智能工廠的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系的構(gòu)建

周施羽

摘要：基于智能制造理念的智能工廠，與傳統(tǒng)工廠相比，是一個(gè)工業(yè)控制系統(tǒng)。本文闡述了研究工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的必要性和緊迫性，并從安全體系、安全體系結(jié)構(gòu)、安全體系結(jié)構(gòu)等方面為工業(yè)控制系統(tǒng)安全體系的構(gòu)建提供了探索性的理論方法，安全項(xiàng)目的實(shí)施、安全運(yùn)維管理和安全能力的培訓(xùn)。

關(guān)鍵詞：智能工廠;工業(yè)控制系統(tǒng)網(wǎng)絡(luò);安全防御

前言

在智能工廠中，所有設(shè)備相互連接，形成一個(gè)工業(yè)控制網(wǎng)絡(luò)。絕大多數(shù)建造智能工廠的公司在工業(yè)控制網(wǎng)絡(luò)的安全和保護(hù)系統(tǒng)中幾乎都是空的。許多安全隱患威脅來(lái)源可能會(huì)被完全隱藏很長(zhǎng)一段時(shí)間，在每次攻擊事件發(fā)生時(shí)往往無(wú)法被迅速發(fā)現(xiàn)，并且在每次攻擊后期也無(wú)法及時(shí)追蹤威脅來(lái)源，存在重大安全隱患風(fēng)險(xiǎn)。

一、智能工廠及其工控安全發(fā)展現(xiàn)狀

智能工廠是一個(gè)復(fù)雜而龐大的生產(chǎn)系統(tǒng)，基于大數(shù)據(jù)技術(shù)、虛擬仿真技術(shù)和網(wǎng)絡(luò)通信技術(shù)的自決策、自執(zhí)行?？紤]到成本和必要性來(lái)看，過(guò)去，在電力、石油和化學(xué)工業(yè)等關(guān)鍵領(lǐng)域發(fā)生了許多與工業(yè)網(wǎng)絡(luò)安全相關(guān)的事件。許多公司普遍認(rèn)為，工廠不會(huì)像傳統(tǒng)計(jì)算機(jī)操作系統(tǒng)那樣容易受到黑客攻擊，沒(méi)有必要額外投資精力建設(shè)安全控制系統(tǒng)和努力尋求辦法降低生產(chǎn)成本，也就是沒(méi)有必要完全忽視美國(guó)工業(yè)安全控制中心網(wǎng)絡(luò)的系統(tǒng)安全性。

盡管國(guó)家先后發(fā)布了國(guó)家標(biāo)準(zhǔn)化委員會(huì)發(fā)布的一些工業(yè)控制系統(tǒng)安全指南和標(biāo)準(zhǔn)，無(wú)法獨(dú)立進(jìn)行控制以有效防止整個(gè)生產(chǎn)線的網(wǎng)絡(luò)被不法犯罪分子惡意破壞和非法控制時(shí)，非常覺(jué)得有必要重新檢查工業(yè)智能控制工廠網(wǎng)絡(luò)建設(shè)初期已經(jīng)建立的一些工業(yè)智能控制工廠網(wǎng)絡(luò)的安全管理系統(tǒng)。

二、智能工廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系的構(gòu)建

1、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障體系

工業(yè)控制網(wǎng)絡(luò)安全體系的建立，應(yīng)充分考慮人、設(shè)備、網(wǎng)絡(luò)、系統(tǒng)等因素，并針對(duì)某些行業(yè)的智能工廠設(shè)計(jì)工業(yè)控制系統(tǒng)的層次結(jié)構(gòu)，以實(shí)現(xiàn)綜合防御的安全目標(biāo)。

（1） 工業(yè)控制系統(tǒng)安全框架

在安全模型管理框架中，企業(yè)辦公資源層管理是企業(yè)辦公網(wǎng)絡(luò)安全管理領(lǐng)域的一部分，這里我們提到的微軟工業(yè)過(guò)程控制安全管理系統(tǒng)主要就是針對(duì)現(xiàn)場(chǎng)管理層、現(xiàn)場(chǎng)控制、過(guò)程監(jiān)控和生產(chǎn)管理層。根據(jù)層次模型，可以為每一層要保護(hù)的對(duì)象建立一個(gè)安全體系結(jié)構(gòu)。

