李亞波 柏金果

摘要：目前工業(yè)自動(dòng)化控制系統(tǒng)信息技術(shù)在飛速發(fā)展，同時(shí)系統(tǒng)信息安全正面臨嚴(yán)峻的挑戰(zhàn)。為適應(yīng)當(dāng)前工業(yè)控制的需求，提升企業(yè)的生產(chǎn)效率和安全，在工控系統(tǒng)信息安全概念和標(biāo)準(zhǔn)體系基礎(chǔ)上，需要對(duì)包括系統(tǒng)的架構(gòu)和漏洞分析，方案部署、風(fēng)險(xiǎn)評(píng)估、體系管理、工控系統(tǒng)檢測(cè)入侵與防護(hù)入侵、工控系統(tǒng)補(bǔ)丁管理等進(jìn)行全面的深入研究。

關(guān)鍵詞：工控系統(tǒng);信息安全防護(hù);措施建議

1工業(yè)控制系統(tǒng)信息安全內(nèi)容簡(jiǎn)介

工業(yè)控制系統(tǒng)被廣泛應(yīng)用于現(xiàn)代社會(huì)的諸多關(guān)鍵領(lǐng)域，包括能源、水電、通信、交通、調(diào)度、工業(yè)制造等。一個(gè)完整的工控企業(yè)的信息系統(tǒng)通常分為四層，即企業(yè)管理層、生產(chǎn)管理層、生產(chǎn)控制層和設(shè)備層。企業(yè)管理層實(shí)現(xiàn)企業(yè)內(nèi)部辦公系統(tǒng)功能，生產(chǎn)相關(guān)數(shù)據(jù)不包括在內(nèi)。一般將生產(chǎn)管理層、生產(chǎn)控制層和設(shè)備層涉及的部分統(tǒng)稱(chēng)為工業(yè)控信息系統(tǒng)。因此工業(yè)控制信息系統(tǒng)不但包括SCADA、DCS、PLC、RTU等專(zhuān)用的信號(hào)采集、數(shù)據(jù)傳輸和信息控制系統(tǒng)，還包括專(zhuān)用的工業(yè)通信輸設(shè)備及工業(yè)企業(yè)專(zhuān)用數(shù)據(jù)庫(kù)。

2工業(yè)自動(dòng)化控制技術(shù)

工業(yè)自動(dòng)化控制技術(shù)就是指利用微電子技術(shù)、電氣技術(shù)、機(jī)械技術(shù)以及計(jì)算機(jī)軟件技術(shù)來(lái)對(duì)工業(yè)生產(chǎn)過(guò)程進(jìn)行控制，而無(wú)需使用人工操作機(jī)械來(lái)控制生產(chǎn)進(jìn)度。也就是說(shuō)，在工業(yè)自動(dòng)化控制下的工業(yè)生產(chǎn)機(jī)械設(shè)備是利用各種儀器、儀表和控制器，按照預(yù)先設(shè)定的流程進(jìn)行機(jī)械自動(dòng)調(diào)節(jié)來(lái)進(jìn)行生產(chǎn)運(yùn)行的。因此，在自動(dòng)化控制系統(tǒng)中，必須要對(duì)所有涉及到生產(chǎn)調(diào)節(jié)的儀器都進(jìn)行精準(zhǔn)的參數(shù)設(shè)置，以確保其在生產(chǎn)中能夠充分發(fā)揮職能作用，并且確保生產(chǎn)順利進(jìn)行的目的。目前我國(guó)的工業(yè)自動(dòng)化控制技術(shù)已經(jīng)得到了很大的發(fā)展，自動(dòng)化控制系統(tǒng)也逐漸趨于完善。但盡管如此，工業(yè)自動(dòng)化控制技術(shù)仍然具有很大的發(fā)展應(yīng)用空間。就目前來(lái)看，較為常用的自動(dòng)化控制產(chǎn)品主要有PLC與工控PC兩種，這兩種自動(dòng)化控制產(chǎn)品的應(yīng)用代表了我國(guó)的工業(yè)自動(dòng)化控制水平已經(jīng)有了很大的發(fā)展。

3自動(dòng)化控制系統(tǒng)信息安全隱患問(wèn)題

3.1操作系統(tǒng)的隱患

當(dāng)前大多數(shù)工業(yè)自控系統(tǒng)都是Windows平臺(tái)的，并且考慮到操作系統(tǒng)與控制系統(tǒng)的兼容性，對(duì)Windows平臺(tái)往往不安裝補(bǔ)丁。因此系統(tǒng)就存在被攻擊的可能，有很大的安全隱患。

