工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全探究

時(shí)間:2022-04-24 03:44:55

導(dǎo)語:工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全探究一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全探究

摘要:近年來,隨著人工智能及互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,信息化與工業(yè)化的融合速度越來越快。企業(yè)規(guī)模越大,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全越關(guān)鍵。但是,受到網(wǎng)絡(luò)環(huán)境和計(jì)算機(jī)技術(shù)的影響,工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全也面臨著更多的安全隱患,只有采取更多安全可靠的技術(shù)和行之有效的管理手段,才能確保工業(yè)控制系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行?;诖耍恼轮胤治隽斯I(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的隱患,并提出了幾點(diǎn)有效的管理策略,希望為相關(guān)的管理人員提供一定的幫助,促進(jìn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的有序發(fā)展。

關(guān)鍵詞:工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全;安全與管理;安全隱患;策略

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中應(yīng)用了TCP/IP技術(shù),加強(qiáng)了與企業(yè)辦公網(wǎng)絡(luò)的聯(lián)系,同時(shí)也將傳統(tǒng)的目標(biāo)系統(tǒng)轉(zhuǎn)化為全新的開放系統(tǒng),實(shí)現(xiàn)了數(shù)據(jù)的互連互通,提高了控制系統(tǒng)的運(yùn)行效率,為管理決策提供了更好的數(shù)據(jù)支持。目前,無論是工業(yè)控制系統(tǒng)網(wǎng)絡(luò)還是企業(yè)辦公網(wǎng)絡(luò),都缺少足夠的安全防護(hù)措施,從而導(dǎo)致網(wǎng)絡(luò)安全隱患問題嚴(yán)峻,急需得到有效的控制和管理,避免由于網(wǎng)絡(luò)安全問題而導(dǎo)致工業(yè)控制系統(tǒng)網(wǎng)絡(luò)運(yùn)行癱瘓。

1工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)主要包括分布式控制系統(tǒng)(DCS)、安全儀表系統(tǒng)(SIS)可編程邏輯控制(PLC)和消防火災(zāi)報(bào)警系統(tǒng)等四個(gè)不同類型的控制系統(tǒng)[1]。工業(yè)控制系統(tǒng)被廣泛應(yīng)用到各個(gè)領(lǐng)域,例如電力、交通、水利以及工業(yè)領(lǐng)域等,實(shí)現(xiàn)對(duì)重點(diǎn)生產(chǎn)設(shè)備的運(yùn)行控制。工業(yè)控制系統(tǒng)一旦受到網(wǎng)絡(luò)攻擊遭到破壞,就會(huì)導(dǎo)致工業(yè)生產(chǎn)受阻,直接影響產(chǎn)業(yè)的經(jīng)濟(jì)發(fā)展,也會(huì)對(duì)國(guó)家的安全和經(jīng)濟(jì)發(fā)展造成嚴(yán)重影響[2]。所以,在工業(yè)領(lǐng)域?qū)嵤┛刂葡到y(tǒng)的時(shí)候,必須對(duì)可能發(fā)生的網(wǎng)絡(luò)系統(tǒng)安全問題進(jìn)行有效的排查,并且進(jìn)行科學(xué)的管理,進(jìn)而提高工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的運(yùn)行可靠性和安全,確保工業(yè)可持續(xù)發(fā)展。