（2） 工業(yè)控制的安全模型

工業(yè)控制網(wǎng)絡(luò)的管理和組織是實(shí)施安全戰(zhàn)略的基礎(chǔ)和保證，為了達(dá)到保護(hù)整個(gè)系統(tǒng)安全的目的，我們可以分析工業(yè)控制網(wǎng)絡(luò)的安全問(wèn)題，創(chuàng)建解決這些問(wèn)題的典型保護(hù)模塊，并研究如何協(xié)調(diào)這些模型以創(chuàng)建通用安全模型。

2、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)

（1） 工業(yè)控制系統(tǒng)的結(jié)構(gòu)安全體系結(jié)構(gòu)

結(jié)構(gòu)安全是工業(yè)控制系統(tǒng)安全架構(gòu)的首要考慮因素，結(jié)構(gòu)安全是網(wǎng)絡(luò)工作保護(hù)的核心。從安全角度來(lái)看，整個(gè)工業(yè)控制系統(tǒng)應(yīng)劃分為適當(dāng)?shù)陌踩珔^(qū)域。

分區(qū)后需要進(jìn)行邊界保護(hù)，常用的保護(hù)技術(shù)主要有單向絕緣邊界保護(hù)、VLAN絕緣邊界保護(hù)、加密認(rèn)證邊界保護(hù)、邏輯絕緣邊界保護(hù)，可能會(huì)為不同部門定義不同程度的劃界和保護(hù)措施，需要對(duì)其進(jìn)行詳細(xì)分析。

（2） 工業(yè)控制安全設(shè)備

為了有效確保所有工業(yè)安全控制裝置系統(tǒng)的網(wǎng)絡(luò)安全，我們常常需要為整個(gè)系統(tǒng)的所有者及相關(guān)電子設(shè)備網(wǎng)絡(luò)制定適當(dāng)?shù)陌踩雷o(hù)要求。這不僅僅是包括所有工業(yè)安全控制系統(tǒng)計(jì)算機(jī)、網(wǎng)絡(luò)通信設(shè)備、移動(dòng)網(wǎng)絡(luò)媒體，為了要確保所有工業(yè)控制裝置的安全，應(yīng)從網(wǎng)絡(luò)在線安全、離線安全、網(wǎng)絡(luò)設(shè)備接入安全等不同技術(shù)層面對(duì)其進(jìn)行全面、持續(xù)的信息識(shí)別和安全保護(hù)。

事實(shí)上，上述措施只是常規(guī)的安全措施，為了原則上解決問(wèn)題，最重要的是協(xié)調(diào)設(shè)備容量的安全水平與職業(yè)安全系統(tǒng)的安全水平，并確定適當(dāng)?shù)谋Ｗo(hù)策略。作為同一智能工廠中現(xiàn)場(chǎng)測(cè)量和控制技術(shù)的一個(gè)例子，在不同的領(lǐng)域和應(yīng)用中，測(cè)量和控制技術(shù)各不相同，其信息安全水平對(duì)系統(tǒng)的影響也不同。

（3）工業(yè)控制系統(tǒng)控制安全設(shè)計(jì)

控制的安全性可以從兩個(gè)方面考慮：在系統(tǒng)內(nèi)發(fā)起的行為是否存在潛在的安全風(fēng)險(xiǎn)，以及在系統(tǒng)外發(fā)起的行為是否存在安全威脅。保護(hù)智能工業(yè)管理網(wǎng)絡(luò)的運(yùn)行安全要求系統(tǒng)首先具備感知、連接和主動(dòng)防御的能力。在實(shí)踐中，它主要關(guān)注入侵者和異常業(yè)務(wù)行為的檢測(cè)、檢測(cè)和控制，并審核所有行為。

（4） 工業(yè)控制系統(tǒng)在數(shù)據(jù)安全設(shè)計(jì)中的應(yīng)用

主要關(guān)注點(diǎn)可從以下幾個(gè)方面解決：全面，可靠、自主地控制基本軟件和硬件，如內(nèi)存、操作系統(tǒng)內(nèi)核、控制器、基本安全算法和協(xié)議;建立基于國(guó)家密碼算法和技術(shù)的安全實(shí)用平臺(tái);根據(jù)備份系統(tǒng)，采用手動(dòng)或自動(dòng)方式定期對(duì)重要生產(chǎn)數(shù)據(jù)進(jìn)行數(shù)據(jù)備份。

