工業(yè)網(wǎng)絡(luò)信息安全研究

李愷

[摘 要]隨著油氣生產(chǎn)技術(shù)與互聯(lián)網(wǎng)的融合發(fā)展，工業(yè)企業(yè)逐漸認(rèn)識(shí)到工業(yè)網(wǎng)絡(luò)安全的重要性，本文結(jié)合采油廠的工業(yè)網(wǎng)絡(luò)信息安全防范建設(shè)，分析了工業(yè)網(wǎng)絡(luò)信息安全中存在的一些問題及解決方案。

[關(guān)鍵詞]工業(yè)網(wǎng)絡(luò)；信息安全；防火墻

doi：10.3969/j.issn.1673 - 0194.2017.20.096

[中圖分類號(hào)]TP309 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2017）20-0-02

0 引 言

近年來，網(wǎng)絡(luò)經(jīng)濟(jì)的全球化帶動(dòng)了社會(huì)各行業(yè)的發(fā)展，工業(yè)企業(yè)的工業(yè)網(wǎng)絡(luò)技術(shù)發(fā)展尤為迅速，從傳統(tǒng)PLC邏輯控制自動(dòng)化到工業(yè)實(shí)時(shí)以太網(wǎng)再到物聯(lián)網(wǎng)，從具有專有性、專用性的網(wǎng)絡(luò)環(huán)境轉(zhuǎn)變成開放、集成、高效的工業(yè)網(wǎng)絡(luò)環(huán)境。目前，隨著信息化建設(shè)及數(shù)字油田建設(shè)的深入，工業(yè)網(wǎng)絡(luò)能夠?qū)崿F(xiàn)實(shí)時(shí)控制、實(shí)時(shí)監(jiān)控、實(shí)時(shí)響應(yīng)和遠(yuǎn)程系統(tǒng)監(jiān)視等，石油開采以及石油儲(chǔ)運(yùn)的生產(chǎn)和經(jīng)營(yíng)過程，全部都將依托于工業(yè)網(wǎng)絡(luò)。工業(yè)網(wǎng)絡(luò)的應(yīng)用廣度和深度都達(dá)到了前所未有的高度，也將為企業(yè)帶來可觀的經(jīng)濟(jì)效益。但是，工業(yè)網(wǎng)絡(luò)也存在各種安全隱患，攻擊工業(yè)網(wǎng)絡(luò)的事件時(shí)有發(fā)生，針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊也愈演愈烈。企業(yè)也逐漸意識(shí)到工業(yè)網(wǎng)絡(luò)信息安全的重要性，國(guó)家也陸續(xù)出臺(tái)了一系列有關(guān)工控安全的標(biāo)準(zhǔn)及規(guī)范。因此，工業(yè)企業(yè)在采用新的工業(yè)IT應(yīng)用技術(shù)的同時(shí)，更應(yīng)該健全工業(yè)網(wǎng)絡(luò)的安全防控機(jī)制，通過掌握防范和攻擊技術(shù)，做到有針對(duì)性地進(jìn)行防范。

1 工業(yè)網(wǎng)絡(luò)概述

工業(yè)網(wǎng)絡(luò)是企業(yè)網(wǎng)絡(luò)的一個(gè)重要分支，是指在一個(gè)工業(yè)企業(yè)范圍內(nèi)，將信號(hào)檢測(cè)、信號(hào)傳輸、數(shù)據(jù)處理、儲(chǔ)存、計(jì)算和控制等設(shè)備或系統(tǒng)連接在一起，以實(shí)現(xiàn)企業(yè)內(nèi)的資源共享、信息管理、過程控制和經(jīng)營(yíng)決策等。

目前，工業(yè)網(wǎng)絡(luò)有典型的3層架構(gòu)：第1層為設(shè)備層網(wǎng)絡(luò)，第2層為控制層網(wǎng)絡(luò)，第3層為管理層網(wǎng)絡(luò)。三層網(wǎng)絡(luò)架構(gòu)廣泛應(yīng)用于工廠企業(yè)的工控環(huán)境中，各層級(jí)網(wǎng)絡(luò)采用不同的開放式通訊協(xié)議和物理接口，使網(wǎng)絡(luò)互聯(lián)成為可能。工業(yè)網(wǎng)絡(luò)大多采用這種系統(tǒng)網(wǎng)絡(luò)架構(gòu)，能夠確保數(shù)據(jù)傳輸穩(wěn)定可靠。

從工業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)可以看出，工業(yè)網(wǎng)絡(luò)是一個(gè)網(wǎng)絡(luò)控制系統(tǒng)，控制系統(tǒng)的穩(wěn)定性不能因?yàn)榫W(wǎng)絡(luò)攻擊而被破壞。管理層和控制層之間的訪問安全機(jī)制必須要確保需要保密的數(shù)據(jù)不被竊取。

