摘 要:改革開放以來,我國經(jīng)濟發(fā)展迅速,工業(yè)為我國發(fā)展做出了很大貢獻。時代發(fā)展與科技進步下,當前在社會生產(chǎn)生活各個領域中都有網(wǎng)絡的身影。在工業(yè)生產(chǎn)領域網(wǎng)絡技術的應用也更加成熟,其發(fā)展中構建出工業(yè)控制網(wǎng)絡體系成為主要發(fā)展趨勢,大大提高了生產(chǎn)效率、降低了人工成本、有效監(jiān)控企業(yè)安全生產(chǎn)。但在網(wǎng)絡控制體系使用中,其中安全問題也進一步顯現(xiàn),由于網(wǎng)絡攻擊、網(wǎng)絡病毒等導致生產(chǎn)中斷、數(shù)據(jù)泄露等情況也愈加頻繁,安全問題成為企業(yè)亟需解決的重要問題。
關鍵詞:工業(yè);控制網(wǎng)絡;安全防護;策略
引言
冶金工業(yè)生產(chǎn)包括選礦、燒結、水冶等多個復雜環(huán)節(jié),生產(chǎn)過程中會產(chǎn)生輻射、噪音、高溫、粉塵等有害因素,受環(huán)境、設備等條件限制,有些工序和環(huán)節(jié)僅靠人力無法完成,需要應用自動化控制系統(tǒng)。在冶金工業(yè)自動化控制系統(tǒng)中,計算機網(wǎng)絡技術有著“中樞神經(jīng)”作用,通過網(wǎng)線和交換機將各生產(chǎn)工序及設備之間有效聯(lián)結,實現(xiàn)自動化控制。
但冶金工業(yè)控制系統(tǒng)的計算機網(wǎng)絡技術受工況、計算機網(wǎng)絡軟硬件存在的漏洞、操作人員安全意識等因素影響,仍存在一些安全隱患,可能會導致系統(tǒng)出現(xiàn)數(shù)據(jù)傳輸混亂、設備工作異常等網(wǎng)絡安全問題。因此,需要設計合理的計算機網(wǎng)絡安全防護方案,有效避免網(wǎng)絡安全問題,促進生產(chǎn)安全進行。
1工業(yè)控制系統(tǒng)網(wǎng)絡結構
在網(wǎng)絡信息技術不斷發(fā)展下,最初分立元器件組成控制系統(tǒng)向計算機集中控制系統(tǒng)發(fā)展,之后產(chǎn)生分散控制系統(tǒng)、現(xiàn)場總線控制系統(tǒng)。工業(yè)控制系統(tǒng)發(fā)展中,其構成逐步完善為三層網(wǎng)絡架構,其中包括現(xiàn)場控制層、監(jiān)控管理層和數(shù)據(jù)采集層。ICS網(wǎng)絡控制模式改變獨立分散方式,而實行互聯(lián)互通的網(wǎng)絡控制。其中,現(xiàn)場控制層中,采用OPC和Profinet等協(xié)議等支持控制設備間比如編程控制器、遠程終端單元和智能電子設備等通信,并建立起與上位系統(tǒng)設備通信,這些協(xié)議是標準為TCP/IP協(xié)議,監(jiān)控管理層及以上通信也采用TCP/IP協(xié)議,兩層網(wǎng)絡采用一致協(xié)議標準。由此,工業(yè)控制網(wǎng)絡系統(tǒng)不再孤立,而是連接企業(yè)網(wǎng)絡甚至是互聯(lián)網(wǎng),也就是在工業(yè)控制網(wǎng)絡中會出現(xiàn)傳統(tǒng)辦公網(wǎng)絡中各種網(wǎng)絡安全問題,在現(xiàn)在的網(wǎng)絡架構中后傳統(tǒng)的工業(yè)控制系統(tǒng)不再安全可靠。因此,當前面臨的一項重要問題就是工業(yè)控制網(wǎng)絡的安全保障問題。
