前言：本站為你精心整理了化工流程行業(yè)工業(yè)控制網(wǎng)絡安全探討范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：目前我國很多企業(yè)的工業(yè)控制網(wǎng)絡缺乏或根本不具備安全防護能力，極易受到來自于外界的入侵，且工業(yè)系統(tǒng)的安全事件所造成的損失和影響一般都相對較大，現(xiàn)階段針對工業(yè)控制網(wǎng)絡的攻擊越來越多，工業(yè)網(wǎng)絡安全問題令人擔憂。本文在防護技術和防護管理方面對工業(yè)網(wǎng)絡安全進行了探討，以求引起行業(yè)人士對工業(yè)網(wǎng)絡安全問題的關注。

關鍵詞：工業(yè)網(wǎng)絡；安全防護

隨著計算機和網(wǎng)絡技術的發(fā)展以及國家“工業(yè)4.0”“兩化融合”戰(zhàn)略的推進，智能化工廠建設已成為企業(yè)節(jié)本降耗、提質增效的必由之路，對于工業(yè)控制系統(tǒng)而言，它必將成為智能化工廠整體設計架構中的重要組成部分。生產(chǎn)控制信息將貫穿于企業(yè)生產(chǎn)經(jīng)營管理全過程，工業(yè)控制系統(tǒng)相對獨立的運行環(huán)境正在被打破，工業(yè)控制系統(tǒng)面臨著來自外部越來越多的安全威脅。尤其是化工流程行業(yè)高溫高壓、易燃易爆的特點，一旦工業(yè)控制系統(tǒng)出現(xiàn)問題，后果將極其嚴重。

一、行業(yè)現(xiàn)狀分析

目前化工流程行業(yè)普遍運用數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)控制生產(chǎn)設備的運行。長期以來工業(yè)控制系統(tǒng)始終把穩(wěn)定性、延時性、可操作性等作為重要的性能指標，很多企業(yè)對于工業(yè)網(wǎng)絡安全沒有足夠的重視，管理制度不健全，技術防護措施不到位，有的企業(yè)甚至基本上沒有任何防護措施，由于擔心對操作系統(tǒng)的影響，不敢輕易對系統(tǒng)實施升級和漏洞補丁的操作。為了實現(xiàn)管控一體化，很多企業(yè)將工業(yè)控制網(wǎng)與企業(yè)管理網(wǎng)絡甚至是與互聯(lián)網(wǎng)進行了連接，且采取的防護措施也很簡單，通常只是用一臺上位機將工業(yè)控制網(wǎng)和管理網(wǎng)連接到一起，這種安全防護措施極易被攻破，在高度信息化的同時也減弱了工業(yè)控制系統(tǒng)的安全性，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)蔓延，工業(yè)網(wǎng)絡病毒、工控設備高危漏洞、外委設備后門、無線技術應用的風險等諸多因素對工業(yè)控制系統(tǒng)的安全造成了極大的威脅，工業(yè)控制系統(tǒng)安全問題日益突出。

二、安全防護技術探討

1.工業(yè)控制系統(tǒng)病毒種類和傳播途徑分析。

工業(yè)控制系統(tǒng)受到攻擊一般都是先感染病毒，系統(tǒng)被感染后會出現(xiàn)兩種情況，一是系統(tǒng)運行效率下降，常出現(xiàn)運行速度慢和死機現(xiàn)象；二是系統(tǒng)被黑客利用病毒所控制，對系統(tǒng)進行操作。近年來出現(xiàn)的震網(wǎng)病毒、Duqu病毒、Flame病毒和Havex病毒都是針對工業(yè)控制系統(tǒng)的病毒，這些病毒的傳播途徑一般是通過互聯(lián)網(wǎng)散布，通過互聯(lián)網(wǎng)感染企業(yè)管理網(wǎng)絡計算機或移動存儲設備，通過管理網(wǎng)絡和移動存儲設備感染工業(yè)控制網(wǎng)絡。目前很多化工企業(yè)用于生產(chǎn)控制的是DCS系統(tǒng)，針對這些DCS產(chǎn)品實施攻擊是很容易做到的，因為這些DCS產(chǎn)品的協(xié)議參數(shù)、標準規(guī)范、接口參數(shù)等信息對于攻擊者來說是很容易得到的，制作出有針對性的攻擊程序技術難度也不大，攻擊的關鍵就是如何使這些程序侵入到工業(yè)控制系統(tǒng)之中，這既是攻擊者想方設法所要做的事情，也是防御者的工作重心。以震網(wǎng)病毒為例進行分析，震網(wǎng)病毒是一種基于WINDOWS操作系統(tǒng)平臺的專門針對工業(yè)控制系統(tǒng)的蠕蟲病毒，它具有傳播能力強、能自我復制、隱身性好等特點，還具有多種掃描和滲透機制，該病毒可以根據(jù)環(huán)境不同做出相應的反應。震網(wǎng)病毒的攻擊手段常常以黑客技術發(fā)動首次攻擊，入侵到工業(yè)控制系統(tǒng)后進行蔓延、復制，滲透到更深層次的控制單元中，從而達到控制系統(tǒng)的目的。

