蒲永杰
中核控制系统工程有限公司 北京市 102401
摘要:随着工业控制系统与互联网的高度集成,以及工厂数字化、网络化、智能化的推进,工业控制系统的信息安全的脆弱性也日趋明显,也受到网络安全诸多方面的威胁,这不仅直接影响到工业生产及相关信息的安全,而且对我国的经济发展乃至国家安全构成严重威胁。 因此,工业控制系统需要在常规的网络安全防护机制上加以创新优化和改进,提高工业控制系统的信息安全防护水平。本文对工业控制系统网络安全防范措施进行了研究分析。
关键词:工业控制系统;网络安全;信息安全
一、工业控制系统概述
工业控制系统是伴随着控制技术的发展而发展起来的,从最初的集中控制系统CCS,到分散控制系统DCS,发展到现在的数字化控制系统和流行的现场总线控制系统FCS。
计算机技术和信息技术的快速发展,推动了控制科学和工程研究的不断深入,促使工业控制系统发生着根本性的变革。随着大数据、云计算、移动互联网、物联网、人工智能等新技术的发展和其不断渗透在工业控制系统中,工业控制系统已开始向智能化控制系统迈进。工业控制系统紧跟时代浪潮,在其安全、稳定、可靠运行的基础上,工业控制系统的架构、管理模式和监控方式会发生根本性的变化,会形成未来智能管控一体化的新型智能工业控制系统。随着工业化和信息化的深度融合,工业控制系统的信息安全问题日益突出,需要结合工业控制系统的安全性、可靠性、实时性、分布性、系统性等特性研究工业控制系统的网络安全防护。
二、工业控制系统的网络安全现状
2008年,黑客劫持了南美洲某国家的电网控制系统,攻击并导致电力中断。2010年,“震网”病毒攻击国外某核电站,导致部分设备无法运行。我国同样也遭受着工业控制系统信息安全的困扰,比如2011年国内某石化炼油厂,某控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度地中断。面对日益严重的工控系统安全隐患,加强工业控制系统信息安全防护技术研究,保障我国工业重要基础设施的平稳运行,已经成为亟待解决的关键问题。
国内目前大多数工业控制系统在系统设计和集成安装阶段以及运行过程中没有考虑全面的信息安全问题,从而在运行的大量工业控制系统都存在自身的信息安全脆弱性。另外,工业控制系统的关键信息安全技术还没完全掌握,所以从技术层面也不能完全避免安全威胁。其次在工控系统安全管理方面也比较薄弱,多数企业没有相应的信息安全管理体系,缺乏信息安全防护意识,没有专门的信息安全管理人才,也没有专门的信息安全管理岗位。所以加强工业控制系统的信息安全防护建设势在必行。
三、工业控制系统的网络安全风险和挑战
工业控制系统的安全风险主要包括系统硬件、操作系统软件和应用软件、网络类。
1、系统硬件
系统硬件方面主要集中在硬件开发过程中的硬件缺陷。在工业控制系统的关键设备和组件,存储介质等需要对其进行物理保护措施。对于工控系统的访问应只允许授权的必要人员,同时也要避免不安全的远程访问。
2、操作系统
操作系统是计算机系统中最重要的系统软件,管理整个计算机系统的软、硬件资源,是其他应用软件和程序的运行基础,所以操作系统的安全直接决定信息自身的安全。操作系统的补丁程序没有及时安装,以及操作系统的安全漏洞被发现后,没有开发出相应的补丁程序。或操作系统不升级补丁,存在已知漏洞。同时操作系统在应用前也可能存在测试过程没有发现的漏洞。DCS、PLC控制器使用的实时或嵌入式操作系统内部的安全功能也很有限,没有拒绝访问系统资源的机制。所以操作系统也面临着严峻的安全风险。
3、应用软件
常用的工业控制软件也必然存在一些安全漏洞,但又难以及时更新补丁,同时在软件开发过程中也存在一定的软件缺陷。另外工业软件也通常采用工业通信协议进行数据传输,这些协议提高了实时性,同时也产生了脆弱性,很容易导致安全漏洞。甚至一些网络协议本身就不安全,因为其协议的信息是公开或被破译的,这些协议也很少有或根本没有内置的安全功能。