2工業(yè)控制網(wǎng)絡存在風險與安全問題
2.1應用軟件風險
當前可以定制化的設計工控系統(tǒng)控制軟件,但在設計過程中沒有融合安全設計工作,從而增加軟件安全漏洞。此外,在軟件應用過程中,在網(wǎng)絡端口控制中需要利用專業(yè)技術,但很多技術人員錄用普通的技術,無法切實發(fā)揮出保護作用,增加網(wǎng)絡運行的危險度。
2.2內部操作不當
當用戶在數(shù)據(jù)傳輸時,使用外部移動儲存設備就會使病毒在恰當?shù)臅r機進入工業(yè)局域網(wǎng),并開始自發(fā)地傳播復制病毒,使工業(yè)局域網(wǎng)中的工業(yè)數(shù)據(jù)存在安全隱患。因此,要提高工業(yè)網(wǎng)絡用戶的安全意識,禁止將自己的外網(wǎng)設備接入工業(yè)內網(wǎng),避免病毒直接進入工業(yè)局域網(wǎng)。
2.3環(huán)境安全隱患
環(huán)境安全隱患包括內部環(huán)境隱患和外部環(huán)境隱患。內部環(huán)境主要指在開放性網(wǎng)絡環(huán)境中,尤其與互聯(lián)網(wǎng)連接時,極易發(fā)生黑客攻擊和病毒感染等問題。目前常用的網(wǎng)絡安全方案,如加密和數(shù)字簽名認證、基于訪問控制的防火墻等技術,均無法從根本上適應計算機網(wǎng)絡攻防的動態(tài)性和攻防不對稱性,導致網(wǎng)絡面對外來入侵時極其被動。外部環(huán)境主要指高溫、高濕、粉塵等惡劣環(huán)境,可能會導致網(wǎng)絡設備性能降低,強電磁干擾引起的數(shù)據(jù)通信問題。
3工業(yè)控制網(wǎng)絡的安全防護策略分析
3.1網(wǎng)絡邊界安全隔離技術
實現(xiàn)工業(yè)控制網(wǎng)絡邊界隔離方面,主要采取的兩種隔離技術就是防火墻隔離、網(wǎng)閘隔離。防火墻技術一般設置在網(wǎng)絡邊界,主要就是通過內部控制手段對訪問者進行識別,在IP安全訪問策略運行基礎上,可以對訪問內部網(wǎng)絡的終端實施攔截或放行,限制端口或者網(wǎng)絡協(xié)議也可發(fā)揮攔截作用,避免惡意程序的訪問造成不良后果。與傳統(tǒng)網(wǎng)絡防火墻不同的是,工業(yè)控制網(wǎng)絡防火墻功能更強大,可以解析過濾內部自帶工控網(wǎng)網(wǎng)絡協(xié)議,并針對協(xié)議對通信數(shù)據(jù)包執(zhí)行深度檢測,還可跟蹤應用層通訊,發(fā)現(xiàn)非法指令和非工控協(xié)議及時阻斷攔截。網(wǎng)閘技術硬件結構組成包含前后主機、隔離硬件,數(shù)據(jù)傳送無協(xié)議擺渡進行,數(shù)據(jù)在進入擺渡區(qū)前與協(xié)議剝離,出去后后主機會將數(shù)據(jù)重新封裝,避免直接連接內外網(wǎng),阻斷外網(wǎng)攻擊。
3.2防治網(wǎng)絡通信病毒
防治網(wǎng)絡通信病毒,需要根據(jù)數(shù)據(jù)流量和數(shù)據(jù)包逆向還原等,根據(jù)業(yè)務發(fā)展需求構建通信數(shù)據(jù)模型,利用數(shù)據(jù)包和流量等及時發(fā)現(xiàn)病毒,并且可開展預警工作。在防治過程中,通過深度解析協(xié)議,綜合審核和監(jiān)測流量和業(yè)務等。技術人員需緊密結合網(wǎng)絡通信病毒防治工作和現(xiàn)場業(yè)務流程,利用協(xié)議數(shù)據(jù)和流量數(shù)據(jù)等,全面監(jiān)測業(yè)務流程中的病毒,避免發(fā)生誤報問題。
