工業(yè)控制網(wǎng)絡(luò)信息安全的防護(hù)措施與應(yīng)用

南博

【摘? 要】隨著我國(guó)工業(yè)大數(shù)據(jù)架構(gòu)的發(fā)展，工業(yè)控制系統(tǒng)成為現(xiàn)代工業(yè)發(fā)展管理的重要模式。但是近些年因網(wǎng)絡(luò)病毒等引發(fā)的工業(yè)安全事件層出不窮，因此，如何防護(hù)工業(yè)控制網(wǎng)絡(luò)信息安全成為工業(yè)大數(shù)據(jù)架構(gòu)發(fā)展的關(guān)鍵舉措。結(jié)合實(shí)踐調(diào)查，針對(duì)工業(yè)控制網(wǎng)絡(luò)信息安全問題提出具體的防護(hù)措施，以此推動(dòng)我國(guó)工業(yè)控制系統(tǒng)的完善發(fā)展。

【Abstract】With the development of China's industrial big data architecture， industrial control system has become an important mode of modern industrial development management. However， in recent years， industrial security incidents caused by network viruses have emerged one after another， so how to protect the information security of industrial control network has become a key measure for the development of industrial big data architecture. Combined with practical investigation， this paper puts forward specific protective measures for the information security of industrial control network， so as to promote the perfect development of China's industrial control system.

【關(guān)鍵詞】工業(yè)控制系統(tǒng);網(wǎng)絡(luò)信息安全;大數(shù)據(jù)技術(shù);機(jī)電一體化

【Keywords】industrial control system; network information security; big data technology; mechanical and electrical integration

【中圖分類號(hào)】TP393.0? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號(hào)】1673-1069（2020）08-0153-02

1 引言

工業(yè)控制系統(tǒng)被人們所了解起源于2010年伊朗震網(wǎng)病毒事件，我國(guó)工業(yè)控制系統(tǒng)信息安全的概念則是在2011年工信部451號(hào)文件中第一次提出。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，尤其是大數(shù)據(jù)技術(shù)在工業(yè)領(lǐng)域中的應(yīng)用，大大提升了工業(yè)控制系統(tǒng)的智能化、網(wǎng)絡(luò)化發(fā)展。工業(yè)控制系統(tǒng)的建設(shè)有效地打破了傳統(tǒng)工業(yè)“信息孤島的弊端缺陷，推動(dòng)了工業(yè)大數(shù)據(jù)架構(gòu)的發(fā)展。然而工業(yè)控制系統(tǒng)依賴于完善的網(wǎng)絡(luò)系統(tǒng)，因此，隨著工業(yè)4.0、兩化深度融合背景下如何提升工業(yè)控制網(wǎng)絡(luò)信息安全成為工業(yè)智能化發(fā)展的關(guān)鍵。

2 工業(yè)控制網(wǎng)絡(luò)信息安全現(xiàn)狀

工業(yè)控制系統(tǒng)主要是對(duì)工業(yè)生產(chǎn)過程安全、網(wǎng)絡(luò)安全、設(shè)備可靠性運(yùn)行作用、影響人員以及軟硬件的集合。工業(yè)控制網(wǎng)絡(luò)則是一種將工業(yè)各個(gè)生產(chǎn)流程通過各種網(wǎng)絡(luò)設(shè)備組織為一個(gè)整體的通信網(wǎng)絡(luò)系統(tǒng)。隨著大數(shù)據(jù)技術(shù)的發(fā)展，尤其是5G技術(shù)在現(xiàn)代工業(yè)領(lǐng)域的應(yīng)用，工業(yè)控制系統(tǒng)主要是以工業(yè)以太網(wǎng)為基礎(chǔ)，通過TCP/IP標(biāo)準(zhǔn)協(xié)議，使得工業(yè)控制系統(tǒng)日益智能化、集約化發(fā)展。工業(yè)控制網(wǎng)絡(luò)信息安全管理的目標(biāo)就是要保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝以及所寄生系統(tǒng)的安全性。隨著工業(yè)控制系統(tǒng)的應(yīng)用，越來越多的網(wǎng)絡(luò)黑客利用系統(tǒng)漏洞破壞工業(yè)安全生產(chǎn)。例如，2010年，伊朗震網(wǎng)病毒事件爆光，2015年烏克蘭停電事件以及2017年席卷全球的WannaCry勒索病毒，工控系統(tǒng)亦成為“疫”區(qū)，暴露出工業(yè)控制網(wǎng)絡(luò)所存在的信息安全問題已經(jīng)成為制約工業(yè)控制系統(tǒng)發(fā)展的重要因素。

