淺談工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

徐潤澤

摘 要 近年來，工業(yè)行業(yè)中的計(jì)算機(jī)技術(shù)的應(yīng)用越來越廣泛，雖然給工業(yè)行業(yè)的發(fā)展帶來了很大的促進(jìn)作用，但在工業(yè)控制系統(tǒng)中因網(wǎng)絡(luò)引發(fā)的安全事故發(fā)生率也在增長，因此加強(qiáng)網(wǎng)絡(luò)安全防護(hù)對(duì)于工業(yè)控制系統(tǒng)的正常運(yùn)行非常重要。文章首先分析了現(xiàn)階段工業(yè)控制系統(tǒng)中網(wǎng)絡(luò)安全的現(xiàn)狀，并闡述了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全需求，進(jìn)而探討了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的建設(shè)，以期為先關(guān)的工作人員提供有價(jià)值參考。

關(guān)鍵詞 工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全：安全防護(hù);技術(shù);措施

前言

隨著工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)的高度融合，工業(yè)控制系統(tǒng)也受到了網(wǎng)絡(luò)安全的諸多方面的威脅，不僅直接影響了工業(yè)生產(chǎn)以及相關(guān)信息的安全，同時(shí)也對(duì)我們國家的經(jīng)濟(jì)發(fā)展甚至國家的安全造成了嚴(yán)重的威脅。因此只有通過加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)，提高工業(yè)控制系統(tǒng)運(yùn)行的穩(wěn)定性和安全性，才能有效的降低網(wǎng)絡(luò)安全事故對(duì)工業(yè)控制系統(tǒng)的影響。

1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析

近年來我國工業(yè)控制系統(tǒng)安全事故頻發(fā)，對(duì)于我們國家的各方面安全、經(jīng)濟(jì)的發(fā)展以及社會(huì)的穩(wěn)定都有很大的影響，雖然也在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面給予了一定的完善措施，但其現(xiàn)狀仍不容樂觀，具體表現(xiàn)在以下幾方面的問題：①對(duì)于一些網(wǎng)絡(luò)安全隱患無法做到徹底根除。在我國工業(yè)控制體統(tǒng)中的設(shè)備存在著嚴(yán)重的漏洞后門問題，對(duì)于一些硬件的漏洞不僅要花費(fèi)較高的修復(fù)成本，同時(shí)修復(fù)的難度也非常大，這就導(dǎo)致工業(yè)控制系統(tǒng)中一些網(wǎng)絡(luò)安全隱患無法做到徹底根除。②工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全難以深入。在我國有一部分廠家的工業(yè)控制系統(tǒng)都是采用一站式的控制模式，這對(duì)于工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全的檢測、檢測以及控制和防范等都造成了很大的制約，導(dǎo)致相關(guān)的網(wǎng)絡(luò)安全防護(hù)無法深入進(jìn)行。③工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)體系落后。由于我國在工業(yè)控制系統(tǒng)的研發(fā)方面起步晚，相關(guān)的技術(shù)以及設(shè)備等還不夠成熟，缺乏工業(yè)控制系統(tǒng)高端產(chǎn)品的自主研發(fā)，與此同時(shí)，在一些工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方面的先進(jìn)技術(shù)也多數(shù)受制于人，對(duì)于目前日益發(fā)展的國情這種技不如人、受制于人的局面對(duì)于我國各方面的發(fā)展都具有嚴(yán)重的制約，尤其是工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題，如果提高網(wǎng)絡(luò)安全防護(hù)是目前的首要工作[1]。

