李凱陽(yáng)

隨著信息化時(shí)代的到來(lái)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全受到了諸多方面的干擾，導(dǎo)致安全問(wèn)題不斷發(fā)生，在很大程度上制約著工業(yè)生產(chǎn)以及信息安全。為了有效的避免此類(lèi)問(wèn)題的出現(xiàn)，需加強(qiáng)工業(yè)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的搭建，加強(qiáng)安全防護(hù)措施，從而更好的保證工業(yè)控制系統(tǒng)的穩(wěn)定運(yùn)行。本文對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)進(jìn)行分析，以供參考。

工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全防護(hù);建設(shè)

引言

隨著信息化的飛速發(fā)展，工業(yè)控制系統(tǒng)也在利用最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平。同時(shí)，工業(yè)控制系統(tǒng)已被廣泛應(yīng)用于社會(huì)生產(chǎn)的各個(gè)領(lǐng)域，特別是能源、石化、冶金、水利、交通等關(guān)乎國(guó)家安全和國(guó)計(jì)民生的行業(yè)。

1工業(yè)控制系統(tǒng)現(xiàn)狀分析

1.1技術(shù)體系滯后

工控系統(tǒng)重大共性關(guān)鍵安全技術(shù)尚需突破，適應(yīng)我國(guó)工控安全需要的安全標(biāo)準(zhǔn)和技術(shù)體系等相對(duì)滯后，我國(guó)關(guān)鍵基礎(chǔ)設(shè)施受制于人、技不如人的現(xiàn)狀仍未改善。隨著我國(guó)互聯(lián)網(wǎng)普及和工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、數(shù)字化工程等新技術(shù)、新業(yè)務(wù)的快速發(fā)展與應(yīng)用，我國(guó)在工業(yè)控制系統(tǒng)方面面臨的安全問(wèn)題日益復(fù)雜。與此同時(shí)，敲詐勒索病毒、設(shè)備后門(mén)漏洞、分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)攻擊“武器庫(kù)”泄露、APT攻擊等安全事件層出不窮，使得工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅與風(fēng)險(xiǎn)不斷加大，給網(wǎng)絡(luò)空間安全造成嚴(yán)重的潛在安全威脅，對(duì)我國(guó)工控系統(tǒng)安全不斷提出新的挑戰(zhàn)。

1.2工業(yè)控制系統(tǒng)安全配置較弱

由于工業(yè)控制系統(tǒng)在運(yùn)行維護(hù)過(guò)程中，主要考慮其可用性和方便性，未對(duì)工業(yè)控制系統(tǒng)的安全項(xiàng)進(jìn)行配置，比如弱口令、開(kāi)放多余的端口，未刪除多余的賬號(hào)等等，存在一些安全配置上的弱點(diǎn)。這些弱配置項(xiàng)很容易被病毒、木馬、黑客甚至敵對(duì)勢(shì)力等利用造成一定損失。

1.3工業(yè)主機(jī)存在大量安全問(wèn)題

工業(yè)場(chǎng)景中使用的操作員站、工程師站以及工業(yè)數(shù)據(jù)庫(kù)主機(jī)大部分為Windows的操作系統(tǒng)，如WindowsXP、Windows7、WindowsServer2003、2008等操作系統(tǒng)，這些操作系統(tǒng)微軟已經(jīng)不再提供相應(yīng)的服務(wù)。還有這些工業(yè)主機(jī)安裝殺毒軟件不足，即使安裝了殺毒軟件，由于兼容性問(wèn)題、操作系統(tǒng)多樣性以及病毒庫(kù)需要定期更新等問(wèn)題，導(dǎo)致殺毒軟件在工業(yè)主機(jī)上無(wú)法很好的使用，安全問(wèn)題屢有發(fā)生。另一方面，移動(dòng)存儲(chǔ)介質(zhì)的不規(guī)范使用，病毒、木馬等惡意軟件的攻擊，工藝、配方泄密等安全問(wèn)題不斷發(fā)生。

2工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施

2.1安全審計(jì)

