刘青山
中石化股份有限公司天津分公司 天津 300270
摘要:随着工业控制系统与互联网的高度融合,工业控制系统也受到了网络安全的诸多方面的威胁,不仅直接影响了工业生产以及相关信息的安全,同时也对我们国家的经济发展甚至国家的安全造成了严重的威胁。因此只有通过加强工业控制系统网络安全防护建设,提高工业控制系统运行的稳定性和安全性,才能有效的降低网络安全事故对工业控制系统的影响。基于此,本文就对工业控制系统网络安全防护建设有关内容展开分析,可供参考。
关键词:工业控制系统;网络安全;防护建设
1工业控制系统网络的安全需求分析
第一,工业控制系统网络的边界防护需求。目前,此部分需求尚未达到要求,使得各类业务系统还潜在安全隐患。第二,工业控制系统网络安全的远程访问防护需求。在工业控制系统中远程维护是其主要系统维护方式之一,但是这些远程维护的通道都是各个供应商来提供,如果没有做好相关的远程访问防护很容易在进行远程维护的过程中受到恶意入侵的威胁。第三,工业控制系统中网络操作系统漏洞管理需求。在工业控制系统的控制网络生产过程中最常使用的操作系统是微软以及Linux操作系统,由于控制网络对于控制系统的要求非常高,在进行操作系统漏洞的升级工作方面有着非常大的难度,导致操作系统会出现更多的安全漏洞。第四,工业控制系统中网络监测与审计需求。在进行工业控制系统的生产过程中,需要进行一定的网络监测与审计工作,由于该工作涉及到大量的网络监测与审计的软件,而部分生产厂商缺乏这些设备导致不能有效进行生产过程中的数据监测工作,同时对于出现问题和故障后也不能及时的做好审计工作,给工业控制系统的网络安全埋下一定的隐患。第五,工业控制系统网络恶意代码风险防范需求。从工业控制系统的应用实际来说,若产生恶意代码,则会带来极大的风险。如果没有进行安全防护,比如安装杀毒软件,遇到安全攻击时,则会引发运行安全风险,影响着财产以及人员安全。基于安全的网络安全需求背景分析,采取的安全防护措施远远不够,难以保证网络运行安全,威胁着系统运行安全,因此需要进行优化。
2工业控制系统安全现状与风险分析
2.1病毒防控
部分工业控制系统不会去安装杀毒软件,因为其会与杀毒软件造成冲突,导致其功能无法正常使用于工控软件,而且安装了杀毒软件也无法起到很大作用,因为杀毒软件的病毒库需要时常更新,而工业控制系统并不会连接互联网,这就导致了杀毒软件的版本无法跟上时代,其防范的力度也大幅减少,而且杀毒软件运行起来也大量占用系统资源,会影响工业控制系统的运行速度,但维持反应速度对于工业系统来说是必不可少的。病毒以及木马都是恶意代码,目的就是搜集到需要的信息,对系统进行破坏,这些恶意代码可以利用网络窃听语音通话,视频通话和聊天文字,捕捉键盘的敲击内容进而盗取密码,还可以删除硬盘数据,甚至还可以利用蓝牙功能窃取与主机相连的笔记本,手机等智能移动设备的数据。
2.2主机的安全风险
病毒,蠕虫,木马等恶意代码,以及从移动外设引入的攻击使主机安全受到威胁的因素。大多数的主机用户都会选择杀毒软件进行对主机的保护。但是杀毒软件也有其局限性,它主要是防护病毒库中存在的病毒,对于专门设计的病毒无法有效抵御。而有一些使用者为了快速传输资料,开启工业控制网站的连接接口,如USB接口,蓝牙连接等,这就导致了主机会受到其他网络传递的攻击,发生信息安全危险。
2.3系统漏洞
现今,大部分的工业控制系统是windows,但是基于工业控制系统对于联网的控制以及考虑到系统功能的稳定,工业控制系统通常不会对系统安装补丁,而且还有很多设备使用更老的系统,所以微软停止了补丁维护,但是漏洞还存在着。
