工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)策略分析

摘 要：改革開(kāi)放以來(lái)，我國(guó)經(jīng)濟(jì)發(fā)展迅速，工業(yè)為我國(guó)發(fā)展做出了很大貢獻(xiàn)。時(shí)代發(fā)展與科技進(jìn)步下，當(dāng)前在社會(huì)生產(chǎn)生活各個(gè)領(lǐng)域中都有網(wǎng)絡(luò)的身影。在工業(yè)生產(chǎn)領(lǐng)域網(wǎng)絡(luò)技術(shù)的應(yīng)用也更加成熟，其發(fā)展中構(gòu)建出工業(yè)控制網(wǎng)絡(luò)體系成為主要發(fā)展趨勢(shì)，大大提高了生產(chǎn)效率、降低了人工成本、有效監(jiān)控企業(yè)安全生產(chǎn)。但在網(wǎng)絡(luò)控制體系使用中，其中安全問(wèn)題也進(jìn)一步顯現(xiàn)，由于網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等導(dǎo)致生產(chǎn)中斷、數(shù)據(jù)泄露等情況也愈加頻繁，安全問(wèn)題成為企業(yè)亟需解決的重要問(wèn)題。

關(guān)鍵詞：工業(yè);控制網(wǎng)絡(luò);安全防護(hù);策略

引言

冶金工業(yè)生產(chǎn)包括選礦、燒結(jié)、水冶等多個(gè)復(fù)雜環(huán)節(jié)，生產(chǎn)過(guò)程中會(huì)產(chǎn)生輻射、噪音、高溫、粉塵等有害因素，受環(huán)境、設(shè)備等條件限制，有些工序和環(huán)節(jié)僅靠人力無(wú)法完成，需要應(yīng)用自動(dòng)化控制系統(tǒng)。在冶金工業(yè)自動(dòng)化控制系統(tǒng)中，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)有著“中樞神經(jīng)”作用，通過(guò)網(wǎng)線和交換機(jī)將各生產(chǎn)工序及設(shè)備之間有效聯(lián)結(jié)，實(shí)現(xiàn)自動(dòng)化控制。

但冶金工業(yè)控制系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)受工況、計(jì)算機(jī)網(wǎng)絡(luò)軟硬件存在的漏洞、操作人員安全意識(shí)等因素影響，仍存在一些安全隱患，可能會(huì)導(dǎo)致系統(tǒng)出現(xiàn)數(shù)據(jù)傳輸混亂、設(shè)備工作異常等網(wǎng)絡(luò)安全問(wèn)題。因此，需要設(shè)計(jì)合理的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)方案，有效避免網(wǎng)絡(luò)安全問(wèn)題，促進(jìn)生產(chǎn)安全進(jìn)行。

1工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

在網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展下，最初分立元器件組成控制系統(tǒng)向計(jì)算機(jī)集中控制系統(tǒng)發(fā)展，之后產(chǎn)生分散控制系統(tǒng)、現(xiàn)場(chǎng)總線控制系統(tǒng)。工業(yè)控制系統(tǒng)發(fā)展中，其構(gòu)成逐步完善為三層網(wǎng)絡(luò)架構(gòu)，其中包括現(xiàn)場(chǎng)控制層、監(jiān)控管理層和數(shù)據(jù)采集層。ICS網(wǎng)絡(luò)控制模式改變獨(dú)立分散方式，而實(shí)行互聯(lián)互通的網(wǎng)絡(luò)控制。其中，現(xiàn)場(chǎng)控制層中，采用OPC和Profinet等協(xié)議等支持控制設(shè)備間比如編程控制器、遠(yuǎn)程終端單元和智能電子設(shè)備等通信，并建立起與上位系統(tǒng)設(shè)備通信，這些協(xié)議是標(biāo)準(zhǔn)為TCP/IP協(xié)議，監(jiān)控管理層及以上通信也采用TCP/IP協(xié)議，兩層網(wǎng)絡(luò)采用一致協(xié)議標(biāo)準(zhǔn)。由此，工業(yè)控制網(wǎng)絡(luò)系統(tǒng)不再孤立，而是連接企業(yè)網(wǎng)絡(luò)甚至是互聯(lián)網(wǎng)，也就是在工業(yè)控制網(wǎng)絡(luò)中會(huì)出現(xiàn)傳統(tǒng)辦公網(wǎng)絡(luò)中各種網(wǎng)絡(luò)安全問(wèn)題，在現(xiàn)在的網(wǎng)絡(luò)架構(gòu)中后傳統(tǒng)的工業(yè)控制系統(tǒng)不再安全可靠。因此，當(dāng)前面臨的一項(xiàng)重要問(wèn)題就是工業(yè)控制網(wǎng)絡(luò)的安全保障問(wèn)題。

2工業(yè)控制網(wǎng)絡(luò)存在風(fēng)險(xiǎn)與安全問(wèn)題

2.1應(yīng)用軟件風(fēng)險(xiǎn)

