工業控制網絡信息安全的防護措施與應用

南博

【摘? 要】隨著我國工業大數據架構的發展，工業控制系統成為現代工業發展管理的重要模式。但是近些年因網絡病毒等引發的工業安全事件層出不窮，因此，如何防護工業控制網絡信息安全成為工業大數據架構發展的關鍵舉措。結合實踐調查，針對工業控制網絡信息安全問題提出具體的防護措施，以此推動我國工業控制系統的完善發展。

【Abstract】With the development of China's industrial big data architecture， industrial control system has become an important mode of modern industrial development management. However， in recent years， industrial security incidents caused by network viruses have emerged one after another， so how to protect the information security of industrial control network has become a key measure for the development of industrial big data architecture. Combined with practical investigation， this paper puts forward specific protective measures for the information security of industrial control network， so as to promote the perfect development of China's industrial control system.

【關鍵詞】工業控制系統;網絡信息安全;大數據技術;機電一體化

【Keywords】industrial control system; network information security; big data technology; mechanical and electrical integration

【中圖分類號】TP393.0? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）08-0153-02

1 引言

工業控制系統被人們所了解起源于2010年伊朗震網病毒事件，我國工業控制系統信息安全的概念則是在2011年工信部451號文件中第一次提出。隨著計算機網絡技術的發展，尤其是大數據技術在工業領域中的應用，大大提升了工業控制系統的智能化、網絡化發展。工業控制系統的建設有效地打破了傳統工業“信息孤島的弊端缺陷，推動了工業大數據架構的發展。然而工業控制系統依賴于完善的網絡系統，因此，隨著工業4.0、兩化深度融合背景下如何提升工業控制網絡信息安全成為工業智能化發展的關鍵。

2 工業控制網絡信息安全現狀

工業控制系統主要是對工業生產過程安全、網絡安全、設備可靠性運行作用、影響人員以及軟硬件的集合。工業控制網絡則是一種將工業各個生產流程通過各種網絡設備組織為一個整體的通信網絡系統。隨著大數據技術的發展，尤其是5G技術在現代工業領域的應用，工業控制系統主要是以工業以太網為基礎，通過TCP/IP標準協議，使得工業控制系統日益智能化、集約化發展。工業控制網絡信息安全管理的目標就是要保證信息的保密性、真實性、完整性、未授權拷貝以及所寄生系統的安全性。隨著工業控制系統的應用，越來越多的網絡黑客利用系統漏洞破壞工業安全生產。例如，2010年，伊朗震網病毒事件爆光，2015年烏克蘭停電事件以及2017年席卷全球的WannaCry勒索病毒，工控系統亦成為“疫”區，暴露出工業控制網絡所存在的信息安全問題已經成為制約工業控制系統發展的重要因素。

為了保證工業控制網絡信息安全，我國政府部門出臺了諸多法律法規政策，例如，工信部發布的《工業控制系統信息安全行動計劃（2018-2020）》等明確提出要建立多級聯防聯動的工控安全工作機制。

3 工業控制網絡信息安全問題產生的原因

工業控制系統的安全屬性主要包括以下兩種：一是功能安全，另一種是信息安全。功能安全主要是通過對工業控制系統的安全管理達到設備和工廠安全功能的保護，以此讓工業生產過程中按照預定的程序進行操作。信息安全則是通過建立保護系統保證工業控制系統避免出現非授權人修改網絡參數、防止工業控制系統非法入侵以及非授權訪問等安全現象的發生。隨著我國工業控制系統的不斷完善，尤其是5G技術在工業控制系統的應用，大大提高了工業控制網絡信息的安全性。

但是根據近些年發生的工業控制系統安全事件不難看出，我國工業控制仍然存在網絡信息安全問題，剖析原因主要表現為以下方面：①工業控制系統網絡安全管理不到位，網絡安全管理人員安全意識淡薄。工業控制系統安全管理屬于系統工程，其不僅要求工廠做好工業控制安全管理制度建設，而且還需要做好人員培訓工作，提升相關人員的安全意識。但是根據調查，在網絡安全管理上存在以下問題：一是工業控制系統安全制度缺失，導致工業控制系統崗位的責任意識不強。隨著大數據工業架構的發展，工業控制系統的集約化現象比較突出，但是在實踐管理中，工業控制崗位卻沒有將網絡安全工作重視起來，他們認為只要保證物理安全和訪問安全管理就可以，而忽視網絡安全的建設。二是工業控制人員的網絡安全意識比較淡薄，尤其是缺乏應急預案建設，導致在出現網絡安全事故時不能第一時間采取有效的防范措施。②工業控制系統網絡架構不完善，安全技術應用不合理。隨著大數據技術在工業控制系統中的應用，工業控制系統由原來的封閉系統轉化為開放性系統，這樣一來導致傳統工業控制架構出現諸多安全隱患。另外，隨著5G技術的應用，通信協議和應用軟件暴露出諸多安全漏洞問題。根據調查目前工業控制系統的漏洞2000多個，主要體現在控制器、工業協議、工業主機操作系統、工業應用軟件等方面，如西門子、施耐德、研華、和利時、亞控等典型工控安全產品廠商。當然工業控制系統殺毒軟件漏洞、平臺配置漏洞等都是造成工業控制系統網絡信息安全的重要原因。

