企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險防護(hù)

石橫特鋼集團(tuán)有限公司 山東 泰安 271612

目前,社會已經(jīng)進(jìn)入到了信息時代,互聯(lián)網(wǎng)、物聯(lián)網(wǎng)技術(shù)更是在社會生產(chǎn)中得到廣泛應(yīng)用。企業(yè)工業(yè)控制系統(tǒng)中也融入了各種控制技術(shù),為我國工業(yè)領(lǐng)域生產(chǎn)帶來較大便利。然而,從整體上來看企業(yè)工業(yè)控制系統(tǒng)仍然存在網(wǎng)絡(luò)安全風(fēng)險,需要采取有效措施加以解決。因此,聯(lián)系實(shí)際分析企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險防護(hù)措施是十分必要的。

一、企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險類型

典型的工業(yè)控制網(wǎng)絡(luò)是縱向分層的邊界清晰、功能層次分明的拓?fù)浣Y(jié)構(gòu),自上到下依次為過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層。根據(jù)系統(tǒng)特征,其在運(yùn)行期間,往往會面對四個主要安全風(fēng)險:(1)系統(tǒng)自身風(fēng)險,目前國內(nèi)采用的工業(yè)控制系統(tǒng)設(shè)備通常都是來自于國外的供貨廠商,比如西門子、艾默生等,功能性較強(qiáng),但安全性較弱,存在一些高危漏洞,一旦遇到黑客攻擊,將會引發(fā)嚴(yán)重后果;(2)工業(yè)協(xié)議風(fēng)險,Modbus、S7、OPC、IEC104、DNP3等,都是現(xiàn)階段企業(yè)工業(yè)控制系統(tǒng)中較為常用的協(xié)議,主要是為了保證數(shù)據(jù)采集、通信功能較好實(shí)現(xiàn),但是其本身安全性較差,比如西門子S7Comm協(xié)議,就存在一定程度的缺陷、漏洞,影響使用安全;(3)計算機(jī)操作系統(tǒng)風(fēng)險,目前所有的計算機(jī)操作都是需要Windows來實(shí)現(xiàn),包括較多版本,其中WindowsXP、Windows7系統(tǒng)在現(xiàn)下仍然普遍應(yīng)用,但系統(tǒng)難以及時更新,而微軟也已經(jīng)無法對上述系統(tǒng)提供更多技術(shù)上的支持,其中存在的漏洞難以得到有效修復(fù),增加系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險;(4)軟件風(fēng)險,企業(yè)工控系統(tǒng)在運(yùn)行期間,需要使用大量的軟件來完成控制,其中部分軟件是由生產(chǎn)廠家自行開發(fā)的組態(tài)軟件,缺少完全統(tǒng)一的標(biāo)準(zhǔn)與規(guī)范,存在高危、中為漏洞,難以完善保證軟件運(yùn)行效率與使用效果[1]。

二、企業(yè)工控

三、系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險防護(hù)措施

基于上述分析,安全風(fēng)險的存在,會為系統(tǒng)運(yùn)行造成較大影響,尤其是在現(xiàn)下市場大環(huán)境下,任何安全風(fēng)險都會影響到工業(yè)生產(chǎn),需要針對網(wǎng)絡(luò)安全風(fēng)險采取有效的防護(hù)措施。

(一)強(qiáng)化分區(qū)隔離與邊界防護(hù)。工控系統(tǒng)本身就是基于計算機(jī)技術(shù)、信息技術(shù)等發(fā)展起來的,若是想要加強(qiáng)風(fēng)險防控功能,就必須對網(wǎng)絡(luò)結(jié)構(gòu)整體進(jìn)行優(yōu)化,遵循“數(shù)據(jù)交換最小化”原則,合理劃分操作區(qū)域空間,使之能夠成為相互獨(dú)立的網(wǎng)絡(luò)隔離基礎(chǔ),沒有或者進(jìn)行少量數(shù)據(jù)交換,各個網(wǎng)間并不存在直接聯(lián)系,且分區(qū)之間禁止出現(xiàn)互相操作、控制變量傳輸?shù)刃袨?以此建立較為安全的單元間通信,減少因數(shù)據(jù)交換頻繁所引起的安全風(fēng)險[2]。在數(shù)據(jù)交換的過程中,則是需要借助工業(yè)防火墻、網(wǎng)關(guān)、網(wǎng)閘等進(jìn)行隔離,只能完成必要操作所需要的通信,根據(jù)特殊的通信協(xié)議,將其他多余數(shù)據(jù)過濾,阻斷跨區(qū)域網(wǎng)絡(luò)攻擊情況的發(fā)生,起到較好的防護(hù)作用。