通過(guò)部署數(shù)據(jù)庫(kù)審計(jì)，基于數(shù)據(jù)庫(kù)協(xié)議分析與控制技術(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)操作“危險(xiǎn)指令阻斷、訪問(wèn)行為控制、安全態(tài)勢(shì)分析、全面行為審計(jì)”的數(shù)據(jù)庫(kù)安全主動(dòng)防御。通過(guò)部署工控安全衛(wèi)士進(jìn)行主機(jī)審計(jì)，對(duì)安全事件、審計(jì)記錄、監(jiān)測(cè)數(shù)據(jù)上報(bào)到安全管理平臺(tái)。同時(shí)，通過(guò)部署日志審計(jì)系統(tǒng)，對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備以及工業(yè)主機(jī)、控制系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的日志進(jìn)行統(tǒng)一收集、記錄、分析。

2.2技術(shù)方面

仍網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等幾個(gè)層面迚行安全防護(hù)建設(shè)，充分考慮DCS安全防護(hù)隑離措施后不能影響整個(gè)工控系統(tǒng)的穩(wěn)定性以及可用性。系統(tǒng)建立起可視化的網(wǎng)絡(luò)模型，能實(shí)時(shí)監(jiān)視整個(gè)系統(tǒng)設(shè)備的運(yùn)行狀態(tài)和安全狀態(tài)，一旦収生安全亊件，能在網(wǎng)絡(luò)圖上迚行直觀、實(shí)時(shí)報(bào)警。

2.3實(shí)施安全防御措施探討

對(duì)于像一些比較重要的設(shè)備以及工控網(wǎng)絡(luò)區(qū)域等等這樣的外網(wǎng)連接系統(tǒng)，一定要通過(guò)一定的方法把這些設(shè)備與外界的環(huán)境進(jìn)行隔離，比如工控防火墻、網(wǎng)絡(luò)隔離等等方法。①我們可以采用工業(yè)安全隔離網(wǎng)關(guān)的方法來(lái)隔離控制系統(tǒng)以及數(shù)采機(jī)。這種控制方法不僅能夠完成數(shù)據(jù)收集，物理格局以及網(wǎng)關(guān)等等重要的工作，同時(shí)還可以降低成本以及故障點(diǎn)出現(xiàn)的幾率，完全的實(shí)現(xiàn)了一種一機(jī)多用的理想目標(biāo);②數(shù)采機(jī)以及控制系統(tǒng)的架構(gòu)之間一般都運(yùn)用“2+1”物理隔離的方法來(lái)進(jìn)行隔離，只有擁有私密密碼的數(shù)據(jù)才能夠進(jìn)入到控制系統(tǒng)，同時(shí)也大大的提高了控制系統(tǒng)的安全系數(shù);③為了能夠在存在多個(gè)工業(yè)協(xié)議的工業(yè)控制系統(tǒng)之間取到數(shù)據(jù)，可以通過(guò)采取opc協(xié)議和工業(yè)協(xié)議的方法來(lái)進(jìn)行采集，那么數(shù)采機(jī)如何與外網(wǎng)獲得信息？我們可以采取防火墻的方法來(lái)進(jìn)行工業(yè)數(shù)據(jù)的篩選，這種方法對(duì)整個(gè)工業(yè)協(xié)議的數(shù)據(jù)是非常重要的，只有合法的訪問(wèn)才能夠進(jìn)去到工業(yè)控制系統(tǒng)中來(lái)，其他一些不合格的訪問(wèn)，這種系統(tǒng)將會(huì)直接拒絕，所以說(shuō)，相關(guān)用戶可以根據(jù)自身的業(yè)務(wù)通信配備以及業(yè)務(wù)放行規(guī)則來(lái)改善自己所了解的網(wǎng)絡(luò)通信協(xié)議;同時(shí)能夠使整個(gè)工業(yè)控制系統(tǒng)進(jìn)入一個(gè)非常安全戒備的狀態(tài)。

