余推波?何江銀?黃岷?張艷梅

摘 要 在現(xiàn)代化社會，工業(yè)控制系統(tǒng)越來越在企業(yè)生產(chǎn)、水利設(shè)施、電力設(shè)備、道路運輸?shù)刃袠I(yè)中被普遍應(yīng)用。與過去的傳統(tǒng)控制系統(tǒng)相比，現(xiàn)代化工業(yè)控制系統(tǒng)的安全性和穩(wěn)定性更高，對企業(yè)發(fā)展也在發(fā)揮著越來越重要的作用。本文首先對工業(yè)控制系統(tǒng)的基本內(nèi)涵進行闡述，然后分析其安全要求和存在的威脅，最后提出相關(guān)工業(yè)控制系統(tǒng)的信息安全策略，旨在為促進我國工業(yè)控制系統(tǒng)的長期穩(wěn)發(fā)展提供借鑒。

關(guān)鍵詞 工業(yè)控制系統(tǒng);信息安全;策略分析

1工業(yè)控制系統(tǒng)基本內(nèi)涵

工業(yè)控制系統(tǒng)的發(fā)展以計算機技術(shù)為基礎(chǔ)，實現(xiàn)對于對象的監(jiān)測、管理和控制，是一種較為專業(yè)的物理控制系統(tǒng)。常見的工業(yè)控制系統(tǒng)包括過程控制部分、監(jiān)督測試部分、信息采集部分等，較為綜合性，受網(wǎng)絡(luò)技術(shù)影響較大。更為具體化來說，控制系統(tǒng)由傳感器、執(zhí)行器、通信單元和控制部分等組成，具體的工業(yè)控制系統(tǒng)內(nèi)容如下圖1所示[1]。

2工業(yè)控制系統(tǒng)的安全要求

2.1 可用性要求

與其他系統(tǒng)技術(shù)如IT信息安全技術(shù)等，工業(yè)控制系統(tǒng)安全的首要要求是可用性。對于工業(yè)企業(yè)來說，設(shè)備進行更新升級或更換的過程需要消耗大量的人力、物力和財力。因此，工業(yè)控制系統(tǒng)需要充分發(fā)揮可用性，根據(jù)工業(yè)實際需求，提前性的進行控制系統(tǒng)更新，避免造成不必要的浪費。

2.2 實時性要求

工業(yè)控制系統(tǒng)能夠在運行過程中對企業(yè)產(chǎn)品生產(chǎn)進行及時的判斷和管理。工業(yè)控制系統(tǒng)的信息安全對于其實時性要求很高，這需要在嚴格且科學(xué)的操作環(huán)境下進行。與傳統(tǒng)的信息技術(shù)相比，當工業(yè)控制系統(tǒng)進行信息安全策略時，可能會對其實時的應(yīng)對效果造成影響[2]。

3工業(yè)控制系統(tǒng)面臨的信息安全威脅

在對工業(yè)控制系統(tǒng)進行信息安全保護時，往往面臨著兩方面的威脅。①系統(tǒng)相關(guān)威脅。由于工業(yè)控制系統(tǒng)從本義上來說屬于信息系統(tǒng)的一種，因此會面臨相關(guān)系統(tǒng)的威脅。比如系統(tǒng)協(xié)議漏洞、系統(tǒng)操作漏洞、系統(tǒng)代碼質(zhì)量問題、補丁管理方式問題、信息泄露等等。②過程相關(guān)威脅。這種威脅類型主要是指工業(yè)控制系統(tǒng)在運行過程中發(fā)生的信息安全問題，一旦發(fā)生會造成系統(tǒng)出現(xiàn)故障，嚴重時會導(dǎo)致整個工業(yè)控制系統(tǒng)癱瘓，使信息出現(xiàn)泄露和錯誤[3]。

