李 璇

（山東省電子信息產(chǎn)品檢驗院＜中國賽寶(山東)實驗室＞山東 濟南 250014）

0 引言

由于網(wǎng)絡(luò)信息安全問題的存在，使得企業(yè)的信息安全狀況不斷惡化，企業(yè)控制網(wǎng)絡(luò)的信息安全問題也日趨嚴重。因此，要加強對工業(yè)控制網(wǎng)絡(luò)信息安全管理，增強其穩(wěn)定性，確保其高質(zhì)量地運行，健全工業(yè)控制網(wǎng)絡(luò)信息安全系統(tǒng)。特別是在石油化工、鋼鐵、建筑、電力工程等重點行業(yè)控制中，要尤其重視這項工作的開展和進行。工業(yè)控制網(wǎng)是由總線控制設(shè)備各個節(jié)點和控制器進行的網(wǎng)絡(luò)操作，主要工作目標是實現(xiàn)數(shù)據(jù)和信息的交換。然而，許多工業(yè)企業(yè)認為，由于工業(yè)互聯(lián)網(wǎng)的隱蔽性和封閉性特點導(dǎo)致其本身沒有太多的安全防范行為，這就給工業(yè)互聯(lián)網(wǎng)帶來了安全隱患。在這個信息技術(shù)飛速發(fā)展的年代，工業(yè)互聯(lián)網(wǎng)之所以能在市場上站穩(wěn)腳跟，最重要的原因就是他們的資料和經(jīng)營信息都是保密的，能夠確保信息和資料的安全。

1 工業(yè)控制網(wǎng)絡(luò)信息安全現(xiàn)狀

科學(xué)技術(shù)水平的飛速發(fā)展，推進了互聯(lián)網(wǎng)這一虛擬平臺在眾多企業(yè)經(jīng)營中的應(yīng)用，網(wǎng)絡(luò)技術(shù)以開放和方便的方式被許多公司所使用。但是由于用戶的組成和利益關(guān)系的復(fù)雜性，同時計算機網(wǎng)絡(luò)的實際應(yīng)用也缺少專門的法律對其進行規(guī)范，由此，因利益的影響所導(dǎo)致的網(wǎng)絡(luò)安全問題也層出不窮[1]。例如，大多數(shù)的黑客攻擊都是源于競爭者的攻擊，分析這一情況產(chǎn)生的主要原因是公司現(xiàn)有的安全識別和防護軟件相對滯后，會因此造成防護漏洞導(dǎo)致信息被破壞。大多數(shù)黑客使用的嗅探器都有MAC地址欺騙和IP欺騙的能力，而傳統(tǒng)的網(wǎng)絡(luò)因為沒有加密信息會被嗅探器偷走，這也是今后工業(yè)控制網(wǎng)絡(luò)信息發(fā)展過程中容易遇到的阻礙，同樣需要企業(yè)方面加以關(guān)注。

2 工業(yè)控制網(wǎng)絡(luò)信息安全防護的主要內(nèi)容

目前網(wǎng)絡(luò)系統(tǒng)中存儲的各類軟件和數(shù)據(jù)并不會因偶然性破壞及惡意損毀行為而發(fā)生泄露和更改，也不會因此對網(wǎng)絡(luò)信息安全造成嚴重威脅。目前對網(wǎng)絡(luò)信息能夠產(chǎn)生威脅的情況一般包括主動式和被動式攻擊兩種。前者指的是創(chuàng)建過程中的資料流進行篡改所產(chǎn)生的錯誤，包括截取、偽造、中斷、重放、修改信息或拒絕服務(wù)等進行數(shù)據(jù)信息的破壞行為。后者指的是針對傳送過程中的信息所展開的攻擊行為，為了確保計算機網(wǎng)絡(luò)的安全，必須做好識別、保密、病毒防范和存取控制4項工作[2]。

3 工業(yè)控制網(wǎng)絡(luò)的信息安全隱患

3.1 網(wǎng)絡(luò)安全漏洞問題

目前工業(yè)控制系統(tǒng)的應(yīng)用時間都比較長，并且與外部網(wǎng)絡(luò)進行了隔離，這一點從表面上看是安全的。但是隨著互聯(lián)網(wǎng)技術(shù)的應(yīng)用和發(fā)展，相關(guān)技術(shù)手段也在更新?lián)Q代，工業(yè)控制系統(tǒng)出現(xiàn)的漏洞也越來越多，由于缺乏安全系統(tǒng)對漏洞的修復(fù)，導(dǎo)致外界網(wǎng)絡(luò)針對工業(yè)控制系統(tǒng)漏洞的攻擊也逐漸增多，而漏洞攻擊的類型主要包括協(xié)議、服務(wù)器、數(shù)據(jù)庫攻擊等。通過以太網(wǎng)，可以使工業(yè)控制信息系統(tǒng)變得更加透明和開放，但任何事情都有它的兩面性，以太網(wǎng)就是一把雙刃劍，如果太過公開，會影響到整個行業(yè)的安全。