3.2殺毒軟件的隱患

殺毒軟件的病毒庫(kù)需要不斷的更新，這一要求不適合工業(yè)控制環(huán)境，許多工控系統(tǒng)通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件，由于軟件對(duì)新病毒的處理總是滯后的，在使用過(guò)程中也有很大的局限性

3.3通信協(xié)議的隱患

信息化和工業(yè)化的高層次的深度結(jié)合，使得TCP/IP等通用協(xié)議和技術(shù)越來(lái)越廣泛地應(yīng)用在工業(yè)自控網(wǎng)絡(luò)中，這就減弱了控制系統(tǒng)與外界的隔離。病毒、木馬向控制網(wǎng)擴(kuò)散，工業(yè)自控系統(tǒng)的安全隱患問(wèn)題日益嚴(yán)峻。

4工業(yè)自動(dòng)化控制系統(tǒng)安全防范舉措

4.1工業(yè)控制網(wǎng)絡(luò)終端的安全防御

工業(yè)控制網(wǎng)絡(luò)具有明顯的獨(dú)有特性，其安全防御的核心是確保控制系統(tǒng)與監(jiān)控系統(tǒng)的可用性，以及針對(duì)ICS系統(tǒng)與管理員、ICS系統(tǒng)內(nèi)部自動(dòng)化控制組件間的訪問(wèn)控制策略。同時(shí)需要確?？刂葡到y(tǒng)在發(fā)生異?；虬踩录r(shí)，并且能夠在不影響系統(tǒng)可用性的情況下，幫助管理員快速定位安全故障點(diǎn)。同時(shí)，在確?？刂葡到y(tǒng)可用性的前提下，工業(yè)控制網(wǎng)絡(luò)終端安全防御能力建設(shè)需要做到如下幾個(gè)方面：基于行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)的合規(guī)保證能力、基于白名單策略的控制終端惡意軟件防御能力、基于白名單的惡意未知行為發(fā)現(xiàn)與檢測(cè)能力、基于ICS協(xié)議的內(nèi)容監(jiān)測(cè)能力、基于控制系統(tǒng)的漏洞及威脅防御能力、基于可用性的最小威脅容忍模型建設(shè)能力、基于事件與行為的審計(jì)能力、基于可用性的系統(tǒng)補(bǔ)丁修復(fù)能力、終端安全的應(yīng)急響應(yīng)能力。

4.2惡意軟件防護(hù)技術(shù)

在使用Windows系統(tǒng)的工作站和服務(wù)器上，病毒、蠕蟲(chóng)等惡意軟件的攻擊是最常見(jiàn)的安全威脅和隱患之一。并且由于工控系統(tǒng)是一個(gè)高度確定性的系統(tǒng)，HMI、服務(wù)器等下級(jí)應(yīng)用程序都是提前設(shè)置的，其生命周期很少發(fā)生變化，因此可以在這些基本窗口的工作站和服務(wù)器上部署白名單機(jī)制，大大提升抵御各種惡意軟件的攻擊，避免了病毒數(shù)據(jù)庫(kù)不斷更新帶來(lái)的維護(hù)開(kāi)銷(xiāo)和新的安全風(fēng)險(xiǎn)。

4.3網(wǎng)絡(luò)分區(qū)與邊界防護(hù)

在工業(yè)自動(dòng)化控制系統(tǒng)中，每個(gè)控制單元是一個(gè)相對(duì)獨(dú)立的子系統(tǒng)，不同的控制單元相互集成、相互連接。因此，根據(jù)其功能和特點(diǎn)，可以將其劃分為不同的安全域，并定義明確的安全域邊界。例如根據(jù)PROFINET應(yīng)用和通信服務(wù)的不同，可以將PROFINET中的操作站和維護(hù)站進(jìn)一步劃分為一個(gè)獨(dú)立的安全域。此外，防火墻、安全網(wǎng)關(guān)等隔離設(shè)備也部署在安全域之間的接口上。因此，對(duì)于遠(yuǎn)程訪問(wèn)、遠(yuǎn)程維護(hù)、無(wú)線(xiàn)訪問(wèn)等，還需要在其接口處部署邊界訪問(wèn)控制。

4.4工業(yè)防火墻技術(shù)