2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全需求

與傳統(tǒng)信息系統(tǒng)相比工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全具有一定的特殊性，其主要表現(xiàn)在以下幾方面的特性需求：①工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的邊界防護(hù)需求。網(wǎng)絡(luò)的邊界防護(hù)對(duì)于工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全具有重要的作用，但是在現(xiàn)階段的工程控制系統(tǒng)中對(duì)于網(wǎng)絡(luò)邊界防護(hù)并沒有做到實(shí)際的要求標(biāo)準(zhǔn)，導(dǎo)致工業(yè)控制系統(tǒng)中各項(xiàng)業(yè)務(wù)系統(tǒng)都存在一定的安全隱患。②工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的遠(yuǎn)程訪問防護(hù)需求。在工業(yè)控制系統(tǒng)中遠(yuǎn)程維護(hù)是其主要系統(tǒng)維護(hù)方式之一，但是這些遠(yuǎn)程維護(hù)的通道都是各個(gè)供應(yīng)商來提供，如果沒有做好相關(guān)的遠(yuǎn)程訪問防護(hù)很容易在進(jìn)行遠(yuǎn)程維護(hù)的過程中受到惡意入侵的威脅。③工業(yè)控制系統(tǒng)中網(wǎng)絡(luò)監(jiān)測與審計(jì)需求。在進(jìn)行工業(yè)控制系統(tǒng)的生產(chǎn)過程中，需要進(jìn)行一定的網(wǎng)絡(luò)監(jiān)測與審計(jì)工作，由于該工作涉及到大量的網(wǎng)絡(luò)監(jiān)測與審計(jì)的軟件，而部分生產(chǎn)廠商缺乏這些設(shè)備導(dǎo)致不能有效進(jìn)行生產(chǎn)過程中的數(shù)據(jù)監(jiān)測工作，同時(shí)對(duì)于出現(xiàn)問題和故障后也不能及時(shí)的做好審計(jì)工作，給工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全埋下一定的隱患。④工業(yè)控制系統(tǒng)中網(wǎng)絡(luò)操作系統(tǒng)漏洞管理需求。在工業(yè)控制系統(tǒng)的控制網(wǎng)絡(luò)生產(chǎn)過程中最常使用的操作系統(tǒng)是微軟以及Linux操作系統(tǒng)，由于控制網(wǎng)絡(luò)對(duì)于控制系統(tǒng)的要求非常高，在進(jìn)行操作系統(tǒng)漏洞的升級(jí)工作方面有著非常大的難度，導(dǎo)致操作系統(tǒng)會(huì)出現(xiàn)更多的安全漏洞[2]。⑤工業(yè)控制系統(tǒng)網(wǎng)絡(luò)惡意代碼風(fēng)險(xiǎn)防范需求。在工業(yè)控制操作系統(tǒng)中通常需要安裝相應(yīng)的殺毒軟件來進(jìn)行一定的安全防護(hù)，但是如果沒有安裝或者安裝的殺毒軟件無法滿足相關(guān)的安全防護(hù)需求，就會(huì)導(dǎo)致工業(yè)控制系統(tǒng)被一些惡意代碼進(jìn)行攻擊破壞，從而影響工業(yè)控制系統(tǒng)的整體運(yùn)行，嚴(yán)重還可能造成經(jīng)濟(jì)的損失和人員傷亡。

3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)

3.1 工業(yè)控制系統(tǒng)的三層架構(gòu)

工業(yè)控制系統(tǒng)的三層架構(gòu)主要分為以下三層：①計(jì)劃管理層：計(jì)劃管理層是為了讓相關(guān)的工作人員在制定工作計(jì)劃等工作上更加便捷，提高工作效率，通常情況下計(jì)劃管理層需要連接管理服務(wù)器。②制造管理層：制造管理層與計(jì)劃管理層相同點(diǎn)在于都需要連接上相應(yīng)的管理服務(wù)器，除此以外制造管理層還要在每個(gè)防火墻上連接上專屬的計(jì)算機(jī)系統(tǒng)。③工業(yè)控制層：工業(yè)控制層是這三層里面最為復(fù)雜的，不僅僅要像上面兩層一樣連接相應(yīng)的管理服務(wù)器以及終端，同時(shí)對(duì)于各個(gè)監(jiān)控終端也要做好相互連接的工作[3]。在對(duì)第一層和第二層進(jìn)行訪問時(shí)，可以采用實(shí)名制的方法進(jìn)行訪問，這樣可以有效的提升網(wǎng)絡(luò)安全系數(shù)，提高網(wǎng)絡(luò)安全保障。另外必須對(duì)整個(gè)工業(yè)控制系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測工作，這樣可以最大限度地避免惡意病毒或者軟件代碼等對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊，給工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全造成威脅，從而保障工業(yè)控制系統(tǒng)中各層都能正常的完成自身的工作內(nèi)容。工業(yè)控制系統(tǒng)的分層式結(jié)構(gòu)不僅可以有效提升工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全，有效降低因?yàn)榫W(wǎng)絡(luò)導(dǎo)致的工業(yè)控制系統(tǒng)出現(xiàn)的安全問題，同時(shí)對(duì)于工業(yè)控制系統(tǒng)的整體性能也有很大的提升。

3.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)相關(guān)技術(shù)

