淺談當(dāng)前工業(yè)控制系統(tǒng)信息安全解決方案

邱金龍

【摘要】 工業(yè)控制系統(tǒng)，簡(jiǎn)稱ICS，主要可以分為以下部分：SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）、DCS（分布式控制系統(tǒng)）、PLC（可編程邏輯控制器）及其他類的控制系統(tǒng)等。現(xiàn)階段工業(yè)控制系統(tǒng)已被廣泛應(yīng)用在我國(guó)社會(huì)市場(chǎng)的各行業(yè)各領(lǐng)域，如電力企業(yè)、水力企業(yè)、石化企業(yè)、醫(yī)藥行業(yè)、食品行業(yè)、汽車行業(yè)及航天工業(yè)等，是我國(guó)基礎(chǔ)設(shè)施的構(gòu)成部分之一，也與國(guó)家整體的戰(zhàn)略安全息息相關(guān)?；诖耍瑢?duì)工業(yè)控制系統(tǒng)的信息安全作出保障，并制定相關(guān)的解決方案，是現(xiàn)階段工業(yè)技術(shù)員需要思考與分析的問(wèn)題。本文首先對(duì)工業(yè)控制系統(tǒng)信息安全存在的問(wèn)題進(jìn)行介紹，再對(duì)工業(yè)控制系統(tǒng)安全解決方案展開(kāi)研究與分析。

【關(guān)鍵詞】 工業(yè)控制系統(tǒng) 信息安全 存在問(wèn)題 解決方案

按照工業(yè)控制系統(tǒng)信息安全的相關(guān)要求及防范手段的特點(diǎn)，當(dāng)前工業(yè)控制系統(tǒng)對(duì)信息安全提出了解決方案，在控制系統(tǒng)內(nèi)部建立防火墻、安裝入侵檢測(cè)系統(tǒng)及建立連接服務(wù)器的驗(yàn)證機(jī)制，能夠在控制系統(tǒng)內(nèi)部實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備交互信息的目的，以此可以提升工業(yè)控制系統(tǒng)的整體防御能力[1]。在此情況下，工業(yè)控制系統(tǒng)現(xiàn)已成為信息安全領(lǐng)域愈來(lái)愈受關(guān)注的話題與重點(diǎn)之一，對(duì)其中存在的問(wèn)題加以解決是迫不可待的[2]。

一、當(dāng)前工業(yè)控制系統(tǒng)信息安全存在問(wèn)題分析

工業(yè)控制系統(tǒng)，一般來(lái)說(shuō)可以分為三個(gè)層面，即現(xiàn)場(chǎng)控制層面、監(jiān)控管理層面與生產(chǎn)控制層面?，F(xiàn)場(chǎng)控制層面由生產(chǎn)設(shè)備、DCS及PLC等相關(guān)控制器組成，用來(lái)通訊的工具主要是工業(yè)以太網(wǎng)及現(xiàn)場(chǎng)總線；監(jiān)控管理層面基本由上位機(jī)、數(shù)據(jù)服務(wù)器、監(jiān)控設(shè)備及數(shù)據(jù)采集機(jī)等組成，用來(lái)通訊的工具為工業(yè)以太網(wǎng)及OPC；生產(chǎn)控制層面由管理終端組成，比如：供應(yīng)鏈、質(zhì)檢與物料等相關(guān)的管理服務(wù)器，主要用以太網(wǎng)來(lái)進(jìn)行通訊。當(dāng)前工業(yè)控制系統(tǒng)的信息安全問(wèn)題來(lái)自以下方面：1、工業(yè)控制系統(tǒng)通訊方案較為落后守舊。大多數(shù)的工業(yè)控制系統(tǒng)通訊方案都具有一定的歷史，是由技術(shù)人員在多年前便已設(shè)計(jì)好的，基本上都是在串行連接的基礎(chǔ)上訪問(wèn)網(wǎng)絡(luò)，設(shè)計(jì)時(shí)考慮的主要因素便是工業(yè)控制系統(tǒng)的可靠性與實(shí)用性，而忽視了控制系統(tǒng)的安全性，加之通訊方案對(duì)于用戶的身份認(rèn)證、信息數(shù)據(jù)保密等這些方面存在考慮不足的問(wèn)題[3]。2、接入限定點(diǎn)不夠明確。接入限定點(diǎn)不夠明確的問(wèn)題主要體現(xiàn)在系統(tǒng)終端與計(jì)算機(jī)接口等，不同版本、不同安全要求及通訊要求的設(shè)備都可以直接或者間接連接互聯(lián)網(wǎng)，加上訪問(wèn)的策略管理工作存在松散與懈怠的情況，能夠在一定程度上增加工業(yè)控制系統(tǒng)內(nèi)部病毒感染的幾率[4]。3、工業(yè)控制系統(tǒng)信息安全的關(guān)注降低?，F(xiàn)階段網(wǎng)絡(luò)安全方面很少有黑客攻擊工業(yè)網(wǎng)絡(luò)的情況發(fā)生，故工業(yè)控制系統(tǒng)技術(shù)人員對(duì)于工業(yè)控制系統(tǒng)信息安全的關(guān)注逐漸降低，也沒(méi)有制定科學(xué)化與合理化的工業(yè)控制系統(tǒng)安全方案、管理制度，也沒(méi)有加強(qiáng)培養(yǎng)操作人員與設(shè)計(jì)人員的安全意識(shí)，隨著時(shí)間的推移，人員的安全意識(shí)愈來(lái)愈淡薄，操作管理的實(shí)際技術(shù)能力與安全思想觀念存在差異，極容易出現(xiàn)違規(guī)操作與越權(quán)訪問(wèn)的情況，給工業(yè)控制系統(tǒng)的生產(chǎn)系統(tǒng)埋下安全隱患[5]。4、在信息科學(xué)技術(shù)及工業(yè)技術(shù)的高速融合下，現(xiàn)代企業(yè)的物聯(lián)程度與信息化程度不斷提升，這樣便促使更多更智能的儀器設(shè)備將會(huì)在市場(chǎng)上出現(xiàn)，也將帶來(lái)更多的安全問(wèn)題。