3.2 病毒、木馬的問題

此外，工業(yè)控制網(wǎng)絡(luò)信息系統(tǒng)的防病毒技術(shù)也有缺陷。病毒、木馬都是專門為電腦編寫而設(shè)計的程序，對網(wǎng)絡(luò)的正常運行具有很強的破壞力。通常情況下，工業(yè)控制系統(tǒng)都是物理上的隔離，但控制系統(tǒng)的封閉性卻給了病毒滋生的空間，病毒可以通過U盤和硬盤在網(wǎng)絡(luò)中擴散，病毒會入侵PC和服務(wù)器，然后在網(wǎng)絡(luò)上擴散，比如交換機、路由器等。通常只能依賴于重啟路由，或?qū)Υ嫒】刂魄鍐芜M行重新配置。而病毒的入侵會造成上層的信息流入工業(yè)以太網(wǎng)當中，造成網(wǎng)絡(luò)過載。許多控制區(qū)電腦終端都連接到工業(yè)以太網(wǎng)交換機上，一旦被病毒感染了，工業(yè)控制網(wǎng)就會因為沒有防備和殺毒軟件而擴散，最后造成整個網(wǎng)絡(luò)癱瘓，導(dǎo)致信息數(shù)據(jù)被破壞。另外，目前市面上已有很多工業(yè)控制網(wǎng)絡(luò)信息軟件，但由于技術(shù)水平還不夠發(fā)達，網(wǎng)絡(luò)信息系統(tǒng)沒有足夠的存儲空間，所以一般都不會安裝防病毒軟件。在某些工業(yè)控制網(wǎng)絡(luò)的軟件中，盡管包含了防病毒，但是沒有對其進行升級。因此，短期來看，這種殺毒系統(tǒng)可以起到一定的防毒效果，但因為更新不及時，傳統(tǒng)的殺毒軟件就會失去抵抗能力。一旦病毒、木馬等入侵，便會在工業(yè)控制網(wǎng)的信息系統(tǒng)中擴散，對其他的文檔進行侵染，并對使用者進行惡意的信息搜集，從而獲取企業(yè)的相關(guān)資料。

3.3 黑客入侵的問題

在這當中比較具有代表性的包括以下幾種：首先是工業(yè)控制網(wǎng)的信息平臺配置缺陷，傳統(tǒng)的工業(yè)控制網(wǎng)絡(luò)信息系統(tǒng)的預(yù)設(shè)平臺配置通常采用的是密碼控制，在工業(yè)控制網(wǎng)中只能使用密碼形式進行控制，不能設(shè)置復(fù)雜的指紋以及人臉口令，而所默認的密碼或設(shè)置的簡單密碼很容易被攻擊者攻破并入侵工業(yè)控制的網(wǎng)絡(luò)信息系統(tǒng)。一旦入侵了工業(yè)互聯(lián)網(wǎng)，那么黑客就可以肆無忌憚地竊取和利用這些工業(yè)數(shù)據(jù)，從而干擾到用戶的日常生活，可以說黑客的攻擊會在一定程度上造成網(wǎng)絡(luò)系統(tǒng)的崩潰；其次，現(xiàn)有的工業(yè)控制網(wǎng)的信息管理規(guī)則存在缺陷，該體系的管理規(guī)定不完善，整個系統(tǒng)內(nèi)的一些常見問題并未得到有效的管理。由于企業(yè)的管理制度不夠健全，難以進行工業(yè)控制網(wǎng)絡(luò)的恢復(fù)，所以我們要不斷地改進企業(yè)信息化管理制度。黑客侵入和盜用數(shù)據(jù)是大多數(shù)企業(yè)網(wǎng)絡(luò)最頭疼的問題，在工業(yè)控制網(wǎng)絡(luò)中，網(wǎng)絡(luò)架構(gòu)主要以集線器為中介，實現(xiàn)整個網(wǎng)絡(luò)節(jié)點內(nèi)信息數(shù)據(jù)的擴散。信息的來源有過程量轉(zhuǎn)換器和PLC等，通常這種裝置傳送的信息量較小，然后進行封裝并在工業(yè)控制網(wǎng)絡(luò)中進行循環(huán)傳送。黑客可以通過嗅探器潛入到工業(yè)控制網(wǎng)的底層，在不被發(fā)現(xiàn)的情況下將這些信息反饋給PC機進行分析和處理。這是因為在傳輸過程中沒有進行加密操作，并且交換機沒有提供對端口的保護和網(wǎng)絡(luò)的安全監(jiān)測[3]。