3.3提高重視程度
企業(yè)領導必須了解互聯(lián)網(wǎng)局域網(wǎng)網(wǎng)絡安全的重要性,企業(yè)管理層制定出網(wǎng)絡安全策略,增強網(wǎng)絡管理,著重培養(yǎng)網(wǎng)絡工作人員的安全意識和防范意識,同時也要提高相關人員的素質和能力。企業(yè)也要培養(yǎng)專業(yè)的技術人才,采用先進的網(wǎng)絡安全管理模式。工業(yè)的發(fā)展離不開互聯(lián)網(wǎng),而互聯(lián)網(wǎng)必須保持數(shù)據(jù)安全才可以促進企業(yè)的發(fā)展,因此引進網(wǎng)絡安全技術人才,并引用先進的網(wǎng)絡安全管理模式勢在必行。
殺毒軟件和防毒軟件要做到及時更新,操作系統(tǒng)要及時完善,交換機要選擇正規(guī)安全的品牌,劃分內部網(wǎng)絡,針對重要的資料要進行多級管理,并制定特殊的標識。工業(yè)的網(wǎng)絡數(shù)據(jù)要及時備份,避免出現(xiàn)丟失誤刪的情況。計算機也需要做好物理保護,做好防潮、防塵、防電磁輻射等工作,保證不遭受外部損傷,保障工業(yè)網(wǎng)絡順暢運行。
3.4構建防御體系
按照安全防御需求,進行包含安全機制與服務、網(wǎng)絡協(xié)議在內的防御體系結構的建設,安全管理機制在各協(xié)議層都要設置。網(wǎng)絡協(xié)議主要包含物理層、應用層、網(wǎng)絡層、傳輸層、鏈路層等構成,安全服務主要功能就是內容識別、審計設備和行為,順利完成信息數(shù)據(jù)傳輸,出現(xiàn)異常情況其響應及時。不同網(wǎng)絡層次服務功能不同,因此設置配置方案時要有針對性。比如在構建區(qū)域隔離和劃分機制時,工業(yè)控制網(wǎng)絡中行使效用的一項基本任務就是信息的互聯(lián)互通,但在此基礎上工控網(wǎng)需要設置支撐業(yè)務流轉與運行的技術,因此網(wǎng)絡邊界問題需切實管控。構建起區(qū)域隔離和劃分機制實現(xiàn)合理分區(qū),不同部分功能采取對應的隔離措施,從而劃分不同功能區(qū),合理實現(xiàn)內外部分界,保證防御能力。完整的防御體系中,要求安全服務與機制間具備完善的對應關系,主要就是設備識別、接入控制機制、數(shù)據(jù)安全訪問、保護機制、協(xié)議解析機制、事件審計分析展示機制、阻斷供給、和備份。
結語
計算機網(wǎng)絡自身的安全問題使得冶金工業(yè)控制系統(tǒng)難免出現(xiàn)一定問題,基于IMS的計算機網(wǎng)絡主動防護體系可以彌補計算機網(wǎng)絡安全漏洞,及時應對各類安全風險,有效提升計算機網(wǎng)絡安全防護的實時性、自適應性和動態(tài)對抗性,可在生產(chǎn)中加以應用。
參考文獻
[1]韓春楊.計算機網(wǎng)絡安全技術在網(wǎng)絡安全維護中的應用[J].電子技術與軟件工程,2021,(17):245-246.
[2]裴江艷.淺論大數(shù)據(jù)背景下計算機網(wǎng)絡信息的安全問題[J].電腦知識與技術,2021,17(24):52-53.
[3]林丙梅.論數(shù)據(jù)挖掘技術在計算機網(wǎng)絡病毒防范中的應用[J].網(wǎng)絡安全技術與應用,2021,(8):66-67.
作者簡介:
韓雨芯,實驗師,碩士,工作單位:遼寧建筑職業(yè)學院。