工業信息控制網絡信息安全的防護措施與應用

李 璇

（山東省電子信息產品檢驗院＜中國賽寶(山東)實驗室＞山東 濟南 250014）

0 引言

由于網絡信息安全問題的存在，使得企業的信息安全狀況不斷惡化，企業控制網絡的信息安全問題也日趨嚴重。因此，要加強對工業控制網絡信息安全管理，增強其穩定性，確保其高質量地運行，健全工業控制網絡信息安全系統。特別是在石油化工、鋼鐵、建筑、電力工程等重點行業控制中，要尤其重視這項工作的開展和進行。工業控制網是由總線控制設備各個節點和控制器進行的網絡操作，主要工作目標是實現數據和信息的交換。然而，許多工業企業認為，由于工業互聯網的隱蔽性和封閉性特點導致其本身沒有太多的安全防范行為，這就給工業互聯網帶來了安全隱患。在這個信息技術飛速發展的年代，工業互聯網之所以能在市場上站穩腳跟，最重要的原因就是他們的資料和經營信息都是保密的，能夠確保信息和資料的安全。

1 工業控制網絡信息安全現狀

科學技術水平的飛速發展，推進了互聯網這一虛擬平臺在眾多企業經營中的應用，網絡技術以開放和方便的方式被許多公司所使用。但是由于用戶的組成和利益關系的復雜性，同時計算機網絡的實際應用也缺少專門的法律對其進行規范，由此，因利益的影響所導致的網絡安全問題也層出不窮[1]。例如，大多數的黑客攻擊都是源于競爭者的攻擊，分析這一情況產生的主要原因是公司現有的安全識別和防護軟件相對滯后，會因此造成防護漏洞導致信息被破壞。大多數黑客使用的嗅探器都有MAC地址欺騙和IP欺騙的能力，而傳統的網絡因為沒有加密信息會被嗅探器偷走，這也是今后工業控制網絡信息發展過程中容易遇到的阻礙，同樣需要企業方面加以關注。

2 工業控制網絡信息安全防護的主要內容

目前網絡系統中存儲的各類軟件和數據并不會因偶然性破壞及惡意損毀行為而發生泄露和更改，也不會因此對網絡信息安全造成嚴重威脅。目前對網絡信息能夠產生威脅的情況一般包括主動式和被動式攻擊兩種。前者指的是創建過程中的資料流進行篡改所產生的錯誤，包括截取、偽造、中斷、重放、修改信息或拒絕服務等進行數據信息的破壞行為。后者指的是針對傳送過程中的信息所展開的攻擊行為，為了確保計算機網絡的安全，必須做好識別、保密、病毒防范和存取控制4項工作[2]。

3 工業控制網絡的信息安全隱患

3.1 網絡安全漏洞問題

目前工業控制系統的應用時間都比較長，并且與外部網絡進行了隔離，這一點從表面上看是安全的。但是隨著互聯網技術的應用和發展，相關技術手段也在更新換代，工業控制系統出現的漏洞也越來越多，由于缺乏安全系統對漏洞的修復，導致外界網絡針對工業控制系統漏洞的攻擊也逐漸增多，而漏洞攻擊的類型主要包括協議、服務器、數據庫攻擊等。通過以太網，可以使工業控制信息系統變得更加透明和開放，但任何事情都有它的兩面性，以太網就是一把雙刃劍，如果太過公開，會影響到整個行業的安全。

3.2 病毒、木馬的問題

此外，工業控制網絡信息系統的防病毒技術也有缺陷。病毒、木馬都是專門為電腦編寫而設計的程序，對網絡的正常運行具有很強的破壞力。通常情況下，工業控制系統都是物理上的隔離，但控制系統的封閉性卻給了病毒滋生的空間，病毒可以通過U盤和硬盤在網絡中擴散，病毒會入侵PC和服務器，然后在網絡上擴散，比如交換機、路由器等。通常只能依賴于重啟路由，或對存取控制清單進行重新配置。而病毒的入侵會造成上層的信息流入工業以太網當中，造成網絡過載。許多控制區電腦終端都連接到工業以太網交換機上，一旦被病毒感染了，工業控制網就會因為沒有防備和殺毒軟件而擴散，最后造成整個網絡癱瘓，導致信息數據被破壞。另外，目前市面上已有很多工業控制網絡信息軟件，但由于技術水平還不夠發達，網絡信息系統沒有足夠的存儲空間，所以一般都不會安裝防病毒軟件。在某些工業控制網絡的軟件中，盡管包含了防病毒，但是沒有對其進行升級。因此，短期來看，這種殺毒系統可以起到一定的防毒效果，但因為更新不及時，傳統的殺毒軟件就會失去抵抗能力。一旦病毒、木馬等入侵，便會在工業控制網的信息系統中擴散，對其他的文檔進行侵染，并對使用者進行惡意的信息搜集，從而獲取企業的相關資料。

