摘 ?要：現(xiàn)階段，兩化融合戰(zhàn)略正在積極推進(jìn)，這也促使工業(yè)控制系統(tǒng)在設(shè)計(jì)、研發(fā)和生產(chǎn)等方面實(shí)現(xiàn)了信息化和工業(yè)化的融合，與此同時(shí)，增加了工業(yè)控制系統(tǒng)被攻擊的可能性?；诖?，該文探討了工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)體系概述，分析了工業(yè)控制網(wǎng)絡(luò)安全防御系統(tǒng)中存在的風(fēng)險(xiǎn)問(wèn)題，研究了工業(yè)控制網(wǎng)絡(luò)安全防御體系及關(guān)鍵技術(shù)，以供參考。

關(guān)鍵詞：工業(yè)控制 ?網(wǎng)絡(luò)安全 ?防御體系 ?關(guān)鍵技術(shù)

中圖分類號(hào)：TP393 ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791（2021）04（c）-0045-03

Discussion on Security Defense System and Key Technology of Industrial Control Network

HUO Lanyu

（Hunan Mechanical&Electrical Polytechnic， Changsha， Hunan Province， 410151 ?China）

Abstract： At present， the integration strategy of industrialization and informatization is being actively promoted， which also promotes the integration of informatization and industrialization in the design， R & D and production of industrial control system， at the same time it increases the possibility of industrial control system being attacked. Based on this， this paper discusses the overview of the security defense system of industrial control network， analyzes the risk problems existing in the security defense system of industrial control network， and studies the security defense system and key technologies of industrial control network， for reference.

Key Words： Industrial control; Network security; Defense system; Key technology

隨著科學(xué)技術(shù)的不斷完善，人們推出了新的信息技術(shù)以及防火墻技術(shù)，并促使該類技術(shù)在工業(yè)控制網(wǎng)絡(luò)安全防御體系中得到了全面應(yīng)用，降低信息泄露、被盜取等風(fēng)險(xiǎn)。在這些防護(hù)技術(shù)的幫助下，不僅能夠?qū)崿F(xiàn)防御技術(shù)的創(chuàng)新，還能保證風(fēng)險(xiǎn)問(wèn)題能夠及時(shí)發(fā)現(xiàn)，迅速了解侵入系統(tǒng)的病毒類型和特點(diǎn)，開(kāi)展針對(duì)性殺毒操作，保證安全防護(hù)體系的防護(hù)效果。

1 ?工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)體系概述

近年來(lái)，針對(duì)于工業(yè)控制網(wǎng)絡(luò)的惡性攻擊事件經(jīng)常出現(xiàn)，如烏克蘭電網(wǎng)攻擊事件等，這也充分說(shuō)明了工業(yè)控制網(wǎng)絡(luò)正在遭受嚴(yán)重的安全威脅。相比之下，工業(yè)控制網(wǎng)絡(luò)的自身專業(yè)性特點(diǎn)較強(qiáng)，對(duì)于運(yùn)行可靠性也存在極高要求，這也導(dǎo)致工業(yè)控制網(wǎng)絡(luò)安全防護(hù)技術(shù)與IT信息保護(hù)技術(shù)之間存在明顯差異。更為重要的是，現(xiàn)階段有80%以上的關(guān)鍵信息技術(shù)設(shè)施，可以利用工業(yè)控制網(wǎng)絡(luò)實(shí)現(xiàn)自動(dòng)化操作。從這里也能夠看出，工業(yè)控制網(wǎng)絡(luò)已經(jīng)成為國(guó)家信息發(fā)展系統(tǒng)中的重要部分，自身安全情況與國(guó)家戰(zhàn)略發(fā)展安全存在直接關(guān)系。現(xiàn)階段，由于信息化和工業(yè)化的全面融合，以及物聯(lián)網(wǎng)的高速發(fā)展，使得很多工業(yè)控制網(wǎng)絡(luò)產(chǎn)品開(kāi)始應(yīng)用通用協(xié)議、通用硬軟件等，以保證能夠與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)建立更好的連接關(guān)系，然而這就增加了病毒、木馬等侵入概率，網(wǎng)絡(luò)安全問(wèn)題就越來(lái)越突出。再加上工業(yè)控制系統(tǒng)廠家所應(yīng)用的通信協(xié)議具備封閉特性，其安全性與“中國(guó)制造2025”計(jì)劃息息相關(guān)，所以針對(duì)工業(yè)控制網(wǎng)絡(luò)安全防護(hù)中的關(guān)鍵研究應(yīng)提高重視程度[1]。

