石橫特鋼集團(tuán)有限公司 山東 泰安 271612

目前,社會(huì)已經(jīng)進(jìn)入到了信息時(shí)代,互聯(lián)網(wǎng)、物聯(lián)網(wǎng)技術(shù)更是在社會(huì)生產(chǎn)中得到廣泛應(yīng)用。企業(yè)工業(yè)控制系統(tǒng)中也融入了各種控制技術(shù),為我國(guó)工業(yè)領(lǐng)域生產(chǎn)帶來(lái)較大便利。然而,從整體上來(lái)看企業(yè)工業(yè)控制系統(tǒng)仍然存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn),需要采取有效措施加以解決。因此,聯(lián)系實(shí)際分析企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防護(hù)措施是十分必要的。

一、企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)類(lèi)型

典型的工業(yè)控制網(wǎng)絡(luò)是縱向分層的邊界清晰、功能層次分明的拓?fù)浣Y(jié)構(gòu),自上到下依次為過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層。根據(jù)系統(tǒng)特征,其在運(yùn)行期間,往往會(huì)面對(duì)四個(gè)主要安全風(fēng)險(xiǎn):(1)系統(tǒng)自身風(fēng)險(xiǎn),目前國(guó)內(nèi)采用的工業(yè)控制系統(tǒng)設(shè)備通常都是來(lái)自于國(guó)外的供貨廠商,比如西門(mén)子、艾默生等,功能性較強(qiáng),但安全性較弱,存在一些高危漏洞,一旦遇到黑客攻擊,將會(huì)引發(fā)嚴(yán)重后果;(2)工業(yè)協(xié)議風(fēng)險(xiǎn),Modbus、S7、OPC、IEC104、DNP3等,都是現(xiàn)階段企業(yè)工業(yè)控制系統(tǒng)中較為常用的協(xié)議,主要是為了保證數(shù)據(jù)采集、通信功能較好實(shí)現(xiàn),但是其本身安全性較差,比如西門(mén)子S7Comm協(xié)議,就存在一定程度的缺陷、漏洞,影響使用安全;(3)計(jì)算機(jī)操作系統(tǒng)風(fēng)險(xiǎn),目前所有的計(jì)算機(jī)操作都是需要Windows來(lái)實(shí)現(xiàn),包括較多版本,其中WindowsXP、Windows7系統(tǒng)在現(xiàn)下仍然普遍應(yīng)用,但系統(tǒng)難以及時(shí)更新,而微軟也已經(jīng)無(wú)法對(duì)上述系統(tǒng)提供更多技術(shù)上的支持,其中存在的漏洞難以得到有效修復(fù),增加系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn);(4)軟件風(fēng)險(xiǎn),企業(yè)工控系統(tǒng)在運(yùn)行期間,需要使用大量的軟件來(lái)完成控制,其中部分軟件是由生產(chǎn)廠家自行開(kāi)發(fā)的組態(tài)軟件,缺少完全統(tǒng)一的標(biāo)準(zhǔn)與規(guī)范,存在高危、中為漏洞,難以完善保證軟件運(yùn)行效率與使用效果[1]。

二、企業(yè)工控

三、系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防護(hù)措施

基于上述分析,安全風(fēng)險(xiǎn)的存在,會(huì)為系統(tǒng)運(yùn)行造成較大影響,尤其是在現(xiàn)下市場(chǎng)大環(huán)境下,任何安全風(fēng)險(xiǎn)都會(huì)影響到工業(yè)生產(chǎn),需要針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)采取有效的防護(hù)措施。

(一)強(qiáng)化分區(qū)隔離與邊界防護(hù)。工控系統(tǒng)本身就是基于計(jì)算機(jī)技術(shù)、信息技術(shù)等發(fā)展起來(lái)的,若是想要加強(qiáng)風(fēng)險(xiǎn)防控功能,就必須對(duì)網(wǎng)絡(luò)結(jié)構(gòu)整體進(jìn)行優(yōu)化,遵循“數(shù)據(jù)交換最小化”原則,合理劃分操作區(qū)域空間,使之能夠成為相互獨(dú)立的網(wǎng)絡(luò)隔離基礎(chǔ),沒(méi)有或者進(jìn)行少量數(shù)據(jù)交換,各個(gè)網(wǎng)間并不存在直接聯(lián)系,且分區(qū)之間禁止出現(xiàn)互相操作、控制變量傳輸?shù)刃袨?以此建立較為安全的單元間通信,減少因數(shù)據(jù)交換頻繁所引起的安全風(fēng)險(xiǎn)[2]。在數(shù)據(jù)交換的過(guò)程中,則是需要借助工業(yè)防火墻、網(wǎng)關(guān)、網(wǎng)閘等進(jìn)行隔離,只能完成必要操作所需要的通信,根據(jù)特殊的通信協(xié)議,將其他多余數(shù)據(jù)過(guò)濾,阻斷跨區(qū)域網(wǎng)絡(luò)攻擊情況的發(fā)生,起到較好的防護(hù)作用。