為了保證工業(yè)控制網(wǎng)絡(luò)信息安全，我國(guó)政府部門出臺(tái)了諸多法律法規(guī)政策，例如，工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020）》等明確提出要建立多級(jí)聯(lián)防聯(lián)動(dòng)的工控安全工作機(jī)制。

3 工業(yè)控制網(wǎng)絡(luò)信息安全問題產(chǎn)生的原因

工業(yè)控制系統(tǒng)的安全屬性主要包括以下兩種：一是功能安全，另一種是信息安全。功能安全主要是通過對(duì)工業(yè)控制系統(tǒng)的安全管理達(dá)到設(shè)備和工廠安全功能的保護(hù)，以此讓工業(yè)生產(chǎn)過程中按照預(yù)定的程序進(jìn)行操作。信息安全則是通過建立保護(hù)系統(tǒng)保證工業(yè)控制系統(tǒng)避免出現(xiàn)非授權(quán)人修改網(wǎng)絡(luò)參數(shù)、防止工業(yè)控制系統(tǒng)非法入侵以及非授權(quán)訪問等安全現(xiàn)象的發(fā)生。隨著我國(guó)工業(yè)控制系統(tǒng)的不斷完善，尤其是5G技術(shù)在工業(yè)控制系統(tǒng)的應(yīng)用，大大提高了工業(yè)控制網(wǎng)絡(luò)信息的安全性。

但是根據(jù)近些年發(fā)生的工業(yè)控制系統(tǒng)安全事件不難看出，我國(guó)工業(yè)控制仍然存在網(wǎng)絡(luò)信息安全問題，剖析原因主要表現(xiàn)為以下方面：①工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理不到位，網(wǎng)絡(luò)安全管理人員安全意識(shí)淡薄。工業(yè)控制系統(tǒng)安全管理屬于系統(tǒng)工程，其不僅要求工廠做好工業(yè)控制安全管理制度建設(shè)，而且還需要做好人員培訓(xùn)工作，提升相關(guān)人員的安全意識(shí)。但是根據(jù)調(diào)查，在網(wǎng)絡(luò)安全管理上存在以下問題：一是工業(yè)控制系統(tǒng)安全制度缺失，導(dǎo)致工業(yè)控制系統(tǒng)崗位的責(zé)任意識(shí)不強(qiáng)。隨著大數(shù)據(jù)工業(yè)架構(gòu)的發(fā)展，工業(yè)控制系統(tǒng)的集約化現(xiàn)象比較突出，但是在實(shí)踐管理中，工業(yè)控制崗位卻沒有將網(wǎng)絡(luò)安全工作重視起來，他們認(rèn)為只要保證物理安全和訪問安全管理就可以，而忽視網(wǎng)絡(luò)安全的建設(shè)。二是工業(yè)控制人員的網(wǎng)絡(luò)安全意識(shí)比較淡薄，尤其是缺乏應(yīng)急預(yù)案建設(shè)，導(dǎo)致在出現(xiàn)網(wǎng)絡(luò)安全事故時(shí)不能第一時(shí)間采取有效的防范措施。②工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)不完善，安全技術(shù)應(yīng)用不合理。隨著大數(shù)據(jù)技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用，工業(yè)控制系統(tǒng)由原來的封閉系統(tǒng)轉(zhuǎn)化為開放性系統(tǒng)，這樣一來導(dǎo)致傳統(tǒng)工業(yè)控制架構(gòu)出現(xiàn)諸多安全隱患。另外，隨著5G技術(shù)的應(yīng)用，通信協(xié)議和應(yīng)用軟件暴露出諸多安全漏洞問題。根據(jù)調(diào)查目前工業(yè)控制系統(tǒng)的漏洞2000多個(gè)，主要體現(xiàn)在控制器、工業(yè)協(xié)議、工業(yè)主機(jī)操作系統(tǒng)、工業(yè)應(yīng)用軟件等方面，如西門子、施耐德、研華、和利時(shí)、亞控等典型工控安全產(chǎn)品廠商。當(dāng)然工業(yè)控制系統(tǒng)殺毒軟件漏洞、平臺(tái)配置漏洞等都是造成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全的重要原因。

