摘 要 隨著“智能制造2025”的推進，工控網(wǎng)絡(luò)在體系中占據(jù)的位置日趨重要，同時由于多因素的影響，導(dǎo)致存在的衍生性風(fēng)險不斷增加，影響了工控網(wǎng)的安全使用。鑒于此，筆者結(jié)合自身經(jīng)驗，從工控系統(tǒng)、個人行為、工控網(wǎng)絡(luò)架構(gòu)等視角對存在的風(fēng)險進行分析，并基于風(fēng)險給出相應(yīng)的防護對策，旨在有效提升網(wǎng)絡(luò)整體安全性。

關(guān)鍵詞 工控網(wǎng);風(fēng)險分析;安全;對策

引言

伴隨著工業(yè)4.0時代的到來，信息化及工業(yè)化融合的趨勢日趨顯著，基于計算機網(wǎng)絡(luò)技術(shù)來實現(xiàn)工業(yè)系統(tǒng)的集成，逐步提升工業(yè)生產(chǎn)效率，工控網(wǎng)絡(luò)也將逐步進行開放，同時在網(wǎng)絡(luò)安全層面遇到的挑戰(zhàn)也日趨增加。為此，如何強化工控安全技術(shù)研發(fā)力度，構(gòu)建常態(tài)化安全監(jiān)管機制，是目前解決工控網(wǎng)安全的關(guān)鍵所在。

1工控網(wǎng)絡(luò)安全維護中存在的風(fēng)險分析

筆者結(jié)合自身的工作經(jīng)驗及歷年的事件分析發(fā)現(xiàn)，發(fā)現(xiàn)工控網(wǎng)絡(luò)安全維護存在諸多問題，主要集中體現(xiàn)在三個方面。

1.1 工控系統(tǒng)安全風(fēng)險

工控系統(tǒng)是一個復(fù)合系統(tǒng)，集成了眾多軟硬件于一體，其中軟件包含組態(tài)軟件、設(shè)備操作系統(tǒng)及管理系統(tǒng)等。而對于任何一種系統(tǒng)而言，如嵌入式系統(tǒng)或微軟操作系統(tǒng)，均存在較多的漏洞，它當(dāng)受到病毒或者黑客入侵時，可以對工控網(wǎng)絡(luò)安全不同程度的破壞，進而影響了工控系統(tǒng)的穩(wěn)健運行。

1.2 個人行為安全風(fēng)險

在實踐中，員工或者用戶由于缺乏相應(yīng)的技術(shù)模式或方法，在進行人工維護時沒有對軟件進行嚴格的監(jiān)測或者控制，同時操作人員或者系統(tǒng)運維人員沒有足夠的網(wǎng)絡(luò)安全風(fēng)險防范意識，隨意使用未經(jīng)批準(zhǔn)或者許可的操作行為或者軟件，這給工控網(wǎng)的運行帶來了較大的安全隱患。

1.3 工控網(wǎng)絡(luò)架構(gòu)安全風(fēng)險

當(dāng)前，工控網(wǎng)絡(luò)架構(gòu)存在雙向安全風(fēng)險。從橫向邊界視角進行分析，企業(yè)現(xiàn)場管理系統(tǒng)、PLC系統(tǒng)、生產(chǎn)執(zhí)行層均處于同一網(wǎng)絡(luò)體系下，通過遠程操作來實現(xiàn)對管理行為的制約，而遠程操作行為的受控率低，很容易對PLC系統(tǒng)與SCADA系統(tǒng)帶來潛在的危害，如拒絕式服務(wù)器攻擊、網(wǎng)絡(luò)風(fēng)暴等對PLC系統(tǒng)的資源消耗較大，長時間運作可以使系統(tǒng)癱瘓等。

總而言之，新時期下，工控網(wǎng)絡(luò)由于系統(tǒng)平臺自身性脆弱、網(wǎng)絡(luò)架構(gòu)存在漏洞、人工操作模式主觀性強等多重因素的影響，給工控網(wǎng)的安全運營帶來了較大隱患，因此需要從入侵防護、工控運維、操作防護等視角等進行多維對策制定[1]。

2提升工控網(wǎng)絡(luò)安全防護的策略

2.1 強化管控力度，提升系統(tǒng)防御性

一方面，應(yīng)建立在線監(jiān)測和兩網(wǎng)聯(lián)動的安全視圖，實現(xiàn)與工業(yè)控制網(wǎng)絡(luò)安全管理系統(tǒng)的橫向整合，有效加強對APT等攻擊行為的檢測，形成全局安全態(tài)勢感知、全過程的安全拓撲;同時將信息實時反饋到系統(tǒng)及管理人員，通過強化管控力度，來有效消除行為無法審計、無法管控的問題。

