工業控制網絡安全防御體系及關鍵技術探討

摘 ?要：現階段，兩化融合戰略正在積極推進，這也促使工業控制系統在設計、研發和生產等方面實現了信息化和工業化的融合，與此同時，增加了工業控制系統被攻擊的可能性。基于此，該文探討了工業控制網絡的安全防護體系概述，分析了工業控制網絡安全防御系統中存在的風險問題，研究了工業控制網絡安全防御體系及關鍵技術，以供參考。

關鍵詞：工業控制 ?網絡安全 ?防御體系 ?關鍵技術

中圖分類號：TP393 ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A文章編號：1672-3791（2021）04（c）-0045-03

Discussion on Security Defense System and Key Technology of Industrial Control Network

HUO Lanyu

（Hunan Mechanical&Electrical Polytechnic， Changsha， Hunan Province， 410151 ?China）

Abstract： At present， the integration strategy of industrialization and informatization is being actively promoted， which also promotes the integration of informatization and industrialization in the design， R & D and production of industrial control system， at the same time it increases the possibility of industrial control system being attacked. Based on this， this paper discusses the overview of the security defense system of industrial control network， analyzes the risk problems existing in the security defense system of industrial control network， and studies the security defense system and key technologies of industrial control network， for reference.

Key Words： Industrial control; Network security; Defense system; Key technology

隨著科學技術的不斷完善，人們推出了新的信息技術以及防火墻技術，并促使該類技術在工業控制網絡安全防御體系中得到了全面應用，降低信息泄露、被盜取等風險。在這些防護技術的幫助下，不僅能夠實現防御技術的創新，還能保證風險問題能夠及時發現，迅速了解侵入系統的病毒類型和特點，開展針對性殺毒操作，保證安全防護體系的防護效果。

1 ?工業控制網絡的安全防護體系概述

近年來，針對于工業控制網絡的惡性攻擊事件經常出現，如烏克蘭電網攻擊事件等，這也充分說明了工業控制網絡正在遭受嚴重的安全威脅。相比之下，工業控制網絡的自身專業性特點較強，對于運行可靠性也存在極高要求，這也導致工業控制網絡安全防護技術與IT信息保護技術之間存在明顯差異。更為重要的是，現階段有80%以上的關鍵信息技術設施，可以利用工業控制網絡實現自動化操作。從這里也能夠看出，工業控制網絡已經成為國家信息發展系統中的重要部分，自身安全情況與國家戰略發展安全存在直接關系。現階段，由于信息化和工業化的全面融合，以及物聯網的高速發展，使得很多工業控制網絡產品開始應用通用協議、通用硬軟件等，以保證能夠與互聯網等公共網絡建立更好的連接關系，然而這就增加了病毒、木馬等侵入概率，網絡安全問題就越來越突出。再加上工業控制系統廠家所應用的通信協議具備封閉特性，其安全性與“中國制造2025”計劃息息相關，所以針對工業控制網絡安全防護中的關鍵研究應提高重視程度[1]。

2 ?工業控制網絡安全防御系統中存在的風險問題

2.1 數據傳輸環節存在篡改風險

目前，工業控制網絡安全防御系統和其中所應用的保護技術并不先進，很難在短時間內發現系統和軟件中存在病毒，其內部安裝的隔離保護裝置無法實現整個控制防御系統的全面覆蓋，進而引發漏洞問題，導致數據傳輸環節中出現被篡改的風險，無法確保信息的絕對安全，在控制中心內部也經常出現黑客入侵問題，增加網絡癱瘓問題的出現幾率，影響系統的功能發揮和數據傳輸速度，無法將系統傳輸的時效性特點展示出來。除此之外，實際防護技術的應用也不夠先進，進而引發更加嚴重的網絡安全問題，在此過程中，最為明顯的環節在于輸送環節，無法對終端設備進行保護，部分設備還容易被病毒感染，增加了數據被盜取的風險。倘若不能將該類問題解決，工業系統中的資源和信息將會面臨巨大威脅，保護防御功能也很難得到發揮。

