工業(yè)控制網(wǎng)絡(luò)安全脆弱性技術(shù)分析

宋輝輝

（山東港口集團煙臺港股份有限公司礦石碼頭分公司，煙臺 264000）

現(xiàn)階段互聯(lián)網(wǎng)高速發(fā)展，網(wǎng)絡(luò)安全成為了各個行業(yè)和領(lǐng)域廣泛關(guān)注的主要問題。而工業(yè)控制網(wǎng)絡(luò)是我國最為重要的基礎(chǔ)設(shè)施，其具有一定的重要性，因此工業(yè)控制網(wǎng)絡(luò)安全問題也成為了政府以及工業(yè)部門的關(guān)注焦點之一。通常引起工業(yè)控制網(wǎng)絡(luò)安全問題的原因是其網(wǎng)絡(luò)系統(tǒng)自身存在脆弱性，是指網(wǎng)絡(luò)中任何都能夠被當做攻擊前提的特點，所以必須要在工業(yè)控制網(wǎng)絡(luò)安全防御中通過脆弱性分析，以進行相應(yīng)的安全加固措施和對策以最大限度的降低網(wǎng)絡(luò)安全風險和威脅程度。

1 基于攻擊圖的工業(yè)控制網(wǎng)絡(luò)安全脆弱性分析

1.1 數(shù)據(jù)驅(qū)動分析

工業(yè)控制網(wǎng)絡(luò)中的態(tài)勢感知與傳統(tǒng)的被動防御手段存在較大的區(qū)別，具體體現(xiàn)在需要掌握內(nèi)部數(shù)據(jù)的同時，還要重視對組織以外的相關(guān)情報。就現(xiàn)階段來說，工業(yè)企業(yè)的私有協(xié)議以及儀器設(shè)備信息越來越多，工業(yè)企業(yè)之間的操作系統(tǒng)也各有不同，在利用態(tài)勢感知系統(tǒng)獲取數(shù)據(jù)，并對其進行整合、分析時具有一定的難度。所以組織不僅僅要受益于威脅情報，還要分享威脅情報，以此在內(nèi)外部數(shù)據(jù)充分整合的基礎(chǔ)上，促使態(tài)勢感知系統(tǒng)能夠有效的發(fā)揮作用，支持相關(guān)人員能夠在面對威脅時正確的采取應(yīng)急方案，所以必須要正確處理數(shù)據(jù)，以保障后期工作的有序開展[1]。

1.2 人在回路分析

人在回路的目的即是促使人與計算機進行良好的合作，這一過程中人腦起到的主要作用是進行一定的態(tài)勢感知，能夠在相對復(fù)雜的網(wǎng)絡(luò)環(huán)境中更加準確的理解較為復(fù)雜的任務(wù)。因此可以說人在整個回路中充當著比較重要的作用。一旦工業(yè)控制網(wǎng)絡(luò)受到攻擊，而沒有人的參與，就只會出現(xiàn)被動防御的局面，在很大程度上弱化了外部威脅情報的有效價值，而不能發(fā)揮全部作用。所以人在回路中具有較高的地位，可以賦予工業(yè)控制網(wǎng)絡(luò)一定的能力，在感知體系下收集數(shù)據(jù)進行安全決策等。同時管理還要為相關(guān)人員提供有效的情報信息，比如有關(guān)鍵信息基礎(chǔ)設(shè)施保護的規(guī)定、網(wǎng)絡(luò)安全事件案例以及突發(fā)網(wǎng)絡(luò)安全事件預(yù)警、工業(yè)控制網(wǎng)絡(luò)漏洞庫等信息，為相關(guān)人員的分析和決策提供支持[2]。

1.3 協(xié)同共享分析

協(xié)同共享是在工業(yè)企業(yè)現(xiàn)有的基礎(chǔ)上實現(xiàn)工業(yè)控制網(wǎng)絡(luò)自身局限性的突破，通過利用有效的機制來保障組織部門存在的威脅情報，促使其能夠在組織中共享，從而集合組織的各方力量針對工業(yè)控制網(wǎng)絡(luò)的整體安全水平出謀劃策，以此增強工業(yè)控制網(wǎng)絡(luò)的安全防御能力，避免因工業(yè)企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施遭到破壞而影響正常的工業(yè)生產(chǎn)[3]。

