工控系統網絡安全防護探討

曹 湛

（中國航發沈陽發動機研究所，遼寧 沈陽 110000）

如今，網絡已經深深存在于各行各業，在工業生產管理中引進網絡技術，創設比較完整的工業控制體系是必然趨勢。工業控制充當工業技術持續化創新的基本要點，更是工業朝向現代化發展的條件，對工業行業的經營和管理起到重要作用。工控系統網絡中，安全防護是比較關鍵的項目，然而具體的安全防護中面臨著些許問題，值得相關人員具體研究。

1 工控系統網絡的防護影響因素

工控系統以得到真實化信息為基礎，以傳感器的方式得到數據保存在計算機內，后續通過計算機給予相關的信息數據加以動態分析和處理。在工控系統的支持下，不僅實現了自動化數據處理的目的，還提高了計算的正確率。工控系統有傳感器模塊、發射器模塊與轉換器模塊等，傳感器能夠合理監督物品的物理參數，加快計算機的運行速度[1]。轉換器能夠把數據轉變為電信號，之后以電信號的形式保存在計算機內。發射器能夠控制電信號朝終端方向運輸，綜合來看最為關鍵的模塊是控制器，提高了數據信息的準確性。另外，工控系統之內的電信號輸入過程與電信號輸出過程都是建立在控制器全方位運作基礎之上，系統在控制器的運作中貫徹電信號的復原項目。

研究工控系統網絡的安全防護影響因素：

第一點是工控系統自身的因素，此系統具備較強的綜合性與繁瑣性，應用的范圍比較廣。因此在具體設計上和運作中對工作者提出更加嚴格的條件，系統自身與操作流程都是潛在網絡安全隱患的。

第二點是網絡風險的出現，工控系統的運作期間，網絡化運用是比較關鍵的趨勢，每一個領域之內發揮工控系統功能時，應重視數據采集、數據研究與數據管理，工控系統以及網絡系統被遠程操控。在此階段，工控系統的一些結構可能存在于公共網絡之內，可是公共網絡的環境時刻面臨著網絡信息的安全隱患威脅，因此工控系統可能在病毒與黑客等條件制約之下出現安全問題。以“百度百科”為例，借助引擎模塊開展Open Directory 的信息搜索，會得到較多和工控系統存在關系的數據，若黑客入侵以及人為攻擊，勢必影響網站體系的管理質量[2]。

第三點是工業控制標準接口有著協議漏洞的情況，工控系統的運作中，相關網絡結構是借助“以太網”加以創設，那么在一定環境中工業控制標準接口可能是具備顯著開放性的，操作這一個系統，由于控制標準的信息獲取與接口傳輸缺乏了信息保護的過程，再這工業控制標準的協議和其他類型代碼均潛在漏洞，同時漏洞是在外界風險干擾下產生的，這樣便凸顯控制接口的協議漏洞。

第四點是工控體系比較脆弱，我國一些工控系統在運作中，均體現出內部結構的不足，這樣工控系統很容易面臨脆弱性威脅，特別是網絡資源的配置與硬件設定以及邊界問題，使得工控系統的網絡面臨安全風險，造成工控系統的安全問題出現。

2 工控系統網絡的安全防護措施

2.1 增強工控系統用戶安全防護水平，明確安全防護意識

首先，形成一定的工控系統網絡安全防護思路，安全思路是工控系統網絡安全防護的前提條件，為工控系統的安全防護提供了指導，工作者要關注工控系統的脆弱問題，把以往網絡安全管理的有效經驗作為基礎，加強網絡安全措施的創新，使得工控系統的網絡運作可以足夠安全和規范。比如實施補丁操作，關聯工控系統的創新條件，相關人員要補丁轉型工控系統的結構體系，避免工控系統處于公共環境中有漏洞風險[3]。工作者應重視測試檢驗，給工控系統的安全運作提供真實化環境，多次檢驗和評價實施工控系統的備份加工，確保補丁可以全方位轉型，控制具體升級以及轉型階段面臨的風險。之后是實施工控系統的隔離方案搭建，隔離方案的擬定可直接控制工控系統的運作出現風險，工作者需要深層次研究工控系統的防護目標，明確隔離方案與計劃，科學應用以及實踐。一般而言，工控系統的工作者要結合不相同領域的體系運作條件，優化儀器設備的性能，圍繞優化內容開展針對性調試操作，使得多個結構體系能夠規范運作，降低設備之間銜接不夠時效的概率。基于工控系統的安全防護關鍵點，即劃分隔離防護的模塊，尤其是內網模塊、外部模塊、操作模塊與隔離模塊，利用規范化舉措加以針對性改善，貫徹風險管理工作。

