曹 湛

（中國航發(fā)沈陽發(fā)動機研究所，遼寧 沈陽 110000）

如今，網(wǎng)絡(luò)已經(jīng)深深存在于各行各業(yè)，在工業(yè)生產(chǎn)管理中引進網(wǎng)絡(luò)技術(shù)，創(chuàng)設(shè)比較完整的工業(yè)控制體系是必然趨勢。工業(yè)控制充當工業(yè)技術(shù)持續(xù)化創(chuàng)新的基本要點，更是工業(yè)朝向現(xiàn)代化發(fā)展的條件，對工業(yè)行業(yè)的經(jīng)營和管理起到重要作用。工控系統(tǒng)網(wǎng)絡(luò)中，安全防護是比較關(guān)鍵的項目，然而具體的安全防護中面臨著些許問題，值得相關(guān)人員具體研究。

1 工控系統(tǒng)網(wǎng)絡(luò)的防護影響因素

工控系統(tǒng)以得到真實化信息為基礎(chǔ)，以傳感器的方式得到數(shù)據(jù)保存在計算機內(nèi)，后續(xù)通過計算機給予相關(guān)的信息數(shù)據(jù)加以動態(tài)分析和處理。在工控系統(tǒng)的支持下，不僅實現(xiàn)了自動化數(shù)據(jù)處理的目的，還提高了計算的正確率。工控系統(tǒng)有傳感器模塊、發(fā)射器模塊與轉(zhuǎn)換器模塊等，傳感器能夠合理監(jiān)督物品的物理參數(shù)，加快計算機的運行速度[1]。轉(zhuǎn)換器能夠把數(shù)據(jù)轉(zhuǎn)變?yōu)殡娦盘?，之后以電信號的形式保存在計算機內(nèi)。發(fā)射器能夠控制電信號朝終端方向運輸，綜合來看最為關(guān)鍵的模塊是控制器，提高了數(shù)據(jù)信息的準確性。另外，工控系統(tǒng)之內(nèi)的電信號輸入過程與電信號輸出過程都是建立在控制器全方位運作基礎(chǔ)之上，系統(tǒng)在控制器的運作中貫徹電信號的復原項目。

研究工控系統(tǒng)網(wǎng)絡(luò)的安全防護影響因素：

第一點是工控系統(tǒng)自身的因素，此系統(tǒng)具備較強的綜合性與繁瑣性，應(yīng)用的范圍比較廣。因此在具體設(shè)計上和運作中對工作者提出更加嚴格的條件，系統(tǒng)自身與操作流程都是潛在網(wǎng)絡(luò)安全隱患的。

第二點是網(wǎng)絡(luò)風險的出現(xiàn)，工控系統(tǒng)的運作期間，網(wǎng)絡(luò)化運用是比較關(guān)鍵的趨勢，每一個領(lǐng)域之內(nèi)發(fā)揮工控系統(tǒng)功能時，應(yīng)重視數(shù)據(jù)采集、數(shù)據(jù)研究與數(shù)據(jù)管理，工控系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)被遠程操控。在此階段，工控系統(tǒng)的一些結(jié)構(gòu)可能存在于公共網(wǎng)絡(luò)之內(nèi)，可是公共網(wǎng)絡(luò)的環(huán)境時刻面臨著網(wǎng)絡(luò)信息的安全隱患威脅，因此工控系統(tǒng)可能在病毒與黑客等條件制約之下出現(xiàn)安全問題。以“百度百科”為例，借助引擎模塊開展Open Directory 的信息搜索，會得到較多和工控系統(tǒng)存在關(guān)系的數(shù)據(jù)，若黑客入侵以及人為攻擊，勢必影響網(wǎng)站體系的管理質(zhì)量[2]。

第三點是工業(yè)控制標準接口有著協(xié)議漏洞的情況，工控系統(tǒng)的運作中，相關(guān)網(wǎng)絡(luò)結(jié)構(gòu)是借助“以太網(wǎng)”加以創(chuàng)設(shè)，那么在一定環(huán)境中工業(yè)控制標準接口可能是具備顯著開放性的，操作這一個系統(tǒng)，由于控制標準的信息獲取與接口傳輸缺乏了信息保護的過程，再這工業(yè)控制標準的協(xié)議和其他類型代碼均潛在漏洞，同時漏洞是在外界風險干擾下產(chǎn)生的，這樣便凸顯控制接口的協(xié)議漏洞。

第四點是工控體系比較脆弱，我國一些工控系統(tǒng)在運作中，均體現(xiàn)出內(nèi)部結(jié)構(gòu)的不足，這樣工控系統(tǒng)很容易面臨脆弱性威脅，特別是網(wǎng)絡(luò)資源的配置與硬件設(shè)定以及邊界問題，使得工控系統(tǒng)的網(wǎng)絡(luò)面臨安全風險，造成工控系統(tǒng)的安全問題出現(xiàn)。

