摘 要：改革開放以來，我國經(jīng)濟發(fā)展迅速，工業(yè)為我國發(fā)展做出了很大貢獻。時代發(fā)展與科技進步下，當前在社會生產(chǎn)生活各個領域中都有網(wǎng)絡的身影。在工業(yè)生產(chǎn)領域網(wǎng)絡技術的應用也更加成熟，其發(fā)展中構建出工業(yè)控制網(wǎng)絡體系成為主要發(fā)展趨勢，大大提高了生產(chǎn)效率、降低了人工成本、有效監(jiān)控企業(yè)安全生產(chǎn)。但在網(wǎng)絡控制體系使用中，其中安全問題也進一步顯現(xiàn)，由于網(wǎng)絡攻擊、網(wǎng)絡病毒等導致生產(chǎn)中斷、數(shù)據(jù)泄露等情況也愈加頻繁，安全問題成為企業(yè)亟需解決的重要問題。

關鍵詞：工業(yè);控制網(wǎng)絡;安全防護;策略

引言

冶金工業(yè)生產(chǎn)包括選礦、燒結、水冶等多個復雜環(huán)節(jié)，生產(chǎn)過程中會產(chǎn)生輻射、噪音、高溫、粉塵等有害因素，受環(huán)境、設備等條件限制，有些工序和環(huán)節(jié)僅靠人力無法完成，需要應用自動化控制系統(tǒng)。在冶金工業(yè)自動化控制系統(tǒng)中，計算機網(wǎng)絡技術有著“中樞神經(jīng)”作用，通過網(wǎng)線和交換機將各生產(chǎn)工序及設備之間有效聯(lián)結，實現(xiàn)自動化控制。

但冶金工業(yè)控制系統(tǒng)的計算機網(wǎng)絡技術受工況、計算機網(wǎng)絡軟硬件存在的漏洞、操作人員安全意識等因素影響，仍存在一些安全隱患，可能會導致系統(tǒng)出現(xiàn)數(shù)據(jù)傳輸混亂、設備工作異常等網(wǎng)絡安全問題。因此，需要設計合理的計算機網(wǎng)絡安全防護方案，有效避免網(wǎng)絡安全問題，促進生產(chǎn)安全進行。

1工業(yè)控制系統(tǒng)網(wǎng)絡結構

在網(wǎng)絡信息技術不斷發(fā)展下，最初分立元器件組成控制系統(tǒng)向計算機集中控制系統(tǒng)發(fā)展，之后產(chǎn)生分散控制系統(tǒng)、現(xiàn)場總線控制系統(tǒng)。工業(yè)控制系統(tǒng)發(fā)展中，其構成逐步完善為三層網(wǎng)絡架構，其中包括現(xiàn)場控制層、監(jiān)控管理層和數(shù)據(jù)采集層。ICS網(wǎng)絡控制模式改變獨立分散方式，而實行互聯(lián)互通的網(wǎng)絡控制。其中，現(xiàn)場控制層中，采用OPC和Profinet等協(xié)議等支持控制設備間比如編程控制器、遠程終端單元和智能電子設備等通信，并建立起與上位系統(tǒng)設備通信，這些協(xié)議是標準為TCP/IP協(xié)議，監(jiān)控管理層及以上通信也采用TCP/IP協(xié)議，兩層網(wǎng)絡采用一致協(xié)議標準。由此，工業(yè)控制網(wǎng)絡系統(tǒng)不再孤立，而是連接企業(yè)網(wǎng)絡甚至是互聯(lián)網(wǎng)，也就是在工業(yè)控制網(wǎng)絡中會出現(xiàn)傳統(tǒng)辦公網(wǎng)絡中各種網(wǎng)絡安全問題，在現(xiàn)在的網(wǎng)絡架構中后傳統(tǒng)的工業(yè)控制系統(tǒng)不再安全可靠。因此，當前面臨的一項重要問題就是工業(yè)控制網(wǎng)絡的安全保障問題。