另一方面，應(yīng)提升系統(tǒng)自身安全性建設(shè)。第一：提升邊界安全防護能力，考慮以車間為單位配置工業(yè)級訪問控制產(chǎn)品實現(xiàn)對于車間網(wǎng)絡(luò)邊界的隔離和細粒度控制，控制車間網(wǎng)絡(luò)輸入輸出行為。同時對現(xiàn)場工控設(shè)備的使用行為進行監(jiān)控，在其前端部署訪問控制產(chǎn)品，實現(xiàn)進出雙向行為審計和訪問控制。第二：針對工業(yè)控制系統(tǒng)已知的安全漏洞特征，配置工業(yè)級入侵行為檢測和漏洞分析系統(tǒng)，對工業(yè)控制系統(tǒng)中的控制設(shè)備、應(yīng)用或系統(tǒng)進行掃描、識別，來全面發(fā)現(xiàn)當(dāng)前工控系統(tǒng)中存在的漏洞，給出清晰的定位及預(yù)防機制，最終構(gòu)建面向工控網(wǎng)絡(luò)的安全有效性視圖，提升自身的防御能力。

2.2 提升安全意識

一方面，要強化工控網(wǎng)安全保密的意識，按照自頂向下的管理理念，提升全員安全保密的意識。工控網(wǎng)運行過程中，明確個體分工及職責(zé)所在，構(gòu)建面向工控網(wǎng)的完善的保密機制及協(xié)議，建立問責(zé)機制，來實現(xiàn)有效約束;同時應(yīng)不定期開展相關(guān)培訓(xùn)，來強化設(shè)備使用、維護人員的安全保密意識，為增強實際效力，可以通過安全測評機構(gòu)或者安全事故演練，來模擬突發(fā)事故時所產(chǎn)生的應(yīng)急響應(yīng)度，增強責(zé)任感。

另一方面，企業(yè)應(yīng)加強安全方面投入，面向不同部門，根據(jù)業(yè)務(wù)需求來積極開展工控安全防護能力培訓(xùn)及相應(yīng)的評估，構(gòu)建工控安全責(zé)任機制，同時對于工控網(wǎng)絡(luò)操作人員及使用人員構(gòu)建安全業(yè)績考核，通過正負激勵機制來提升人員的安全意識及使命感[2]。

2.3 完善工控網(wǎng)絡(luò)安全架構(gòu)

首先，應(yīng)結(jié)合工控系統(tǒng)的使用功能及開展業(yè)務(wù)來進行網(wǎng)格區(qū)域的劃分，明確各個區(qū)域之間的有效邊界。網(wǎng)格區(qū)域作為邏輯或者物理上的資產(chǎn)，從安全事故的影響視角進行分析，它們的安全性需求相同。

其次，在進行數(shù)據(jù)/控制流的架構(gòu)設(shè)計中，要嚴格明確工作組間、網(wǎng)絡(luò)域間、服務(wù)器、客戶端、監(jiān)控站、上下位機等在數(shù)據(jù)業(yè)務(wù)及控制流程之間的傳輸對應(yīng)關(guān)系，保證協(xié)議使用的匹配性，為安全隱患的入侵建立一道有效的“屏蔽網(wǎng)”。

然后，在工控網(wǎng)絡(luò)安全架構(gòu)搭建時，采用分區(qū)域的隔離模式，構(gòu)建彼此區(qū)域的網(wǎng)絡(luò)邊界形式，這樣可以有效防止工控網(wǎng)收到網(wǎng)絡(luò)入侵時，病毒會產(chǎn)生連續(xù)反應(yīng)進而入侵其他網(wǎng)絡(luò)，來抑制病毒的擴散，從而使得安全范圍逐步縮小。

最后，構(gòu)建工控網(wǎng)絡(luò)終端客戶白名單，搭建服務(wù)器、工作站的綠色運行環(huán)境。對于不在名單范圍的進程、軟件及通信等進行阻止，而對于白名單范圍內(nèi)的移動、剪切、刪除、更新等操作來進行強化控制，確保數(shù)據(jù)的完整性[3]。

3結(jié)束語

新時代下，智能制造及5G的逐步深入推行，使得工控網(wǎng)絡(luò)的運用日趨頻繁，在企業(yè)生產(chǎn)生活中所扮演的作用將日益凸顯。然而給人們提供便利的同時，其潛在的網(wǎng)絡(luò)運營風(fēng)險也無法掩蓋，因此針對出現(xiàn)的運行風(fēng)險，需要綜合考慮風(fēng)險及業(yè)務(wù)需求之間的均衡關(guān)系，強化操作人員的風(fēng)險防范意識、完善工控網(wǎng)絡(luò)安全架構(gòu)、實現(xiàn)全周期常態(tài)化監(jiān)管等，來保障工控網(wǎng)絡(luò)的可靠、安全運行，最終為網(wǎng)絡(luò)安全保駕護航！

參考文獻

[1] 吳康錦.工控網(wǎng)中的安全應(yīng)用[J].中國新通信，2013，15（07）：16-17.

[2] 張佳華.工控網(wǎng)與內(nèi)部網(wǎng)絡(luò)的設(shè)計和安全防護[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018，（11）：22-23.

[3] 劉勇.制造型企業(yè)工控網(wǎng)絡(luò)安全風(fēng)險與防護探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，（06）：105-106.

作者簡介

袁徑舟（1974-），男，湖北武漢人;學(xué)歷：本科，高級工程師，現(xiàn)就職單位：武漢船用機械有限責(zé)任公司，研究方向：企業(yè)信息化。