2.2 信息采集環節容易出現泄露

總體來說，在工業控制網絡防御體系之中，信息采集工作經常會出現一些疏漏，從這里也可以看出，該系統的防護能力十分有限，保護技術不夠先進，導致傳輸和接收信息的過程容易出現問題，無法做到安全性和嚴密性維護，引發信息被盜用風險，整個體系很難被工作人員完全掌控，讓不法分子有機可乘。經過具體的分析和總結，整個工業防御體系之中并沒有設計訪問功能，對于點擊控制體系下的客戶端，也不能進行充分辨別，即使無法對訪問者身份進行辨別，也能夠將惡意文件打開，導致機密信息被泄漏，增加了安全風險問題的出現幾率，各個傳輸環節也不能得到有序控制，對工業領域的后續發展產生極大的影響。網絡系統的控制權限設計存在很大問題，所采用的安全技術實用性有限，無法對工業控制體系提供全面保護，最終影響了信息安全[2]。

2.3 處理環節過于復雜

在網絡安全技術應用過程中，很難呈現出自動化特點，讓整個處理環節變得越來越復雜，無法在短時間內完成太多工作，影響了工業制造效率，在保護控制體系建設上，相關企業和部門需要投入大量的人力、物力，只有這樣，才能對監管系統內部情況進行充分了解，在增加人工負擔同時，很難發現病毒所在，以及具體的入侵位置，對于病毒的處理環節和過于復雜，很難把控最佳的網絡安全問題處理時機。也正是由于該種情況存在，讓病毒有了可乘之機，保證能夠在短時間內完成擴散，增加數據被盜用、篡改等風險。更為重要的是，整個環節很難做到簡化處理，而且操作流程越繁瑣，越容易出現不規范行為，導致整個信息傳輸過程受到影響，尤其是在重要文件傳輸上，遭受病毒和黑客攻擊的幾率也會增高，很難讓工業控制系統處于安全運行狀態。

2.4 不具備及時響應和反制的能力

盡管相關部門已經針對基礎設施安全事故制定一系列應急管理制度，但某些危害依舊需要用戶自己去判斷，最終錯過了工業控制網絡恢復的正常運行時間，損失也會大幅增加。在我國，需要建立起一個完善的工控網絡環境，這對于整個工業控制網絡安全保護建設來說具備積極意義。

3 ?工業控制網絡安全防御體系及關鍵技術

3.1 工業控制網絡協議安全性研究

我國工業控制網絡建設主要以較為復雜的專用封閉通信協議為主，如DNP3、OPC等，這些協議內容往往存在很多漏洞，黑客們可以通過利用這些漏洞來發送非法控制命令，再加上整個通信過程保密性有限，容易出現偽裝、篡改等現象，從這里也能夠看出，我國工業控制網絡和通信協議安全性需要盡快得到改善。從《工業控制網絡安全防護指南》中能夠了解到，在實際工業現場之中，需采用指令級別的工業防火墻，除了能夠對OPC協議指令級別進行分析之外，還可以對OPC服務器以及OPC客戶端之間的協商動態端口進行跟蹤，做到生產控制網端口的最小化，與此同時，做好客戶端和服務器之間的指令請求檢測操作，一旦發現與操作指令不符的要求，應立即進行攔截，保證OPC協議下的工業控制網絡安全性。對于指令級工業防火墻在OPC協議安全性維護上，涉及到的關鍵技術如下[3]。

首先，監控OPC網絡和服務器。在通信過程中，相關工作人員需要做到對OPC服務器分配的動態跟蹤，盡可能少地打開防火墻端口，保證數據連通的同時，將未使用端口關閉。其次，對于OPC客戶端和OPC服務器之間傳輸指令請求，需開展實施檢測操作，同時保證OPC的寫入控制，這也是OPC單向只讀控制的本質所在。最后，做好通信內容加密操作，當所有內容被加密后，工業防火墻對受到的信息進行解密，之后完成內容的深度解密和調查，將風險徹底排除。

3.2 工業控制網絡的風險評估技術

現階段，工業控制網絡安全系統工程已經得到了很多專業人士的認可，其中，系統的風險評估工作同樣得到了足夠重視，但在該領域之中，我國依舊存在很多不足，如缺乏自主知識產權和標準評估體系等。目前，與工業控制網絡風險評估相關的內容只有《工業自動化和控制系統網絡安全》系列標準，但由于工控網絡系統本身具備較強的敏感性和時效性，在實際技術性評估上，需要開展全面的風險識別和處理預案操作。例如：在某安全廠商發展中，受邀對國內著名火電集團工控系統進行風險評估操作，在應用在線漏洞掃描方式時，引發數據采集服務器宕機問題，最終導致很多關鍵數據丟失[4]。