二、當(dāng)前工業(yè)控制系統(tǒng)信息安全的相關(guān)特點(diǎn)分析

傳統(tǒng)計(jì)算機(jī)信息系統(tǒng)信息安全的要求主要有：保密性、可用性與完整性，而現(xiàn)代工業(yè)控制系統(tǒng)信息安全首要考慮的是可用性。工業(yè)控制系統(tǒng)的控制對(duì)象為不同方面的生產(chǎn)過(guò)程，如物理、生物與化學(xué)，系統(tǒng)終端設(shè)備與執(zhí)行部位能夠嚴(yán)格設(shè)定生產(chǎn)過(guò)程中的實(shí)際操作，故在對(duì)安全措施進(jìn)行調(diào)整與試行之前必須要將生產(chǎn)設(shè)備保持停機(jī)狀態(tài)，對(duì)工業(yè)控制系統(tǒng)采取的安全措施必須查看其是否具有一定的準(zhǔn)確性及時(shí)效性，并要在停機(jī)狀態(tài)下對(duì)其進(jìn)行測(cè)試與調(diào)整，但這些程序勢(shì)必會(huì)給企業(yè)帶來(lái)一定程度的經(jīng)濟(jì)影響[6]。

根據(jù)相關(guān)的研究報(bào)告顯示，在已公布于社會(huì)與民眾的工業(yè)控制系統(tǒng)漏洞中，拒絕服務(wù)類與控制軟件類等漏洞造成系統(tǒng)業(yè)務(wù)停止的比重，分別占據(jù)了百分之三十三與百分之二十，這樣的情況，便給工業(yè)控制系統(tǒng)的實(shí)用功能帶來(lái)了巨大的威脅，不但會(huì)在信息安全方面造成信息丟失，增加工業(yè)生產(chǎn)過(guò)程中生產(chǎn)設(shè)備出現(xiàn)故障的幾率，而且會(huì)在最大程度上造成操作人員的意外傷亡情況及設(shè)備損壞情況，造成企業(yè)經(jīng)濟(jì)利益嚴(yán)重虧損。

三、當(dāng)前工業(yè)控制系統(tǒng)信息安全解決方案分析

1、主動(dòng)隔離式。主動(dòng)隔離式信息安全解決方案的提出，來(lái)自于管道與區(qū)域的基本概念，即將同樣性能與安全要求的相關(guān)設(shè)備安置在同一個(gè)區(qū)域內(nèi)，通訊過(guò)程主要靠專門管道來(lái)完成，并利用管道管理工作來(lái)起到抵制非法通信的作用，能夠集中防護(hù)網(wǎng)絡(luò)區(qū)域內(nèi)或者外部的所有設(shè)備。這種方案，相對(duì)來(lái)說(shuō)具有一定的有效性，可以按照實(shí)際需求來(lái)靈活運(yùn)用工業(yè)控制系統(tǒng)，并為其實(shí)施信息安全防護(hù)工作，但在實(shí)施這種解決方案之前，必須先確定防護(hù)等級(jí)與安全范圍，并尋找出一種適度的防護(hù)與經(jīng)濟(jì)成本折中辦法。