3.3 黑客入侵的問題

在這當中比較具有代表性的包括以下幾種：首先是工業控制網的信息平臺配置缺陷，傳統的工業控制網絡信息系統的預設平臺配置通常采用的是密碼控制，在工業控制網中只能使用密碼形式進行控制，不能設置復雜的指紋以及人臉口令，而所默認的密碼或設置的簡單密碼很容易被攻擊者攻破并入侵工業控制的網絡信息系統。一旦入侵了工業互聯網，那么黑客就可以肆無忌憚地竊取和利用這些工業數據，從而干擾到用戶的日常生活，可以說黑客的攻擊會在一定程度上造成網絡系統的崩潰；其次，現有的工業控制網的信息管理規則存在缺陷，該體系的管理規定不完善，整個系統內的一些常見問題并未得到有效的管理。由于企業的管理制度不夠健全，難以進行工業控制網絡的恢復，所以我們要不斷地改進企業信息化管理制度。黑客侵入和盜用數據是大多數企業網絡最頭疼的問題，在工業控制網絡中，網絡架構主要以集線器為中介，實現整個網絡節點內信息數據的擴散。信息的來源有過程量轉換器和PLC等，通常這種裝置傳送的信息量較小，然后進行封裝并在工業控制網絡中進行循環傳送。黑客可以通過嗅探器潛入到工業控制網的底層，在不被發現的情況下將這些信息反饋給PC機進行分析和處理。這是因為在傳輸過程中沒有進行加密操作，并且交換機沒有提供對端口的保護和網絡的安全監測[3]。

4 工業控制網絡的安全防護技術

目前工業控制網絡安全防護技術發展相對成熟，主要包括以下幾種形式：（1）在應用過程中使用了智能交換機和適當的網絡結構。這種結構作為一種網絡拓撲，它的工作原理是利用智能交互控制大多數的信息和數據的傳輸，并在一定程度上保護了端口安全，確保了控制信息的保密性；（2）使用存取控制清單技術。ACL技術是一種包過濾技術，它根據所探測到的數據包源地址、目標地址和端口號來判定包的安全性和可用性。具體控制方式如下：運用安全套接層SSL對所有外部網絡通信進行加密管理，并且對接入交換機進行限制，在這種情況下，瀏覽器的圖形用戶界面登錄802.1radius網絡的條件是端口訪問，源端口只能根據特定端口進行通信；（3）流量控制技術。通常在網絡發生病毒時，會出現超負荷現象，也就是下載網絡中大量的垃圾導致網絡癱瘓。利用流量控制技術可以把端口流量限制在適當范圍內，以防止異常發生。流量控制裝置通常用于網絡旁路，經過數據分組，通過干擾端口進入網絡，并根據特定的情況發送干擾源地址或目標地址的信號，欺騙干擾數據包，調節TCP窗的尺寸，最后實現對流量的控制[4]。

5 工業控制網絡信息的安全防護措施

5.1 加強網絡安全管理，強化人員安全意識

根據調查統計，在工業控制網絡信息運行過程中，有60%以上的信息安全問題都是因為公司的管理不到位所導致。在網絡安全管理中，責任分離原則、有限任期原則、多人責任原則是實現信息管理順利進行的三大原則。加強對網絡的安全管理不僅需要對網絡管理員進行監控，而且要加強對用戶的安全意識，要對電腦進行系統密碼設置。網絡管理員也要盡職盡責，根據各自的職責和權限對不同系統設置不同密碼，在運行時要確保它的合理性和合法性，并嚴格限制某些用戶的非法訪問和利用網絡資源。為了解決工業控制系統的網絡安全問題，盡管運用了大數據技術對現場總線的發展進行控制，但依然需要技術人員的操作方能實現。針對目前工業控制系統中存在的網絡信息安全問題，采用現場總線技術實現了對整個生產流程的自動控制和管理，但同時也存在著一些網絡安全隱患，比如，由于系統的控制體系不夠嚴密，致使未經許可的人進入到控制系統平臺。因此，首先要加強對信息化網絡的監管，特別是把網絡軟件的管理落實到具體工作中。其次要加強網絡管理者的安全意識，由于工業控制系統是由相關人員來實施，要求相關的操作人員能夠對其進行實時的安全檢查，因此，企業應加強對員工的安全教育，提高員工的安全意識。比如，5G技術在工業控制領域的應用，就必須對有關人員進行5G技術的培訓，組織工作人員從理論和技術上實現創新和發展，確保其能夠熟練使用5G技術。

5.2 優化工業控制網絡架構，強化網絡安全邊界設計

要確保工業控制網絡安全，就需要建立一個完整的工業控制體系：首先，要解決安全計算環境、安全區域邊界、通信網絡等問題。在關鍵的網絡設備和計算設備中，使用了冗余結構，對安全區域進行了合理的劃分，實現了不同領域的安全隔離。其次是對網絡的安全邊界進行合理設計。大部分網絡信息安全問題的出現主要是因為外部非法分子進入，導致工業控制系統遭到破壞狀況，所以在網絡信息安全方面，可以采用工業防火墻、工業網閘實現對企業的非法訪問和邏輯隔離。通過配置網絡接入設備，控制終端的違法訪問和非法外聯。在工業無線網絡中，采用無線AP或無線路由器的上聯接口，例如，連接到防火墻端口，以工業防火墻為界，與其他網區進行邏輯上的隔離，實現對整個網絡運營環境的保護。