4 工業(yè)控制網(wǎng)絡(luò)的安全防護技術(shù)

目前工業(yè)控制網(wǎng)絡(luò)安全防護技術(shù)發(fā)展相對成熟，主要包括以下幾種形式：（1）在應(yīng)用過程中使用了智能交換機和適當?shù)木W(wǎng)絡(luò)結(jié)構(gòu)。這種結(jié)構(gòu)作為一種網(wǎng)絡(luò)拓撲，它的工作原理是利用智能交互控制大多數(shù)的信息和數(shù)據(jù)的傳輸，并在一定程度上保護了端口安全，確保了控制信息的保密性；（2）使用存取控制清單技術(shù)。ACL技術(shù)是一種包過濾技術(shù)，它根據(jù)所探測到的數(shù)據(jù)包源地址、目標地址和端口號來判定包的安全性和可用性。具體控制方式如下：運用安全套接層SSL對所有外部網(wǎng)絡(luò)通信進行加密管理，并且對接入交換機進行限制，在這種情況下，瀏覽器的圖形用戶界面登錄802.1radius網(wǎng)絡(luò)的條件是端口訪問，源端口只能根據(jù)特定端口進行通信；（3）流量控制技術(shù)。通常在網(wǎng)絡(luò)發(fā)生病毒時，會出現(xiàn)超負荷現(xiàn)象，也就是下載網(wǎng)絡(luò)中大量的垃圾導(dǎo)致網(wǎng)絡(luò)癱瘓。利用流量控制技術(shù)可以把端口流量限制在適當范圍內(nèi)，以防止異常發(fā)生。流量控制裝置通常用于網(wǎng)絡(luò)旁路，經(jīng)過數(shù)據(jù)分組，通過干擾端口進入網(wǎng)絡(luò)，并根據(jù)特定的情況發(fā)送干擾源地址或目標地址的信號，欺騙干擾數(shù)據(jù)包，調(diào)節(jié)TCP窗的尺寸，最后實現(xiàn)對流量的控制[4]。

5 工業(yè)控制網(wǎng)絡(luò)信息的安全防護措施

5.1 加強網(wǎng)絡(luò)安全管理，強化人員安全意識

根據(jù)調(diào)查統(tǒng)計，在工業(yè)控制網(wǎng)絡(luò)信息運行過程中，有60%以上的信息安全問題都是因為公司的管理不到位所導(dǎo)致。在網(wǎng)絡(luò)安全管理中，責任分離原則、有限任期原則、多人責任原則是實現(xiàn)信息管理順利進行的三大原則。加強對網(wǎng)絡(luò)的安全管理不僅需要對網(wǎng)絡(luò)管理員進行監(jiān)控，而且要加強對用戶的安全意識，要對電腦進行系統(tǒng)密碼設(shè)置。網(wǎng)絡(luò)管理員也要盡職盡責，根據(jù)各自的職責和權(quán)限對不同系統(tǒng)設(shè)置不同密碼，在運行時要確保它的合理性和合法性，并嚴格限制某些用戶的非法訪問和利用網(wǎng)絡(luò)資源。為了解決工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題，盡管運用了大數(shù)據(jù)技術(shù)對現(xiàn)場總線的發(fā)展進行控制，但依然需要技術(shù)人員的操作方能實現(xiàn)。針對目前工業(yè)控制系統(tǒng)中存在的網(wǎng)絡(luò)信息安全問題，采用現(xiàn)場總線技術(shù)實現(xiàn)了對整個生產(chǎn)流程的自動控制和管理，但同時也存在著一些網(wǎng)絡(luò)安全隱患，比如，由于系統(tǒng)的控制體系不夠嚴密，致使未經(jīng)許可的人進入到控制系統(tǒng)平臺。因此，首先要加強對信息化網(wǎng)絡(luò)的監(jiān)管，特別是把網(wǎng)絡(luò)軟件的管理落實到具體工作中。其次要加強網(wǎng)絡(luò)管理者的安全意識，由于工業(yè)控制系統(tǒng)是由相關(guān)人員來實施，要求相關(guān)的操作人員能夠?qū)ζ溥M行實時的安全檢查，因此，企業(yè)應(yīng)加強對員工的安全教育，提高員工的安全意識。比如，5G技術(shù)在工業(yè)控制領(lǐng)域的應(yīng)用，就必須對有關(guān)人員進行5G技術(shù)的培訓(xùn)，組織工作人員從理論和技術(shù)上實現(xiàn)創(chuàng)新和發(fā)展，確保其能夠熟練使用5G技術(shù)。