傳統(tǒng)模式下的防火墻信息技術(shù)對(duì)進(jìn)一步保護(hù)工業(yè)控制系統(tǒng)相關(guān)數(shù)據(jù)信息的內(nèi)部和外部非法入侵并無(wú)較大實(shí)際意義。在工業(yè)控制系統(tǒng)中，企業(yè)為保護(hù)相關(guān)數(shù)據(jù)信息和資料必須進(jìn)一步采用工業(yè)防火墻技術(shù)，該類(lèi)防火墻技術(shù)和傳統(tǒng)模式下的防火墻信息技術(shù)相比具有以下三大優(yōu)點(diǎn)：首先，是工業(yè)防火墻技術(shù)具備對(duì)工業(yè)控制系統(tǒng)進(jìn)行動(dòng)態(tài)檢測(cè)和實(shí)時(shí)訪問(wèn)控制的相關(guān)功能。其次，針對(duì)諸如OPC等工業(yè)控制協(xié)議，工業(yè)防火墻技術(shù)相關(guān)內(nèi)容具備支持性和兼容性。最后，工業(yè)防火墻技術(shù)能最大限度滿(mǎn)足工業(yè)控制系統(tǒng)較高的實(shí)時(shí)性需求和運(yùn)行穩(wěn)定性需求。

4.5工業(yè)控制掃描漏洞與工業(yè)控制挖掘漏洞技術(shù)

一般而言，掃描漏洞技術(shù)主要是基于完整的工控系統(tǒng)及工控網(wǎng)絡(luò)安全漏洞數(shù)據(jù)庫(kù)，根據(jù)掃描高頻漏洞引擎和檢測(cè)方法等自動(dòng)進(jìn)行匹配，以?huà)呙璩銎髽I(yè)所用工業(yè)控制系統(tǒng)內(nèi)部關(guān)鍵設(shè)備、關(guān)鍵軟件和關(guān)鍵硬件等是否存在未發(fā)現(xiàn)的漏洞的方法。挖掘漏洞技術(shù)則可進(jìn)一步分為分析靜態(tài)挖掘漏洞方法和分析動(dòng)態(tài)挖掘漏洞方法兩大類(lèi)。靜態(tài)挖掘漏洞分析方法在工業(yè)控制系統(tǒng)程序非運(yùn)行狀態(tài)下對(duì)漏洞進(jìn)行檢測(cè)和對(duì)比掃描，強(qiáng)化對(duì)靜態(tài)代碼審計(jì)、逆向分析和補(bǔ)丁等的對(duì)比研究，動(dòng)態(tài)分析漏洞挖掘技術(shù)則是在系統(tǒng)軟件運(yùn)行的情況下，并且對(duì)工業(yè)控制系統(tǒng)進(jìn)行程序格式、黑盒子測(cè)試等針對(duì)性的漏洞掃描，以此發(fā)現(xiàn)工控系統(tǒng)可能存在的信息安全隱患，保障工控信息系統(tǒng)的安全運(yùn)行。

4.6確保各個(gè)控制單元間的通信

通過(guò)軟件技術(shù)保證控制單元之間的通信安全，保證通信內(nèi)容的機(jī)密性、完整性和通信認(rèn)證，避免非法通信。同時(shí)，還可以將組態(tài)通信、數(shù)據(jù)采集等監(jiān)控業(yè)務(wù)與實(shí)時(shí)控制業(yè)務(wù)隔離，避免相互干擾對(duì)通信效果的影響。

結(jié)語(yǔ)

工業(yè)自動(dòng)化控制系統(tǒng)信息安全將信息安全與控制系統(tǒng)充分結(jié)合起來(lái)，引領(lǐng)著工業(yè)生產(chǎn)的發(fā)展方向。它不僅給對(duì)企業(yè)深入了解計(jì)算機(jī)控制系統(tǒng)提出了要求，還要求必須掌握信息安全保障相應(yīng)知識(shí)。工業(yè)自動(dòng)化控制系統(tǒng)信息安全與企業(yè)生產(chǎn)的多個(gè)環(huán)節(jié)密切相關(guān)，離不開(kāi)生產(chǎn)各部門(mén)的精誠(chéng)協(xié)作?？茖W(xué)合理的運(yùn)用工業(yè)自動(dòng)化控制系統(tǒng)將會(huì)大力推進(jìn)我國(guó)工業(yè)的快速發(fā)展。我們有理由相信，只要政府、企業(yè)及其員工積極行動(dòng)起來(lái)，我國(guó)的工業(yè)自動(dòng)化控制系統(tǒng)將逐步縮小與世界先進(jìn)國(guó)家的差距，信息安全的保障也會(huì)更加有力、更加充分。

參考文獻(xiàn)

[1]王玉敏.工業(yè)自動(dòng)化和控制系統(tǒng)現(xiàn)場(chǎng)服務(wù)提供商的信息安全要求[J].自動(dòng)化博覽，2017（12）：32-35.

[2]俞華軍.工業(yè)控制系統(tǒng)信息安全淺談[J].科學(xué)管理，2019（1）：312

[3]王營(yíng)，臧易非.工業(yè)自動(dòng)化控制技術(shù)的發(fā)展與應(yīng)用[J].中國(guó)新技術(shù)新產(chǎn)品，2018（05）.