（5） 工業(yè)控制連續(xù)安全管理系統(tǒng)的設(shè)計(jì)

安全管理的理念和實(shí)踐應(yīng)貫穿智能制造過(guò)程的整個(gè)生命周期，工業(yè)控制系統(tǒng)和員工應(yīng)持續(xù)組織、管理和操作。使用適當(dāng)?shù)陌踩脚_(tái)，通過(guò)一定的保護(hù)技術(shù)建立長(zhǎng)期的保護(hù)機(jī)制，保證工業(yè)控制系統(tǒng)的安全;

鑒于目前的技術(shù)水平，工業(yè)控制網(wǎng)絡(luò)的工業(yè)安全系統(tǒng)可使用大型數(shù)據(jù)分析技術(shù)作為建立基于完整安全組織的安全操作平臺(tái)的手段，使用詳細(xì)的安全系統(tǒng)和標(biāo)準(zhǔn)化的安全操作和維護(hù)系統(tǒng)，從技術(shù)角度確保安全操作和維護(hù)的可持續(xù)實(shí)施。

3、工業(yè)控制系統(tǒng)安全項(xiàng)目實(shí)施

在實(shí)施工業(yè)控制系統(tǒng)安全項(xiàng)目時(shí)，應(yīng)建立完整的過(guò)程管理和控制體系，以確保安全設(shè)計(jì)的有效性。

（1）進(jìn)度管理的實(shí)施應(yīng)分為五個(gè)階段。為了更好地管理和監(jiān)控安全項(xiàng)目，通?？煞譃槲鍌€(gè)階段進(jìn)行管理，即準(zhǔn)備、規(guī)劃、實(shí)施、控制和關(guān)閉階段。在整個(gè)過(guò)程中，最重要的是在籌備階段進(jìn)行咨詢和研究，并在規(guī)劃階段制定嚴(yán)格的實(shí)施計(jì)劃。

（2） 質(zhì)量管理必須嚴(yán)格控制，為確保安全工程達(dá)到設(shè)計(jì)效果，可涵蓋到貨質(zhì)量、產(chǎn)品安全質(zhì)量，嚴(yán)格控制功能引入質(zhì)量和符合安全要求，嚴(yán)格按照設(shè)計(jì)驗(yàn)收要求進(jìn)行質(zhì)量控制。

結(jié)束語(yǔ)

總體來(lái)看，我國(guó)工業(yè)管理網(wǎng)絡(luò)基本處于“罷工”狀態(tài)，特別是工業(yè)控制硬件安全這一根本問(wèn)題長(zhǎng)期沒(méi)有得到解決，更不用說(shuō)正在快速發(fā)展的幾個(gè)智能制造工廠的規(guī)劃建設(shè)，這主要取決于外部設(shè)備和控制系統(tǒng)的使用。未知的安全弱點(diǎn)和所有可能的安全后門在很多外國(guó)設(shè)備制造商的智能設(shè)備中很常見(jiàn)，智能制造工廠的人人智能和物聯(lián)網(wǎng)技術(shù)使整個(gè)智能工廠發(fā)展成為一個(gè)完全網(wǎng)絡(luò)化的智能工業(yè)控制網(wǎng)絡(luò)。基于工業(yè)過(guò)程控制的網(wǎng)絡(luò)安全沒(méi)有被很多觀察者看到，甚至被忽視。

參考文獻(xiàn)

[1]黃兆軍.基于改進(jìn)的BFS算法的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析[J].工業(yè)技術(shù)與職業(yè)教育.2020，（1）.26-30.

[2]張磊.工業(yè)企業(yè)網(wǎng)絡(luò)安全保障體系研究[J].數(shù)字化用戶.2019，（24）.64.

[3]許新鋒.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)[J].中小企業(yè)管理與科技.2020，（7）.112-113.

[4]焦洪碩，魯建廈.智能工廠及其關(guān)鍵技術(shù)研究現(xiàn)狀綜述[J].機(jī)電工程，2018，（12）.1249-1258.