5.2 優(yōu)化工業(yè)控制網(wǎng)絡(luò)架構(gòu)，強化網(wǎng)絡(luò)安全邊界設(shè)計

要確保工業(yè)控制網(wǎng)絡(luò)安全，就需要建立一個完整的工業(yè)控制體系：首先，要解決安全計算環(huán)境、安全區(qū)域邊界、通信網(wǎng)絡(luò)等問題。在關(guān)鍵的網(wǎng)絡(luò)設(shè)備和計算設(shè)備中，使用了冗余結(jié)構(gòu)，對安全區(qū)域進行了合理的劃分，實現(xiàn)了不同領(lǐng)域的安全隔離。其次是對網(wǎng)絡(luò)的安全邊界進行合理設(shè)計。大部分網(wǎng)絡(luò)信息安全問題的出現(xiàn)主要是因為外部非法分子進入，導(dǎo)致工業(yè)控制系統(tǒng)遭到破壞狀況，所以在網(wǎng)絡(luò)信息安全方面，可以采用工業(yè)防火墻、工業(yè)網(wǎng)閘實現(xiàn)對企業(yè)的非法訪問和邏輯隔離。通過配置網(wǎng)絡(luò)接入設(shè)備，控制終端的違法訪問和非法外聯(lián)。在工業(yè)無線網(wǎng)絡(luò)中，采用無線AP或無線路由器的上聯(lián)接口，例如，連接到防火墻端口，以工業(yè)防火墻為界，與其他網(wǎng)區(qū)進行邏輯上的隔離，實現(xiàn)對整個網(wǎng)絡(luò)運營環(huán)境的保護。

5.2.1 完善網(wǎng)絡(luò)防火墻功能

網(wǎng)絡(luò)層防火墻是一種基于TCP/IP協(xié)議棧的IP包過濾，也是一種分析器，它可以有效地監(jiān)視內(nèi)網(wǎng)和因特網(wǎng)之間的一切行為，同時保證了內(nèi)部網(wǎng)的安全。為了確保內(nèi)部網(wǎng)絡(luò)安全操作，可以將因特網(wǎng)中的危險區(qū)與安全區(qū)有效地隔離開來。而且，網(wǎng)絡(luò)防火墻除了可以封鎖一些被屏蔽的業(yè)務(wù)，還可以對進出的訪問進行管理，在發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的時候，可以進行及時探測和報警，并且對有關(guān)信息內(nèi)容和活動進行及時分析和記錄。通過對網(wǎng)絡(luò)防火墻的功能進行分析可知，強有效的網(wǎng)絡(luò)防火墻設(shè)置和優(yōu)化，能夠在根本上保證網(wǎng)絡(luò)安全，確保所進行的信息和活動操作安全性[5]。

5.2.2 加強安裝殺毒軟件

在計算機上安裝殺毒軟件是確保網(wǎng)絡(luò)信息安全的重要措施，是最為直接預(yù)防和阻擋病毒的措施，不僅包括對病毒的監(jiān)測和清除，同時能夠?qū)阂廛浖吞芈逡聊抉R進行阻擋和防護。殺毒軟件的功能很多，主要包括實時監(jiān)控、掃描和清除病毒等。防火墻、反病毒軟件、惡意軟件查殺器、黑客攻擊軟件等組成了一套安全防護體系。

5.2.3 優(yōu)化虛擬專用網(wǎng)絡(luò)

采用隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)等，構(gòu)建了一種新型的虛擬專用網(wǎng)絡(luò)。隧道技術(shù)即地道技術(shù)，其允許某些手機用戶和授權(quán)的非手機用戶在瀏覽公司網(wǎng)站的過程中不受時間以及IP地址的限制。在包括工業(yè)控制網(wǎng)絡(luò)內(nèi)的傳輸過程中，加密技術(shù)已經(jīng)是一種非常成熟的數(shù)據(jù)通信技術(shù)，它的應(yīng)用范圍逐漸變大。想要實現(xiàn)對網(wǎng)絡(luò)信息的保護，就要結(jié)合相關(guān)技術(shù)進行設(shè)置，使得未經(jīng)過授權(quán)的用戶不能獲取網(wǎng)絡(luò)信息，其中最有效的方式就是對信息進行加密。通過密鑰管理技術(shù)的應(yīng)用，可以有效地確保在網(wǎng)絡(luò)中傳輸?shù)男畔⒌陌踩?，能夠保證信息內(nèi)容和數(shù)據(jù)的安全性。目前的密鑰管理技術(shù)大致可以分為ISAKMP/OAKI EY和SKIP兩大類，前者分為公共和私人使用兩種，后者主要是通過互聯(lián)網(wǎng)進行通信傳輸以及密鑰控制[6]。