2 ?工業(yè)控制網(wǎng)絡(luò)安全防御系統(tǒng)中存在的風(fēng)險(xiǎn)問(wèn)題

2.1 數(shù)據(jù)傳輸環(huán)節(jié)存在篡改風(fēng)險(xiǎn)

目前，工業(yè)控制網(wǎng)絡(luò)安全防御系統(tǒng)和其中所應(yīng)用的保護(hù)技術(shù)并不先進(jìn)，很難在短時(shí)間內(nèi)發(fā)現(xiàn)系統(tǒng)和軟件中存在病毒，其內(nèi)部安裝的隔離保護(hù)裝置無(wú)法實(shí)現(xiàn)整個(gè)控制防御系統(tǒng)的全面覆蓋，進(jìn)而引發(fā)漏洞問(wèn)題，導(dǎo)致數(shù)據(jù)傳輸環(huán)節(jié)中出現(xiàn)被篡改的風(fēng)險(xiǎn)，無(wú)法確保信息的絕對(duì)安全，在控制中心內(nèi)部也經(jīng)常出現(xiàn)黑客入侵問(wèn)題，增加網(wǎng)絡(luò)癱瘓問(wèn)題的出現(xiàn)幾率，影響系統(tǒng)的功能發(fā)揮和數(shù)據(jù)傳輸速度，無(wú)法將系統(tǒng)傳輸?shù)臅r(shí)效性特點(diǎn)展示出來(lái)。除此之外，實(shí)際防護(hù)技術(shù)的應(yīng)用也不夠先進(jìn)，進(jìn)而引發(fā)更加嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，在此過(guò)程中，最為明顯的環(huán)節(jié)在于輸送環(huán)節(jié)，無(wú)法對(duì)終端設(shè)備進(jìn)行保護(hù)，部分設(shè)備還容易被病毒感染，增加了數(shù)據(jù)被盜取的風(fēng)險(xiǎn)。倘若不能將該類問(wèn)題解決，工業(yè)系統(tǒng)中的資源和信息將會(huì)面臨巨大威脅，保護(hù)防御功能也很難得到發(fā)揮。

2.2 信息采集環(huán)節(jié)容易出現(xiàn)泄露

總體來(lái)說(shuō)，在工業(yè)控制網(wǎng)絡(luò)防御體系之中，信息采集工作經(jīng)常會(huì)出現(xiàn)一些疏漏，從這里也可以看出，該系統(tǒng)的防護(hù)能力十分有限，保護(hù)技術(shù)不夠先進(jìn)，導(dǎo)致傳輸和接收信息的過(guò)程容易出現(xiàn)問(wèn)題，無(wú)法做到安全性和嚴(yán)密性維護(hù)，引發(fā)信息被盜用風(fēng)險(xiǎn)，整個(gè)體系很難被工作人員完全掌控，讓不法分子有機(jī)可乘。經(jīng)過(guò)具體的分析和總結(jié)，整個(gè)工業(yè)防御體系之中并沒(méi)有設(shè)計(jì)訪問(wèn)功能，對(duì)于點(diǎn)擊控制體系下的客戶端，也不能進(jìn)行充分辨別，即使無(wú)法對(duì)訪問(wèn)者身份進(jìn)行辨別，也能夠?qū)阂馕募蜷_(kāi)，導(dǎo)致機(jī)密信息被泄漏，增加了安全風(fēng)險(xiǎn)問(wèn)題的出現(xiàn)幾率，各個(gè)傳輸環(huán)節(jié)也不能得到有序控制，對(duì)工業(yè)領(lǐng)域的后續(xù)發(fā)展產(chǎn)生極大的影響。網(wǎng)絡(luò)系統(tǒng)的控制權(quán)限設(shè)計(jì)存在很大問(wèn)題，所采用的安全技術(shù)實(shí)用性有限，無(wú)法對(duì)工業(yè)控制體系提供全面保護(hù)，最終影響了信息安全[2]。