當(dāng)前可以定制化的設(shè)計(jì)工控系統(tǒng)控制軟件，但在設(shè)計(jì)過(guò)程中沒(méi)有融合安全設(shè)計(jì)工作，從而增加軟件安全漏洞。此外，在軟件應(yīng)用過(guò)程中，在網(wǎng)絡(luò)端口控制中需要利用專業(yè)技術(shù)，但很多技術(shù)人員錄用普通的技術(shù)，無(wú)法切實(shí)發(fā)揮出保護(hù)作用，增加網(wǎng)絡(luò)運(yùn)行的危險(xiǎn)度。

2.2內(nèi)部操作不當(dāng)

當(dāng)用戶在數(shù)據(jù)傳輸時(shí)，使用外部移動(dòng)儲(chǔ)存設(shè)備就會(huì)使病毒在恰當(dāng)?shù)臅r(shí)機(jī)進(jìn)入工業(yè)局域網(wǎng)，并開(kāi)始自發(fā)地傳播復(fù)制病毒，使工業(yè)局域網(wǎng)中的工業(yè)數(shù)據(jù)存在安全隱患。因此，要提高工業(yè)網(wǎng)絡(luò)用戶的安全意識(shí)，禁止將自己的外網(wǎng)設(shè)備接入工業(yè)內(nèi)網(wǎng)，避免病毒直接進(jìn)入工業(yè)局域網(wǎng)。

2.3環(huán)境安全隱患

環(huán)境安全隱患包括內(nèi)部環(huán)境隱患和外部環(huán)境隱患。內(nèi)部環(huán)境主要指在開(kāi)放性網(wǎng)絡(luò)環(huán)境中，尤其與互聯(lián)網(wǎng)連接時(shí)，極易發(fā)生黑客攻擊和病毒感染等問(wèn)題。目前常用的網(wǎng)絡(luò)安全方案，如加密和數(shù)字簽名認(rèn)證、基于訪問(wèn)控制的防火墻等技術(shù)，均無(wú)法從根本上適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)攻防的動(dòng)態(tài)性和攻防不對(duì)稱性，導(dǎo)致網(wǎng)絡(luò)面對(duì)外來(lái)入侵時(shí)極其被動(dòng)。外部環(huán)境主要指高溫、高濕、粉塵等惡劣環(huán)境，可能會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備性能降低，強(qiáng)電磁干擾引起的數(shù)據(jù)通信問(wèn)題。

3工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)策略分析

3.1網(wǎng)絡(luò)邊界安全隔離技術(shù)

實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)邊界隔離方面，主要采取的兩種隔離技術(shù)就是防火墻隔離、網(wǎng)閘隔離。防火墻技術(shù)一般設(shè)置在網(wǎng)絡(luò)邊界，主要就是通過(guò)內(nèi)部控制手段對(duì)訪問(wèn)者進(jìn)行識(shí)別，在IP安全訪問(wèn)策略運(yùn)行基礎(chǔ)上，可以對(duì)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的終端實(shí)施攔截或放行，限制端口或者網(wǎng)絡(luò)協(xié)議也可發(fā)揮攔截作用，避免惡意程序的訪問(wèn)造成不良后果。與傳統(tǒng)網(wǎng)絡(luò)防火墻不同的是，工業(yè)控制網(wǎng)絡(luò)防火墻功能更強(qiáng)大，可以解析過(guò)濾內(nèi)部自帶工控網(wǎng)網(wǎng)絡(luò)協(xié)議，并針對(duì)協(xié)議對(duì)通信數(shù)據(jù)包執(zhí)行深度檢測(cè)，還可跟蹤應(yīng)用層通訊，發(fā)現(xiàn)非法指令和非工控協(xié)議及時(shí)阻斷攔截。網(wǎng)閘技術(shù)硬件結(jié)構(gòu)組成包含前后主機(jī)、隔離硬件，數(shù)據(jù)傳送無(wú)協(xié)議擺渡進(jìn)行，數(shù)據(jù)在進(jìn)入擺渡區(qū)前與協(xié)議剝離，出去后后主機(jī)會(huì)將數(shù)據(jù)重新封裝，避免直接連接內(nèi)外網(wǎng)，阻斷外網(wǎng)攻擊。

3.2防治網(wǎng)絡(luò)通信病毒

防治網(wǎng)絡(luò)通信病毒，需要根據(jù)數(shù)據(jù)流量和數(shù)據(jù)包逆向還原等，根據(jù)業(yè)務(wù)發(fā)展需求構(gòu)建通信數(shù)據(jù)模型，利用數(shù)據(jù)包和流量等及時(shí)發(fā)現(xiàn)病毒，并且可開(kāi)展預(yù)警工作。在防治過(guò)程中，通過(guò)深度解析協(xié)議，綜合審核和監(jiān)測(cè)流量和業(yè)務(wù)等。技術(shù)人員需緊密結(jié)合網(wǎng)絡(luò)通信病毒防治工作和現(xiàn)場(chǎng)業(yè)務(wù)流程，利用協(xié)議數(shù)據(jù)和流量數(shù)據(jù)等，全面監(jiān)測(cè)業(yè)務(wù)流程中的病毒，避免發(fā)生誤報(bào)問(wèn)題。