2 工業(yè)控制網(wǎng)絡(luò)安全的有效防護防范

2.1 注重網(wǎng)絡(luò)安全審計

在當前互聯(lián)網(wǎng)時代的大背景下，工業(yè)控制網(wǎng)絡(luò)安全的重要性不可忽視，而網(wǎng)絡(luò)安全審計則能夠最大限度的幫助客戶了解到工業(yè)控制網(wǎng)絡(luò)的安全性，同時網(wǎng)絡(luò)安全審計還能夠針對存在的安全漏洞提出建議，促使防護體系更加安全和有效。因此在建立工業(yè)控制網(wǎng)絡(luò)安全防護方案時必須要注重對審計設(shè)備的安置，促使工業(yè)控制網(wǎng)絡(luò)能夠形成全天候?qū)嵤┍O(jiān)控的模式，保障工業(yè)企業(yè)的業(yè)務(wù)生產(chǎn)能夠更加快速和穩(wěn)定。

2.2 在工業(yè)控制網(wǎng)絡(luò)中合理應(yīng)用PLC

PLC 技術(shù)是一種便于操作、更加靈活敏捷的工業(yè)控制網(wǎng)絡(luò)編程技術(shù)，而且與其他技術(shù)相比具有編程簡單的優(yōu)勢，在應(yīng)用的過程中可以自動將與工業(yè)有關(guān)的數(shù)據(jù)參數(shù)等精準的錄入到系統(tǒng)中。另外在工業(yè)控制網(wǎng)絡(luò)中合理應(yīng)用PLC 技術(shù)還能夠確?；A(chǔ)設(shè)施正常有序運行，能夠進一步保障工業(yè)企業(yè)的工作計劃和方案，促使業(yè)務(wù)活動能夠順利實施。

2.3 建立工業(yè)控制網(wǎng)絡(luò)的邊界控制防護

首先要建立生產(chǎn)管理層與過程監(jiān)控層之間的安全防護，這是由于網(wǎng)絡(luò)具有一定的共享性，所以其存在著諸多安全隱患和威脅，對于重要的生產(chǎn)資料保護則需要開展網(wǎng)絡(luò)防護，即在互通傳輸之間要設(shè)置單向的導(dǎo)入設(shè)備，能夠最大限度的阻止管理網(wǎng)絡(luò)對生產(chǎn)網(wǎng)絡(luò)的攻擊，并且利用物理式的單向方式還能夠合法的通過數(shù)據(jù)傳輸，從而實現(xiàn)準確、有效采集信息。其次是要建立過程監(jiān)控層與現(xiàn)場控制層的安全防護，在當前網(wǎng)絡(luò)技術(shù)快速發(fā)展的背景下解決工業(yè)控制網(wǎng)絡(luò)安全問題，使用傳統(tǒng)的病毒防護方式已經(jīng)無法滿足需求，必須要引進專業(yè)的設(shè)備，嚴格控制合法數(shù)據(jù)的傳輸和進出，對計算機病毒起到隔離作用，避免其他非法網(wǎng)絡(luò)入侵?？梢詫I(yè)控制網(wǎng)絡(luò)進行合理劃分，通過運用網(wǎng)絡(luò)代理模式來保障OPC 通信的完善性和安全性；另外一方面是要對關(guān)鍵控制器采取防護手段，通常都會選擇工業(yè)防火墻，優(yōu)化訪問控制系統(tǒng)，建立工業(yè)防火墻黑白名單，進而保障工業(yè)控制網(wǎng)絡(luò)運行的環(huán)境，提高通信效率。除此之外對專門的、特定的操作網(wǎng)址還要配備一定的專業(yè)控制器，以防止病毒入侵、破壞工業(yè)控制網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。

3 結(jié)束語

綜上所述，現(xiàn)階段工業(yè)控制網(wǎng)絡(luò)存在很多的缺陷和問題，對工業(yè)企業(yè)的生產(chǎn)和業(yè)務(wù)活動產(chǎn)生了較大的影響。因此必須要針對可能出現(xiàn)問題的路徑進行仔細、合理分析，并對存在的安全隱患進行科學(xué)的風險評估，根據(jù)實際需求選擇修復(fù)方案和措施，盡可能的提高工業(yè)控制網(wǎng)絡(luò)的安全性和穩(wěn)定性。