淺談工廠環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全問題及應(yīng)對措施

張修世

（安徽中煙工業(yè)有限責(zé)任公司阜陽卷煙廠，安徽 阜陽 236020）

新時(shí)代下，云、大、物、移、智等新一代信息技術(shù)得到快速發(fā)展與大范圍應(yīng)用，這一方面有利于推動傳統(tǒng)制造業(yè)改造升級向智能工廠轉(zhuǎn)型，促進(jìn)海量信息互通共享，但另一方面，也帶來部分負(fù)面影響，產(chǎn)生了一系列網(wǎng)絡(luò)安全問題，如用戶信息被竊取、黑客非法訪問、木馬病毒流行等。

1 工廠計(jì)算機(jī)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)安全威脅問題

1.1 無密碼或弱密碼帶來的網(wǎng)絡(luò)安全威脅

在工廠內(nèi)，企業(yè)員工由于缺乏網(wǎng)絡(luò)安全意識或出于操作方便的原因，不愿意設(shè)置操作終端密碼或設(shè)置簡單。當(dāng)不明身份外來人員進(jìn)入廠區(qū)后，會利用無密碼或弱密碼的短板進(jìn)入工廠內(nèi)部網(wǎng)絡(luò)，從而可以進(jìn)行非法活動。在服務(wù)器端、數(shù)據(jù)庫方面，若密碼若設(shè)置不當(dāng)也易被黑客通過暴力破解方式進(jìn)行攻擊，當(dāng)其獲取相應(yīng)密碼后，便能獲取工廠內(nèi)部服務(wù)器、數(shù)據(jù)庫訪問權(quán)限，并在外部網(wǎng)絡(luò)中開展一系列信息盜取、軟件程序修改等非法活動。為便于內(nèi)部信息傳遞、文件共享，部分工廠會提供ftp 匿名服務(wù)，一定程度上這種配置可為內(nèi)部員工提供便利，但若不明身份人員進(jìn)入工廠內(nèi)部網(wǎng)絡(luò)后，也極易獲取工廠內(nèi)部的重要信息資料。

1.2 無線網(wǎng)絡(luò)管理不善帶來的網(wǎng)絡(luò)安全威脅

隨著移動互聯(lián)、物聯(lián)網(wǎng)技術(shù)的深入發(fā)展，智能手機(jī)、平板、無線投屏器、AGV 小車在工廠層面應(yīng)用場景越來越多，而同時(shí)則產(chǎn)生了大量部署無線網(wǎng)絡(luò)需求。雖然無線網(wǎng)絡(luò)具有易于部署、成本低廉、靈活方便等優(yōu)勢，但其也帶來無線網(wǎng)絡(luò)終端不易識別、難于控制的缺點(diǎn)。在工廠里，由于私接無線路由、私接隨身Wi-Fi 等現(xiàn)象，導(dǎo)致工廠網(wǎng)絡(luò)監(jiān)控出現(xiàn)黑洞，一旦發(fā)生網(wǎng)絡(luò)攻擊事件，則難以第一時(shí)間進(jìn)行有效隔離和處置。

1.3 工控系統(tǒng)短板帶來的網(wǎng)絡(luò)安全威脅

由于歷史的原因，工控系統(tǒng)的安全保護(hù)水平明顯偏低，長期以來沒有得到關(guān)注。大多數(shù)工控系統(tǒng)在開發(fā)設(shè)計(jì)時(shí)，只考慮效率、穩(wěn)定性、可靠性、實(shí)時(shí)性等特性，并未將信息安全納入主要考慮的指標(biāo)。在工控系統(tǒng)建設(shè)的過程中，不同時(shí)期，工控系統(tǒng)運(yùn)行的操作系統(tǒng)也不盡相同，既有Windows xp，也有Windows 2000 等系統(tǒng)。隨著時(shí)代的發(fā)展，一些系統(tǒng)已被原廠商納入退市計(jì)劃，但工廠里，由于工控系統(tǒng)未進(jìn)行升級改造導(dǎo)致原有的操作系統(tǒng)仍處于服役局面現(xiàn)象。考慮到系統(tǒng)的穩(wěn)定性和可靠性，雖然有些系統(tǒng)能找到對應(yīng)的補(bǔ)丁程序，但工控系統(tǒng)開發(fā)商已無人員熟悉源程序，因此，工廠信息管理部門、業(yè)務(wù)使用部門人員輕易不愿意嘗試打補(bǔ)丁進(jìn)行漏洞修復(fù)操作。

1.4 病毒或木馬帶來的網(wǎng)絡(luò)安全威脅

病毒或木馬程序作為網(wǎng)絡(luò)中潛在的安全隱患，往往存在于釣魚網(wǎng)站、陌生郵件、非法文件或不良用途的應(yīng)用程序中，屬于被動攻擊性病毒。