其次，形成物理模式的防護機制，根據相關資料可以明確，對工控系統加以物理層面的機制搭建，能夠彰顯工控系統管理的安全性與可行性，還是工控系統安全建設的前提項目，決定著工控系統作用的發揮[4]。因此，相關人員實施工控系統的整合設計時，應以物理視角處理工控系統的安全風險，可實施門禁機制，避免其他人員走進工控的現場，結合企業的基本理念構建對應先進生產設備夢，包含備用發電機、備用電線以及備用工具，降低生產問題的出現率。這樣配置監督管理計劃，可實現工控系統的一體化安全監督工作，及時了解問題和處理問題，挖掘內在的風險因素與生產因素，逐步使得工控系統的運作效率得以提升。

最后，對網絡滲透的現象進行優化，工作者應重視網絡滲透情況的出現，以換位研究的模式對設計完成的工控系統安全結構進行檢驗，從多個視角分析安全防護的基本對策，真正做好工控系統的安全防護項目，增強工控系統用戶的安全防護水平。

2.2 基于網絡安全需求，完善工控系統的三層架構

和以往的信息系統相比較，工控系統網絡安全防護應具備特殊性。首先，存在邊界防護的問題，網絡安全邊界防護會對工控系統的安全保障產生一定的影響，然而目前的工控系統尚未真正落實邊界防護思路，即邊界防護沒能和具體的標準相匹配，引出工控系統的多個業務項目潛在安全風險。

其次，存在遠程訪問的問題，實施工控系統的遠程維護作為關鍵的維護操作，可是對應遠程維護的通道均是以供應商為主提供的，若不能完善遠程訪問防護結構，是會在維護期間產生惡意入侵風險的[5]。

再次，存在監督需求以及審計問題。工控系統的具體生產，相關人員要細致地進行監督方案的設置與審計方案的設置，此工作包含網絡監督等軟件，一些生產廠家未對設備進行數據監督，無形中埋下了安全隱患，所以應強調審計檢驗，控制工控系統的網絡安全問題。

最后，是漏洞管理與風險防范的問題，工控系統的網絡安全防護上，經常使用的系統是微軟，因為控制網絡提出了工控系統結構的較多要求，可能增加系統漏洞的篩查難度和升級難度，使得操作系統整體上面臨安全隱患。工控系統的管理工程中，需安設對應殺毒軟件以提高網絡運作安全性，可是在沒能及時安裝先進軟件的前提下是會出現惡意代碼攻擊破壞網絡的，阻礙工控系統的高效率運作，因此風險防范也是應該及時進行的，為工控系統網絡安全防護奠定基礎[6]。

除此之外，要想真正實現工控系統的網絡安全防護，應制定三層結構框架，第一層是計劃管理，即工作者以工作計劃為前提進行高效率工作，一般來講計劃管理的負責人應使用管理服務器。第二層是制造管理，此層和計劃管理存在著相同點，也就是共同和服務器銜接，制造管理的設定還要額外構建計算機系統，體現制造管理的專業性。第三層是工業控制，其作為比較繁瑣的模塊，一方面應該和服務器與終端互相銜接，另一方面應及時呈現訪問記錄。第一層以及第二層的設定，貫徹了實名制的思路，使得網絡運作更加具備安全性，增強網絡保障的綜合效果。全方位監督網絡信息數據，最大化避免軟件代碼攻擊到工控系統，讓工控系統的網絡管理面臨威脅，落實工控系統的各層工作項目。基于此進行工控系統的網絡安全防護，對各個層級的任務進行分配，更好地避免了工控系統的網絡安全問題出現，有利于保障工控系統的綜合性能。

