工業(yè)自動(dòng)化控制系統(tǒng)信息安全研究

胡 銳

武漢鋼鐵有限公司熱軋廠 湖北 武漢 430070

一、工業(yè)自動(dòng)化控制系統(tǒng)的應(yīng)用優(yōu)勢(shì)

1.1 靈活操控工業(yè)設(shè)備

流程工業(yè)中,設(shè)備數(shù)量眾多,動(dòng)輒數(shù)千個(gè)設(shè)備聯(lián)合運(yùn)行;設(shè)備門類復(fù)雜,從原理到結(jié)構(gòu)各不相同;品牌繁雜,幾乎是萬國(guó)設(shè)備,進(jìn)口設(shè)備與國(guó)產(chǎn)設(shè)備協(xié)同運(yùn)行;通過自動(dòng)化的系統(tǒng)構(gòu)建,可使得工業(yè)的設(shè)備用具能夠一體化的進(jìn)行協(xié)調(diào),互相完善對(duì)方的運(yùn)行不足,使得工業(yè)的生產(chǎn)能夠持續(xù)化的進(jìn)行。

1.2 透明工廠成為可能

自動(dòng)化技術(shù)將工業(yè)的各個(gè)接口進(jìn)行統(tǒng)一化的管理,構(gòu)建統(tǒng)一化的操作模式,通過后臺(tái)的集中管理,同步化的了解工業(yè)生產(chǎn)各個(gè)層面的信息,及時(shí)的獲取工業(yè)生產(chǎn)的危險(xiǎn)警報(bào),并定位隱患問題。使得透明工廠成為可能。

1.3 人工智能助力生產(chǎn)效率

全數(shù)字的工廠,大量的生產(chǎn)信息進(jìn)入數(shù)據(jù)服務(wù)中心。建立在歷史數(shù)據(jù)記錄上的大數(shù)據(jù)分析,為人工智能提供了數(shù)據(jù)源。通過計(jì)算機(jī)輔助手段,將每個(gè)工況下的生產(chǎn)數(shù)據(jù)與設(shè)備數(shù)據(jù)進(jìn)行分析,通過基于現(xiàn)代控制理論的智能優(yōu)化軟件,迅速為特定裝置量體定做一套具備預(yù)估、優(yōu)化功能的控制算法,能夠大幅提高企業(yè)的生產(chǎn)效率,獲得豐厚的經(jīng)濟(jì)收益。

二、工業(yè)自動(dòng)化控制系統(tǒng)中應(yīng)用計(jì)算機(jī)技術(shù)的優(yōu)勢(shì)

2.1 首先,計(jì)算機(jī)技術(shù)的應(yīng)用可使自動(dòng)化控制系統(tǒng)具有交互性及可操作性特點(diǎn)。所以,在整個(gè)系不同設(shè)備之間可實(shí)現(xiàn)相互代替以及替換。

2.2 其次,計(jì)算機(jī)技術(shù)的應(yīng)用可使自動(dòng)化控制系統(tǒng)具備開放性特點(diǎn)。在工業(yè)自動(dòng)化系統(tǒng)中,通過對(duì)計(jì)算機(jī)技術(shù)進(jìn)行運(yùn)用,可使其具備開放性及公開性特點(diǎn),其中對(duì)于開放性特點(diǎn)而言,其表現(xiàn)主要為能夠使全部設(shè)備與系統(tǒng)連接,從而使各個(gè)相關(guān)設(shè)備均能夠保證運(yùn)轉(zhuǎn)正常。在實(shí)際操作過程中,相關(guān)工作人員可依據(jù)實(shí)際工作需求,對(duì)接入設(shè)備及系統(tǒng)進(jìn)行合理選擇,具有較強(qiáng)靈活性及便捷性。

2.3 應(yīng)用計(jì)算機(jī)技術(shù)可使自動(dòng)化控制系統(tǒng)具有智能化特點(diǎn)。在工業(yè)自動(dòng)化控制系統(tǒng)中,通過對(duì)計(jì)算機(jī)技術(shù)進(jìn)行應(yīng)用,可使系統(tǒng)總線具備智能化特點(diǎn),在實(shí)際工作過程中,在利用傳感設(shè)備的基礎(chǔ)上,對(duì)于現(xiàn)場(chǎng)各個(gè)相關(guān)設(shè)備,現(xiàn)場(chǎng)總線可進(jìn)行分析及監(jiān)控,同時(shí)在此基礎(chǔ)上可實(shí)現(xiàn)自動(dòng)化控制設(shè)備,從而可對(duì)設(shè)備運(yùn)行狀態(tài)實(shí)行實(shí)時(shí)監(jiān)測(cè),對(duì)于系統(tǒng)運(yùn)行過程中所出現(xiàn)故障可及時(shí)進(jìn)行處理。

2.4 應(yīng)用計(jì)算機(jī)技術(shù)可使自動(dòng)化控制系統(tǒng)具有較高精確性。相比于普通調(diào)節(jié)器而言,在工業(yè)自動(dòng)化控制系統(tǒng)中,通過對(duì)計(jì)算機(jī)技術(shù)進(jìn)行運(yùn)用,由于計(jì)算機(jī)具有較強(qiáng)數(shù)值運(yùn)算能力,可對(duì)偏差最大程度地進(jìn)行縮小及控制,從而保證在元件老化及噪音等因素不會(huì)對(duì)控制精度產(chǎn)生影響,可使系統(tǒng)精確性得到較好保證。

