摘 要：2010年10月發(fā)生在伊朗核電站的“震網(wǎng)”（Stuxnet）病毒，給其核電系統(tǒng)造成了不可挽回的損失，也為各個(gè)企業(yè)的工業(yè)網(wǎng)絡(luò)使用安全提供警示。目前，很多企業(yè)都把工業(yè)網(wǎng)絡(luò)的安全防護(hù)提到了前所未有的高度，加大了人力和經(jīng)濟(jì)的投入，確保內(nèi)部核心網(wǎng)絡(luò)的安全。結(jié)合從事煤礦工業(yè)網(wǎng)絡(luò)維護(hù)經(jīng)驗(yàn)，分析了目前工業(yè)網(wǎng)絡(luò)應(yīng)用存在的問題。

關(guān)鍵詞：工業(yè)網(wǎng)絡(luò)；應(yīng)用；分析

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)傳輸速率、穩(wěn)定性、可靠性等有了很大的進(jìn)步，技術(shù)的進(jìn)步促進(jìn)了以太網(wǎng)絡(luò)向工業(yè)網(wǎng)絡(luò)的延伸。工業(yè)網(wǎng)的應(yīng)用是對(duì)傳統(tǒng)以太網(wǎng)絡(luò)技術(shù)的延伸，是工業(yè)網(wǎng)絡(luò)協(xié)議和以太網(wǎng)絡(luò)協(xié)議的結(jié)合。而現(xiàn)實(shí)的技術(shù)發(fā)展?jié)M足了工業(yè)網(wǎng)絡(luò)應(yīng)用的幾個(gè)關(guān)鍵需求，首先，以太網(wǎng)滿足了工業(yè)網(wǎng)實(shí)時(shí)性的要求，快速交換機(jī)和光纖通訊的普遍應(yīng)用，建設(shè)1000M、10G的內(nèi)部工業(yè)網(wǎng)成為普遍，滿足了工業(yè)控制對(duì)實(shí)時(shí)性的要求，其次滿足了工業(yè)網(wǎng)穩(wěn)定性的要求，技術(shù)的不斷進(jìn)步對(duì)于網(wǎng)絡(luò)設(shè)備的性能大為提升，專用的工業(yè)網(wǎng)絡(luò)交換機(jī)能夠在很寬的溫度范圍內(nèi)正常工作，能夠適應(yīng)嚴(yán)酷的工業(yè)生產(chǎn)環(huán)境，保證了工業(yè)網(wǎng)絡(luò)的穩(wěn)定性，這是工業(yè)網(wǎng)絡(luò)得以應(yīng)用推廣的關(guān)鍵因素，使得工業(yè)網(wǎng)能夠?qū)崿F(xiàn)實(shí)時(shí)控制、實(shí)時(shí)監(jiān)控、實(shí)時(shí)響應(yīng)、遠(yuǎn)程系統(tǒng)監(jiān)視等。工業(yè)自動(dòng)化網(wǎng)絡(luò)的應(yīng)用廣度和深度都達(dá)到了前所未有的高度，也為企業(yè)帶來了可觀的經(jīng)濟(jì)效益和社會(huì)效益。

1 工業(yè)以太網(wǎng)技術(shù)的特點(diǎn)

1.1 網(wǎng)絡(luò)傳輸?shù)臅r(shí)效性

工業(yè)網(wǎng)絡(luò)不同于一般的應(yīng)用網(wǎng)絡(luò)，少許的延遲、丟包等問題不會(huì)太影響用戶的感受，也不會(huì)造成什么大的損失，而工業(yè)控制網(wǎng)絡(luò)則不同，有些應(yīng)用系統(tǒng)的控制需要很頻繁的定時(shí)刷新現(xiàn)場(chǎng)的設(shè)備控制參數(shù)，如果網(wǎng)絡(luò)延遲、丟包等會(huì)給工業(yè)網(wǎng)絡(luò)的控制系統(tǒng)造成巨大的隱患，可能引起很大的事故，傳統(tǒng)的以太網(wǎng)絡(luò)性能不能滿足工業(yè)控制網(wǎng)絡(luò)的需求，所以傳統(tǒng)的工業(yè)控制還是以總線現(xiàn)場(chǎng)控制為多。但是快速以太網(wǎng)絡(luò)的發(fā)展，為工業(yè)網(wǎng)的發(fā)展帶來了新的契機(jī)，也奠定的目前工業(yè)網(wǎng)絡(luò)快速發(fā)展的基礎(chǔ)，快速以太網(wǎng)的發(fā)展主要有以下幾個(gè)方面：（1）交換機(jī)性能的大幅提升和光纖通信的普遍應(yīng)用，以太網(wǎng)的傳輸速度逐步發(fā)展到目前的100M、1000M、10G甚至更高，加之路由多功能應(yīng)用，數(shù)據(jù)包分別轉(zhuǎn)發(fā)，避免數(shù)據(jù)的碰撞，使得網(wǎng)絡(luò)信號(hào)傳輸效率更高，完全滿足工業(yè)網(wǎng)對(duì)實(shí)時(shí)性的要求；（2）工業(yè)網(wǎng)中使用的交換機(jī)都有數(shù)據(jù)存儲(chǔ)、轉(zhuǎn)發(fā)的功能，通過劃分VLAN，使得工業(yè)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)根據(jù)不同的網(wǎng)段傳輸，避免數(shù)據(jù)的相互干擾，也提高了系統(tǒng)中數(shù)據(jù)傳輸?shù)姆€(wěn)定性，這一特點(diǎn)也為工業(yè)網(wǎng)的廣泛應(yīng)用提供基礎(chǔ)。一個(gè)網(wǎng)絡(luò)可以接入不同的控制系統(tǒng)和應(yīng)用系統(tǒng)，系統(tǒng)之間互不干擾，以目前我礦工業(yè)網(wǎng)的運(yùn)行為例則接入了視頻系統(tǒng)，人員定位系統(tǒng)、電力監(jiān)控系統(tǒng)等；（3）網(wǎng)絡(luò)中的設(shè)備端口大都支持全雙工通訊，數(shù)據(jù)在發(fā)送的時(shí)候能夠接收數(shù)據(jù)，使得網(wǎng)絡(luò)系統(tǒng)通訊的時(shí)效性大大提高，而且目前使用的交換機(jī)、光纖接口等部件為模塊化設(shè)計(jì)，出現(xiàn)問題能夠及時(shí)的進(jìn)行恢復(fù)和處理，也提高了系統(tǒng)運(yùn)行的時(shí)效性和可維護(hù)性。