2、被動(dòng)檢測(cè)式。被動(dòng)檢測(cè)式解決方案是一種以傳統(tǒng)計(jì)算機(jī)系統(tǒng)為基礎(chǔ)的新型網(wǎng)絡(luò)安全保護(hù)方案，因?yàn)橛?jì)算機(jī)系統(tǒng)本身便具有結(jié)構(gòu)化、程序化及多樣化等特點(diǎn)，故除了采取對(duì)用戶的身份認(rèn)證與加密數(shù)據(jù)等防護(hù)技術(shù)之外，還添設(shè)了查殺病毒、檢測(cè)入侵情況及黑名單匹配等手段，以此有助于確定非法身份，并結(jié)合多方面的部署來(lái)提升網(wǎng)絡(luò)環(huán)境的安全。這種方案的硬件設(shè)備除了原部署的系統(tǒng)之外，還能利用代理終端的白名單技術(shù)來(lái)實(shí)現(xiàn)主機(jī)的入侵抵制功能，這些措施能夠減少對(duì)原來(lái)系統(tǒng)具備性能的負(fù)面影響，達(dá)到工業(yè)控制系統(tǒng)實(shí)用的目標(biāo)。但網(wǎng)絡(luò)威脅的特征庫(kù)無(wú)法及時(shí)更新，故黑名單技術(shù)對(duì)于新出現(xiàn)的違法入侵行為不能做出實(shí)時(shí)回應(yīng)，故對(duì)于工業(yè)控制系統(tǒng)來(lái)說(shuō)還是帶來(lái)了一定的危害。

結(jié)束語(yǔ)：總而言之，本文主要對(duì)當(dāng)前工業(yè)控制系統(tǒng)信息安全存在的問(wèn)題展開(kāi)分析，針對(duì)工業(yè)控制系統(tǒng)通訊方案較為落后守舊、接入限定點(diǎn)不夠明確及工業(yè)控制系統(tǒng)信息安全的關(guān)注降低等問(wèn)題，研究了當(dāng)前工業(yè)控制系統(tǒng)信息安全的特點(diǎn)，最后對(duì)當(dāng)前工業(yè)控制系統(tǒng)信息安全解決方案展開(kāi)剖析，即主動(dòng)隔離式與被動(dòng)檢測(cè)式。當(dāng)然，要完全解決工業(yè)控制系統(tǒng)存在的問(wèn)題，還得要求我國(guó)政府機(jī)關(guān)及相關(guān)部門提高網(wǎng)絡(luò)安全的意識(shí)，構(gòu)建并不斷完善一個(gè)有效、科學(xué)且合理的安全機(jī)制，以此來(lái)推動(dòng)我國(guó)工業(yè)控制系統(tǒng)的發(fā)展。

參 考 文 獻(xiàn)

[1]朱世順，黃益彬，朱應(yīng)飛，張小飛.工業(yè)控制系統(tǒng)信息安全防護(hù)關(guān)鍵技術(shù)研究[J].電力信息與通信技術(shù)，2013，11：106-109.

[2]張波.西門子縱深防御DCS信息安全方案在青島煉化項(xiàng)目的應(yīng)用[J].自動(dòng)化博覽，2015，02：42-45.

[3]陳紹望，羅琪，陸曉鵬.海洋石油平臺(tái)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及策略[J].自動(dòng)化與儀器儀表，2015，05：4-5+8.

[4]張波.基于縱深防御理念的DCS信息安全方案在青島煉化項(xiàng)目的應(yīng)用[J].中國(guó)儀器儀表，2014，02：30-35.

[5]周顯兵，馮慧山，王士新.淺析工業(yè)過(guò)程控制系統(tǒng)網(wǎng)絡(luò)安全解決方案[J].石油化工自動(dòng)化，2014，01：10-13.

[6]梁瀟，高昆侖，徐志博，鄭曉崑.美國(guó)電力行業(yè)信息安全工作現(xiàn)狀與特點(diǎn)分析[J].電網(wǎng)技術(shù)，2011，12：221-228.