5.3 完善網(wǎng)絡(luò)信息安全機制，強化工業(yè)控制網(wǎng)絡(luò)運維監(jiān)測

網(wǎng)絡(luò)信息安全機制的核心功能是從技術(shù)和管理兩個方面來保障網(wǎng)絡(luò)的安全性，構(gòu)建健全的網(wǎng)絡(luò)信息安全體系是保證網(wǎng)絡(luò)信息安全的關(guān)鍵。在完善網(wǎng)絡(luò)安全機制的同時，一方面要構(gòu)建完善的網(wǎng)絡(luò)數(shù)字簽名、數(shù)據(jù)完整性、安全加密和訪問機制制度意外，還需要對鑒別交換、公正機制以及通信業(yè)務(wù)流填充機制、路由控制機制等展開適時的優(yōu)化。另一方面，工業(yè)控制系統(tǒng)的運營維護監(jiān)測工作也會對工業(yè)控制網(wǎng)絡(luò)的信息安全性產(chǎn)生重要影響，如果工業(yè)控制系統(tǒng)運維監(jiān)測確實會直接導(dǎo)致工業(yè)控制網(wǎng)絡(luò)遭到破壞。比如，在工業(yè)控制系統(tǒng)的應(yīng)用過程中并沒有對登入賬戶進行科學(xué)管理，很容易遭受黑客侵襲。所以，企業(yè)方面應(yīng)建立運行稽核系統(tǒng)，以記錄人員操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的過程，并對違反操作的行為進行攔截和稽核，而行為監(jiān)控則主要是通過運行監(jiān)控模塊來完成操作，而存取記錄則包括操作日志和回放文件。它還能對會話過程、違規(guī)行為等進行監(jiān)控和處理；認證模塊采用統(tǒng)一的認證界面，既便于對用戶進行認證，又能增強認證管理的安全性；對資源授權(quán)的監(jiān)控，主要是通過對B/S、C/S、C/S服務(wù)器主機和網(wǎng)絡(luò)設(shè)備的訪問進行監(jiān)控。此外，加強對通信的管理，根據(jù)工業(yè)控制協(xié)議的過濾和內(nèi)容的深度檢測，對各個控制單元進行安全的通信管理。

5.4 加強法律法規(guī)的宣傳以及網(wǎng)絡(luò)信息安全保護

從目前的統(tǒng)計資料來看，我國已有上百條有關(guān)國際和國內(nèi)信息安全的法規(guī)。信息安全保障制度是以網(wǎng)絡(luò)信息安全為基礎(chǔ)，以確保國家對網(wǎng)絡(luò)進行合理、高效的宏觀控制。當前社會的網(wǎng)絡(luò)運行環(huán)境中，信息安全發(fā)揮著關(guān)鍵的作用。網(wǎng)絡(luò)信息安全性有助于產(chǎn)品的相互操作和相互鏈接，使網(wǎng)絡(luò)的安全性更高。新的科技發(fā)展形勢下，由于網(wǎng)絡(luò)不安全因素帶來的問題越來越多，我們經(jīng)常會遇到一些網(wǎng)絡(luò)上的問題，甚至還會因網(wǎng)絡(luò)糾紛引發(fā)法律問題。所以，為了最大限度地保護工業(yè)控制網(wǎng)絡(luò)信息的安全運行，要加大對互聯(lián)網(wǎng)安全的宣傳力度，確保網(wǎng)絡(luò)正常運轉(zhuǎn)。在網(wǎng)絡(luò)信息安全的預(yù)防和處理問題上，我們要采取法律措施，保護自己的權(quán)益，堅決打擊網(wǎng)絡(luò)犯罪[7]。

6 結(jié)語

綜上所述，隨著我國工業(yè)水平不斷發(fā)展，為了保證我國工業(yè)控制網(wǎng)絡(luò)信息化朝著正常、可持續(xù)的方向發(fā)展，工業(yè)機構(gòu)需要高度重視安全防護問題，構(gòu)建科學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)，完善網(wǎng)絡(luò)安全設(shè)施的設(shè)置，充分利用高科技網(wǎng)絡(luò)技術(shù)，以此來保證工業(yè)控制網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的獨立性、保密性以及互通性，為工業(yè)安全、高效生產(chǎn)奠定基礎(chǔ)。