2工業(yè)控制網(wǎng)絡存在風險與安全問題

2.1應用軟件風險

當前可以定制化的設計工控系統(tǒng)控制軟件，但在設計過程中沒有融合安全設計工作，從而增加軟件安全漏洞。此外，在軟件應用過程中，在網(wǎng)絡端口控制中需要利用專業(yè)技術，但很多技術人員錄用普通的技術，無法切實發(fā)揮出保護作用，增加網(wǎng)絡運行的危險度。

2.2內部操作不當

當用戶在數(shù)據(jù)傳輸時，使用外部移動儲存設備就會使病毒在恰當?shù)臅r機進入工業(yè)局域網(wǎng)，并開始自發(fā)地傳播復制病毒，使工業(yè)局域網(wǎng)中的工業(yè)數(shù)據(jù)存在安全隱患。因此，要提高工業(yè)網(wǎng)絡用戶的安全意識，禁止將自己的外網(wǎng)設備接入工業(yè)內網(wǎng)，避免病毒直接進入工業(yè)局域網(wǎng)。

2.3環(huán)境安全隱患

環(huán)境安全隱患包括內部環(huán)境隱患和外部環(huán)境隱患。內部環(huán)境主要指在開放性網(wǎng)絡環(huán)境中，尤其與互聯(lián)網(wǎng)連接時，極易發(fā)生黑客攻擊和病毒感染等問題。目前常用的網(wǎng)絡安全方案，如加密和數(shù)字簽名認證、基于訪問控制的防火墻等技術，均無法從根本上適應計算機網(wǎng)絡攻防的動態(tài)性和攻防不對稱性，導致網(wǎng)絡面對外來入侵時極其被動。外部環(huán)境主要指高溫、高濕、粉塵等惡劣環(huán)境，可能會導致網(wǎng)絡設備性能降低，強電磁干擾引起的數(shù)據(jù)通信問題。

3工業(yè)控制網(wǎng)絡的安全防護策略分析

3.1網(wǎng)絡邊界安全隔離技術

實現(xiàn)工業(yè)控制網(wǎng)絡邊界隔離方面，主要采取的兩種隔離技術就是防火墻隔離、網(wǎng)閘隔離。防火墻技術一般設置在網(wǎng)絡邊界，主要就是通過內部控制手段對訪問者進行識別，在IP安全訪問策略運行基礎上，可以對訪問內部網(wǎng)絡的終端實施攔截或放行，限制端口或者網(wǎng)絡協(xié)議也可發(fā)揮攔截作用，避免惡意程序的訪問造成不良后果。與傳統(tǒng)網(wǎng)絡防火墻不同的是，工業(yè)控制網(wǎng)絡防火墻功能更強大，可以解析過濾內部自帶工控網(wǎng)網(wǎng)絡協(xié)議，并針對協(xié)議對通信數(shù)據(jù)包執(zhí)行深度檢測，還可跟蹤應用層通訊，發(fā)現(xiàn)非法指令和非工控協(xié)議及時阻斷攔截。網(wǎng)閘技術硬件結構組成包含前后主機、隔離硬件，數(shù)據(jù)傳送無協(xié)議擺渡進行，數(shù)據(jù)在進入擺渡區(qū)前與協(xié)議剝離，出去后后主機會將數(shù)據(jù)重新封裝，避免直接連接內外網(wǎng)，阻斷外網(wǎng)攻擊。

3.2防治網(wǎng)絡通信病毒

防治網(wǎng)絡通信病毒，需要根據(jù)數(shù)據(jù)流量和數(shù)據(jù)包逆向還原等，根據(jù)業(yè)務發(fā)展需求構建通信數(shù)據(jù)模型，利用數(shù)據(jù)包和流量等及時發(fā)現(xiàn)病毒，并且可開展預警工作。在防治過程中，通過深度解析協(xié)議，綜合審核和監(jiān)測流量和業(yè)務等。技術人員需緊密結合網(wǎng)絡通信病毒防治工作和現(xiàn)場業(yè)務流程，利用協(xié)議數(shù)據(jù)和流量數(shù)據(jù)等，全面監(jiān)測業(yè)務流程中的病毒，避免發(fā)生誤報問題。