2 工控系統(tǒng)網(wǎng)絡(luò)的安全防護措施

2.1 增強工控系統(tǒng)用戶安全防護水平，明確安全防護意識

首先，形成一定的工控系統(tǒng)網(wǎng)絡(luò)安全防護思路，安全思路是工控系統(tǒng)網(wǎng)絡(luò)安全防護的前提條件，為工控系統(tǒng)的安全防護提供了指導，工作者要關(guān)注工控系統(tǒng)的脆弱問題，把以往網(wǎng)絡(luò)安全管理的有效經(jīng)驗作為基礎(chǔ)，加強網(wǎng)絡(luò)安全措施的創(chuàng)新，使得工控系統(tǒng)的網(wǎng)絡(luò)運作可以足夠安全和規(guī)范。比如實施補丁操作，關(guān)聯(lián)工控系統(tǒng)的創(chuàng)新條件，相關(guān)人員要補丁轉(zhuǎn)型工控系統(tǒng)的結(jié)構(gòu)體系，避免工控系統(tǒng)處于公共環(huán)境中有漏洞風險[3]。工作者應(yīng)重視測試檢驗，給工控系統(tǒng)的安全運作提供真實化環(huán)境，多次檢驗和評價實施工控系統(tǒng)的備份加工，確保補丁可以全方位轉(zhuǎn)型，控制具體升級以及轉(zhuǎn)型階段面臨的風險。之后是實施工控系統(tǒng)的隔離方案搭建，隔離方案的擬定可直接控制工控系統(tǒng)的運作出現(xiàn)風險，工作者需要深層次研究工控系統(tǒng)的防護目標，明確隔離方案與計劃，科學應(yīng)用以及實踐。一般而言，工控系統(tǒng)的工作者要結(jié)合不相同領(lǐng)域的體系運作條件，優(yōu)化儀器設(shè)備的性能，圍繞優(yōu)化內(nèi)容開展針對性調(diào)試操作，使得多個結(jié)構(gòu)體系能夠規(guī)范運作，降低設(shè)備之間銜接不夠時效的概率。基于工控系統(tǒng)的安全防護關(guān)鍵點，即劃分隔離防護的模塊，尤其是內(nèi)網(wǎng)模塊、外部模塊、操作模塊與隔離模塊，利用規(guī)范化舉措加以針對性改善，貫徹風險管理工作。

其次，形成物理模式的防護機制，根據(jù)相關(guān)資料可以明確，對工控系統(tǒng)加以物理層面的機制搭建，能夠彰顯工控系統(tǒng)管理的安全性與可行性，還是工控系統(tǒng)安全建設(shè)的前提項目，決定著工控系統(tǒng)作用的發(fā)揮[4]。因此，相關(guān)人員實施工控系統(tǒng)的整合設(shè)計時，應(yīng)以物理視角處理工控系統(tǒng)的安全風險，可實施門禁機制，避免其他人員走進工控的現(xiàn)場，結(jié)合企業(yè)的基本理念構(gòu)建對應(yīng)先進生產(chǎn)設(shè)備夢，包含備用發(fā)電機、備用電線以及備用工具，降低生產(chǎn)問題的出現(xiàn)率。這樣配置監(jiān)督管理計劃，可實現(xiàn)工控系統(tǒng)的一體化安全監(jiān)督工作，及時了解問題和處理問題，挖掘內(nèi)在的風險因素與生產(chǎn)因素，逐步使得工控系統(tǒng)的運作效率得以提升。

最后，對網(wǎng)絡(luò)滲透的現(xiàn)象進行優(yōu)化，工作者應(yīng)重視網(wǎng)絡(luò)滲透情況的出現(xiàn)，以換位研究的模式對設(shè)計完成的工控系統(tǒng)安全結(jié)構(gòu)進行檢驗，從多個視角分析安全防護的基本對策，真正做好工控系統(tǒng)的安全防護項目，增強工控系統(tǒng)用戶的安全防護水平。

2.2 基于網(wǎng)絡(luò)安全需求，完善工控系統(tǒng)的三層架構(gòu)

和以往的信息系統(tǒng)相比較，工控系統(tǒng)網(wǎng)絡(luò)安全防護應(yīng)具備特殊性。首先，存在邊界防護的問題，網(wǎng)絡(luò)安全邊界防護會對工控系統(tǒng)的安全保障產(chǎn)生一定的影響，然而目前的工控系統(tǒng)尚未真正落實邊界防護思路，即邊界防護沒能和具體的標準相匹配，引出工控系統(tǒng)的多個業(yè)務(wù)項目潛在安全風險。

