入和輸出。在工業實踐中它可收集現場信息，將信息傳遞到一個中央計算機設備，并以圖形或文本方式給操作員顯示該信息，以便操作員監視或從實時的中心位置控制整個系統。整體的基礎和核心要算分布式控制系統。對于整個系統的實時性、可靠性和擴充性來說，網絡起到的作用越來越大，這就要求分布式控制系統具備實時性的要求，也就是說在確定的時間限度實現對信息的傳遞。所謂的“確定”的時間限度，ue也就是說信息傳輸可以掙脫環境的束縛，指無論在何種情況下，信息傳送都能在這個時間限度內完成，而這個時間限度則是根據被控制過程的實時性確定的，因此，衡量系統網絡性能的指標并不是網絡的速率，即通常所說的每秒比特數。

2工業控制系統網絡入侵的可能情況

網絡是一個工具，它能給我們帶來方便和快捷，但也極容易別社會上一些另有企圖的人利用，各種網絡安全態勢變得越來越復雜，數據泄露、黑客攻擊等事件愈演愈烈，給個人、企業和社會造成極大的傷害和破壞。在當前信息化技術與工業空前融合的趨勢下，物聯網、大數據的應用在工業生產中越來越普遍，各個工業生產環節的諸多設備都會連網接入網絡，用網絡來監測維護設備。可是在在為工業發展帶來利好因素的同時，也為工業物聯網帶來挑戰，不少專家稱快速發展的工業生產背后有一個巨大的威脅。當工業系統被黑客人侵時候，黑客可能會改寫控制程序，引發后續一系列問題，這對工廠簡直是一個災難。根據網絡安全公司卡巴斯基實驗室最新報告稱，在最容易受到網絡攻擊的行業，制造業首屈一指，數量甚至達到工業控制系統和制造業的計算機的入侵數量占所有攻擊的三分之一。報告中對易受到攻擊的工業類型做了分析，大多是材料、設備和貨物的制造這一類公司。其中工程、教育和食品飲料受影響較大。報告就網絡入侵工業系統的途徑進行分析，得出結論為主要通過是企業和工業網絡之間的接口，比如我們工業生產中經常發生的，工業網絡的互聯網接入，移動電話網絡將工業網絡上的計算機連接到因特網上等等。筆者通過調查發現，近年來工業系統網絡人侵情況從行業分布來看，能源、關鍵制造業及水處理是主要行業。此外我國國家信息安全漏洞共享平臺所收錄的安全漏洞數量也持續走高。2018年1月至2018年5月，根據統計，信息安全漏洞總數達6730個，工業控制系統漏洞總數為190個，主要分布在能源、制造、商業設施、水務、市政等重點領域。其中，能源行業工控安全漏洞為65個，占比34.2%。在工業控制系統子漏洞庫中，新增的高危漏洞有95個，占該子漏洞庫新增數量的50%。

3工業控制系統中網絡入侵檢測的設計與實現

工業控制系統可以實現對工業發展實時數據采集，加強工業生產的自動化水平和智能化水平，控制系統通過改變主電路或控制電路的接線和改變電路中電阻值來控制電動機的啟動、調速、制動和反向的主令裝置，完成協調和指揮整個工業生產的自動化操作。

在網絡入侵系統的設計中要注意從以下幾方面人手，一是部署入侵檢測系統。作為防火墻的補充，入侵檢測系統作為一種安全防護工具，用于發現和抵御黑客攻擊，可以為網絡安全提供內部攻擊、外部攻擊和誤操作的實時和動態檢測，在計算機網絡和系統收到危害之前進行報警、攔截和響應。這就要求我們具備一批專業性的網絡安全人才，實現資源配置的精準化，減少無效勞動力輸出，節約社會成本，提升專業的理論和技術知識，從而導致我國工業互聯網安全水平不斷提高。例如：許多醫院從事檔案管理的人員都是兼職的，這就使得工作人員在工作中缺少經驗，同時導致工作人員對于資料存檔范圍不清楚等問題，這些問題的產生會對檔案管理造成嚴重影響。