2 工業(yè)網(wǎng)絡(luò)環(huán)境中存在的問題

一些早期建設(shè)的采油廠，網(wǎng)絡(luò)規(guī)劃簡(jiǎn)單，基本是按照辦公業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行建設(shè)的，沒有統(tǒng)一規(guī)劃建設(shè)工業(yè)數(shù)據(jù)網(wǎng)絡(luò)，到后期只是簡(jiǎn)單地將工控設(shè)備網(wǎng)絡(luò)接入辦公業(yè)務(wù)網(wǎng)絡(luò)，使實(shí)時(shí)工業(yè)數(shù)據(jù)與日常辦公數(shù)據(jù)一同在物理網(wǎng)絡(luò)里傳輸。在這種網(wǎng)絡(luò)環(huán)境下，工業(yè)數(shù)據(jù)和自動(dòng)化生產(chǎn)設(shè)備暴露在開放的網(wǎng)絡(luò)環(huán)境下，容易遭受辦公業(yè)務(wù)網(wǎng)絡(luò)內(nèi)的病毒、外部黑客和不法分子的攻擊，不僅數(shù)據(jù)安全得不到保證，而且一旦出現(xiàn)網(wǎng)絡(luò)設(shè)備故障，將會(huì)同時(shí)影響自動(dòng)化數(shù)據(jù)傳輸和日常公務(wù)運(yùn)行。工業(yè)網(wǎng)絡(luò)環(huán)境中存在的問題主要有以下幾個(gè)方面。

2.1 缺乏清晰的網(wǎng)絡(luò)邊界

工業(yè)網(wǎng)絡(luò)中存在著業(yè)務(wù)特點(diǎn)、安全需求不同的單元域，如控制單元域、工程組態(tài)域、監(jiān)控域和辦公域等。不同的單元域間簡(jiǎn)單地完全互聯(lián)、容易導(dǎo)致不同性質(zhì)的業(yè)務(wù)、設(shè)備、通信混在一起，會(huì)給關(guān)鍵的生產(chǎn)控制帶來風(fēng)險(xiǎn)。不同的單元域之間缺少必要的隔離措施，網(wǎng)絡(luò)接入缺少防護(hù)、認(rèn)證，存在非法接入的可能。

2.2 缺乏針對(duì)病毒、蠕蟲等惡意程序的防護(hù)措施

首先，在工業(yè)協(xié)議中，工業(yè)企業(yè)通常使用非加密設(shè)計(jì)，從硬件角度來說也不支持加密手段，在工控設(shè)備中也經(jīng)常會(huì)開啟其他服務(wù)，如FTP、HTTP、SSH等，但卻缺少保護(hù)措施，一旦開啟這些服務(wù)將會(huì)導(dǎo)致整個(gè)設(shè)備容易被病毒、蠕蟲等惡意程序攻擊。

其次，大多數(shù)工業(yè)控制系統(tǒng)的工程師站、操作站、HMI都是Windows平臺(tái)的。為保證過程控制系統(tǒng)的相對(duì)獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，出于應(yīng)用軟件與操作兼容性考慮，工程師在系統(tǒng)運(yùn)行后通常不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁，從而埋下安全隱患。

最后，為了保證工控應(yīng)用軟件的可用性，許多工控系統(tǒng)操作站通常不會(huì)安裝殺毒軟件，即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒軟件的病毒庫需要不定期更新，這一要求尤其不適合于工業(yè)控制環(huán)境。這些因素都導(dǎo)致整個(gè)設(shè)備容易被病毒、蠕蟲等惡意程序攻擊。

2.3 應(yīng)用軟件漏洞

首先，由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問題，當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開放其應(yīng)用端口。其次，大部分工控軟件都是根據(jù)現(xiàn)場(chǎng)情況進(jìn)行二次開發(fā)，軟件成熟度及安全性都得不到保證。

3 工業(yè)網(wǎng)絡(luò)安全防護(hù)建議

筆者通過整理老采油廠工業(yè)網(wǎng)絡(luò)環(huán)境中的一些主要問題發(fā)現(xiàn)，工業(yè)網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)不能只靠單一的“網(wǎng)閘”式管理，需要采用硬件、軟件加管理的安全模式?；诖耍疚奶岢隽艘韵掳踩ㄗh。

3.1 劃分工業(yè)網(wǎng)絡(luò)安全區(qū)域

首先，在工業(yè)網(wǎng)絡(luò)中，技術(shù)人員可以采用網(wǎng)絡(luò)物理鏈路隔離，建設(shè)一套工業(yè)網(wǎng)專用的物理鏈路。其次，技術(shù)人員要在工業(yè)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)的交換接口處架設(shè)工業(yè)級(jí)邊界網(wǎng)關(guān)，最好能夠以功能區(qū)域?yàn)閱挝患茉O(shè)區(qū)域網(wǎng)關(guān)，并采用防火墻等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)隔離。再次，技術(shù)人員可以通過對(duì)工業(yè)控制協(xié)議的深度解析，運(yùn)用“白名單+智能學(xué)習(xí)”技術(shù)建立工控網(wǎng)絡(luò)安全通信模型，阻斷一切非法訪問，僅允許可信的流量在網(wǎng)絡(luò)上進(jìn)行傳輸，為工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)、工控網(wǎng)絡(luò)內(nèi)部區(qū)域之間的連接提供安全保障。