4關(guān)于工業(yè)控制系統(tǒng)的信息安全策略和建議

4.1 網(wǎng)絡(luò)邊界防護

針對上文中提到的安全威脅，分析其存在的主要原因：①一些工業(yè)系統(tǒng)應(yīng)用的傳統(tǒng)IT技術(shù)不能與系統(tǒng)實際需求相匹配，造成服務(wù)器、網(wǎng)頁漏洞等問題的出現(xiàn);②企業(yè)在工業(yè)控制系應(yīng)用過程中，忽略了其信息安全，造成了公共網(wǎng)絡(luò)泄露。因此，為了提高工業(yè)控制系統(tǒng)的信息安全，需要進行網(wǎng)絡(luò)邊界防護。首先對企業(yè)工業(yè)控制系統(tǒng)進行保護隔離，提高其與公共網(wǎng)絡(luò)連接的安全防護，比如添設(shè)防火墻等，減少外部系統(tǒng)攻擊。其次，當工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)進行連接時，進行身份驗證、訪問權(quán)限設(shè)置、信息登記等信息安全保護措施，提高工業(yè)控制系統(tǒng)的信息安全性。身份驗證除了較為傳統(tǒng)的密碼驗證外，還可以添加生物令牌或物理令牌，綜合提高系統(tǒng)安全性。

4.2 添加冗余拓撲和協(xié)議功能

大多數(shù)的工業(yè)控制系統(tǒng)的通信協(xié)議由以太網(wǎng)和IP網(wǎng)絡(luò)構(gòu)成，因此為了提高工業(yè)控制系統(tǒng)的信息安全性，可以為以太網(wǎng)進行RSTP協(xié)議，即網(wǎng)格拓撲。而針對IP網(wǎng)絡(luò)，可以進行系統(tǒng)備份協(xié)議，比如OSPF協(xié)議、VRRP協(xié)議等。這些協(xié)議能夠在信息傳輸過程中添加密匙，為工業(yè)控制系統(tǒng)提供更加安全穩(wěn)定的信息交互和傳輸通道，保護系統(tǒng)內(nèi)部信息安全。

4.3 加設(shè)安全模塊

簡單來說，加設(shè)安全模塊就是在不改變工業(yè)控制住系統(tǒng)基礎(chǔ)數(shù)據(jù)傳輸系統(tǒng)的前提下加設(shè)一層安全層。安全層用來對可能產(chǎn)生的安全攻擊進行防護，從而提高信息的完整性和安全性。需要注意的是，在加設(shè)安全模塊過程中，要注意對安全模塊的計算進行簡化控制，避免造成較多的系統(tǒng)資源占用。同時，對安全模塊的實際匹配度進行多次測試和計算，提高其與不同工業(yè)控制系統(tǒng)的兼容性。

4.4 優(yōu)化系統(tǒng)控制器設(shè)計

從物理系統(tǒng)角度出發(fā)，可以為工業(yè)控制系統(tǒng)進行控制器設(shè)計優(yōu)化。優(yōu)化過程中需要著重關(guān)注系統(tǒng)的不同狀態(tài)預(yù)測和算法控制，即信息安全攻擊的破壞程度，從而進行解決措施算法的創(chuàng)新。根據(jù)工業(yè)控制系統(tǒng)的實際需要，可以采用卡爾曼濾波和x2故障檢驗法對系統(tǒng)進行攻擊和故障檢查和測驗，充分考慮系統(tǒng)的信息傳遞實時性和系統(tǒng)平臺的能力范圍[4]。

5結(jié)束語

綜上所述，有效的信息安全管理不僅能夠提高工業(yè)控制系統(tǒng)運行的安全性，降低不良攻擊行為的負面影響，而且能夠為企業(yè)提升經(jīng)濟效益提供更加可靠的保障。為了不斷提高工業(yè)控制系統(tǒng)的安全性，相關(guān)部門和企業(yè)需要提高信息保護重視程度，加大網(wǎng)絡(luò)技術(shù)研發(fā)力度和創(chuàng)新水平，為經(jīng)濟發(fā)展保駕護航。

參考文獻

[1] 翁明磊.工業(yè)控制系統(tǒng)信息安全初探[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，（5）：23-24.

[2] 楊海文，黨瑞，梁瀟.工業(yè)控制系統(tǒng)信息安全管理措施研究[J].信息系統(tǒng)工程，2019，（5）：54.

[3] 譚新章.工業(yè)控制系統(tǒng)信息安全防護技術(shù)研究[J].電腦編程技巧與維護，2019，（7）：145-146.

[4] 朱毅明.工業(yè)控制系統(tǒng)信息安全業(yè)務(wù)發(fā)展思路[J]. 自動化博覽，2014，（10）：78-79.