3工业控制系统网络安全防护建设研究
3.1工业控制系统的三层架构
(1)计划管理层:为了使工作人员能够更加快速,便捷的完成制定计划等等工作,可以采取通过连接管理服务器的方式来改善。
(2)制造管理层:制造管理层与计划管理层相同点在于都需要连接上相应的管理服务器,除此以外制造管理层还要在每个防火墙上连接上专属的计算机系统。
(3)工业控制层:工业控制层是这三层里面最为复杂的,不仅仅要像上面两层一样连接相应的管理服务器以及终端,同时对于各个监控终端也要做好相互连接的工作。在对第一层和第二层进行访问时,可以采用实名制的方法进行访问,这样可以有效的提升网络安全系数,提高网络安全保障。此外,对整个系统进行一个监测工作,这也是为了避免恶意病毒或者软件入侵我们的系统,从而使得每个层次都能够独立的完成自己的工作。这样的分层式结构有效的降低了由于“两化融合”给系统带来安全隐患,此外,这种分层模式除了能够使防护能力上升之外,还能够降低因为互联网导致工业控制系统出现问题的几率。
3.2工业控制系统网络安全防护相关技术
在进行工业控制系统网络安全防护的过程中,一些防护技术的应用对于网络安全防护具有重要的作用,以下列举几个在工业控制系统网络安全防护中比较关键的网络安全防护技术:
(1)恶意代码防护技术:在工程控制系统的网络安全防护中恶意代码防护技术是最近也是最关键的一门技术,在传统的网络安全防护中通常采用的黑名单查杀病毒模式会导致一些误杀误删等问题的发生,另外这种防护模式对于普通的系统来说会有严重的伤害。在现阶段采用的白名单查杀病毒模式相对于之前的模式就有了很大的提高,不仅有效降低了误杀误删的问题发生率,同时也不会对工业控制系统产生负面影响。
(2)主机外设管理技术:在使用工业控制系统的过程中,会由于一些工作人员的不正当做法,可能会导致整个控制系统发生问题。因为该工业控制系统本身是处于一个没有联网的状态,但是仍有一些工作人员会利用u盘、手机甚至一些笔记本电脑等等了解到系统的主机上,从而导致一些病毒入侵系统,比如木马病毒、计算机病毒等等。所以,在对制度进行完善的同时,还应该增强对系统的实时监控力度,从而为主机提供一份保障。
(3)漏洞发掘和安全监测:网络漏洞对于工业控制系统的影响后果非常严重,所以不能仅仅局限在漏洞出现后的补救措施,要采取主动寻找漏洞的策略来进行漏洞的发掘,从而能最大限度地发现漏洞并及时采取措施避免情况的恶化,在流量检测方面需要选用专业能力较强的工作人员来进行分析,另外对于系统整体的防护方面,发现问题要及时分析产生的根源并采取有效的解决措施,这样可以大大降低漏洞对于系统的影响程度。
4结语
总之,工业控制系统运行安全形式比较复杂,因此需要加强网络安全防护。随着网络技术的进步,网络连接的进一步加深,工业控制系统也是面临着更大更难的挑战,所以需要根据各个系统的面临的问题与自身需求,运用一些技术来加强防护能力。同时,我们会增长自身的信心,积极的接收挑战,面对挑战,改革安全防护技术,维护我们工业控制系统的信息安全。
参考文献
[1]徐海洲.基于软件定义网络的工业控制系统信息安全防护设计及实现[D].武汉:华中科技大学,2019.
[2]马祥厚,刘晓垒.工业控制系统网络安全防护体系研究[J].信息系统工程,2018.
[3]谢丰.工业控制系统网络攻击与安全防护思考[J].保密科学技
术,2016.
[4]傅一帆,霍玉鲜.网络安全等级保护工业控制系统安全防护技术体系设计[J].警察技术,2017.
[5]李永毅.工业控制系统网络安全防护建设探讨[J].通讯世界.2020.