4、网络方面
工业控制网络方面的安全风险主要集中在网络设备、通信链路、网络配置、网络边界、网络监控和记录、无线连接等方面。
随着大数据、云计算、物联网和5G移动互联网等新技术的发展,以及未来在工业控制系统中的应用,也会面临更多的更具有挑战性的安全风险。网络结构复杂化、边界模糊化、攻击形态多样化等都给网络安全防护方面带来严峻挑战。
四、工业控制系统网络安全防范措施
1、完善管理制度体系
各企业应当严格按照“谁主管、谁负责;谁运营、谁负责”的原则,企业应开设针对工业控制系统安全管理的职能部门,有企业重要负责人作为责任人,设立首席安全官。
2、充分运用网络安全防护技术
新一代信息技术极大地促进了工业企业信息化、数字化的发展,但企业网络的一体化也给企业网络的生产控制层的工业控制系统带来了不确定的安全隐患。例如DCS、 PLC、HMI 等核心工业控制器被病毒恶意破坏,导致生产设备关闭,因此,企业需要采取必要的网络安全保护技术,比如边界防护和加密认证技术等确保工业控制系统网络的安全。
3、恶意代码防护技术
反恶意代码技术是保护工业控制信息安全的最基本和最重要的技术。由于以前的黑名单病毒检测系统特别容易出现处理不当、杀毒不当等问题,同时,如果主机硬件不能满足要求,系统损坏就比较大。与以往的“黑名单病毒杀灭模式”相比,目前的“白名单病毒杀灭模式”有了很大的改进,也有利于工业控制系统的发展。
4、入侵检测技术
入侵检测是对工控系统的大量关键点的信息进行收集并加以分析,使工控系统不可靠和不可用的异常行为进行检测和确认。
5、安装监测与预警平台
在企业内部安装监测与预警平台,对工控系统进行实时的监测,采集大量的信息数据,对数据进行分析,根据数据的异常,进行预警响应。做好数据采集和监测预警工作,对工控网络安全具有重要意义。
6、安全评估
针对各级工业控制系统中设备、协议、节点、行为和过程的潜在威胁,进行专家周期风险评估。借助科学的风险评估工具和方法,综合数据采集、网络攻击路径分析、结构安全分析、过程审计、网络行为审计、综合审计等手段,及时发现设备和系统的脆弱性,解决易攻击和DDOS攻击等网络安全威胁,提出网络安全防护优化改进方案,实现工业控制系统控制网络的动态安全。
7、加强企业信息安全管理和培训
企业应通过不断增强员工的安全意识,加强信息安全管理和培训,扩大安全管理和保护专业知识的范围,提高安全保护的操作技能,以保障企业信息安全管理在企业内顺利有序地进行。要加强工业控制系统安全防护人员的配备,配备安全管理员、系统管理员、安全审计员等职位,与相关人员签订保密协议,提高全体内部人员和相关外部人员的安全意识,提升网络安全防护人员安全防护技能。
结语:工业控制系统安全关系到国家安全。如何改进工业控制系统,防止外部安全威胁和恶意攻击,降低系统自身的脆弱性风险,是网络和信息安全领域的一个重要课题。未来的工业控制系统将集成可信计算、态势感知、云安全、移动互联网安全、物联网安全、大数据安全等先进技术和信息安全技术,通过建立工业控制系统网络安全防护体系,有助于推动工业控制网络建立在可信网络的基础上,以提高工业控制系统的安全性。
参考文献
[1]申涛林.应高度重视新基建的网络安全风险防范[J].中国新通信,2020,22(17):65-66.
[2]苗涛,张志强,胡炳华.工业恶意软件的防范与治理[J].智能建筑与智慧城市,2019(04):31-33+36.
[3]于盟,张格,江浩.网络攻击技术发展及防范措施[J].网络空间安全,2018,9(02):56-59+75.
[4]周奇辉.工业控制系统网络安全性研究[J].网络空间安全,2016,7(06):56-59+64.
作者姓名:蒲永杰:男:1984.02籍贯:山西省临汾市 :汉 工程师
现有方向:核电站数字化仪控系统