3.2 構(gòu)建工業(yè)級(jí)安全管理平臺(tái)和報(bào)警管理平臺(tái)

在構(gòu)建工業(yè)級(jí)安全管理平臺(tái)的過程中，技術(shù)人員要將所有部署在工業(yè)網(wǎng)絡(luò)里的安全設(shè)備建立組態(tài)進(jìn)行統(tǒng)一管理，并監(jiān)控工業(yè)網(wǎng)絡(luò)中的所有安全設(shè)備的運(yùn)行參數(shù)，確保能夠及時(shí)集中下發(fā)安全策略至各個(gè)安全設(shè)備，在有病毒入侵或者策略調(diào)整的時(shí)候可以節(jié)約大量時(shí)間。

在構(gòu)建工業(yè)級(jí)報(bào)警平臺(tái)的過程中，技術(shù)人員一方面要對(duì)報(bào)警信息進(jìn)行等級(jí)劃分，并根據(jù)不同的報(bào)警等級(jí)來制定工作的優(yōu)先級(jí)；另一方面要確保能夠及時(shí)捕獲現(xiàn)場(chǎng)所有安裝有工業(yè)防火墻的通訊信道中的攻擊，并詳細(xì)顯示攻擊來自哪里、使用何種通信協(xié)議、攻擊目標(biāo)是誰，以總攬大局的方式為工業(yè)網(wǎng)絡(luò)故障的及時(shí)排查、分析提供可靠依據(jù)。

3.3 完善工業(yè)網(wǎng)絡(luò)中權(quán)限控制與訪問控制

首先，技術(shù)人員要完善訪問控制策略，分別從入網(wǎng)訪問控制策略、操作權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測(cè)、鎖定控制策略和防火墻控制策略等7個(gè)方面保護(hù)內(nèi)部系統(tǒng)與資源，防止外部未授權(quán)用戶及入侵者的非法訪問與破壞。

其次，技術(shù)人員通過控制防火墻防護(hù)策略，可將需要封閉或開放的端口或者ip地址、MAC地址制作成管理模版，根據(jù)現(xiàn)場(chǎng)的生產(chǎn)設(shè)備情況來定制模版。只開放使用資源，對(duì)其他資源進(jìn)行控制，從而對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行管控，減少攻擊風(fēng)險(xiǎn)。

4 結(jié) 語

工業(yè)網(wǎng)絡(luò)的安全是順利開展生產(chǎn)的前提。本文只是給出了工業(yè)網(wǎng)絡(luò)基本的安全解決意見，隨著IT技術(shù)、網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷發(fā)展，企業(yè)使用的工業(yè)控制設(shè)備越來越多，新的網(wǎng)絡(luò)問題一定會(huì)如影隨形。面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境，石油企業(yè)只有采取科學(xué)、合理的安全管理措施，對(duì)企業(yè)安全策略和安全防護(hù)體系進(jìn)行不斷改善，才能全方位地保障工業(yè)網(wǎng)絡(luò)及工業(yè)設(shè)備的安全。

主要參考文獻(xiàn)

[1]李振汕.物聯(lián)網(wǎng)安全問題研究[J].信息網(wǎng)絡(luò)安全，2010（12）.

[2]董棟，王寧.網(wǎng)絡(luò)信息安全存在的問題及對(duì)策研究[J].網(wǎng)絡(luò)安全技術(shù)及應(yīng)用，2015（8）.

[3]李慧，劉彩云.淺析計(jì)算機(jī)網(wǎng)絡(luò)信息安全和防護(hù)[J].黑龍江科技信息，2015（15）.

[4]林躍，張建華.工業(yè)通信網(wǎng)絡(luò)及系統(tǒng)技術(shù)[J].自動(dòng)化與儀表，2009（7）.

[5]江正戰(zhàn).現(xiàn)場(chǎng)總線與工業(yè)控制網(wǎng)絡(luò)[J].微型機(jī)與應(yīng)用，1995（11）.

[6]劉麗娜.工業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析及安全防護(hù)系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（5）.

[7]李玉敏.工業(yè)控制網(wǎng)絡(luò)信息安全的防護(hù)措施與應(yīng)用[J].中國(guó)儀器儀表，2012（11）.

[8]繆學(xué)勤.工業(yè)網(wǎng)絡(luò)信息安全轉(zhuǎn)向硬件解決方案[J].自動(dòng)化博覽，2010（4）.endprint