工業自動化控制系統信息安全探析

李亞波 柏金果

摘要：目前工業自動化控制系統信息技術在飛速發展，同時系統信息安全正面臨嚴峻的挑戰。為適應當前工業控制的需求，提升企業的生產效率和安全，在工控系統信息安全概念和標準體系基礎上，需要對包括系統的架構和漏洞分析，方案部署、風險評估、體系管理、工控系統檢測入侵與防護入侵、工控系統補丁管理等進行全面的深入研究。

關鍵詞：工控系統;信息安全防護;措施建議

1工業控制系統信息安全內容簡介

工業控制系統被廣泛應用于現代社會的諸多關鍵領域，包括能源、水電、通信、交通、調度、工業制造等。一個完整的工控企業的信息系統通常分為四層，即企業管理層、生產管理層、生產控制層和設備層。企業管理層實現企業內部辦公系統功能，生產相關數據不包括在內。一般將生產管理層、生產控制層和設備層涉及的部分統稱為工業控信息系統。因此工業控制信息系統不但包括SCADA、DCS、PLC、RTU等專用的信號采集、數據傳輸和信息控制系統，還包括專用的工業通信輸設備及工業企業專用數據庫。

2工業自動化控制技術

工業自動化控制技術就是指利用微電子技術、電氣技術、機械技術以及計算機軟件技術來對工業生產過程進行控制，而無需使用人工操作機械來控制生產進度。也就是說，在工業自動化控制下的工業生產機械設備是利用各種儀器、儀表和控制器，按照預先設定的流程進行機械自動調節來進行生產運行的。因此，在自動化控制系統中，必須要對所有涉及到生產調節的儀器都進行精準的參數設置，以確保其在生產中能夠充分發揮職能作用，并且確保生產順利進行的目的。目前我國的工業自動化控制技術已經得到了很大的發展，自動化控制系統也逐漸趨于完善。但盡管如此，工業自動化控制技術仍然具有很大的發展應用空間。就目前來看，較為常用的自動化控制產品主要有PLC與工控PC兩種，這兩種自動化控制產品的應用代表了我國的工業自動化控制水平已經有了很大的發展。

3自動化控制系統信息安全隱患問題

3.1操作系統的隱患

當前大多數工業自控系統都是Windows平臺的，并且考慮到操作系統與控制系統的兼容性，對Windows平臺往往不安裝補丁。因此系統就存在被攻擊的可能，有很大的安全隱患。

3.2殺毒軟件的隱患

殺毒軟件的病毒庫需要不斷的更新，這一要求不適合工業控制環境，許多工控系統通常不會安裝殺毒軟件。即使安裝了殺毒軟件，由于軟件對新病毒的處理總是滯后的，在使用過程中也有很大的局限性

3.3通信協議的隱患

信息化和工業化的高層次的深度結合，使得TCP/IP等通用協議和技術越來越廣泛地應用在工業自控網絡中，這就減弱了控制系統與外界的隔離。病毒、木馬向控制網擴散，工業自控系統的安全隱患問題日益嚴峻。

4工業自動化控制系統安全防范舉措

4.1工業控制網絡終端的安全防御

工業控制網絡具有明顯的獨有特性，其安全防御的核心是確保控制系統與監控系統的可用性，以及針對ICS系統與管理員、ICS系統內部自動化控制組件間的訪問控制策略。同時需要確保控制系統在發生異常或安全事件時，并且能夠在不影響系統可用性的情況下，幫助管理員快速定位安全故障點。同時，在確保控制系統可用性的前提下，工業控制網絡終端安全防御能力建設需要做到如下幾個方面：基于行業最佳實踐標準的合規保證能力、基于白名單策略的控制終端惡意軟件防御能力、基于白名單的惡意未知行為發現與檢測能力、基于ICS協議的內容監測能力、基于控制系統的漏洞及威脅防御能力、基于可用性的最小威脅容忍模型建設能力、基于事件與行為的審計能力、基于可用性的系統補丁修復能力、終端安全的應急響應能力。