1.2 系統(tǒng)具有很高的穩(wěn)定性與可靠性

盡管工業(yè)現(xiàn)場(chǎng)的環(huán)境極為惡劣，但本身又要求系統(tǒng)具有極高的穩(wěn)定性和可靠性，滿足實(shí)時(shí)性以及設(shè)備的不間斷運(yùn)行。一般表現(xiàn)在兩個(gè)方面的設(shè)計(jì)特點(diǎn)，首先是專用工業(yè)級(jí)的網(wǎng)絡(luò)應(yīng)用設(shè)備的高性能，比如工業(yè)交換機(jī)相對(duì)于一般使用的交換機(jī)，具有更高的適應(yīng)環(huán)境能力，很高的溫度適應(yīng)范圍，具備冗余電源保證供電系統(tǒng)的穩(wěn)定，以適應(yīng)極端的工作環(huán)境。其次是網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)要有充分的冗余，一般通過是環(huán)網(wǎng)設(shè)計(jì)、鏈路聚合，一個(gè)節(jié)點(diǎn)或是一段網(wǎng)絡(luò)通信線纜出現(xiàn)問題后不影響整體的網(wǎng)絡(luò)的運(yùn)行。尤其是在煤礦井下的惡劣環(huán)境中更要考慮線纜傳輸?shù)陌踩€(wěn)定。再者是設(shè)備的可維護(hù)性強(qiáng)，現(xiàn)在的設(shè)備一般采用模塊化安裝，轉(zhuǎn)換接口模塊化，模塊要有充分的備用，有問題能夠及時(shí)得到處理，保證系統(tǒng)的穩(wěn)定性和可靠性。

2 工業(yè)網(wǎng)絡(luò)的安全防護(hù)問題

工業(yè)網(wǎng)絡(luò)的應(yīng)用廣度和深度都達(dá)到了前所未有的高度，提高了工廠企業(yè)的運(yùn)作效率，提高了企業(yè)的經(jīng)濟(jì)效益，但是依賴網(wǎng)絡(luò)的系統(tǒng)運(yùn)行也存在一定的風(fēng)險(xiǎn)，如果不能夠很好的避免和防護(hù)，同樣也會(huì)給企業(yè)造成很大的損失，工業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)問題主要有以下幾個(gè)方面。

（1）硬件網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)，首先是交換機(jī)，端口模塊等，工業(yè)網(wǎng)絡(luò)需要的是24小時(shí)不間斷的運(yùn)行，而且部分環(huán)境及其惡劣，高溫高濕度，盡管設(shè)備有很好的性能，但還是不可避免的會(huì)遇到設(shè)備損壞問題，這個(gè)問題要在建網(wǎng)之初，充分考慮做好預(yù)案。

如做好設(shè)備冗余、熱備、電源冗余，故障檢測(cè)手段等，保證工業(yè)網(wǎng)絡(luò)所運(yùn)行的設(shè)備能夠不間斷的運(yùn)行。再者是數(shù)據(jù)傳輸線路的問題，網(wǎng)絡(luò)信號(hào)的傳輸現(xiàn)在大都是通過光纖傳輸，線路的維護(hù)在運(yùn)行中同樣重要，尤其是在煤礦井下，這一點(diǎn)就顯得極為重要，井下鋪設(shè)的光纜通信線路一般是依附巷幫而鋪設(shè)，如果遇到巷道幫來壓沒有及時(shí)發(fā)現(xiàn)就有可能造成通訊中斷問題。