(二)優(yōu)化系統(tǒng)異常檢測。受到工控網(wǎng)絡(luò)自身特殊性的影響,防毒軟件的使用,必須是要由控制系統(tǒng)生產(chǎn)廠行家,在經(jīng)過嚴(yán)格的兼容性測試以后,合法授權(quán)的防毒軟件版本,為了保證防毒軟件能夠正常使用,還需根據(jù)根據(jù)裝置檢修、維護(hù)周期,制定同步、相應(yīng)的系統(tǒng)補(bǔ)丁、病毒庫離線更新與升級,這樣才能保證防毒軟件與時俱進(jìn),能夠及時針對工控系統(tǒng)種的異常情況進(jìn)行檢測,所有人非正常信息流的入侵,都需要經(jīng)過嚴(yán)密監(jiān)測、分析與記錄,一旦發(fā)展網(wǎng)絡(luò)異常,就可直接進(jìn)行安全風(fēng)險預(yù)警警報,繼而采取相應(yīng)的保護(hù)措施,保證系統(tǒng)網(wǎng)絡(luò)安全[3]。

(三)完善訪問控制與賬號管理。由于網(wǎng)絡(luò)本身就是一個較為開放的環(huán)境,在帶來極大便利的同時,也增加了安全隱患,若是工控系統(tǒng)直接與面向互聯(lián)網(wǎng)進(jìn)行對接,則很容易產(chǎn)生高風(fēng)險。因此,企業(yè)必須要從訪問控制與賬號管理兩個方面著手,盡可能遠(yuǎn)離安全風(fēng)險。訪問控制,應(yīng)該嚴(yán)格遵循遠(yuǎn)程范文、遠(yuǎn)程維護(hù)原則,必須在驗明訪問者身份以后,確定訪問計劃、時間、內(nèi)容等,采用虛擬專用網(wǎng)絡(luò)等遠(yuǎn)程接入方式,實(shí)現(xiàn)安全監(jiān)管。賬號管理,則是需要對工控系統(tǒng)中的工程師站、操作站等進(jìn)行嚴(yán)格管理,所有密碼都必須進(jìn)行分級管理,進(jìn)一步控制訪問權(quán)限,規(guī)避安全風(fēng)險[4]。

(四)加強(qiáng)物理安全管理。企業(yè)工控系統(tǒng)中,國城監(jiān)控層設(shè)備不應(yīng)該直接與控制層的設(shè)備進(jìn)行互相連通,而是要相互獨(dú)立,這樣才能較好的實(shí)現(xiàn)物理隔離,提高系統(tǒng)的安全性。第一,各個站、服務(wù)器、服務(wù)層,應(yīng)該通過門禁、視頻監(jiān)控等手段,進(jìn)行區(qū)間隔離,所有接入設(shè)備都必須要經(jīng)過嚴(yán)格檢查,未經(jīng)過嚴(yán)格測試檢查的設(shè)備要禁止接入;第二,禁止安裝非操作監(jiān)控原供應(yīng)商提供的軟件,避免軟件出現(xiàn)不兼容的情況,外來移動介質(zhì)必須經(jīng)過專用的防病毒查殺工具查殺,確認(rèn)安全后才能使用,同時采用封閉、加鎖或接口管理工具限制外部設(shè)備接口的使用,保證系統(tǒng)安全[5]。

結(jié)束語

綜上所述,隨著信息技術(shù)、互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,現(xiàn)階段各個領(lǐng)域生產(chǎn)都融入了先進(jìn)技術(shù),為工業(yè)生產(chǎn)力提升打好基礎(chǔ)。工業(yè)控制系統(tǒng)能夠較好的保證工業(yè)生產(chǎn)環(huán)境,提高生產(chǎn)質(zhì)量,但由于網(wǎng)絡(luò)是一個較為開放的環(huán)境,需要面對各種網(wǎng)絡(luò)風(fēng)險。因此,企業(yè)必須要通過強(qiáng)化分區(qū)隔離與邊界防護(hù)、優(yōu)化系統(tǒng)異常檢測、完善訪問控制與賬號管理、加強(qiáng)物理安全管理等方式,做好風(fēng)險防護(hù),提高工業(yè)控制系統(tǒng)的安全系數(shù),為企業(yè)發(fā)展打好基礎(chǔ)。