當(dāng)企業(yè)內(nèi)部員工出于好奇心或無意中點(diǎn)擊帶有病毒或木馬的網(wǎng)站后，病毒或木馬程序就會控制計(jì)算機(jī)，安裝一系列存在威脅的、無用的惡意軟件，不同程度破壞計(jì)算機(jī)中的系統(tǒng)文件、操作指令等，最終致使計(jì)算機(jī)系統(tǒng)出現(xiàn)癱瘓問題，比如，造成巨大影響的“熊貓燒香”病毒。相比黑客網(wǎng)絡(luò)攻擊，宏病毒、特洛伊木馬等，具有隱蔽性強(qiáng)、破壞性大的特征，容易誤導(dǎo)用戶進(jìn)行應(yīng)用程序訪問、文件下載，來完成對計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)程序的攻擊。

1.5 其他潛在要素的網(wǎng)絡(luò)安全威脅

除網(wǎng)絡(luò)中已經(jīng)存在的安全威脅外，計(jì)算機(jī)網(wǎng)絡(luò)還會由于其他潛在要素，如授權(quán)分配不合理、人為誤操作、電磁干擾、自然災(zāi)害等偶然因素，而產(chǎn)生一系列數(shù)據(jù)安全性、網(wǎng)絡(luò)越權(quán)訪問等網(wǎng)絡(luò)安全威脅。

其一，在移動互聯(lián)網(wǎng)絡(luò)、局域網(wǎng)中，通常只有具備一定權(quán)限的人員或應(yīng)用才能訪問企業(yè)內(nèi)部或個(gè)人電腦、手機(jī)等信息終端設(shè)備或服務(wù)器端相關(guān)信息。當(dāng)不當(dāng)?shù)臋?quán)限分配后，一些人員或應(yīng)用會監(jiān)聽、盜取用戶的企業(yè)或個(gè)人信息。

其二，人為誤操作帶來數(shù)據(jù)丟失的風(fēng)險(xiǎn)。一些運(yùn)維人員或內(nèi)部的技術(shù)人員，由于對個(gè)別系統(tǒng)或數(shù)據(jù)庫操作指令不熟悉，在正常的維護(hù)過程中，發(fā)出錯(cuò)誤的操作指令導(dǎo)致重要的數(shù)據(jù)信息丟失，造成不可挽回的損失。其三，暴雨、打雷、冰雹、地震等不可控自然要素，會在短時(shí)間內(nèi)造成系統(tǒng)無響應(yīng)、數(shù)據(jù)傳輸中斷、服務(wù)器癱瘓等問題。此外，電磁干擾等人為或非人為破壞，也會產(chǎn)生一定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但以上因素發(fā)生的概率較小。

2 提升工廠網(wǎng)絡(luò)安全防范能力的措施

2.1 成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)組織

成立以工廠主要負(fù)責(zé)人為組長的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，由領(lǐng)導(dǎo)掛帥，按照網(wǎng)格化管理、層級管理等思想明確各部門在網(wǎng)絡(luò)安全管理中的職責(zé)。結(jié)合各部門業(yè)務(wù)性質(zhì)，細(xì)化責(zé)任落實(shí)，比如，從事外事接待、對外交流的部門主要承擔(dān)網(wǎng)絡(luò)輿情的管理和應(yīng)急處理；從事企業(yè)宣傳的部門主要承擔(dān)用于工作的網(wǎng)站、微信、微博、釘釘?shù)刃旅襟w的內(nèi)容管理；從事生產(chǎn)管理的部門承擔(dān)工控系統(tǒng)網(wǎng)絡(luò)安全的管理等。

2.2 加強(qiáng)網(wǎng)絡(luò)安全意識教育

制定年度網(wǎng)絡(luò)意識宣貫計(jì)劃，定期邀請業(yè)界專家來廠開展相關(guān)網(wǎng)絡(luò)安全意識形態(tài)教育。通過反復(fù)的宣貫，強(qiáng)化網(wǎng)絡(luò)安全意識，促使更多的員工意識到網(wǎng)絡(luò)安全的重要性。不定期通過工廠內(nèi)部網(wǎng)站、宣傳欄、LED 大屏等多種渠道推送網(wǎng)絡(luò)安全相關(guān)知識，在日常工作中，潛移默化地宣貫網(wǎng)絡(luò)安全相關(guān)知識。結(jié)合網(wǎng)絡(luò)安全周活動，采取演講、知識競賽、征文比賽等多種形式開展活動，通過身邊的人、身邊的事，讓工廠內(nèi)部員工加深對網(wǎng)絡(luò)安全重要性的理解。

2.3 強(qiáng)化網(wǎng)絡(luò)安全技能培訓(xùn)

