工業(yè)控制系統(tǒng)網絡安全防護建設

李凱陽

隨著信息化時代的到來，工業(yè)控制系統(tǒng)網絡安全受到了諸多方面的干擾，導致安全問題不斷發(fā)生，在很大程度上制約著工業(yè)生產以及信息安全。為了有效的避免此類問題的出現，需加強工業(yè)系統(tǒng)網絡安全防護系統(tǒng)的搭建，加強安全防護措施，從而更好的保證工業(yè)控制系統(tǒng)的穩(wěn)定運行。本文對工業(yè)控制系統(tǒng)網絡安全防護建設進行分析，以供參考。

工業(yè)控制系統(tǒng);網絡安全防護;建設

引言

隨著信息化的飛速發(fā)展，工業(yè)控制系統(tǒng)也在利用最新的計算機網絡技術來提高系統(tǒng)間的集成、互聯以及信息化管理水平。同時，工業(yè)控制系統(tǒng)已被廣泛應用于社會生產的各個領域，特別是能源、石化、冶金、水利、交通等關乎國家安全和國計民生的行業(yè)。

1工業(yè)控制系統(tǒng)現狀分析

1.1技術體系滯后

工控系統(tǒng)重大共性關鍵安全技術尚需突破，適應我國工控安全需要的安全標準和技術體系等相對滯后，我國關鍵基礎設施受制于人、技不如人的現狀仍未改善。隨著我國互聯網普及和工業(yè)互聯網、大數據、數字化工程等新技術、新業(yè)務的快速發(fā)展與應用，我國在工業(yè)控制系統(tǒng)方面面臨的安全問題日益復雜。與此同時，敲詐勒索病毒、設備后門漏洞、分布式拒絕服務攻擊、網絡攻擊“武器庫”泄露、APT攻擊等安全事件層出不窮，使得工業(yè)控制系統(tǒng)面臨的網絡安全威脅與風險不斷加大，給網絡空間安全造成嚴重的潛在安全威脅，對我國工控系統(tǒng)安全不斷提出新的挑戰(zhàn)。

1.2工業(yè)控制系統(tǒng)安全配置較弱

由于工業(yè)控制系統(tǒng)在運行維護過程中，主要考慮其可用性和方便性，未對工業(yè)控制系統(tǒng)的安全項進行配置，比如弱口令、開放多余的端口，未刪除多余的賬號等等，存在一些安全配置上的弱點。這些弱配置項很容易被病毒、木馬、黑客甚至敵對勢力等利用造成一定損失。

1.3工業(yè)主機存在大量安全問題

工業(yè)場景中使用的操作員站、工程師站以及工業(yè)數據庫主機大部分為Windows的操作系統(tǒng)，如WindowsXP、Windows7、WindowsServer2003、2008等操作系統(tǒng)，這些操作系統(tǒng)微軟已經不再提供相應的服務。還有這些工業(yè)主機安裝殺毒軟件不足，即使安裝了殺毒軟件，由于兼容性問題、操作系統(tǒng)多樣性以及病毒庫需要定期更新等問題，導致殺毒軟件在工業(yè)主機上無法很好的使用，安全問題屢有發(fā)生。另一方面，移動存儲介質的不規(guī)范使用，病毒、木馬等惡意軟件的攻擊，工藝、配方泄密等安全問題不斷發(fā)生。

2工業(yè)控制系統(tǒng)網絡安全防護措施

2.1安全審計

通過部署數據庫審計，基于數據庫協(xié)議分析與控制技術，實現對數據庫操作“危險指令阻斷、訪問行為控制、安全態(tài)勢分析、全面行為審計”的數據庫安全主動防御。通過部署工控安全衛(wèi)士進行主機審計，對安全事件、審計記錄、監(jiān)測數據上報到安全管理平臺。同時，通過部署日志審計系統(tǒng)，對安全設備、網絡設備以及工業(yè)主機、控制系統(tǒng)、數據庫、應用系統(tǒng)的日志進行統(tǒng)一收集、記錄、分析。

2.2技術方面

仍網絡安全、主機安全、應用安全、數據安全等幾個層面迚行安全防護建設，充分考慮DCS安全防護隑離措施后不能影響整個工控系統(tǒng)的穩(wěn)定性以及可用性。系統(tǒng)建立起可視化的網絡模型，能實時監(jiān)視整個系統(tǒng)設備的運行狀態(tài)和安全狀態(tài)，一旦収生安全亊件，能在網絡圖上迚行直觀、實時報警。