4 工業(yè)控制網(wǎng)絡(luò)信息安全防護(hù)與應(yīng)用的具體對(duì)策

針對(duì)工業(yè)控制網(wǎng)絡(luò)信息安全所產(chǎn)生的原因，為了提高工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全應(yīng)用，需要采取以下對(duì)策。

4.1 加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理，強(qiáng)化工作人員安全意識(shí)

針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題，雖然大數(shù)據(jù)技術(shù)的應(yīng)用有效地促進(jìn)了現(xiàn)場(chǎng)總線控制系統(tǒng)的發(fā)展，但是其仍然離不開人員的參與，因此需要我們采取以下措施：一是建立嚴(yán)格的網(wǎng)絡(luò)安全管理制度，強(qiáng)化網(wǎng)絡(luò)安全崗位管理?；诠I(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全所存在的問題，雖然現(xiàn)場(chǎng)總線控制系統(tǒng)實(shí)現(xiàn)了對(duì)生產(chǎn)全過程的自動(dòng)化控制管理，但是控制系統(tǒng)仍然存在網(wǎng)絡(luò)安全隱患，例如，系統(tǒng)控制制度不嚴(yán)格導(dǎo)致非授權(quán)人員登入控制系統(tǒng)平臺(tái)中。因此，企業(yè)必須要建立嚴(yán)格的工業(yè)控制網(wǎng)絡(luò)信息管理制度，強(qiáng)化對(duì)信息網(wǎng)絡(luò)的專項(xiàng)管理，尤其是對(duì)網(wǎng)絡(luò)軟件的管理要落實(shí)到具體的崗位上。二是要強(qiáng)化網(wǎng)絡(luò)管理人員的安全意識(shí)。工業(yè)控制系統(tǒng)需要通過相關(guān)人員的操作實(shí)現(xiàn)，需要相關(guān)操作人員及時(shí)診斷系統(tǒng)的安全性，所以企業(yè)必須要加強(qiáng)人員教育培訓(xùn)，提升相關(guān)工作人員的安全意識(shí)。例如，針對(duì)5G技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用，企業(yè)需要對(duì)相關(guān)工作人員開展5G技術(shù)教育培訓(xùn)，以此讓他們掌握5G技術(shù)的操作技能。

4.2 優(yōu)化工業(yè)控制網(wǎng)絡(luò)架構(gòu)，強(qiáng)化網(wǎng)絡(luò)安全區(qū)域邊界設(shè)計(jì)