三、工業(yè)自動(dòng)化控制系統(tǒng)的安全隱患分析

3.1 操作系統(tǒng)的隱患

當(dāng)前大多數(shù)工業(yè)自控系統(tǒng)都是windows平臺(tái)的,考慮到操作系統(tǒng)與控制系統(tǒng)的兼容性,對(duì)windows平臺(tái)往往不安裝補(bǔ)丁,系統(tǒng)的穩(wěn)定性無法保證。各個(gè)品牌廠家的組態(tài)監(jiān)控軟件依賴于windows操作系統(tǒng)自帶的各種服務(wù),任何一個(gè)服務(wù)出現(xiàn)損壞,則會(huì)導(dǎo)致監(jiān)控軟件的部分功能甚至全部功能失效。

3.2 通信協(xié)議的隱患

信息化和工業(yè)化的高層次的深度結(jié)合,使得TCP/IP等通用協(xié)議和技術(shù)越來越廣泛地應(yīng)用在工業(yè)自控網(wǎng)絡(luò)中,這就減弱了控制系統(tǒng)與外界的隔離。病毒、木馬向控制網(wǎng)擴(kuò)散,工業(yè)自控系統(tǒng)的安全隱患問題日益嚴(yán)峻。

3.3 殺毒軟件的隱患

殺毒軟件的病毒庫需要不斷的更新,這一要求不適合工業(yè)控制環(huán)境,許多工控系統(tǒng)通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件,由于軟件對(duì)新病毒的處理總是滯后的,在使用過程中也有很大的局限性。

四、建立工業(yè)控制系統(tǒng)安全的防范對(duì)策

4.1 基于終端的工業(yè)系統(tǒng)安全防御體系

工業(yè)網(wǎng)絡(luò)中同時(shí)存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營(yíng)的辦公網(wǎng)絡(luò),考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同,對(duì)其防御的策略和保障措施應(yīng)該按照等級(jí)進(jìn)行劃分,實(shí)施分層次的縱深防御體系。按照業(yè)務(wù)職能和安全需求的不同,工業(yè)網(wǎng)絡(luò)可劃分為：滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域;滿足在線業(yè)務(wù)需要DMZ區(qū)域;滿足ICS管理與監(jiān)控需要的管理區(qū)域;滿足自動(dòng)化作業(yè)需要的控制區(qū)域。

4.2 辦公網(wǎng)絡(luò)終端的安全防御

辦公網(wǎng)絡(luò)相對(duì)于工業(yè)控制網(wǎng)絡(luò)是開放的,其安全防御的核心是確保各種辦公業(yè)務(wù)終端的安全性和可用性,以及基于終端使用者的角色實(shí)施訪問控制策略。辦公網(wǎng)絡(luò)也是最容易受到攻擊者攻擊并實(shí)施進(jìn)一步定向攻擊的橋頭堡,實(shí)施有效的辦公網(wǎng)絡(luò)終端安全策略可最大限度的抵御針對(duì)ICS 系統(tǒng)的破壞。辦公網(wǎng)絡(luò)通用終端安全防御能力建設(shè)包括：木馬等病毒威脅系統(tǒng)正常運(yùn)行惡意軟件防御能力;基于白名單的惡意行為發(fā)現(xiàn)與檢測(cè)能力;終端應(yīng)用控制與審計(jì)能力;基于角色的訪問控制能力;系統(tǒng)漏洞的檢測(cè)與修復(fù)能力;基于系統(tǒng)異常的恢復(fù)能力。

4.3 工業(yè)控制網(wǎng)絡(luò)終端的安全防御

工業(yè)控制網(wǎng)絡(luò)具有明顯的獨(dú)有特性,其安全防御的核心是確?？刂葡到y(tǒng)與監(jiān)控系統(tǒng)的可用性,以及針對(duì)ICS系統(tǒng)與管理員、ICS系統(tǒng)內(nèi)部自動(dòng)化控制組件間的訪問控制策略。同時(shí)需要確?？刂葡到y(tǒng)在發(fā)生異?；虬踩录r(shí),能 夠在不影響系統(tǒng)可用性的情況下,幫助管理員快速定位安全故障點(diǎn)。同時(shí),在確?？刂葡到y(tǒng)可用性的前提下,工業(yè)控制網(wǎng)絡(luò)終端安全防御能力建設(shè)需要做到如下幾個(gè)方面：基于行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)的合規(guī)保證能力;基于白名單策略的控制終端惡意軟件防御能力;基于白名單的惡意未知行為發(fā)現(xiàn)與檢測(cè)能力;基于ICS協(xié)議的內(nèi)容監(jiān)測(cè)能力;基于控制系統(tǒng)的漏洞及威脅防御能力;基于可用性的最小威脅容忍模型建設(shè)能力;基于事件與行為的審計(jì)能力;基于可用性的系統(tǒng)補(bǔ)丁修復(fù)能力;終端安全的應(yīng)急響應(yīng)能力。

結(jié)束語

綜上所述,加強(qiáng)對(duì)工業(yè)自動(dòng)化控制系統(tǒng)信息安全問題的研究分析,對(duì)于其良好實(shí)踐效果的取得有著十分重要的意義,因此在今后的工業(yè)自動(dòng)化控制系統(tǒng)應(yīng)用過程中,應(yīng)該加強(qiáng)對(duì)信息安全關(guān)鍵環(huán)節(jié)與重點(diǎn)要素的重視程度。