2.3實施安全防御措施探討

對于像一些比較重要的設備以及工控網絡區(qū)域等等這樣的外網連接系統(tǒng)，一定要通過一定的方法把這些設備與外界的環(huán)境進行隔離，比如工控防火墻、網絡隔離等等方法。①我們可以采用工業(yè)安全隔離網關的方法來隔離控制系統(tǒng)以及數采機。這種控制方法不僅能夠完成數據收集，物理格局以及網關等等重要的工作，同時還可以降低成本以及故障點出現的幾率，完全的實現了一種一機多用的理想目標;②數采機以及控制系統(tǒng)的架構之間一般都運用“2+1”物理隔離的方法來進行隔離，只有擁有私密密碼的數據才能夠進入到控制系統(tǒng)，同時也大大的提高了控制系統(tǒng)的安全系數;③為了能夠在存在多個工業(yè)協(xié)議的工業(yè)控制系統(tǒng)之間取到數據，可以通過采取opc協(xié)議和工業(yè)協(xié)議的方法來進行采集，那么數采機如何與外網獲得信息？我們可以采取防火墻的方法來進行工業(yè)數據的篩選，這種方法對整個工業(yè)協(xié)議的數據是非常重要的，只有合法的訪問才能夠進去到工業(yè)控制系統(tǒng)中來，其他一些不合格的訪問，這種系統(tǒng)將會直接拒絕，所以說，相關用戶可以根據自身的業(yè)務通信配備以及業(yè)務放行規(guī)則來改善自己所了解的網絡通信協(xié)議;同時能夠使整個工業(yè)控制系統(tǒng)進入一個非常安全戒備的狀態(tài)。

2.4建立安全管理制度

設立工業(yè)網絡安全管理工作的職能部門，設立安全主管人、安全管理各個方面的負責人，定義各負責人的職責;成立指導和管理網絡安全工作的委員會或領導小組，其最高領導應由單位主管領導委任或授權;制定文件明確安全管理機構各部門和崗位的職責、分工和技能要求;配備安全管理專職人員，不可兼任;加強與供應商、安全企業(yè)、安全機構的合作與溝通，獲取網絡安全的最新發(fā)展動態(tài)。由安全管理部門定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。制定、實施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報。

3工業(yè)控制系統(tǒng)網絡安全防護建設

在“兩化融合”的過程中，如果想要保證工業(yè)控制系統(tǒng)的安全性，第一，我們可以采取分層處理的方法，對控制系統(tǒng)進行分層能夠有效的降低惡性軟件以及病毒等等對工業(yè)控制系統(tǒng)帶來的不良影響。在我們的生活中運用到最后的就是工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)大概都分為計劃管理層、制造執(zhí)行層、工業(yè)控制層這三層。①計劃管理層，為了使工作人員能夠更加快速，便捷的完成制定計劃等等工作，可以采取通過連接管理服務器的方式來改善。②制造管理層，在這一層除了要像計劃管理層一樣連接相應的服務器之外，還必須給每個防火墻連接上自己獨有的計算機系統(tǒng)。③工業(yè)控制層，在這一層所要連接的服務器是最多的，除了要連接控制管理的終端以外，對于監(jiān)控終端也應該做好互相連接的工作。同時，在訪問一層以及二層的時候，我們可以使用實名制的方法，從而為它們的安全提供保障。除此之外，對整個系統(tǒng)進行一個監(jiān)測工作，這也是為了避免惡意病毒或者軟件入侵我們的系統(tǒng)，從而使得每個層次都能夠獨立的完成自己的工作。這樣的分層式結構有效的降低了由于“兩化融合”給系統(tǒng)帶來安全隱患，此外，這種分層模式除了能夠使防護能力上升之外，還能夠降低因為互聯網導致工業(yè)控制系統(tǒng)出現問題的幾率。

結束語

通過對工業(yè)控制系統(tǒng)的安全現狀分析，以及結合等保2.0標準通用要求和工業(yè)控制系統(tǒng)擴展要求，設計了一種基于等保2.0標準的工業(yè)控制系統(tǒng)網絡安全防護體系，即構造1個中心，3重防護的縱深防御體系，分別建設安全管理體系和安全技術體系以及安全運維體系等三大安全體系，為工業(yè)控制系統(tǒng)的網絡安全防護提供了理論參考依據。

參考文獻

[1]王?；?電氣控制中的PLC自動化應用研究[J].建材與裝飾，2020（03）：233-234.

[2]喬元健，李軍.工業(yè)水箱液位智能控制系統(tǒng)設計[J/OL].齊魯工業(yè)大學學報，2019（06）：59-63[2020-01-13].2019.06.010.

[3]邱志順.PLC抗干擾技術在工業(yè)控制系統(tǒng)中的應用[J/OL].集成電路應用，2020（01）：88-89[2020-01-13].2020.01.038.

[4]李藝.工業(yè)控制網絡安全防御體系及關鍵技術研究[D].華北電力大學（北京），2017.

[5]賴英旭，劉增輝，蔡曉田，楊凱翔.工業(yè)控制系統(tǒng)入侵檢測研究綜述[J].通信學報，2017，38（02）：143-156.