邱金龍

【摘要】 工業(yè)控制系統(tǒng)，簡稱ICS，主要可以分為以下部分：SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）、DCS（分布式控制系統(tǒng)）、PLC（可編程邏輯控制器）及其他類的控制系統(tǒng)等。現(xiàn)階段工業(yè)控制系統(tǒng)已被廣泛應(yīng)用在我國社會市場的各行業(yè)各領(lǐng)域，如電力企業(yè)、水力企業(yè)、石化企業(yè)、醫(yī)藥行業(yè)、食品行業(yè)、汽車行業(yè)及航天工業(yè)等，是我國基礎(chǔ)設(shè)施的構(gòu)成部分之一，也與國家整體的戰(zhàn)略安全息息相關(guān)?；诖?，對工業(yè)控制系統(tǒng)的信息安全作出保障，并制定相關(guān)的解決方案，是現(xiàn)階段工業(yè)技術(shù)員需要思考與分析的問題。本文首先對工業(yè)控制系統(tǒng)信息安全存在的問題進(jìn)行介紹，再對工業(yè)控制系統(tǒng)安全解決方案展開研究與分析。

【關(guān)鍵詞】 工業(yè)控制系統(tǒng) 信息安全 存在問題 解決方案

按照工業(yè)控制系統(tǒng)信息安全的相關(guān)要求及防范手段的特點(diǎn)，當(dāng)前工業(yè)控制系統(tǒng)對信息安全提出了解決方案，在控制系統(tǒng)內(nèi)部建立防火墻、安裝入侵檢測系統(tǒng)及建立連接服務(wù)器的驗(yàn)證機(jī)制，能夠在控制系統(tǒng)內(nèi)部實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備交互信息的目的，以此可以提升工業(yè)控制系統(tǒng)的整體防御能力[1]。在此情況下，工業(yè)控制系統(tǒng)現(xiàn)已成為信息安全領(lǐng)域愈來愈受關(guān)注的話題與重點(diǎn)之一，對其中存在的問題加以解決是迫不可待的[2]。

一、當(dāng)前工業(yè)控制系統(tǒng)信息安全存在問題分析

工業(yè)控制系統(tǒng)，一般來說可以分為三個層面，即現(xiàn)場控制層面、監(jiān)控管理層面與生產(chǎn)控制層面?，F(xiàn)場控制層面由生產(chǎn)設(shè)備、DCS及PLC等相關(guān)控制器組成，用來通訊的工具主要是工業(yè)以太網(wǎng)及現(xiàn)場總線；監(jiān)控管理層面基本由上位機(jī)、數(shù)據(jù)服務(wù)器、監(jiān)控設(shè)備及數(shù)據(jù)采集機(jī)等組成，用來通訊的工具為工業(yè)以太網(wǎng)及OPC；生產(chǎn)控制層面由管理終端組成，比如：供應(yīng)鏈、質(zhì)檢與物料等相關(guān)的管理服務(wù)器，主要用以太網(wǎng)來進(jìn)行通訊。當(dāng)前工業(yè)控制系統(tǒng)的信息安全問題來自以下方面：1、工業(yè)控制系統(tǒng)通訊方案較為落后守舊。大多數(shù)的工業(yè)控制系統(tǒng)通訊方案都具有一定的歷史，是由技術(shù)人員在多年前便已設(shè)計好的，基本上都是在串行連接的基礎(chǔ)上訪問網(wǎng)絡(luò)，設(shè)計時考慮的主要因素便是工業(yè)控制系統(tǒng)的可靠性與實(shí)用性，而忽視了控制系統(tǒng)的安全性，加之通訊方案對于用戶的身份認(rèn)證、信息數(shù)據(jù)保密等這些方面存在考慮不足的問題[3]。2、接入限定點(diǎn)不夠明確。接入限定點(diǎn)不夠明確的問題主要體現(xiàn)在系統(tǒng)終端與計算機(jī)接口等，不同版本、不同安全要求及通訊要求的設(shè)備都可以直接或者間接連接互聯(lián)網(wǎng)，加上訪問的策略管理工作存在松散與懈怠的情況，能夠在一定程度上增加工業(yè)控制系統(tǒng)內(nèi)部病毒感染的幾率[4]。3、工業(yè)控制系統(tǒng)信息安全的關(guān)注降低?，F(xiàn)階段網(wǎng)絡(luò)安全方面很少有黑客攻擊工業(yè)網(wǎng)絡(luò)的情況發(fā)生，故工業(yè)控制系統(tǒng)技術(shù)人員對于工業(yè)控制系統(tǒng)信息安全的關(guān)注逐漸降低，也沒有制定科學(xué)化與合理化的工業(yè)控制系統(tǒng)安全方案、管理制度，也沒有加強(qiáng)培養(yǎng)操作人員與設(shè)計人員的安全意識，隨著時間的推移，人員的安全意識愈來愈淡薄，操作管理的實(shí)際技術(shù)能力與安全思想觀念存在差異，極容易出現(xiàn)違規(guī)操作與越權(quán)訪問的情況，給工業(yè)控制系統(tǒng)的生產(chǎn)系統(tǒng)埋下安全隱患[5]。4、在信息科學(xué)技術(shù)及工業(yè)技術(shù)的高速融合下，現(xiàn)代企業(yè)的物聯(lián)程度與信息化程度不斷提升，這樣便促使更多更智能的儀器設(shè)備將會在市場上出現(xiàn)，也將帶來更多的安全問題。