2工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全隱患

2.1系統(tǒng)被入侵。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)在沒有授權(quán)的情況下被入侵是最為常見的安全隱患問題,入侵者在沒有得到授權(quán)的情況下可以非法使用工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中的計(jì)算機(jī),并且可以隨意查看和下載各種網(wǎng)絡(luò)資源和數(shù)據(jù),對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全運(yùn)行造成巨大影響。入侵者如果對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的運(yùn)行參數(shù)進(jìn)行修改,同時(shí)網(wǎng)絡(luò)管理者又沒有及時(shí)發(fā)現(xiàn)入侵問題的話,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的運(yùn)行很可能進(jìn)入癱瘓狀態(tài),進(jìn)而造成工業(yè)生產(chǎn)的間斷。城市的供電系統(tǒng)、供水系統(tǒng)以及供氣系統(tǒng)均可能發(fā)生運(yùn)行故障,會(huì)對(duì)城市經(jīng)濟(jì)和人們的生命安全造成嚴(yán)重威脅[3]。2.2拒絕服務(wù)攻擊。隨著計(jì)算機(jī)技術(shù)的普遍應(yīng)用,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的功能越來越多,受到的服務(wù)請(qǐng)求種類也逐漸增多。在此情況下,如果工業(yè)控制系統(tǒng)網(wǎng)絡(luò)受到拒絕服務(wù)攻擊,系統(tǒng)的各項(xiàng)功能則會(huì)在短時(shí)間內(nèi)受到影響而無法實(shí)現(xiàn),從而使得網(wǎng)絡(luò)帶寬、計(jì)算機(jī)處理能力或者連接數(shù)等基礎(chǔ)的服務(wù)請(qǐng)求得不到回應(yīng),導(dǎo)致工作網(wǎng)絡(luò)控制系統(tǒng)癱瘓。拒絕服務(wù)攻擊是一種十分難以防范的網(wǎng)絡(luò)安全問題,因?yàn)樗墓裟繕?biāo)十分多,而且攻擊途徑多種多樣,例如服務(wù)器、交換機(jī)、防火墻以及其它網(wǎng)絡(luò)設(shè)備都可能受到拒絕服務(wù)攻擊。2.3病毒攻擊。病毒攻擊是利用工業(yè)網(wǎng)絡(luò)控制系統(tǒng)中的漏洞,通過編寫的病毒代碼對(duì)系統(tǒng)中的某些驅(qū)動(dòng)程序進(jìn)行數(shù)字簽名的偽造,從而入侵到工業(yè)網(wǎng)絡(luò)控制系統(tǒng)中并進(jìn)行全面的傳播。病毒攻擊是一種影響最大的安全隱患問題,病毒可以突破工業(yè)網(wǎng)絡(luò)控制系統(tǒng)的局域網(wǎng)物理限制,對(duì)系統(tǒng)的功能和運(yùn)行造成嚴(yán)重破壞,惡意損壞工業(yè)基礎(chǔ)設(shè)施。所以,針對(duì)病毒攻擊的安全與管理是最為重要的一環(huán),是確保工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵,應(yīng)該得到相關(guān)部門的重視,并且采取積極、有效的應(yīng)對(duì)措施進(jìn)行防護(hù),降低病毒攻擊的概率。