4 工業控制網絡信息安全防護與應用的具體對策

針對工業控制網絡信息安全所產生的原因，為了提高工業控制系統網絡信息安全應用，需要采取以下對策。

4.1 加強工業控制系統網絡安全管理，強化工作人員安全意識

針對工業控制系統網絡安全問題，雖然大數據技術的應用有效地促進了現場總線控制系統的發展，但是其仍然離不開人員的參與，因此需要我們采取以下措施：一是建立嚴格的網絡安全管理制度，強化網絡安全崗位管理?；诠I控制系統網絡信息安全所存在的問題，雖然現場總線控制系統實現了對生產全過程的自動化控制管理，但是控制系統仍然存在網絡安全隱患，例如，系統控制制度不嚴格導致非授權人員登入控制系統平臺中。因此，企業必須要建立嚴格的工業控制網絡信息管理制度，強化對信息網絡的專項管理，尤其是對網絡軟件的管理要落實到具體的崗位上。二是要強化網絡管理人員的安全意識。工業控制系統需要通過相關人員的操作實現，需要相關操作人員及時診斷系統的安全性，所以企業必須要加強人員教育培訓，提升相關工作人員的安全意識。例如，針對5G技術在工業控制系統中的應用，企業需要對相關工作人員開展5G技術教育培訓，以此讓他們掌握5G技術的操作技能。

4.2 優化工業控制網絡架構，強化網絡安全區域邊界設計

為了保證工業控制網絡信息安全必須要構建完善的工業控制架構：一是要針對網絡信息安全所存在的隱患，提出一種融合安全計算環境、安全區域邊界以及通信網絡等功能的控制系統。關鍵網絡設備和計算設備采用冗余架構，合理劃分的安全域，不同域之間進行安全隔離。二是合理設計網絡安全邊界。由于網絡信息安全存在的主要因素就是外部非法分子利用網絡通信渠道進入工業控制系統以此達到非法破壞的目的，所以在網絡信息安全設計上可以通過部署工業防火墻、工業網閘解決不同安全域之間違規訪問與邏輯隔離。通過部署網絡準入設備，針對終端的違規接入和非法外聯進行管控。針對工業無線網絡，將無線AP或無線路由器的上聯端口進行控制，如接入防火墻端口上，并以工業防火墻為邊界，與其他網絡區域做邏輯隔離。

4.3 強化工業控制網絡運維監測，提升網絡信息傳輸安全

工業控制網絡信息安全的存在與工業控制系統運維監測不到位有很大的關系，例如，在工業控制系統運行的過程中缺乏對登入賬戶的管理而導致黑客入侵網絡系統。因此，企業要設置運維審計系統，實現對運維人員操作服務器、網絡設備、數據庫過程的記錄，以及違規操作行為的阻斷與審計：對于行為監測則主要是通過運維監測模塊對所有操作者的行為進行完整的記錄，訪問記錄由操作日志和回放文件兩部分組成。同時其還實現對會話過程、違規行為等監測與處理;對于身份認證的監測。身份認證模塊采取統一的認證接口，這樣不僅有利于對用戶的認證管理，而且還可以提高認證管理的安全性;對于資源授權的監測，其主要是通過集中訪問授權和訪問控制可以對用戶通過B/S、C/S對服務器主機、網絡設備的訪問進行審計和阻斷。另外還要強化通信管理，在各控制單元之間實行基于工控協議過濾和內容深度檢查的安全通信管理。

總之，隨著工業信息化的發展，尤其是工業大數據架構的完善，工業控制系統智能化、網絡化日益完善，有效地促進了我國工業管理效率。但是由于工業控制網絡存在信息安全隱患，因此要求我們建立多級聯防聯動工作機制，推動工業控制系統的完善與發展。

【參考文獻】

【1】許新鋒.工業控制系統網絡安全等級保護的建設[J].中小企業管理與科技（上旬刊），2020（03）：112-113.

【2】李昱曉，張杰.卷煙工業控制網絡安全技術的研究應用[J].價值工程，2018，37（27）：196-197.

【3】李濤.基于等級保護2.0工業控制系統網絡安全防護體系研究[J].信息系統工程，2019（11）：48-50.