其次，存在遠程訪問的問題，實施工控系統(tǒng)的遠程維護作為關(guān)鍵的維護操作，可是對應(yīng)遠程維護的通道均是以供應(yīng)商為主提供的，若不能完善遠程訪問防護結(jié)構(gòu)，是會在維護期間產(chǎn)生惡意入侵風險的[5]。

再次，存在監(jiān)督需求以及審計問題。工控系統(tǒng)的具體生產(chǎn)，相關(guān)人員要細致地進行監(jiān)督方案的設(shè)置與審計方案的設(shè)置，此工作包含網(wǎng)絡(luò)監(jiān)督等軟件，一些生產(chǎn)廠家未對設(shè)備進行數(shù)據(jù)監(jiān)督，無形中埋下了安全隱患，所以應(yīng)強調(diào)審計檢驗，控制工控系統(tǒng)的網(wǎng)絡(luò)安全問題。

最后，是漏洞管理與風險防范的問題，工控系統(tǒng)的網(wǎng)絡(luò)安全防護上，經(jīng)常使用的系統(tǒng)是微軟，因為控制網(wǎng)絡(luò)提出了工控系統(tǒng)結(jié)構(gòu)的較多要求，可能增加系統(tǒng)漏洞的篩查難度和升級難度，使得操作系統(tǒng)整體上面臨安全隱患。工控系統(tǒng)的管理工程中，需安設(shè)對應(yīng)殺毒軟件以提高網(wǎng)絡(luò)運作安全性，可是在沒能及時安裝先進軟件的前提下是會出現(xiàn)惡意代碼攻擊破壞網(wǎng)絡(luò)的，阻礙工控系統(tǒng)的高效率運作，因此風險防范也是應(yīng)該及時進行的，為工控系統(tǒng)網(wǎng)絡(luò)安全防護奠定基礎(chǔ)[6]。

除此之外，要想真正實現(xiàn)工控系統(tǒng)的網(wǎng)絡(luò)安全防護，應(yīng)制定三層結(jié)構(gòu)框架，第一層是計劃管理，即工作者以工作計劃為前提進行高效率工作，一般來講計劃管理的負責人應(yīng)使用管理服務(wù)器。第二層是制造管理，此層和計劃管理存在著相同點，也就是共同和服務(wù)器銜接，制造管理的設(shè)定還要額外構(gòu)建計算機系統(tǒng)，體現(xiàn)制造管理的專業(yè)性。第三層是工業(yè)控制，其作為比較繁瑣的模塊，一方面應(yīng)該和服務(wù)器與終端互相銜接，另一方面應(yīng)及時呈現(xiàn)訪問記錄。第一層以及第二層的設(shè)定，貫徹了實名制的思路，使得網(wǎng)絡(luò)運作更加具備安全性，增強網(wǎng)絡(luò)保障的綜合效果。全方位監(jiān)督網(wǎng)絡(luò)信息數(shù)據(jù)，最大化避免軟件代碼攻擊到工控系統(tǒng)，讓工控系統(tǒng)的網(wǎng)絡(luò)管理面臨威脅，落實工控系統(tǒng)的各層工作項目?；诖诉M行工控系統(tǒng)的網(wǎng)絡(luò)安全防護，對各個層級的任務(wù)進行分配，更好地避免了工控系統(tǒng)的網(wǎng)絡(luò)安全問題出現(xiàn)，有利于保障工控系統(tǒng)的綜合性能。

2.3 劃分網(wǎng)絡(luò)安全界限，強化軟件安全保障

對于工控系統(tǒng)的網(wǎng)絡(luò)安全防護過程，要基于安全隱患進行針對性模塊劃分，以風險為主，按照不同防護要求實施工控系統(tǒng)的網(wǎng)絡(luò)安全保護。特別是網(wǎng)絡(luò)控制與數(shù)據(jù)網(wǎng)絡(luò)的內(nèi)在數(shù)據(jù)傳輸，加密化處理信息通道，賦予工控系統(tǒng)的內(nèi)部網(wǎng)絡(luò)管理較強穩(wěn)定化特征。信息網(wǎng)以及外部管控網(wǎng)的銜接上，還需要配置對應(yīng)加密，內(nèi)部網(wǎng)絡(luò)以及數(shù)據(jù)網(wǎng)之間適當配置安全過濾裝置，避免網(wǎng)絡(luò)攻擊到工控系統(tǒng)的現(xiàn)象出現(xiàn)。利用數(shù)據(jù)網(wǎng)確定數(shù)據(jù)應(yīng)用的范圍，控制工控系統(tǒng)安全隱患，精準化落實工控系統(tǒng)的安全防護工作[7]。在軟件安全保障上，工控系統(tǒng)的體系完善不僅應(yīng)體現(xiàn)硬件的作用，還應(yīng)體現(xiàn)軟件的防護，針對公共體系內(nèi)的一些軟件，工作者要按照定期殺毒的思路優(yōu)化設(shè)備性能，尤其是安設(shè)防火墻。對溶液內(nèi)設(shè)計圖紙的數(shù)據(jù)信息進行加密化管理，排除由于工控系統(tǒng)軟件防護問題所致的網(wǎng)絡(luò)問題，定時優(yōu)化工控系統(tǒng)的操作流程，對操作設(shè)備進行整體更新，能夠兼容的條件下整合系統(tǒng)結(jié)構(gòu)，這樣可以減少操作漏洞的出現(xiàn)，更好地保障了軟件運作安全。