2.3 處理環(huán)節(jié)過(guò)于復(fù)雜

在網(wǎng)絡(luò)安全技術(shù)應(yīng)用過(guò)程中，很難呈現(xiàn)出自動(dòng)化特點(diǎn)，讓整個(gè)處理環(huán)節(jié)變得越來(lái)越復(fù)雜，無(wú)法在短時(shí)間內(nèi)完成太多工作，影響了工業(yè)制造效率，在保護(hù)控制體系建設(shè)上，相關(guān)企業(yè)和部門(mén)需要投入大量的人力、物力，只有這樣，才能對(duì)監(jiān)管系統(tǒng)內(nèi)部情況進(jìn)行充分了解，在增加人工負(fù)擔(dān)同時(shí)，很難發(fā)現(xiàn)病毒所在，以及具體的入侵位置，對(duì)于病毒的處理環(huán)節(jié)和過(guò)于復(fù)雜，很難把控最佳的網(wǎng)絡(luò)安全問(wèn)題處理時(shí)機(jī)。也正是由于該種情況存在，讓病毒有了可乘之機(jī)，保證能夠在短時(shí)間內(nèi)完成擴(kuò)散，增加數(shù)據(jù)被盜用、篡改等風(fēng)險(xiǎn)。更為重要的是，整個(gè)環(huán)節(jié)很難做到簡(jiǎn)化處理，而且操作流程越繁瑣，越容易出現(xiàn)不規(guī)范行為，導(dǎo)致整個(gè)信息傳輸過(guò)程受到影響，尤其是在重要文件傳輸上，遭受病毒和黑客攻擊的幾率也會(huì)增高，很難讓工業(yè)控制系統(tǒng)處于安全運(yùn)行狀態(tài)。

2.4 不具備及時(shí)響應(yīng)和反制的能力

盡管相關(guān)部門(mén)已經(jīng)針對(duì)基礎(chǔ)設(shè)施安全事故制定一系列應(yīng)急管理制度，但某些危害依舊需要用戶自己去判斷，最終錯(cuò)過(guò)了工業(yè)控制網(wǎng)絡(luò)恢復(fù)的正常運(yùn)行時(shí)間，損失也會(huì)大幅增加。在我國(guó)，需要建立起一個(gè)完善的工控網(wǎng)絡(luò)環(huán)境，這對(duì)于整個(gè)工業(yè)控制網(wǎng)絡(luò)安全保護(hù)建設(shè)來(lái)說(shuō)具備積極意義。

3 ?工業(yè)控制網(wǎng)絡(luò)安全防御體系及關(guān)鍵技術(shù)

3.1 工業(yè)控制網(wǎng)絡(luò)協(xié)議安全性研究

我國(guó)工業(yè)控制網(wǎng)絡(luò)建設(shè)主要以較為復(fù)雜的專用封閉通信協(xié)議為主，如DNP3、OPC等，這些協(xié)議內(nèi)容往往存在很多漏洞，黑客們可以通過(guò)利用這些漏洞來(lái)發(fā)送非法控制命令，再加上整個(gè)通信過(guò)程保密性有限，容易出現(xiàn)偽裝、篡改等現(xiàn)象，從這里也能夠看出，我國(guó)工業(yè)控制網(wǎng)絡(luò)和通信協(xié)議安全性需要盡快得到改善。從《工業(yè)控制網(wǎng)絡(luò)安全防護(hù)指南》中能夠了解到，在實(shí)際工業(yè)現(xiàn)場(chǎng)之中，需采用指令級(jí)別的工業(yè)防火墻，除了能夠?qū)PC協(xié)議指令級(jí)別進(jìn)行分析之外，還可以對(duì)OPC服務(wù)器以及OPC客戶端之間的協(xié)商動(dòng)態(tài)端口進(jìn)行跟蹤，做到生產(chǎn)控制網(wǎng)端口的最小化，與此同時(shí)，做好客戶端和服務(wù)器之間的指令請(qǐng)求檢測(cè)操作，一旦發(fā)現(xiàn)與操作指令不符的要求，應(yīng)立即進(jìn)行攔截，保證OPC協(xié)議下的工業(yè)控制網(wǎng)絡(luò)安全性。對(duì)于指令級(jí)工業(yè)防火墻在OPC協(xié)議安全性維護(hù)上，涉及到的關(guān)鍵技術(shù)如下[3]。

