宗健（重慶燃氣集團股份有限公司，重慶400020）

工業(yè)4.0時代的工控網絡安全防護研究

宗健（重慶燃氣集團股份有限公司，重慶400020）

在工業(yè)4.0時代，工業(yè)化與信息化的兩化融合是必然趨勢，工控系統(tǒng)利用最新的計算機網絡技術來提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平。工控系統(tǒng)安全的重要性及其普遍安全防護措施不足的現(xiàn)實，使得加強工業(yè)控制系統(tǒng)的安全性來說無疑是一項相對艱巨的任務。本文提出的工控網絡安全“白環(huán)境”解決方案是以可信防護為核心、可視化管理為支撐、大數(shù)據分析為保障的全方位工控安全解決方案。

工業(yè)4.0；工控網絡安全防護；解決方案

隨著工業(yè)信息化的快速發(fā)展以及工業(yè)4.0時代的到來，工業(yè)化與信息化的融合趨勢越來越明顯，工業(yè)控制系統(tǒng)也在利用最新的計算機網絡技術來提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平。未來為了提高生產效率和效益，工控網絡會越來越開放，不可能完全的隔離，所以這就給工控系統(tǒng)網絡安全防護帶來了挑戰(zhàn)。

近年來，多個重要且關乎國計民生的行業(yè)，如電力、石油、石化、軍工等均遭受到了嚴峻的工業(yè)控制網絡安全威脅，對此如何解決工控安全問題已成為企業(yè)面臨的嚴峻挑戰(zhàn)，受到越來越多的工業(yè)企業(yè)的關注，并且得到了國家的高度重視。針對關乎國家經濟命脈的重點行業(yè)，國家在鼓勵提高工業(yè)信息化的同時，將網絡安全問題提升到了國家戰(zhàn)略層面，要求各級政府部門和相關企業(yè)加大對于工控安全技術的研發(fā)力度，加速推進相關技術和解決方案的完善以及相關政策標準的推出。

1　工控網絡安全防護分析及建議

在工業(yè)控制網絡安全領域，很多企業(yè)機構根據內部工業(yè)控制系統(tǒng)的運行狀態(tài)，并結合整體的實時性、完整性和機密性的要求，對工業(yè)控制網絡安全產品提出了特定的需求。不同的行業(yè)領域內部使用了不同的網絡數(shù)據通信協(xié)議和標準，最常見的協(xié)議和標準包括ModBus、OPC、IEC～104、MMS、DNP3等。因此，市場對工業(yè)控制網絡安全產品的需求不僅迫切，對于產品服務的豐富性、廣度、深度也有著顯著而實際的需求。此外不同行業(yè)根據其生產工藝和設備特點，會對工業(yè)控制網絡安全產品提出擴展性、可審計性、保密性、易用性、通用性提出需求。

當面臨攻擊者的持續(xù)關注時，任何疏漏都可能導致災難。工業(yè)控制系統(tǒng)安全的重要性及其普遍安全防護措施不足的現(xiàn)實，使得加強工業(yè)控制系統(tǒng)的安全性來說無疑是一項相對艱巨的任務。本文提出以下針對工控網絡安全防護建議，期望能夠有效地降低工業(yè)控制系統(tǒng)所面臨的攻擊威脅：

1.1盡可能采用安全的通信協(xié)議及規(guī)范，并提供協(xié)議異常性檢測能力：源頭控制、檢測防護、

1.2建立針對工業(yè)控制系統(tǒng)的違規(guī)操作、越權訪問等行為的有效監(jiān)管：異常行為檢測、安全審計；

1.3建立完善的工業(yè)控制系統(tǒng)安全保障體系，加強安全運維與管理：工業(yè)控制系統(tǒng)安全保障體系建設、安全運維與管理、加強人員的安全意識培訓和工作流程管理制度的落實等；

1.4加強針對工業(yè)控制系統(tǒng)的新型攻擊技術的防范研究。

2　工控網絡安全防護解決方案

工控系統(tǒng)部署后使用的生命周期都很長，目前國內大量運行中的工控設備在當初設計時多重視系統(tǒng)的功能實現(xiàn)，如何為這些工業(yè)控制系統(tǒng)提供適當?shù)陌踩雷o、安全增強和運維管理，同時保障生產安全、系統(tǒng)可靠性和可擴展性無疑是當前工控企業(yè)需要重點解決的問題。

2.1解決思路

以工控系統(tǒng)安全的視角，針對工控系統(tǒng)對可靠性、穩(wěn)定性、運行連續(xù)性的嚴格要求，以及工控系統(tǒng)軟件和設備更新不頻繁，通信和數(shù)據較為特定的特點，建立工控系統(tǒng)安全生產運行的“可信網絡白環(huán)境”以及“軟件應用白名單”，構筑工業(yè)控制系統(tǒng)的網絡安全“白環(huán)境”，無需大量改造現(xiàn)有工控網絡和頻繁升級工控系統(tǒng)，技術可靠實用，可落地性強。

2.2實施方案

（1）網絡劃分

根據工控系統(tǒng)的業(yè)務與功能來評估計并劃分網絡區(qū)域，明確各網絡區(qū)域的邊界。網絡區(qū)域是一組物理或邏輯上的資產，基于重要性或事故影響，它們具有相同的安全需求。

（2）控制/數(shù)據業(yè)務流及協(xié)議識別

確定網絡域之間，工作組之間，上位機、下位機、服務器、客戶端、操作站、監(jiān)控站之間的控制及數(shù)據業(yè)務流的傳輸關系，應用的協(xié)議等。

（3）建立可信網絡域

運用可信邊界網關、可信區(qū)域網關對不同的網絡域進行隔離，防護各域的網絡邊界。阻止來自辦公網絡的攻擊、病毒、木馬等感染入侵其它網絡域。抑制在某一個網絡域中的病毒木馬向其它網絡傳播擴散，縮小安全問題影響范圍。

（4）配置可信主機及可信服務器

針對每臺終端配置軟件白名單，建立工作站、服務器的軟件工作“白環(huán)境”。對于白名單以外的軟件、進程、通信等阻止運行。對于白名單內軟件的更新、修改、移動、刪除等操作進行審計或控制。

3　結語

本文提出的工控網絡安全解決方案是面向石油、石化、電力、燃氣、冶金、化工、鐵路、城市軌道交通等工控行業(yè)及相關研究機構推出的以可信防護為核心、可視化管理為支撐、大數(shù)據分析為保障的全方位工控安全解決方案。