（2）操作系統(tǒng)和殺毒軟件的更新問題。工業(yè)網(wǎng)絡(luò)一般是內(nèi)部網(wǎng)絡(luò)，為安全起見一般和外部網(wǎng)絡(luò)隔離，這樣就造成內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)操作系統(tǒng)和殺毒軟件無法升級(jí)，為系統(tǒng)安全留下隱患。

針對(duì)這樣的問題要有專門的維護(hù)人員定期進(jìn)行系統(tǒng)和殺毒關(guān)鍵的升級(jí)，升級(jí)有兩種方式一是經(jīng)過防火墻、網(wǎng)閘防毒墻等安全設(shè)備直接連接到外部網(wǎng)絡(luò)進(jìn)行升級(jí)，二是通過專用的存儲(chǔ)工具下載升級(jí)包在內(nèi)網(wǎng)計(jì)算機(jī)上升級(jí)，升級(jí)前做好系統(tǒng)的備份，出現(xiàn)不兼容等問題時(shí)能夠及時(shí)恢復(fù)。

（3）使用U盤、光盤、筆記本接入導(dǎo)致的病毒傳播問題。內(nèi)網(wǎng)設(shè)備在運(yùn)行中，會(huì)不可避免的使用到U盤、光盤等進(jìn)行資料的轉(zhuǎn)移和處理，這就給整個(gè)內(nèi)部工業(yè)網(wǎng)絡(luò)的運(yùn)行造成了一個(gè)很大的隱患，因?yàn)橐坏┏霈F(xiàn)病毒感染，可能對(duì)整個(gè)內(nèi)網(wǎng)的設(shè)備是致命的，會(huì)給企業(yè)造成無法挽回的損失，這個(gè)問題通過兩個(gè)方面做好這工作，一是可以通過系統(tǒng)的安全設(shè)置禁止系統(tǒng)的UBS接口和光盤的使用，相應(yīng)的內(nèi)網(wǎng)電腦都要設(shè)置足夠復(fù)雜的開機(jī)密碼和屏保密碼。二是加強(qiáng)人員的管理，機(jī)房建立訪問登記制度，處理故障使用專用的筆記本等，避免出現(xiàn)通過存儲(chǔ)介質(zhì)引入病毒的情況。

（4）存在工業(yè)控制系統(tǒng)被有意或無意控制的風(fēng)險(xiǎn)問題。如果對(duì)工業(yè)控制系統(tǒng)的操作行為沒有監(jiān)控和響應(yīng)措施，工業(yè)控制系統(tǒng)中的異常行為或人為行為會(huì)給工業(yè)控制系統(tǒng)帶來很大的風(fēng)險(xiǎn)。

因此要完善工業(yè)控制系統(tǒng)的監(jiān)控和管理措施，做到各部分操作有記錄可查，責(zé)任到人。

（5）工業(yè)控制系統(tǒng)控制終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備故障沒有及時(shí)發(fā)現(xiàn)而響應(yīng)延遲的問題，這個(gè)問題主要是完善監(jiān)控系統(tǒng)建設(shè)，把系統(tǒng)設(shè)備運(yùn)行的主要參數(shù)，集成到一個(gè)系統(tǒng)中來，實(shí)現(xiàn)對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備的實(shí)時(shí)監(jiān)控，有故障及時(shí)發(fā)現(xiàn)，其次是建立合理的人員巡查制度，及時(shí)發(fā)現(xiàn)和解決問題。

3 結(jié)束語

國內(nèi)外發(fā)生了多起由于工控系統(tǒng)安全問題而造成的生產(chǎn)安全事故。給企業(yè)造成很大的經(jīng)濟(jì)損失，同時(shí)也影響到國家的安全的問題，為此，工信部2011年10月下發(fā)了“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”，要求各級(jí)政府和國有大型企業(yè)切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)安全管理?？梢姽I(yè)網(wǎng)絡(luò)的安全不同于一般網(wǎng)絡(luò)的安全，更關(guān)乎一個(gè)企業(yè)的安全和效益，甚至國家的利益，盡管工業(yè)網(wǎng)絡(luò)在應(yīng)用實(shí)施和運(yùn)行中不可避免會(huì)出現(xiàn)各種問題，但信息化的發(fā)展是一個(gè)趨勢(shì)，網(wǎng)絡(luò)的應(yīng)用必然會(huì)越來越廣泛，不斷有新的系統(tǒng)接入到網(wǎng)絡(luò)，只要防控得當(dāng)，就能充分發(fā)揮工業(yè)網(wǎng)絡(luò)的高效便捷，避免風(fēng)險(xiǎn)帶來的損失。

參考文獻(xiàn)

[1]中華人民共和國工業(yè)和信息化部.關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知[S].

[2]王浩，吳中福，王平.工業(yè)控制網(wǎng)絡(luò)安全模型研究[J].計(jì)算機(jī)科學(xué)，2007，34（5）：96-98.

[3]蘭昆，饒志宏，唐林，等.工業(yè)SCADA系統(tǒng)網(wǎng)絡(luò)的安全服務(wù)框架研究[J].信息安全與通信保密，2010（3）：47-49.