首先，監(jiān)控OPC網(wǎng)絡(luò)和服務(wù)器。在通信過(guò)程中，相關(guān)工作人員需要做到對(duì)OPC服務(wù)器分配的動(dòng)態(tài)跟蹤，盡可能少地打開(kāi)防火墻端口，保證數(shù)據(jù)連通的同時(shí)，將未使用端口關(guān)閉。其次，對(duì)于OPC客戶端和OPC服務(wù)器之間傳輸指令請(qǐng)求，需開(kāi)展實(shí)施檢測(cè)操作，同時(shí)保證OPC的寫(xiě)入控制，這也是OPC單向只讀控制的本質(zhì)所在。最后，做好通信內(nèi)容加密操作，當(dāng)所有內(nèi)容被加密后，工業(yè)防火墻對(duì)受到的信息進(jìn)行解密，之后完成內(nèi)容的深度解密和調(diào)查，將風(fēng)險(xiǎn)徹底排除。

3.2 工業(yè)控制網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估技術(shù)

現(xiàn)階段，工業(yè)控制網(wǎng)絡(luò)安全系統(tǒng)工程已經(jīng)得到了很多專業(yè)人士的認(rèn)可，其中，系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作同樣得到了足夠重視，但在該領(lǐng)域之中，我國(guó)依舊存在很多不足，如缺乏自主知識(shí)產(chǎn)權(quán)和標(biāo)準(zhǔn)評(píng)估體系等。目前，與工業(yè)控制網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估相關(guān)的內(nèi)容只有《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全》系列標(biāo)準(zhǔn)，但由于工控網(wǎng)絡(luò)系統(tǒng)本身具備較強(qiáng)的敏感性和時(shí)效性，在實(shí)際技術(shù)性評(píng)估上，需要開(kāi)展全面的風(fēng)險(xiǎn)識(shí)別和處理預(yù)案操作。例如：在某安全廠商發(fā)展中，受邀對(duì)國(guó)內(nèi)著名火電集團(tuán)工控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估操作，在應(yīng)用在線漏洞掃描方式時(shí)，引發(fā)數(shù)據(jù)采集服務(wù)器宕機(jī)問(wèn)題，最終導(dǎo)致很多關(guān)鍵數(shù)據(jù)丟失[4]。

3.3 工控網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析和態(tài)勢(shì)評(píng)測(cè)技術(shù)研究

為了保證工業(yè)控制網(wǎng)絡(luò)系統(tǒng)始終處于安全運(yùn)行狀態(tài)，人們可以將工業(yè)防火墻、IDS以及漏洞掃描系統(tǒng)應(yīng)用其中。不同網(wǎng)絡(luò)安全設(shè)備在使用中，均會(huì)出現(xiàn)不同的安全事故信息，如果這些設(shè)備功能不完善，而且不能相互協(xié)調(diào)在一起，便會(huì)引發(fā)重復(fù)報(bào)警問(wèn)題。與此同時(shí)，由于工控網(wǎng)絡(luò)復(fù)雜性特點(diǎn)，所引發(fā)的網(wǎng)絡(luò)安全問(wèn)題更是多種多樣。為了更好地對(duì)該類網(wǎng)絡(luò)安全問(wèn)題進(jìn)行處理，人們需要保證對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的全面處理，明確網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性特點(diǎn)，將相似的網(wǎng)絡(luò)問(wèn)題合并處理，保證網(wǎng)絡(luò)安全狀態(tài)評(píng)估的準(zhǔn)確性。站在工控網(wǎng)絡(luò)安全態(tài)勢(shì)分析角度，相關(guān)工作人員要做的就是明確對(duì)網(wǎng)絡(luò)安全性存在影響的各種網(wǎng)絡(luò)要素。一般來(lái)說(shuō)，影響網(wǎng)絡(luò)安全的要素很多，如時(shí)間要素、空間要素等。當(dāng)所有要素被采集和獲取后，工作人員還要對(duì)信息進(jìn)行分類，之后對(duì)安全信息進(jìn)行綜合評(píng)估和分析，獲取整體網(wǎng)絡(luò)安全狀態(tài)信息，根據(jù)已有的網(wǎng)絡(luò)安全態(tài)勢(shì)，對(duì)未來(lái)安全態(tài)勢(shì)進(jìn)行合理預(yù)測(cè)[5]。