3.3提高重視程度

企業(yè)領導必須了解互聯(lián)網(wǎng)局域網(wǎng)網(wǎng)絡安全的重要性，企業(yè)管理層制定出網(wǎng)絡安全策略，增強網(wǎng)絡管理，著重培養(yǎng)網(wǎng)絡工作人員的安全意識和防范意識，同時也要提高相關人員的素質和能力。企業(yè)也要培養(yǎng)專業(yè)的技術人才，采用先進的網(wǎng)絡安全管理模式。工業(yè)的發(fā)展離不開互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)必須保持數(shù)據(jù)安全才可以促進企業(yè)的發(fā)展，因此引進網(wǎng)絡安全技術人才，并引用先進的網(wǎng)絡安全管理模式勢在必行。

殺毒軟件和防毒軟件要做到及時更新，操作系統(tǒng)要及時完善，交換機要選擇正規(guī)安全的品牌，劃分內部網(wǎng)絡，針對重要的資料要進行多級管理，并制定特殊的標識。工業(yè)的網(wǎng)絡數(shù)據(jù)要及時備份，避免出現(xiàn)丟失誤刪的情況。計算機也需要做好物理保護，做好防潮、防塵、防電磁輻射等工作，保證不遭受外部損傷，保障工業(yè)網(wǎng)絡順暢運行。

3.4構建防御體系

按照安全防御需求，進行包含安全機制與服務、網(wǎng)絡協(xié)議在內的防御體系結構的建設，安全管理機制在各協(xié)議層都要設置。網(wǎng)絡協(xié)議主要包含物理層、應用層、網(wǎng)絡層、傳輸層、鏈路層等構成，安全服務主要功能就是內容識別、審計設備和行為，順利完成信息數(shù)據(jù)傳輸，出現(xiàn)異常情況其響應及時。不同網(wǎng)絡層次服務功能不同，因此設置配置方案時要有針對性。比如在構建區(qū)域隔離和劃分機制時，工業(yè)控制網(wǎng)絡中行使效用的一項基本任務就是信息的互聯(lián)互通，但在此基礎上工控網(wǎng)需要設置支撐業(yè)務流轉與運行的技術，因此網(wǎng)絡邊界問題需切實管控。構建起區(qū)域隔離和劃分機制實現(xiàn)合理分區(qū)，不同部分功能采取對應的隔離措施，從而劃分不同功能區(qū)，合理實現(xiàn)內外部分界，保證防御能力。完整的防御體系中，要求安全服務與機制間具備完善的對應關系，主要就是設備識別、接入控制機制、數(shù)據(jù)安全訪問、保護機制、協(xié)議解析機制、事件審計分析展示機制、阻斷供給、和備份。

結語

計算機網(wǎng)絡自身的安全問題使得冶金工業(yè)控制系統(tǒng)難免出現(xiàn)一定問題，基于IMS的計算機網(wǎng)絡主動防護體系可以彌補計算機網(wǎng)絡安全漏洞，及時應對各類安全風險，有效提升計算機網(wǎng)絡安全防護的實時性、自適應性和動態(tài)對抗性，可在生產(chǎn)中加以應用。

參考文獻

[1]韓春楊.計算機網(wǎng)絡安全技術在網(wǎng)絡安全維護中的應用[J].電子技術與軟件工程，2021，（17）：245-246.

[2]裴江艷.淺論大數(shù)據(jù)背景下計算機網(wǎng)絡信息的安全問題[J].電腦知識與技術，2021，17（24）：52-53.

[3]林丙梅.論數(shù)據(jù)挖掘技術在計算機網(wǎng)絡病毒防范中的應用[J].網(wǎng)絡安全技術與應用，2021，（8）：66-67.

作者簡介：

韓雨芯，實驗師，碩士，工作單位：遼寧建筑職業(yè)學院。