二是配置漏洞掃描工具。任何系統和網絡都有漏洞，但通過漏洞掃描等手段，可以對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測，選擇一批典型工業企業、平臺企業開展安全檢查評估試點，發現通報整改，形成全社會范圍內的示范帶動作用，切實促進工業企業的發展。三是加強防火墻技術和網絡隔離技術的研發。為了使信息系統在保障安全的基礎上被正常訪問，需要一定的設備來對系統實施保護。可以說，設置防火墻的目的就是隔離內部和外部網，保護內部網絡不受攻擊。網絡隔離，就是兩個或兩個以上的計算機或網絡，不相連、不相通、相互斷開。如果用戶確定交換的內容是完全可信和可控的，那么網絡隔離是用戶解決網絡安全問題的最佳選擇。四是設立專門的信息技術管理部分，落實信息管理人員的責任。在企業內部，要明確各信息管理人員崗位分工和崗位職責，注重隱私和身份權限，避免員工私有數據與公司數據相混淆，不同部門、不同業務的數據相混淆。公開分享企業信息的行為，一定要慎重。最好基于云計算，對數據進行分離。嚴控訪問信息的權限，特殊事務的數據，只有少數人才能訪問。另外，定期對安全人員進行檢查、培訓，提高企業人員的計算機應用水平及網絡安全保密意識，嚴防內鬼。除此之外，網絡入侵防范措施還包括加密與認證技術、客戶端的防護、最小授權原則、遠程訪問控制、數據備份與恢復等一系列措施。最后政府工信部要進一步完善安全管理體系，加快出臺安全指導性文件，研制安全標準為了確保這些資料能夠得到有效的利用，工業生產必須要建立規范化、科學化和系統化的網絡安全防范機制。首先要將網絡安全納入一體化的管理目標中，同時要合理的建立內部管理機制。其次，要結合工業部門的實際情況制定嚴格的規章制度，以此確保相關工作人員按照制度進行操作，從而使工業生產各項工作能夠按照相關制度和規范進行規范化操作，從而確保工業生產網絡絕對安全。最后，由于工業生產中網絡入侵有一部分是熟人作案，就是員工的監守自盜現象，對于這鐘情況表，要加強對員工檔案的規范，這對于工業生產和信息化的建設都有極大的意義。因此不同的工業部門要根據自己的發展情況，大力采購一些先進的檔案管理設備，這樣才能使檔案管理跟得上社會發展步伐。信息化的建設最重要的就是硬件和軟件設備，工業部門要想全面的實施檔案管理信息化建設，就必須要投入大量的資金對現有的硬件和軟件設備進行有效的更好與換代，以此來確保工業檔案管理實施現代化建設，在大數據背景下，通過整合海量信息資源以此來建立跨平臺、跨系統、跨數據結構的共享檔案信息平臺，使信息以網絡的形式進行存儲，用戶直接在互聯網上就可以查找自己想要得到的相關信息，使用戶得到全新的查詢體驗。

4結束語

隨著我國的不斷進步，工業發展地越來越快，工業的發展帶動了人均收入的增高，生活質量上有了很大的提高，對工業生產的需求也日益多樣化。工業互聯網平臺體系正在快速建立，新型網絡技術已在工業場景中探索應用，5G商用牌照的發放，為工業互聯網發展提供重要網絡技術支持，同時，工業互聯網也面臨著很多風險考驗，外部風險加劇，互聯網和工業的深度融合，打破了傳統工業領域相對封閉可信的環境，互聯網的安全威脅滲透延伸至工業領域，加之由于存在技術漏洞，易被黑客攻陷，對工業系統造成危害，工業互聯網一旦遭受網絡攻擊不僅會造成系統或服務中斷、數據泄露等傳統互聯網安全問題，甚至會引發生產安全問題。因此，筆者認為，對工業控制系統進行網絡完全防范與檢測是一個長期性的工作，企業必須做好切實可行的網絡安全防護措施，實時對工業互聯網安全進行規劃和防護，這也是為整個工業生產體系和企業戰略規劃體系的安全發展奠基，企業工業控制系統的生存之道就是提供超越客戶預期的產品，無論是從產品性能、作用還是質量，都要不能出現誤差，要保證最佳的工業制造，切實提高工業系統的安全性，增強工業生產的效能，促進現代經濟的發展。