3.3提高重視程度

企業(yè)領(lǐng)導(dǎo)必須了解互聯(lián)網(wǎng)局域網(wǎng)網(wǎng)絡(luò)安全的重要性，企業(yè)管理層制定出網(wǎng)絡(luò)安全策略，增強(qiáng)網(wǎng)絡(luò)管理，著重培養(yǎng)網(wǎng)絡(luò)工作人員的安全意識(shí)和防范意識(shí)，同時(shí)也要提高相關(guān)人員的素質(zhì)和能力。企業(yè)也要培養(yǎng)專業(yè)的技術(shù)人才，采用先進(jìn)的網(wǎng)絡(luò)安全管理模式。工業(yè)的發(fā)展離不開(kāi)互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)必須保持?jǐn)?shù)據(jù)安全才可以促進(jìn)企業(yè)的發(fā)展，因此引進(jìn)網(wǎng)絡(luò)安全技術(shù)人才，并引用先進(jìn)的網(wǎng)絡(luò)安全管理模式勢(shì)在必行。

殺毒軟件和防毒軟件要做到及時(shí)更新，操作系統(tǒng)要及時(shí)完善，交換機(jī)要選擇正規(guī)安全的品牌，劃分內(nèi)部網(wǎng)絡(luò)，針對(duì)重要的資料要進(jìn)行多級(jí)管理，并制定特殊的標(biāo)識(shí)。工業(yè)的網(wǎng)絡(luò)數(shù)據(jù)要及時(shí)備份，避免出現(xiàn)丟失誤刪的情況。計(jì)算機(jī)也需要做好物理保護(hù)，做好防潮、防塵、防電磁輻射等工作，保證不遭受外部損傷，保障工業(yè)網(wǎng)絡(luò)順暢運(yùn)行。

3.4構(gòu)建防御體系

按照安全防御需求，進(jìn)行包含安全機(jī)制與服務(wù)、網(wǎng)絡(luò)協(xié)議在內(nèi)的防御體系結(jié)構(gòu)的建設(shè)，安全管理機(jī)制在各協(xié)議層都要設(shè)置。網(wǎng)絡(luò)協(xié)議主要包含物理層、應(yīng)用層、網(wǎng)絡(luò)層、傳輸層、鏈路層等構(gòu)成，安全服務(wù)主要功能就是內(nèi)容識(shí)別、審計(jì)設(shè)備和行為，順利完成信息數(shù)據(jù)傳輸，出現(xiàn)異常情況其響應(yīng)及時(shí)。不同網(wǎng)絡(luò)層次服務(wù)功能不同，因此設(shè)置配置方案時(shí)要有針對(duì)性。比如在構(gòu)建區(qū)域隔離和劃分機(jī)制時(shí)，工業(yè)控制網(wǎng)絡(luò)中行使效用的一項(xiàng)基本任務(wù)就是信息的互聯(lián)互通，但在此基礎(chǔ)上工控網(wǎng)需要設(shè)置支撐業(yè)務(wù)流轉(zhuǎn)與運(yùn)行的技術(shù)，因此網(wǎng)絡(luò)邊界問(wèn)題需切實(shí)管控。構(gòu)建起區(qū)域隔離和劃分機(jī)制實(shí)現(xiàn)合理分區(qū)，不同部分功能采取對(duì)應(yīng)的隔離措施，從而劃分不同功能區(qū)，合理實(shí)現(xiàn)內(nèi)外部分界，保證防御能力。完整的防御體系中，要求安全服務(wù)與機(jī)制間具備完善的對(duì)應(yīng)關(guān)系，主要就是設(shè)備識(shí)別、接入控制機(jī)制、數(shù)據(jù)安全訪問(wèn)、保護(hù)機(jī)制、協(xié)議解析機(jī)制、事件審計(jì)分析展示機(jī)制、阻斷供給、和備份。

結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)自身的安全問(wèn)題使得冶金工業(yè)控制系統(tǒng)難免出現(xiàn)一定問(wèn)題，基于IMS的計(jì)算機(jī)網(wǎng)絡(luò)主動(dòng)防護(hù)體系可以彌補(bǔ)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞，及時(shí)應(yīng)對(duì)各類安全風(fēng)險(xiǎn)，有效提升計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的實(shí)時(shí)性、自適應(yīng)性和動(dòng)態(tài)對(duì)抗性，可在生產(chǎn)中加以應(yīng)用。

參考文獻(xiàn)

[1]韓春楊.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電子技術(shù)與軟件工程，2021，（17）：245-246.

[2]裴江艷.淺論大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)信息的安全問(wèn)題[J].電腦知識(shí)與技術(shù)，2021，17（24）：52-53.

[3]林丙梅.論數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)病毒防范中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021，（8）：66-67.

作者簡(jiǎn)介：

韓雨芯，實(shí)驗(yàn)師，碩士，工作單位：遼寧建筑職業(yè)學(xué)院。