4.2惡意軟件防護技術

在使用Windows系統的工作站和服務器上，病毒、蠕蟲等惡意軟件的攻擊是最常見的安全威脅和隱患之一。并且由于工控系統是一個高度確定性的系統，HMI、服務器等下級應用程序都是提前設置的，其生命周期很少發生變化，因此可以在這些基本窗口的工作站和服務器上部署白名單機制，大大提升抵御各種惡意軟件的攻擊，避免了病毒數據庫不斷更新帶來的維護開銷和新的安全風險。

4.3網絡分區與邊界防護

在工業自動化控制系統中，每個控制單元是一個相對獨立的子系統，不同的控制單元相互集成、相互連接。因此，根據其功能和特點，可以將其劃分為不同的安全域，并定義明確的安全域邊界。例如根據PROFINET應用和通信服務的不同，可以將PROFINET中的操作站和維護站進一步劃分為一個獨立的安全域。此外，防火墻、安全網關等隔離設備也部署在安全域之間的接口上。因此，對于遠程訪問、遠程維護、無線訪問等，還需要在其接口處部署邊界訪問控制。

4.4工業防火墻技術

傳統模式下的防火墻信息技術對進一步保護工業控制系統相關數據信息的內部和外部非法入侵并無較大實際意義。在工業控制系統中，企業為保護相關數據信息和資料必須進一步采用工業防火墻技術，該類防火墻技術和傳統模式下的防火墻信息技術相比具有以下三大優點：首先，是工業防火墻技術具備對工業控制系統進行動態檢測和實時訪問控制的相關功能。其次，針對諸如OPC等工業控制協議，工業防火墻技術相關內容具備支持性和兼容性。最后，工業防火墻技術能最大限度滿足工業控制系統較高的實時性需求和運行穩定性需求。

4.5工業控制掃描漏洞與工業控制挖掘漏洞技術

一般而言，掃描漏洞技術主要是基于完整的工控系統及工控網絡安全漏洞數據庫，根據掃描高頻漏洞引擎和檢測方法等自動進行匹配，以掃描出企業所用工業控制系統內部關鍵設備、關鍵軟件和關鍵硬件等是否存在未發現的漏洞的方法。挖掘漏洞技術則可進一步分為分析靜態挖掘漏洞方法和分析動態挖掘漏洞方法兩大類。靜態挖掘漏洞分析方法在工業控制系統程序非運行狀態下對漏洞進行檢測和對比掃描，強化對靜態代碼審計、逆向分析和補丁等的對比研究，動態分析漏洞挖掘技術則是在系統軟件運行的情況下，并且對工業控制系統進行程序格式、黑盒子測試等針對性的漏洞掃描，以此發現工控系統可能存在的信息安全隱患，保障工控信息系統的安全運行。

4.6確保各個控制單元間的通信

通過軟件技術保證控制單元之間的通信安全，保證通信內容的機密性、完整性和通信認證，避免非法通信。同時，還可以將組態通信、數據采集等監控業務與實時控制業務隔離，避免相互干擾對通信效果的影響。

結語

工業自動化控制系統信息安全將信息安全與控制系統充分結合起來，引領著工業生產的發展方向。它不僅給對企業深入了解計算機控制系統提出了要求，還要求必須掌握信息安全保障相應知識。工業自動化控制系統信息安全與企業生產的多個環節密切相關，離不開生產各部門的精誠協作。科學合理的運用工業自動化控制系統將會大力推進我國工業的快速發展。我們有理由相信，只要政府、企業及其員工積極行動起來，我國的工業自動化控制系統將逐步縮小與世界先進國家的差距，信息安全的保障也會更加有力、更加充分。

參考文獻

[1]王玉敏.工業自動化和控制系統現場服務提供商的信息安全要求[J].自動化博覽，2017（12）：32-35.

[2]俞華軍.工業控制系統信息安全淺談[J].科學管理，2019（1）：312

[3]王營，臧易非.工業自動化控制技術的發展與應用[J].中國新技術新產品，2018（05）.