按照網(wǎng)絡(luò)安全相關(guān)法律法規(guī)要求，結(jié)合行業(yè)特點(diǎn)，制定3 ～5 年滾動培訓(xùn)計(jì)劃，每年一個(gè)主題開展相關(guān)活動。根據(jù)培訓(xùn)對象的層次，有針對性地選擇課程，促使能力強(qiáng)的員工學(xué)得好，如信息主管部門和部分對網(wǎng)絡(luò)安全感興趣，有一定計(jì)算機(jī)基礎(chǔ)的員工；促使能力弱的員工學(xué)得懂，如業(yè)務(wù)使用部門能力、年齡偏大、對計(jì)算機(jī)基礎(chǔ)知識掌握差的員工。

2.4 完善網(wǎng)絡(luò)安全防范架構(gòu)

按照“外防輸入、內(nèi)防擴(kuò)散”原則，增強(qiáng)兩端的控制，即網(wǎng)絡(luò)出入口端和接入終端的控制。在工廠局域網(wǎng)邊界搭建防火墻，在細(xì)化黑名單管理的同時(shí)，強(qiáng)化白名單管理。適當(dāng)配置入侵檢測設(shè)備或入侵防護(hù)設(shè)備、上網(wǎng)行為管理設(shè)備，增強(qiáng)在邊界區(qū)域監(jiān)控力度。在計(jì)算機(jī)終端統(tǒng)一安裝金山毒霸、360 安全衛(wèi)士、電腦管家等殺毒軟件，對計(jì)算機(jī)磁盤空間、網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期全盤掃描，查找計(jì)算機(jī)死機(jī)、應(yīng)用程序反應(yīng)變慢、設(shè)備無法識別的真正原因。之后，對檢測到的病毒進(jìn)行隔離、刪除處理，并卸載掉存在隱患的網(wǎng)絡(luò)應(yīng)用程序。

在局域網(wǎng)內(nèi)部，采用劃分不同的VLAN、安裝網(wǎng)閘或防火墻等方式強(qiáng)化內(nèi)部網(wǎng)絡(luò)的分級分域管理，避免生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、安防網(wǎng)絡(luò)在出現(xiàn)病毒時(shí)交叉感染現(xiàn)象。加裝容災(zāi)備份設(shè)備，定期對重要的應(yīng)用程序和數(shù)據(jù)庫進(jìn)行備份操作，在發(fā)生災(zāi)害時(shí)，盡力降低對系統(tǒng)和網(wǎng)絡(luò)的影響。

2.5 健全網(wǎng)絡(luò)安全防控機(jī)制

結(jié)合工廠目標(biāo)績效管理，做好網(wǎng)絡(luò)安全目標(biāo)管理和績效考核。通過目標(biāo)指標(biāo)的層層分解，細(xì)化落實(shí)，實(shí)現(xiàn)廠級目標(biāo)引領(lǐng)，部門、崗位指標(biāo)有效支撐的局面。成立網(wǎng)絡(luò)安全專業(yè)小組和業(yè)務(wù)小組，在發(fā)揮專業(yè)技術(shù)力量的同時(shí)，擴(kuò)大業(yè)務(wù)使用部門參與面，增強(qiáng)網(wǎng)絡(luò)安全管理的參與感和獲得感。不定期開展工廠層級網(wǎng)絡(luò)安全檢查和定期開展網(wǎng)絡(luò)安全自查活動，以查促改，形成網(wǎng)絡(luò)安全問題銷號制，問題事故原因不清不放過、問題責(zé)任者和應(yīng)受教育沒有受到教育的不放過；沒有采取防范措施的不放過。在內(nèi)部挖潛、鍛煉隊(duì)伍的同時(shí)，增強(qiáng)與網(wǎng)絡(luò)安全專業(yè)公司的合作力度，通過買設(shè)備到買服務(wù)的轉(zhuǎn)變，讓社會上專業(yè)力量深度參與工廠網(wǎng)絡(luò)安全管理過程中。

3 結(jié)語

新時(shí)代下，工廠計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)應(yīng)針對員工網(wǎng)絡(luò)安全意識淡薄、終端或系統(tǒng)有弱密碼、系統(tǒng)或軟件漏洞、病毒或木馬程序擴(kuò)散等安全威脅問題，提出建立組織、加強(qiáng)意識教育、強(qiáng)化技能培訓(xùn)、完善架構(gòu)和健全機(jī)制等多種應(yīng)對措施。通過技術(shù)和管理的深度融合，及時(shí)消除工廠局域網(wǎng)中存在的網(wǎng)絡(luò)安全隱患，降低網(wǎng)絡(luò)安全事件的影響，在有力保障工廠生產(chǎn)的同時(shí)，提升網(wǎng)絡(luò)信息訪問、數(shù)據(jù)傳輸、數(shù)據(jù)存儲的安全性。