為了保證工業(yè)控制網(wǎng)絡(luò)信息安全必須要構(gòu)建完善的工業(yè)控制架構(gòu)：一是要針對(duì)網(wǎng)絡(luò)信息安全所存在的隱患，提出一種融合安全計(jì)算環(huán)境、安全區(qū)域邊界以及通信網(wǎng)絡(luò)等功能的控制系統(tǒng)。關(guān)鍵網(wǎng)絡(luò)設(shè)備和計(jì)算設(shè)備采用冗余架構(gòu)，合理劃分的安全域，不同域之間進(jìn)行安全隔離。二是合理設(shè)計(jì)網(wǎng)絡(luò)安全邊界。由于網(wǎng)絡(luò)信息安全存在的主要因素就是外部非法分子利用網(wǎng)絡(luò)通信渠道進(jìn)入工業(yè)控制系統(tǒng)以此達(dá)到非法破壞的目的，所以在網(wǎng)絡(luò)信息安全設(shè)計(jì)上可以通過部署工業(yè)防火墻、工業(yè)網(wǎng)閘解決不同安全域之間違規(guī)訪問與邏輯隔離。通過部署網(wǎng)絡(luò)準(zhǔn)入設(shè)備，針對(duì)終端的違規(guī)接入和非法外聯(lián)進(jìn)行管控。針對(duì)工業(yè)無線網(wǎng)絡(luò)，將無線AP或無線路由器的上聯(lián)端口進(jìn)行控制，如接入防火墻端口上，并以工業(yè)防火墻為邊界，與其他網(wǎng)絡(luò)區(qū)域做邏輯隔離。

4.3 強(qiáng)化工業(yè)控制網(wǎng)絡(luò)運(yùn)維監(jiān)測(cè)，提升網(wǎng)絡(luò)信息傳輸安全

工業(yè)控制網(wǎng)絡(luò)信息安全的存在與工業(yè)控制系統(tǒng)運(yùn)維監(jiān)測(cè)不到位有很大的關(guān)系，例如，在工業(yè)控制系統(tǒng)運(yùn)行的過程中缺乏對(duì)登入賬戶的管理而導(dǎo)致黑客入侵網(wǎng)絡(luò)系統(tǒng)。因此，企業(yè)要設(shè)置運(yùn)維審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)運(yùn)維人員操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫過程的記錄，以及違規(guī)操作行為的阻斷與審計(jì)：對(duì)于行為監(jiān)測(cè)則主要是通過運(yùn)維監(jiān)測(cè)模塊對(duì)所有操作者的行為進(jìn)行完整的記錄，訪問記錄由操作日志和回放文件兩部分組成。同時(shí)其還實(shí)現(xiàn)對(duì)會(huì)話過程、違規(guī)行為等監(jiān)測(cè)與處理;對(duì)于身份認(rèn)證的監(jiān)測(cè)。身份認(rèn)證模塊采取統(tǒng)一的認(rèn)證接口，這樣不僅有利于對(duì)用戶的認(rèn)證管理，而且還可以提高認(rèn)證管理的安全性;對(duì)于資源授權(quán)的監(jiān)測(cè)，其主要是通過集中訪問授權(quán)和訪問控制可以對(duì)用戶通過B/S、C/S對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問進(jìn)行審計(jì)和阻斷。另外還要強(qiáng)化通信管理，在各控制單元之間實(shí)行基于工控協(xié)議過濾和內(nèi)容深度檢查的安全通信管理。

總之，隨著工業(yè)信息化的發(fā)展，尤其是工業(yè)大數(shù)據(jù)架構(gòu)的完善，工業(yè)控制系統(tǒng)智能化、網(wǎng)絡(luò)化日益完善，有效地促進(jìn)了我國(guó)工業(yè)管理效率。但是由于工業(yè)控制網(wǎng)絡(luò)存在信息安全隱患，因此要求我們建立多級(jí)聯(lián)防聯(lián)動(dòng)工作機(jī)制，推動(dòng)工業(yè)控制系統(tǒng)的完善與發(fā)展。

【參考文獻(xiàn)】

【1】許新鋒.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)[J].中小企業(yè)管理與科技（上旬刊），2020（03）：112-113.

【2】李昱曉，張杰.卷煙工業(yè)控制網(wǎng)絡(luò)安全技術(shù)的研究應(yīng)用[J].價(jià)值工程，2018，37（27）：196-197.

【3】李濤.基于等級(jí)保護(hù)2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系研究[J].信息系統(tǒng)工程，2019（11）：48-50.