2.4 創(chuàng)新安全防護技術(shù)，推動工控系統(tǒng)的安全建設(shè)

具體的工控系統(tǒng)網(wǎng)絡(luò)安全防護中，部分先進技術(shù)的應(yīng)用可以起到積極作用。首先是代碼防護技術(shù)，以往的網(wǎng)絡(luò)保障中以黑名單病毒查殺的形式進行，可是不可規(guī)避出現(xiàn)錯誤刪除的現(xiàn)象，此種模式針對一般形式的系統(tǒng)而言帶來較大程度的傷害。安全防護上，可選取白名單進行病毒查殺的問題，顯著提高病毒查殺效果，避免產(chǎn)生信息錯誤刪除的情況。

其次是主機外設(shè)技術(shù)，一些工作者把手機等關(guān)鍵設(shè)備和系統(tǒng)主機進行連接，可能出現(xiàn)木馬病毒，不利于保障工控系統(tǒng)運作的安全性，所以健全工控系統(tǒng)的主機外設(shè)管理機制十分關(guān)鍵。

最后是漏洞挖掘技術(shù)，利用此種技術(shù)直接定位漏洞的范圍，最大化研究漏洞的惡化趨勢，探索行之有效的措施挖掘內(nèi)在漏洞，安排專業(yè)能力比較強的工作者全方位研究，一旦出現(xiàn)問題應(yīng)即刻處理，避免漏洞給工控系統(tǒng)的網(wǎng)絡(luò)安全帶來威脅[8]。

需要注意的是，工控系統(tǒng)的網(wǎng)絡(luò)安全防護中，性能比較重要的設(shè)備也是要被隔離化加工的，第一個是工業(yè)隔離模式，工控系統(tǒng)的結(jié)構(gòu)之中，以隔離的思路處理孔子體系，一方面提高工控系統(tǒng)的信息采集及時性，另一方面控制工控系統(tǒng)安全風險產(chǎn)生，落實網(wǎng)關(guān)與物理格局處理等關(guān)鍵任務(wù)。第二個是“2+1”隔離，即對工控系統(tǒng)之中的控制模塊與數(shù)采機模塊進行隔離，此種隔離結(jié)束后不輸入私密密碼是不能使用控制系統(tǒng)的，由此全面對工控系統(tǒng)的安全系數(shù)進行提升。在隔離化加工之后，工控系統(tǒng)的網(wǎng)絡(luò)安全風險會有所降低，提高工控系統(tǒng)網(wǎng)絡(luò)安全防護的現(xiàn)代化發(fā)展速度。

3 結(jié)語

綜上所述，工控系統(tǒng)的生產(chǎn)組織，充當工控系統(tǒng)的執(zhí)行者與生產(chǎn)者，要充分關(guān)注網(wǎng)絡(luò)安全設(shè)計，即在具體生產(chǎn)階段強化工控系統(tǒng)的水平。此系統(tǒng)的生產(chǎn)機構(gòu)要大力開發(fā)技術(shù)，利用先進的技術(shù)完善工控系統(tǒng)的體系，確保工控系統(tǒng)可以在時代變化之下不斷發(fā)展，體現(xiàn)工控系統(tǒng)搭建的完整性，巧妙避免工控系統(tǒng)的內(nèi)在風險出現(xiàn)。并且促進工控系統(tǒng)的網(wǎng)絡(luò)安全防護，由于工控系統(tǒng)已經(jīng)存在于各個行業(yè)，對應(yīng)地位是比較重要的，不管是安全保障還是穩(wěn)定保障，都影響到社會的發(fā)展。政府和第三方單位需要實施自我職能，提高工控系統(tǒng)安全防護的速度，明確規(guī)范化的網(wǎng)絡(luò)安全機制，不要因為網(wǎng)絡(luò)而產(chǎn)生惡意破壞的現(xiàn)象，利用網(wǎng)絡(luò)安全防護標準，從根源上對工控系統(tǒng)等一系列設(shè)施的綜合性進行研究，真正保障自我權(quán)益。