(二)優(yōu)化系統(tǒng)異常檢測(cè)。受到工控網(wǎng)絡(luò)自身特殊性的影響,防毒軟件的使用,必須是要由控制系統(tǒng)生產(chǎn)廠行家,在經(jīng)過(guò)嚴(yán)格的兼容性測(cè)試以后,合法授權(quán)的防毒軟件版本,為了保證防毒軟件能夠正常使用,還需根據(jù)根據(jù)裝置檢修、維護(hù)周期,制定同步、相應(yīng)的系統(tǒng)補(bǔ)丁、病毒庫(kù)離線更新與升級(jí),這樣才能保證防毒軟件與時(shí)俱進(jìn),能夠及時(shí)針對(duì)工控系統(tǒng)種的異常情況進(jìn)行檢測(cè),所有人非正常信息流的入侵,都需要經(jīng)過(guò)嚴(yán)密監(jiān)測(cè)、分析與記錄,一旦發(fā)展網(wǎng)絡(luò)異常,就可直接進(jìn)行安全風(fēng)險(xiǎn)預(yù)警警報(bào),繼而采取相應(yīng)的保護(hù)措施,保證系統(tǒng)網(wǎng)絡(luò)安全[3]。

(三)完善訪問(wèn)控制與賬號(hào)管理。由于網(wǎng)絡(luò)本身就是一個(gè)較為開(kāi)放的環(huán)境,在帶來(lái)極大便利的同時(shí),也增加了安全隱患,若是工控系統(tǒng)直接與面向互聯(lián)網(wǎng)進(jìn)行對(duì)接,則很容易產(chǎn)生高風(fēng)險(xiǎn)。因此,企業(yè)必須要從訪問(wèn)控制與賬號(hào)管理兩個(gè)方面著手,盡可能遠(yuǎn)離安全風(fēng)險(xiǎn)。訪問(wèn)控制,應(yīng)該嚴(yán)格遵循遠(yuǎn)程范文、遠(yuǎn)程維護(hù)原則,必須在驗(yàn)明訪問(wèn)者身份以后,確定訪問(wèn)計(jì)劃、時(shí)間、內(nèi)容等,采用虛擬專(zhuān)用網(wǎng)絡(luò)等遠(yuǎn)程接入方式,實(shí)現(xiàn)安全監(jiān)管。賬號(hào)管理,則是需要對(duì)工控系統(tǒng)中的工程師站、操作站等進(jìn)行嚴(yán)格管理,所有密碼都必須進(jìn)行分級(jí)管理,進(jìn)一步控制訪問(wèn)權(quán)限,規(guī)避安全風(fēng)險(xiǎn)[4]。

(四)加強(qiáng)物理安全管理。企業(yè)工控系統(tǒng)中,國(guó)城監(jiān)控層設(shè)備不應(yīng)該直接與控制層的設(shè)備進(jìn)行互相連通,而是要相互獨(dú)立,這樣才能較好的實(shí)現(xiàn)物理隔離,提高系統(tǒng)的安全性。第一,各個(gè)站、服務(wù)器、服務(wù)層,應(yīng)該通過(guò)門(mén)禁、視頻監(jiān)控等手段,進(jìn)行區(qū)間隔離,所有接入設(shè)備都必須要經(jīng)過(guò)嚴(yán)格檢查,未經(jīng)過(guò)嚴(yán)格測(cè)試檢查的設(shè)備要禁止接入;第二,禁止安裝非操作監(jiān)控原供應(yīng)商提供的軟件,避免軟件出現(xiàn)不兼容的情況,外來(lái)移動(dòng)介質(zhì)必須經(jīng)過(guò)專(zhuān)用的防病毒查殺工具查殺,確認(rèn)安全后才能使用,同時(shí)采用封閉、加鎖或接口管理工具限制外部設(shè)備接口的使用,保證系統(tǒng)安全[5]。

結(jié)束語(yǔ)

綜上所述,隨著信息技術(shù)、互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,現(xiàn)階段各個(gè)領(lǐng)域生產(chǎn)都融入了先進(jìn)技術(shù),為工業(yè)生產(chǎn)力提升打好基礎(chǔ)。工業(yè)控制系統(tǒng)能夠較好的保證工業(yè)生產(chǎn)環(huán)境,提高生產(chǎn)質(zhì)量,但由于網(wǎng)絡(luò)是一個(gè)較為開(kāi)放的環(huán)境,需要面對(duì)各種網(wǎng)絡(luò)風(fēng)險(xiǎn)。因此,企業(yè)必須要通過(guò)強(qiáng)化分區(qū)隔離與邊界防護(hù)、優(yōu)化系統(tǒng)異常檢測(cè)、完善訪問(wèn)控制與賬號(hào)管理、加強(qiáng)物理安全管理等方式,做好風(fēng)險(xiǎn)防護(hù),提高工業(yè)控制系統(tǒng)的安全系數(shù),為企業(yè)發(fā)展打好基礎(chǔ)。