2.4建立安全管理制度

設(shè)立工業(yè)網(wǎng)絡(luò)安全管理工作的職能部門(mén)，設(shè)立安全主管人、安全管理各個(gè)方面的負(fù)責(zé)人，定義各負(fù)責(zé)人的職責(zé);成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)應(yīng)由單位主管領(lǐng)導(dǎo)委任或授權(quán);制定文件明確安全管理機(jī)構(gòu)各部門(mén)和崗位的職責(zé)、分工和技能要求;配備安全管理專(zhuān)職人員，不可兼任;加強(qiáng)與供應(yīng)商、安全企業(yè)、安全機(jī)構(gòu)的合作與溝通，獲取網(wǎng)絡(luò)安全的最新發(fā)展動(dòng)態(tài)。由安全管理部門(mén)定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。制定、實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。

3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)

在“兩化融合”的過(guò)程中，如果想要保證工業(yè)控制系統(tǒng)的安全性，第一，我們可以采取分層處理的方法，對(duì)控制系統(tǒng)進(jìn)行分層能夠有效的降低惡性軟件以及病毒等等對(duì)工業(yè)控制系統(tǒng)帶來(lái)的不良影響。在我們的生活中運(yùn)用到最后的就是工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)大概都分為計(jì)劃管理層、制造執(zhí)行層、工業(yè)控制層這三層。①計(jì)劃管理層，為了使工作人員能夠更加快速，便捷的完成制定計(jì)劃等等工作，可以采取通過(guò)連接管理服務(wù)器的方式來(lái)改善。②制造管理層，在這一層除了要像計(jì)劃管理層一樣連接相應(yīng)的服務(wù)器之外，還必須給每個(gè)防火墻連接上自己獨(dú)有的計(jì)算機(jī)系統(tǒng)。③工業(yè)控制層，在這一層所要連接的服務(wù)器是最多的，除了要連接控制管理的終端以外，對(duì)于監(jiān)控終端也應(yīng)該做好互相連接的工作。同時(shí)，在訪問(wèn)一層以及二層的時(shí)候，我們可以使用實(shí)名制的方法，從而為它們的安全提供保障。除此之外，對(duì)整個(gè)系統(tǒng)進(jìn)行一個(gè)監(jiān)測(cè)工作，這也是為了避免惡意病毒或者軟件入侵我們的系統(tǒng)，從而使得每個(gè)層次都能夠獨(dú)立的完成自己的工作。這樣的分層式結(jié)構(gòu)有效的降低了由于“兩化融合”給系統(tǒng)帶來(lái)安全隱患，此外，這種分層模式除了能夠使防護(hù)能力上升之外，還能夠降低因?yàn)榛ヂ?lián)網(wǎng)導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)問(wèn)題的幾率。

結(jié)束語(yǔ)

通過(guò)對(duì)工業(yè)控制系統(tǒng)的安全現(xiàn)狀分析，以及結(jié)合等保2.0標(biāo)準(zhǔn)通用要求和工業(yè)控制系統(tǒng)擴(kuò)展要求，設(shè)計(jì)了一種基于等保2.0標(biāo)準(zhǔn)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系，即構(gòu)造1個(gè)中心，3重防護(hù)的縱深防御體系，分別建設(shè)安全管理體系和安全技術(shù)體系以及安全運(yùn)維體系等三大安全體系，為工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)提供了理論參考依據(jù)。

參考文獻(xiàn)

[1]王?；?電氣控制中的PLC自動(dòng)化應(yīng)用研究[J].建材與裝飾，2020（03）：233-234.

[2]喬元健，李軍.工業(yè)水箱液位智能控制系統(tǒng)設(shè)計(jì)[J/OL].齊魯工業(yè)大學(xué)學(xué)報(bào)，2019（06）：59-63[2020-01-13].2019.06.010.

[3]邱志順.PLC抗干擾技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用[J/OL].集成電路應(yīng)用，2020（01）：88-89[2020-01-13].2020.01.038.

[4]李藝.工業(yè)控制網(wǎng)絡(luò)安全防御體系及關(guān)鍵技術(shù)研究[D].華北電力大學(xué)（北京），2017.

[5]賴英旭，劉增輝，蔡曉田，楊凱翔.工業(yè)控制系統(tǒng)入侵檢測(cè)研究綜述[J].通信學(xué)報(bào)，2017，38（02）：143-156.