3工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全與管理策略

3.1實(shí)施分區(qū)分層級(jí)管理。在對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行全面管理的過程中,除了要清晰界定互聯(lián)網(wǎng)、局域網(wǎng)以及工業(yè)控制網(wǎng)絡(luò)的邊界以外,還應(yīng)該對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)實(shí)施分區(qū)分層級(jí)管理,將其按照功能的不同分為若干的分區(qū),從而可以使用不同的網(wǎng)絡(luò)安全與管理技術(shù)對(duì)分區(qū)進(jìn)行安全防護(hù)[4]。另外,工業(yè)網(wǎng)絡(luò)控制系統(tǒng)中不同分區(qū)的電腦主機(jī)之間也需要進(jìn)行訪問的限制,以免其中一臺(tái)主機(jī)受到外來攻擊后擴(kuò)大攻擊范圍,有效的將網(wǎng)絡(luò)安全問題控制在小范圍內(nèi),有助于安全問題的篩查和處理,減少了工業(yè)網(wǎng)絡(luò)控制系統(tǒng)安全與管理的成本,提高了管理效率。3.2合理使用白名單技術(shù)。隨著現(xiàn)代科學(xué)技術(shù)的飛速發(fā)展,基于網(wǎng)絡(luò)安全問題的各種主動(dòng)防御技術(shù)也獲得了良好的發(fā)展,并且在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中獲得了廣泛的應(yīng)用。其中,白名單主動(dòng)防御技術(shù)是比較常見的一種,該技術(shù)的工作原理是利用提前寫好的協(xié)議規(guī)則去限制了不同網(wǎng)絡(luò)之間的信息交互,通過分析約定協(xié)議的特征和端口限制的方式,在根源上制止了未知來源軟件的安裝與運(yùn)行,從而加強(qiáng)了對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)。白名單主動(dòng)防御技術(shù)在應(yīng)用的過程中不但涉及到防火墻軟件的設(shè)置,而且對(duì)網(wǎng)絡(luò)的操作者身份也做出了嚴(yán)格的規(guī)定。例如,網(wǎng)絡(luò)設(shè)備操作者需要使用指定的U盤、電腦設(shè)備等,同時(shí)在使用網(wǎng)絡(luò)的時(shí)候還需要認(rèn)定管理人員的身份信息,任何沒有得到過授權(quán)的行為都將會(huì)被白名單所拒絕。3.3充分利用物理隔離技術(shù)安全生產(chǎn)。物理隔離技術(shù)最早的應(yīng)用是解決涉密網(wǎng)絡(luò)和非涉密網(wǎng)絡(luò)之間的數(shù)據(jù)安全傳輸問題,該技術(shù)誕生時(shí)間比較早,應(yīng)用經(jīng)驗(yàn)比較豐富,因此具有很高的應(yīng)用價(jià)值,被廣泛的應(yīng)用在電力、金融、保險(xiǎn)以及稅務(wù)等多個(gè)行業(yè)或者部門中,擁有較好的安全防護(hù)作用。物理隔離技術(shù)在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中的應(yīng)用主要是采用“2+1”的三模塊結(jié)構(gòu),通過一個(gè)隔離單元連接兩個(gè)主機(jī)系統(tǒng),在總線技術(shù)的支持下建立一條數(shù)據(jù)傳輸?shù)陌踩ǖ?。物理隔離技術(shù)僅僅為工業(yè)控制系統(tǒng)提供了通信功能,而沒有提供上網(wǎng)功能,因此比較適合內(nèi)部辦公網(wǎng)絡(luò)以及網(wǎng)絡(luò)控制的應(yīng)用[5]。3.4通用防火墻軟件。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)可以通過使用防火墻軟件來制定不同的安全防護(hù)規(guī)則,從而對(duì)系統(tǒng)之間、控制設(shè)備之間的數(shù)據(jù)傳遞進(jìn)行有效控制。防火墻軟件的使用需要建立在網(wǎng)絡(luò)連通的前提下,通過更改規(guī)則和分析協(xié)議,將一些對(duì)管理較為敏感或者不安全的信息進(jìn)行主動(dòng)的過濾和限制,對(duì)未經(jīng)授權(quán)的行為進(jìn)行訪問限制。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)如果需要使用多個(gè)防火墻的時(shí)候,應(yīng)該使用不同品牌的防火墻軟件,由于每個(gè)防火墻軟件的設(shè)計(jì)原理都是不同的,聯(lián)合使用會(huì)提高安全防護(hù)的有效性,對(duì)外部攻擊者造成較大的困難。3.5入侵預(yù)防系統(tǒng)。入侵預(yù)防系統(tǒng)簡(jiǎn)稱“IPS”,是一種比較先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng),同時(shí)也是對(duì)防火墻和殺毒軟件的有效補(bǔ)充[6]。它可以對(duì)網(wǎng)絡(luò)或者網(wǎng)絡(luò)設(shè)備中的資料傳輸行為進(jìn)行實(shí)時(shí)監(jiān)視,可以對(duì)一些異常的或者具有攻擊性的網(wǎng)絡(luò)資料傳輸行為進(jìn)行及時(shí)的中斷和隔離,以此減少網(wǎng)絡(luò)安全問題的發(fā)生。與防火墻和殺毒軟件相比,入侵預(yù)防系統(tǒng)側(cè)重于網(wǎng)絡(luò)安全的前期預(yù)警,無需網(wǎng)絡(luò)管理者對(duì)其進(jìn)行定期的維護(hù)和更新,是一種比較有效的應(yīng)對(duì)措施。除此之外,私有云、遠(yuǎn)程訪問限制以及應(yīng)急響應(yīng)機(jī)制等也是應(yīng)用效果較好的入侵預(yù)防機(jī)制,均可以起到防護(hù)網(wǎng)絡(luò)安全的作用。

4結(jié)語

總之,工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全與管理措施有很多種,在具體應(yīng)用的過程中要結(jié)合企業(yè)規(guī)模、系統(tǒng)運(yùn)行現(xiàn)狀和網(wǎng)絡(luò)環(huán)境而定,同時(shí)也要采用多種管理措施聯(lián)合應(yīng)用的模式,提高安全防護(hù)的等級(jí),進(jìn)而全面加強(qiáng)工業(yè)網(wǎng)絡(luò)控制系統(tǒng)的運(yùn)行安全與管理,保證其運(yùn)行穩(wěn)定。

參考文獻(xiàn):

[1]張宇亮,金忠新,李楊.鋁工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析及策略[J].輕金屬,2019(09):54-61.

[2]龍軍.工業(yè)控制系統(tǒng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的技術(shù)和管理分析[C].2018第七屆全國(guó)安全等級(jí)保護(hù)技術(shù)大會(huì)論文集,2018:53-55.

[3]施驊.工業(yè)控制系統(tǒng)安全管理和技術(shù)防護(hù)策略[J].城市建設(shè)理論研究(電子版),2017(02):212.

[4]何歡.“互聯(lián)網(wǎng)+”時(shí)代工業(yè)控制系統(tǒng)安全現(xiàn)狀與策略研究[J].卷宗,2017(19).

[5]柏東明,曾麗花,馮梅,等.工業(yè)控制網(wǎng)絡(luò)安全防護(hù)探究[J].信息系統(tǒng)工程,2019,304(04):152-153+155.

[6]龔海霞.對(duì)工業(yè)互聯(lián)網(wǎng)安全及防護(hù)策略的研究[J].數(shù)字化用戶,2019,025(013):101,111.

作者:王紅崗 單位:蒲城清潔能源化工有限公司