李明華 公帆

摘要：當(dāng)自動(dòng)化控制系統(tǒng)導(dǎo)入工業(yè)行業(yè)后，同步而來的信息安全隱患逐步暴露出來。自動(dòng)化技術(shù)中利用微電子技術(shù)、計(jì)算機(jī)軟件等模式控制工業(yè)的運(yùn)作流程，使得工業(yè)信息歸攏，工業(yè)生產(chǎn)完成集約化的變革。信息的高度集中，也帶來了風(fēng)險(xiǎn)的集中。為保證生產(chǎn)的安全，控制信息安全研究就勢(shì)在必行。

關(guān)鍵詞：工業(yè)；自動(dòng)化控制系統(tǒng)；信息安全；研究

1、工業(yè)自動(dòng)化控制系統(tǒng)的應(yīng)用優(yōu)勢(shì)

1.1靈活操控工業(yè)設(shè)備

流程工業(yè)中，設(shè)備數(shù)量眾多，動(dòng)輒數(shù)千個(gè)設(shè)備聯(lián)合運(yùn)行；設(shè)備門類復(fù)雜，從原理到結(jié)構(gòu)各不相同；品牌繁雜，幾乎是萬(wàn)國(guó)設(shè)備，進(jìn)口設(shè)備與國(guó)產(chǎn)設(shè)備協(xié)同運(yùn)行；通過自動(dòng)化的系統(tǒng)構(gòu)建，可使得工業(yè)的設(shè)備用具能夠一體化的進(jìn)行協(xié)調(diào)，互相完善對(duì)方的運(yùn)行不足，使得工業(yè)的生產(chǎn)能夠持續(xù)化的進(jìn)行。

1.2透明工廠成為可能

自動(dòng)化技術(shù)將工業(yè)的各個(gè)接口進(jìn)行統(tǒng)一化的管理，構(gòu)建統(tǒng)一化的操作模式，通過后臺(tái)的集中管理，同步化的了解工業(yè)生產(chǎn)各個(gè)層面的信息，及時(shí)的獲取工業(yè)生產(chǎn)的危險(xiǎn)警報(bào)，并定位隱患問題。使得透明工廠成為可能。

1.3人工智能助力生產(chǎn)效率

全數(shù)字的工廠，大量的生產(chǎn)信息進(jìn)入數(shù)據(jù)服務(wù)中心。建立在歷史數(shù)據(jù)記錄上的大數(shù)據(jù)分析，為人工智能提供了數(shù)據(jù)源。通過計(jì)算機(jī)輔助手段，將每個(gè)工況下的生產(chǎn)數(shù)據(jù)與設(shè)備數(shù)據(jù)進(jìn)行分析，通過基于現(xiàn)代控制理論的智能優(yōu)化軟件，迅速為特定裝置量體定做一套具備預(yù)估、優(yōu)化功能的控制算法，能夠大幅提高企業(yè)的生產(chǎn)效率，獲得豐厚的經(jīng)濟(jì)收益。

2、工業(yè)自動(dòng)化控制系統(tǒng)的安全隱患分析

2.1操作系統(tǒng)的隱患

當(dāng)前大多數(shù)工業(yè)自控系統(tǒng)都是windows平臺(tái)的，考慮到操作系統(tǒng)與控制系統(tǒng)的兼容性，對(duì)windows平臺(tái)往往不安裝補(bǔ)丁，系統(tǒng)的穩(wěn)定性無(wú)法保證。各個(gè)品牌廠家的組態(tài)監(jiān)控軟件依賴于windows操作系統(tǒng)自帶的各種服務(wù)，任何一個(gè)服務(wù)出現(xiàn)損壞，則會(huì)導(dǎo)致監(jiān)控軟件的部分功能甚至全部功能失效。

2.2通信協(xié)議的隱患

信息化和工業(yè)化的高層次的深度結(jié)合，使得TCP/IP等通用協(xié)議和技術(shù)越來越廣泛地應(yīng)用在工業(yè)自控網(wǎng)絡(luò)中，這就減弱了控制系統(tǒng)與外界的隔離。病毒、木馬向控制網(wǎng)擴(kuò)散，工業(yè)自控系統(tǒng)的安全隱患問題日益嚴(yán)峻。

2.3殺毒軟件的隱患

殺毒軟件的病毒庫(kù)需要不斷的更新，這一要求不適合工業(yè)控制環(huán)境，許多工控系統(tǒng)通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件，由于軟件對(duì)新病毒的處理總是滯后的，在使用過程中也有很大的局限性。

2.4工業(yè)自控軟件的隱患

工業(yè)自控軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開放其應(yīng)用端口，而常規(guī)的IT防火墻很難保障其安全性，針對(duì)組態(tài)軟件的攻擊會(huì)從根本上破壞工控系統(tǒng)。黑客很可能會(huì)利用一些工業(yè)自控軟件的安全隱患獲取如大型設(shè)備的開、停等控制權(quán)，一旦這些控制權(quán)被黑客所掌握，可能造成相關(guān)企業(yè)的設(shè)備運(yùn)行異常，甚至造成停工、停產(chǎn)等嚴(yán)重事故。

2010年9月，伊朗政府宣布，大約3萬(wàn)個(gè)網(wǎng)絡(luò)終端感染“震網(wǎng)”，病毒攻擊目標(biāo)直指核設(shè)施。病毒攻擊帶來的不僅僅是生產(chǎn)安全，還牽扯嚴(yán)重的社會(huì)安全，假如放射l生物質(zhì)泄漏，將會(huì)造成不亞于切爾諾貝利核電站泄漏帶來的嚴(yán)重災(zāi)難。