3.4 安裝安全管理軟件

在新的發(fā)展形勢(shì)之下，各大工業(yè)企業(yè)在各項(xiàng)工作開(kāi)展上，均需要做到與時(shí)俱進(jìn)，緊跟時(shí)代發(fā)展步伐，保證對(duì)各種安全管理軟件進(jìn)行妥善安裝，在實(shí)際操作設(shè)備上，可以利用好監(jiān)控模塊操作，及時(shí)了解工業(yè)系統(tǒng)的具體運(yùn)轉(zhuǎn)情況，以及設(shè)施是否處于完整狀態(tài)。另外，還要看網(wǎng)絡(luò)終端是否存在外來(lái)插件問(wèn)題，并開(kāi)展全方位監(jiān)控和管理操作，了解風(fēng)險(xiǎn)和問(wèn)題所在，盡早采取相關(guān)解決措施，保證安全防護(hù)技術(shù)的先進(jìn)化和自動(dòng)化特點(diǎn)，檢查好網(wǎng)址以及產(chǎn)品廣告等內(nèi)容，一旦發(fā)現(xiàn)病毒，整個(gè)防御體系便會(huì)立即響應(yīng)，避免發(fā)生信息和數(shù)據(jù)泄漏問(wèn)題。因此，在工業(yè)控制系統(tǒng)運(yùn)行上，可以借助安全管理軟件應(yīng)用，及時(shí)了解設(shè)備是否存在異常問(wèn)題，盡可能早地確定病毒類型，保證信息的嚴(yán)密性。

3.5 建立全生命周期網(wǎng)絡(luò)安全防御體系

（1）在系統(tǒng)設(shè)計(jì)和分析中，明確具體的安全目標(biāo)和防護(hù)內(nèi)容，保證安全防護(hù)體系設(shè)計(jì)和系統(tǒng)設(shè)計(jì)結(jié)合在一起。（2）在系統(tǒng)開(kāi)發(fā)過(guò)程中，執(zhí)行全面的代碼安全評(píng)估操作，并對(duì)同階段問(wèn)題進(jìn)行安全測(cè)試，如產(chǎn)品選型情況、工業(yè)裝備等。（3）當(dāng)建設(shè)完成并執(zhí)行驗(yàn)收操作時(shí)，還要開(kāi)展有序的風(fēng)險(xiǎn)評(píng)估，只有經(jīng)過(guò)全面的網(wǎng)絡(luò)安全驗(yàn)收測(cè)試，才能確保安全保證能力得到更好展示。（4）對(duì)于系統(tǒng)的運(yùn)營(yíng)和維護(hù)，可開(kāi)展周期性風(fēng)險(xiǎn)評(píng)估操作，并通過(guò)系統(tǒng)攻防環(huán)境設(shè)計(jì)，保證工控系統(tǒng)漏洞的深入性挖掘，這也是安全技術(shù)優(yōu)化的必備措施[6]。

4 ?結(jié)語(yǔ)

綜上所述，實(shí)際工業(yè)控制網(wǎng)絡(luò)安全防御體系屬于是整個(gè)工業(yè)發(fā)展中的重要保護(hù)設(shè)施，同時(shí)也是核心內(nèi)容。因此，在應(yīng)用過(guò)程中，相關(guān)工作人員需提升對(duì)系統(tǒng)信息和數(shù)據(jù)的保護(hù)力度，避免出現(xiàn)信息篡改、破壞等問(wèn)題。同時(shí)，還可以將防火墻和識(shí)別技術(shù)等應(yīng)用其中，盡早發(fā)現(xiàn)病毒所在，強(qiáng)化系統(tǒng)的嚴(yán)密性特點(diǎn)。

參考文獻(xiàn)

[1] 韓正.智能制造領(lǐng)域工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（11）：161-163.

[2] 孟瑜煒.構(gòu)建以業(yè)務(wù)為核心工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全主動(dòng)防御體系的方法[J].現(xiàn)代制造技術(shù)與裝備，2020（8）：149-150，155.

[3] 項(xiàng)露露.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全形式化建模驗(yàn)證方法研究[D].浙江工業(yè)大學(xué)，2020.

[4] 王寶來(lái)，陳安國(guó)，肖偉.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（1）：?119-120.

[5] 黃兆軍.智能工廠的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系的構(gòu)建[J].工業(yè)技術(shù)與職業(yè)教育，2019，17（2）：5-10，18.

[6] 李藝.工業(yè)控制網(wǎng)絡(luò)安全防御體系及關(guān)鍵技術(shù)研究[D].華北電力大學(xué)，2017.

①基金項(xiàng)目：湖南省教育廳科學(xué)研究項(xiàng)目《工業(yè)網(wǎng)絡(luò)智能安全監(jiān)測(cè)技術(shù)應(yīng)用研究》（項(xiàng)目編號(hào)：18C1383）。

作者簡(jiǎn)介：霍覽宇（1981—），男，本科，副教授，研究方向?yàn)榭刂评碚撆c控制工程。