2.3 劃分網絡安全界限，強化軟件安全保障

對于工控系統的網絡安全防護過程，要基于安全隱患進行針對性模塊劃分，以風險為主，按照不同防護要求實施工控系統的網絡安全保護。特別是網絡控制與數據網絡的內在數據傳輸，加密化處理信息通道，賦予工控系統的內部網絡管理較強穩定化特征。信息網以及外部管控網的銜接上，還需要配置對應加密，內部網絡以及數據網之間適當配置安全過濾裝置，避免網絡攻擊到工控系統的現象出現。利用數據網確定數據應用的范圍，控制工控系統安全隱患，精準化落實工控系統的安全防護工作[7]。在軟件安全保障上，工控系統的體系完善不僅應體現硬件的作用，還應體現軟件的防護，針對公共體系內的一些軟件，工作者要按照定期殺毒的思路優化設備性能，尤其是安設防火墻。對溶液內設計圖紙的數據信息進行加密化管理，排除由于工控系統軟件防護問題所致的網絡問題，定時優化工控系統的操作流程，對操作設備進行整體更新，能夠兼容的條件下整合系統結構，這樣可以減少操作漏洞的出現，更好地保障了軟件運作安全。

2.4 創新安全防護技術，推動工控系統的安全建設

具體的工控系統網絡安全防護中，部分先進技術的應用可以起到積極作用。首先是代碼防護技術，以往的網絡保障中以黑名單病毒查殺的形式進行，可是不可規避出現錯誤刪除的現象，此種模式針對一般形式的系統而言帶來較大程度的傷害。安全防護上，可選取白名單進行病毒查殺的問題，顯著提高病毒查殺效果，避免產生信息錯誤刪除的情況。

其次是主機外設技術，一些工作者把手機等關鍵設備和系統主機進行連接，可能出現木馬病毒，不利于保障工控系統運作的安全性，所以健全工控系統的主機外設管理機制十分關鍵。

最后是漏洞挖掘技術，利用此種技術直接定位漏洞的范圍，最大化研究漏洞的惡化趨勢，探索行之有效的措施挖掘內在漏洞，安排專業能力比較強的工作者全方位研究，一旦出現問題應即刻處理，避免漏洞給工控系統的網絡安全帶來威脅[8]。

需要注意的是，工控系統的網絡安全防護中，性能比較重要的設備也是要被隔離化加工的，第一個是工業隔離模式，工控系統的結構之中，以隔離的思路處理孔子體系，一方面提高工控系統的信息采集及時性，另一方面控制工控系統安全風險產生，落實網關與物理格局處理等關鍵任務。第二個是“2+1”隔離，即對工控系統之中的控制模塊與數采機模塊進行隔離，此種隔離結束后不輸入私密密碼是不能使用控制系統的，由此全面對工控系統的安全系數進行提升。在隔離化加工之后，工控系統的網絡安全風險會有所降低，提高工控系統網絡安全防護的現代化發展速度。

3 結語

綜上所述，工控系統的生產組織，充當工控系統的執行者與生產者，要充分關注網絡安全設計，即在具體生產階段強化工控系統的水平。此系統的生產機構要大力開發技術，利用先進的技術完善工控系統的體系，確保工控系統可以在時代變化之下不斷發展，體現工控系統搭建的完整性，巧妙避免工控系統的內在風險出現。并且促進工控系統的網絡安全防護，由于工控系統已經存在于各個行業，對應地位是比較重要的，不管是安全保障還是穩定保障，都影響到社會的發展。政府和第三方單位需要實施自我職能，提高工控系統安全防護的速度，明確規范化的網絡安全機制，不要因為網絡而產生惡意破壞的現象，利用網絡安全防護標準，從根源上對工控系統等一系列設施的綜合性進行研究，真正保障自我權益。