3、建立工業(yè)控制系統(tǒng)安全的防范對(duì)策

3.1基于終端的工業(yè)系統(tǒng)安全防御體系

工業(yè)網(wǎng)絡(luò)中同時(shí)存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營(yíng)的辦公網(wǎng)絡(luò)，考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同，對(duì)其防御的策略和保障措施應(yīng)該按照等級(jí)進(jìn)行劃分，實(shí)施分層次的縱深防御體系。按照業(yè)務(wù)職能和安全需求的不同，工業(yè)網(wǎng)絡(luò)可劃分為：滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域；滿足在線業(yè)務(wù)需要DMZ區(qū)域；滿足ICS管理與監(jiān)控需要的管理區(qū)域；滿足自動(dòng)化作業(yè)需要的控制區(qū)域。

3.2辦公網(wǎng)絡(luò)終端的安全防御

辦公網(wǎng)絡(luò)相對(duì)于工業(yè)控制網(wǎng)絡(luò)是開放的，其安全防御的核心是確保各種辦公業(yè)務(wù)終端的安全性和可用性，以及基于終端使用者的角色實(shí)施訪問控制策略。辦公網(wǎng)絡(luò)也是最容易受到攻擊者攻擊并實(shí)施進(jìn)一步定向攻擊的橋頭堡，實(shí)施有效的辦公網(wǎng)絡(luò)終端安全策略可最大限度的抵御針對(duì)ICS系統(tǒng)的破壞。辦公網(wǎng)絡(luò)通用終端安全防御能力建設(shè)包括：木馬等病毒威脅系統(tǒng)正常運(yùn)行惡意軟件防御能力；基于白名單的惡意行為發(fā)現(xiàn)與檢測(cè)能力；終端應(yīng)用控制與審計(jì)能力；基于角色的訪問控制能力；系統(tǒng)漏洞的檢測(cè)與修復(fù)能力；基于系統(tǒng)異常的恢復(fù)能力。

3.3工業(yè)控制網(wǎng)絡(luò)終端的安全防御

工業(yè)控制網(wǎng)絡(luò)具有明顯的獨(dú)有特性，其安全防御的核心是確保控制系統(tǒng)與監(jiān)控系統(tǒng)的可用性，以及針對(duì)ICS系統(tǒng)與管理員、ICS系統(tǒng)內(nèi)部自動(dòng)化控制組件間的訪問控制策略。同時(shí)需要確?？刂葡到y(tǒng)在發(fā)生異?；虬踩录r(shí)，能夠在不影響系統(tǒng)可用性的情況下，幫助管理員快速定位安全故障點(diǎn)。同時(shí)，在確?？刂葡到y(tǒng)可用性的前提下，工業(yè)控制網(wǎng)絡(luò)終端安全防御能力建設(shè)需要做到如下幾個(gè)方面：基于行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)的合規(guī)保證能力；基于白名單策略的控制終端惡意軟件防御能力；基于白名單的惡意未知行為發(fā)現(xiàn)與檢測(cè)能力；基于ICS協(xié)議的內(nèi)容監(jiān)測(cè)能力；基于控制系統(tǒng)的漏洞及威脅防御能力；基于可用性的最小威脅容忍模型建設(shè)能力；基于事件與行為的審計(jì)能力；基于可用性的系統(tǒng)補(bǔ)丁修復(fù)能力；終端安全的應(yīng)急響應(yīng)能力。

3.4工業(yè)網(wǎng)絡(luò)終端安全管控平臺(tái)建設(shè)

安全管控平臺(tái)不僅是實(shí)施工業(yè)數(shù)據(jù)采集和監(jiān)控內(nèi)容的匯聚中心，基于ICS安全威脅的知識(shí)庫(kù)仿真模塊，更可實(shí)時(shí)對(duì)檢測(cè)到的異?；蛭词跈?quán)訪問進(jìn)行核查評(píng)估，并將風(fēng)險(xiǎn)通過短信、郵件等方式對(duì)管理員告警。為確保安管平臺(tái)的可用性和時(shí)效性，可基于云計(jì)算與虛擬化技術(shù)對(duì)管理平臺(tái)進(jìn)行建設(shè)，目前較成熟的私有云安全技術(shù)、虛擬終端管理技術(shù)、數(shù)據(jù)災(zāi)備技術(shù)，都可為ICS系統(tǒng)統(tǒng)一管理提供良性的技術(shù)支撐。在客戶端系統(tǒng)資源優(yōu)化方面，先進(jìn)的私有云平臺(tái)可將信息終端繁重的功能負(fù)載遷移到云端執(zhí)行，為系統(tǒng)的關(guān)鍵應(yīng)用提供寶貴的計(jì)算資源，實(shí)現(xiàn)工業(yè)系統(tǒng)調(diào)度與計(jì)算資源的最大利用。

結(jié)束語(yǔ)

工業(yè)自動(dòng)化控制系統(tǒng)信息安全是控制系統(tǒng)和信息安全的充分結(jié)合，是當(dāng)下工業(yè)生產(chǎn)的潮流。不僅要求企業(yè)了解計(jì)算機(jī)控制系統(tǒng)，還要求企業(yè)懂得如何保障信息安全。工業(yè)自動(dòng)化控制系統(tǒng)信息安全涉及到企業(yè)生產(chǎn)的多個(gè)環(huán)節(jié)，需要各個(gè)生產(chǎn)部門的完美協(xié)作。相信在企業(yè)、員工與政府三方的共同努力下，工業(yè)自動(dòng)化控制系統(tǒng)必將不斷完善，信息安全也將得到充分保障。