二、當(dāng)前工業(yè)控制系統(tǒng)信息安全的相關(guān)特點(diǎn)分析

傳統(tǒng)計算機(jī)信息系統(tǒng)信息安全的要求主要有：保密性、可用性與完整性，而現(xiàn)代工業(yè)控制系統(tǒng)信息安全首要考慮的是可用性。工業(yè)控制系統(tǒng)的控制對象為不同方面的生產(chǎn)過程，如物理、生物與化學(xué)，系統(tǒng)終端設(shè)備與執(zhí)行部位能夠嚴(yán)格設(shè)定生產(chǎn)過程中的實(shí)際操作，故在對安全措施進(jìn)行調(diào)整與試行之前必須要將生產(chǎn)設(shè)備保持停機(jī)狀態(tài)，對工業(yè)控制系統(tǒng)采取的安全措施必須查看其是否具有一定的準(zhǔn)確性及時效性，并要在停機(jī)狀態(tài)下對其進(jìn)行測試與調(diào)整，但這些程序勢必會給企業(yè)帶來一定程度的經(jīng)濟(jì)影響[6]。

根據(jù)相關(guān)的研究報告顯示，在已公布于社會與民眾的工業(yè)控制系統(tǒng)漏洞中，拒絕服務(wù)類與控制軟件類等漏洞造成系統(tǒng)業(yè)務(wù)停止的比重，分別占據(jù)了百分之三十三與百分之二十，這樣的情況，便給工業(yè)控制系統(tǒng)的實(shí)用功能帶來了巨大的威脅，不但會在信息安全方面造成信息丟失，增加工業(yè)生產(chǎn)過程中生產(chǎn)設(shè)備出現(xiàn)故障的幾率，而且會在最大程度上造成操作人員的意外傷亡情況及設(shè)備損壞情況，造成企業(yè)經(jīng)濟(jì)利益嚴(yán)重虧損。

三、當(dāng)前工業(yè)控制系統(tǒng)信息安全解決方案分析

1、主動隔離式。主動隔離式信息安全解決方案的提出，來自于管道與區(qū)域的基本概念，即將同樣性能與安全要求的相關(guān)設(shè)備安置在同一個區(qū)域內(nèi)，通訊過程主要靠專門管道來完成，并利用管道管理工作來起到抵制非法通信的作用，能夠集中防護(hù)網(wǎng)絡(luò)區(qū)域內(nèi)或者外部的所有設(shè)備。這種方案，相對來說具有一定的有效性，可以按照實(shí)際需求來靈活運(yùn)用工業(yè)控制系統(tǒng)，并為其實(shí)施信息安全防護(hù)工作，但在實(shí)施這種解決方案之前，必須先確定防護(hù)等級與安全范圍，并尋找出一種適度的防護(hù)與經(jīng)濟(jì)成本折中辦法。