在進(jìn)行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的過程中，一些防護(hù)技術(shù)的應(yīng)用對(duì)于網(wǎng)絡(luò)安全防護(hù)具有重要的作用，以下列舉幾個(gè)在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中比較關(guān)鍵的網(wǎng)絡(luò)安全防護(hù)技術(shù)：①惡意代碼防護(hù)技術(shù)：在工程控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)中惡意代碼防護(hù)技術(shù)是最近也是最關(guān)鍵的一門技術(shù)，在傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)中通常采用的黑名單查殺病毒模式會(huì)導(dǎo)致一些誤殺誤刪等問題的發(fā)生，另外這種防護(hù)模式對(duì)于普通的系統(tǒng)來說會(huì)有嚴(yán)重的傷害。在現(xiàn)階段采用的白名單查殺病毒模式相對(duì)于之前的模式就有了很大的提高，不僅有效降低了誤殺誤刪的問題發(fā)生率，同時(shí)也不會(huì)對(duì)工業(yè)控制系統(tǒng)產(chǎn)生負(fù)面影響。②主機(jī)外設(shè)管理技術(shù)：部分工作人員在使用工業(yè)控制系統(tǒng)的過程中常常會(huì)講一些U盤、手機(jī)、筆記本電腦等設(shè)備連接到系統(tǒng)的主機(jī)上，這樣會(huì)導(dǎo)致一些木馬病毒或者計(jì)算機(jī)病毒等入侵工業(yè)控制系統(tǒng)，給系統(tǒng)的運(yùn)行造成影響。所以必須完善相關(guān)的主機(jī)外設(shè)管理制度，同時(shí)加強(qiáng)對(duì)系統(tǒng)的監(jiān)控力度，避免因連接外部設(shè)備給工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全造成威脅。③漏洞發(fā)掘和安全監(jiān)測：網(wǎng)絡(luò)漏洞對(duì)于工業(yè)控制系統(tǒng)的影響后果非常嚴(yán)重，所以不能僅僅局限在漏洞出現(xiàn)后的補(bǔ)救措施，要采取主動(dòng)尋找漏洞的策略來進(jìn)行漏洞的發(fā)掘，從而能最大限度地發(fā)現(xiàn)漏洞并及時(shí)采取措施避免情況的惡化，在流量檢測方面需要選用專業(yè)能力較強(qiáng)的工作人員來進(jìn)行分析，另外對(duì)于系統(tǒng)整體的防護(hù)方面，發(fā)現(xiàn)問題要及時(shí)分析產(chǎn)生的根源并采取有效的解決措施，這樣可以大大降低漏洞對(duì)于系統(tǒng)的影響程度[4]。

3.3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施

在工業(yè)控制系統(tǒng)中對(duì)于一些相對(duì)重要的設(shè)備以及網(wǎng)絡(luò)區(qū)域等可以采取相應(yīng)的措施進(jìn)行與外界環(huán)境的隔離處理，具體可以采取以下措施進(jìn)行：①工業(yè)安全網(wǎng)隔離法：在工業(yè)控制系統(tǒng)中對(duì)于孔子系統(tǒng)以及數(shù)采機(jī)就可以采用這種隔離方法進(jìn)行隔離，通過這種隔離方法不僅可以保證系統(tǒng)正常的完成數(shù)據(jù)采集、物理格局以及網(wǎng)關(guān)等重要的工作任務(wù)，與此同時(shí)可以有效降低因網(wǎng)絡(luò)安全造成的故障問題發(fā)生率。②“2+1”物理隔離法：在工業(yè)控制系統(tǒng)中數(shù)采機(jī)與控制系統(tǒng)的構(gòu)架之間通常是采用這種隔離方法進(jìn)行隔離的，通過該方法隔離后沒有私密密碼的數(shù)據(jù)就無法進(jìn)入到控制系統(tǒng)，有效防止外來入侵，提升了控制系統(tǒng)整體的安全系數(shù)[5]。③防火墻隔離：在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中不僅僅要防止網(wǎng)絡(luò)因其的安全事故的發(fā)生，同時(shí)也要保障數(shù)采機(jī)能夠順利地通過外網(wǎng)獲取信息，因此可以采用防火墻的方法來對(duì)工業(yè)數(shù)據(jù)進(jìn)行篩選，從而可以保障工業(yè)控制系統(tǒng)中所有訂單訪問對(duì)象都是合法的，對(duì)于一些不合法的訪問直接拒絕，這樣會(huì)保證工業(yè)控制系統(tǒng)隨時(shí)保持在一個(gè)安全戒備的運(yùn)行狀態(tài)中。

4 結(jié)束語

綜上所述，網(wǎng)絡(luò)安全問題對(duì)于工業(yè)控制系統(tǒng)的影響非常嚴(yán)重，通過采用相關(guān)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，以及采用各種隔離方法進(jìn)行網(wǎng)絡(luò)區(qū)域以及設(shè)備的隔離等可以有效降低網(wǎng)絡(luò)安全問題對(duì)工業(yè)控制系統(tǒng)的威脅，同時(shí)也能夠?qū)崿F(xiàn)各個(gè)操作系統(tǒng)的正常運(yùn)行，同時(shí)加強(qiáng)對(duì)工業(yè)控網(wǎng)絡(luò)的各方面數(shù)據(jù)的監(jiān)測，可以有效提升工業(yè)控制系統(tǒng)運(yùn)行過程中的穩(wěn)定性和安全性。

參考文獻(xiàn)

[1] 徐海洲.基于軟件定義網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)信息安全防護(hù)設(shè)計(jì)及實(shí)現(xiàn)[D].武漢：華中科技大學(xué)，2019.

[2] 馬祥厚，劉曉壘.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系研究[J].信息系統(tǒng)工程，2018，（8）：77.

[3] 傅一帆，霍玉鮮.網(wǎng)絡(luò)安全等級(jí)保護(hù)工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)體系設(shè)計(jì)[J].警察技術(shù)，2017，（5）：19-22.

[4] 朱世順，劉行.新形勢下電力工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)保障體系研究[J].保密科學(xué)技術(shù)，2017，（5）：62-64.

[5] 謝豐.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊與安全防護(hù)思考[J].保密科學(xué)技術(shù)，2016，（9）：18-21.