5.2.1 完善網絡防火墻功能

網絡層防火墻是一種基于TCP/IP協議棧的IP包過濾，也是一種分析器，它可以有效地監視內網和因特網之間的一切行為，同時保證了內部網的安全。為了確保內部網絡安全操作，可以將因特網中的危險區與安全區有效地隔離開來。而且，網絡防火墻除了可以封鎖一些被屏蔽的業務，還可以對進出的訪問進行管理，在發現網絡攻擊的時候，可以進行及時探測和報警，并且對有關信息內容和活動進行及時分析和記錄。通過對網絡防火墻的功能進行分析可知，強有效的網絡防火墻設置和優化，能夠在根本上保證網絡安全，確保所進行的信息和活動操作安全性[5]。

5.2.2 加強安裝殺毒軟件

在計算機上安裝殺毒軟件是確保網絡信息安全的重要措施，是最為直接預防和阻擋病毒的措施，不僅包括對病毒的監測和清除，同時能夠對惡意軟件和特洛伊木馬進行阻擋和防護。殺毒軟件的功能很多，主要包括實時監控、掃描和清除病毒等。防火墻、反病毒軟件、惡意軟件查殺器、黑客攻擊軟件等組成了一套安全防護體系。

5.2.3 優化虛擬專用網絡

采用隧道技術、加密技術、密鑰管理技術等，構建了一種新型的虛擬專用網絡。隧道技術即地道技術，其允許某些手機用戶和授權的非手機用戶在瀏覽公司網站的過程中不受時間以及IP地址的限制。在包括工業控制網絡內的傳輸過程中，加密技術已經是一種非常成熟的數據通信技術，它的應用范圍逐漸變大。想要實現對網絡信息的保護，就要結合相關技術進行設置，使得未經過授權的用戶不能獲取網絡信息，其中最有效的方式就是對信息進行加密。通過密鑰管理技術的應用，可以有效地確保在網絡中傳輸的信息的安全性，能夠保證信息內容和數據的安全性。目前的密鑰管理技術大致可以分為ISAKMP/OAKI EY和SKIP兩大類，前者分為公共和私人使用兩種，后者主要是通過互聯網進行通信傳輸以及密鑰控制[6]。

5.3 完善網絡信息安全機制，強化工業控制網絡運維監測

網絡信息安全機制的核心功能是從技術和管理兩個方面來保障網絡的安全性，構建健全的網絡信息安全體系是保證網絡信息安全的關鍵。在完善網絡安全機制的同時，一方面要構建完善的網絡數字簽名、數據完整性、安全加密和訪問機制制度意外，還需要對鑒別交換、公正機制以及通信業務流填充機制、路由控制機制等展開適時的優化。另一方面，工業控制系統的運營維護監測工作也會對工業控制網絡的信息安全性產生重要影響，如果工業控制系統運維監測確實會直接導致工業控制網絡遭到破壞。比如，在工業控制系統的應用過程中并沒有對登入賬戶進行科學管理，很容易遭受黑客侵襲。所以，企業方面應建立運行稽核系統，以記錄人員操作服務器、網絡設備、數據庫的過程，并對違反操作的行為進行攔截和稽核，而行為監控則主要是通過運行監控模塊來完成操作，而存取記錄則包括操作日志和回放文件。它還能對會話過程、違規行為等進行監控和處理；認證模塊采用統一的認證界面，既便于對用戶進行認證，又能增強認證管理的安全性；對資源授權的監控，主要是通過對B/S、C/S、C/S服務器主機和網絡設備的訪問進行監控。此外，加強對通信的管理，根據工業控制協議的過濾和內容的深度檢測，對各個控制單元進行安全的通信管理。

5.4 加強法律法規的宣傳以及網絡信息安全保護

從目前的統計資料來看，我國已有上百條有關國際和國內信息安全的法規。信息安全保障制度是以網絡信息安全為基礎，以確保國家對網絡進行合理、高效的宏觀控制。當前社會的網絡運行環境中，信息安全發揮著關鍵的作用。網絡信息安全性有助于產品的相互操作和相互鏈接，使網絡的安全性更高。新的科技發展形勢下，由于網絡不安全因素帶來的問題越來越多，我們經常會遇到一些網絡上的問題，甚至還會因網絡糾紛引發法律問題。所以，為了最大限度地保護工業控制網絡信息的安全運行，要加大對互聯網安全的宣傳力度，確保網絡正常運轉。在網絡信息安全的預防和處理問題上，我們要采取法律措施，保護自己的權益，堅決打擊網絡犯罪[7]。

6 結語

綜上所述，隨著我國工業水平不斷發展，為了保證我國工業控制網絡信息化朝著正常、可持續的方向發展，工業機構需要高度重視安全防護問題，構建科學的網絡結構，完善網絡安全設施的設置，充分利用高科技網絡技術，以此來保證工業控制網絡與外界網絡之間的獨立性、保密性以及互通性，為工業安全、高效生產奠定基礎。