2、被動檢測式。被動檢測式解決方案是一種以傳統(tǒng)計算機(jī)系統(tǒng)為基礎(chǔ)的新型網(wǎng)絡(luò)安全保護(hù)方案，因?yàn)橛嬎銠C(jī)系統(tǒng)本身便具有結(jié)構(gòu)化、程序化及多樣化等特點(diǎn)，故除了采取對用戶的身份認(rèn)證與加密數(shù)據(jù)等防護(hù)技術(shù)之外，還添設(shè)了查殺病毒、檢測入侵情況及黑名單匹配等手段，以此有助于確定非法身份，并結(jié)合多方面的部署來提升網(wǎng)絡(luò)環(huán)境的安全。這種方案的硬件設(shè)備除了原部署的系統(tǒng)之外，還能利用代理終端的白名單技術(shù)來實(shí)現(xiàn)主機(jī)的入侵抵制功能，這些措施能夠減少對原來系統(tǒng)具備性能的負(fù)面影響，達(dá)到工業(yè)控制系統(tǒng)實(shí)用的目標(biāo)。但網(wǎng)絡(luò)威脅的特征庫無法及時更新，故黑名單技術(shù)對于新出現(xiàn)的違法入侵行為不能做出實(shí)時回應(yīng)，故對于工業(yè)控制系統(tǒng)來說還是帶來了一定的危害。

結(jié)束語：總而言之，本文主要對當(dāng)前工業(yè)控制系統(tǒng)信息安全存在的問題展開分析，針對工業(yè)控制系統(tǒng)通訊方案較為落后守舊、接入限定點(diǎn)不夠明確及工業(yè)控制系統(tǒng)信息安全的關(guān)注降低等問題，研究了當(dāng)前工業(yè)控制系統(tǒng)信息安全的特點(diǎn)，最后對當(dāng)前工業(yè)控制系統(tǒng)信息安全解決方案展開剖析，即主動隔離式與被動檢測式。當(dāng)然，要完全解決工業(yè)控制系統(tǒng)存在的問題，還得要求我國政府機(jī)關(guān)及相關(guān)部門提高網(wǎng)絡(luò)安全的意識，構(gòu)建并不斷完善一個有效、科學(xué)且合理的安全機(jī)制，以此來推動我國工業(yè)控制系統(tǒng)的發(fā)展。

參 考 文 獻(xiàn)

[1]朱世順，黃益彬，朱應(yīng)飛，張小飛.工業(yè)控制系統(tǒng)信息安全防護(hù)關(guān)鍵技術(shù)研究[J].電力信息與通信技術(shù)，2013，11：106-109.

[2]張波.西門子縱深防御DCS信息安全方案在青島煉化項(xiàng)目的應(yīng)用[J].自動化博覽，2015，02：42-45.

[3]陳紹望，羅琪，陸曉鵬.海洋石油平臺工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及策略[J].自動化與儀器儀表，2015，05：4-5+8.

[4]張波.基于縱深防御理念的DCS信息安全方案在青島煉化項(xiàng)目的應(yīng)用[J].中國儀器儀表，2014，02：30-35.

[5]周顯兵，馮慧山，王士新.淺析工業(yè)過程控制系統(tǒng)網(wǎng)絡(luò)安全解決方案[J].石油化工自動化，2014，01：10-13.

[6]梁瀟，高昆侖，徐志博，鄭曉崑.美國電力行業(yè)信息安全工作現(xiàn)狀與特點(diǎn)分析[J].電網(wǎng)技術(shù)，2011，12：221-228.