3.3 工控網絡安全事件關聯分析和態勢評測技術研究

為了保證工業控制網絡系統始終處于安全運行狀態，人們可以將工業防火墻、IDS以及漏洞掃描系統應用其中。不同網絡安全設備在使用中，均會出現不同的安全事故信息，如果這些設備功能不完善，而且不能相互協調在一起，便會引發重復報警問題。與此同時，由于工控網絡復雜性特點，所引發的網絡安全問題更是多種多樣。為了更好地對該類網絡安全問題進行處理，人們需要保證對網絡安全數據的全面處理，明確網絡安全事件的關聯性特點，將相似的網絡問題合并處理，保證網絡安全狀態評估的準確性。站在工控網絡安全態勢分析角度，相關工作人員要做的就是明確對網絡安全性存在影響的各種網絡要素。一般來說，影響網絡安全的要素很多，如時間要素、空間要素等。當所有要素被采集和獲取后，工作人員還要對信息進行分類，之后對安全信息進行綜合評估和分析，獲取整體網絡安全狀態信息，根據已有的網絡安全態勢，對未來安全態勢進行合理預測[5]。

3.4 安裝安全管理軟件

在新的發展形勢之下，各大工業企業在各項工作開展上，均需要做到與時俱進，緊跟時代發展步伐，保證對各種安全管理軟件進行妥善安裝，在實際操作設備上，可以利用好監控模塊操作，及時了解工業系統的具體運轉情況，以及設施是否處于完整狀態。另外，還要看網絡終端是否存在外來插件問題，并開展全方位監控和管理操作，了解風險和問題所在，盡早采取相關解決措施，保證安全防護技術的先進化和自動化特點，檢查好網址以及產品廣告等內容，一旦發現病毒，整個防御體系便會立即響應，避免發生信息和數據泄漏問題。因此，在工業控制系統運行上，可以借助安全管理軟件應用，及時了解設備是否存在異常問題，盡可能早地確定病毒類型，保證信息的嚴密性。

3.5 建立全生命周期網絡安全防御體系

（1）在系統設計和分析中，明確具體的安全目標和防護內容，保證安全防護體系設計和系統設計結合在一起。（2）在系統開發過程中，執行全面的代碼安全評估操作，并對同階段問題進行安全測試，如產品選型情況、工業裝備等。（3）當建設完成并執行驗收操作時，還要開展有序的風險評估，只有經過全面的網絡安全驗收測試，才能確保安全保證能力得到更好展示。（4）對于系統的運營和維護，可開展周期性風險評估操作，并通過系統攻防環境設計，保證工控系統漏洞的深入性挖掘，這也是安全技術優化的必備措施[6]。

4 ?結語

綜上所述，實際工業控制網絡安全防御體系屬于是整個工業發展中的重要保護設施，同時也是核心內容。因此，在應用過程中，相關工作人員需提升對系統信息和數據的保護力度，避免出現信息篡改、破壞等問題。同時，還可以將防火墻和識別技術等應用其中，盡早發現病毒所在，強化系統的嚴密性特點。

參考文獻

[1] 韓正.智能制造領域工業控制系統網絡安全防護研究[J].網絡安全技術與應用，2020（11）：161-163.

[2] 孟瑜煒.構建以業務為核心工業控制系統網絡安全主動防御體系的方法[J].現代制造技術與裝備，2020（8）：149-150，155.

[3] 項露露.工業控制系統網絡安全形式化建模驗證方法研究[D].浙江工業大學，2020.

[4] 王寶來，陳安國，肖偉.工業控制系統網絡安全防御體系研究[J].網絡安全技術與應用，2020（1）：?119-120.

[5] 黃兆軍.智能工廠的工業控制系統網絡安全防御體系的構建[J].工業技術與職業教育，2019，17（2）：5-10，18.

[6] 李藝.工業控制網絡安全防御體系及關鍵技術研究[D].華北電力大學，2017.

①基金項目：湖南省教育廳科學研究項目《工業網絡智能安全監測技術應用研究》（項目編號：18C1383）。

作者簡介：霍覽宇（1981—），男，本科，副教授，研究方向為控制理論與控制工程。