2.工控安全防護理念的演變。

（1）強調網(wǎng)絡隔離，一般是采用網(wǎng)關、網(wǎng)閘、單向隔離設備等硬件隔離技術，這些防護手段屬于被動防護，起到抵御和阻擋威脅侵入的作用。但被動的防御是脆弱的，現(xiàn)代高端持續(xù)性攻擊都是有針對性的應對這些隔離技術，只要是有物理連接，那攻破這些隔離設施只是技術上的問題。

（2）傳統(tǒng)信息安全廠商提出了縱深防御體系的理念，其性質也是屬于隔離的范疇，只不過是對傳統(tǒng)隔離技術的一種演變，基本上是諸如防火墻、動態(tài)入侵檢測（IPS）等一些信息安全設備的一種簡單的堆砌，不能完全適應工業(yè)控制網(wǎng)絡安全的特點。

（3）以工業(yè)控制系統(tǒng)生產(chǎn)廠家為代表的，基于產(chǎn)品端的持續(xù)性防御體系，其理念是基于工控產(chǎn)品硬件創(chuàng)新以提高其安全性，這種理念適應工業(yè)控制系統(tǒng)高可靠、低延時、可定制以及簡單化的實施和操作等特點，這就需要制造廠家與客戶之間需建立一種長期的合作關系，費用相對也較高。

（4）以攻為守的防護策略，通過注重攻擊技術的研究以提高攻擊技術，從而帶動防御技術的提高，以此為基礎衍生出多種檢測技術和風險評估方法，運用這些技術和方法建立諸如離線威脅管理平臺、威脅評估系統(tǒng)等工具挖掘系統(tǒng)漏洞，尋找安全滲透攻擊，發(fā)現(xiàn)隱患及時報警或消除，這些技術和手段屬于主動防御。

3.攻擊技術分析。

（1）網(wǎng)絡掃描技術分析。

工業(yè)控制系統(tǒng)網(wǎng)絡協(xié)議對延時性很敏感，實施硬掃描通過占用資源對延時造成影響，就很有可能致使整個網(wǎng)絡癱瘓。單單是進行簡單的網(wǎng)絡掃描操作，就可以達到中斷系統(tǒng)服務的目的，在網(wǎng)絡掃描過程中，如果發(fā)現(xiàn)防火墻、網(wǎng)關之類的網(wǎng)絡保護設備，憑借基本的黑客技術，通過實施DOS攻擊就可以達到目的。如果不希望系統(tǒng)崩潰，只是通過掃描獲取相關設備信息，那就可以采取軟掃描的方法進行目標系統(tǒng)定位，之后再根據(jù)系統(tǒng)的網(wǎng)絡協(xié)議的特性進行后續(xù)掃描。通過掃描可以識別出關鍵設施保護設備及其屬性，可以得到設備的各類同步信息，還可以發(fā)現(xiàn)DNP3的從屬地址和相應的邏輯關系。

（2）賬戶破解技術。

目前大部分工控系統(tǒng)都是基于WIN-DOWS操作系統(tǒng)的，因此一些通用的專門破解WINDOWS賬戶的軟件工具和方法同時也可以應用到破解工業(yè)控制系統(tǒng)上來。OPC是以OLE和COM機制作為應用程序的通訊標準，DCS系統(tǒng)可以通過OPC與外界建立聯(lián)系，賬戶破解后通過主機認證就可以全面控制OPC環(huán)境，對DCS系統(tǒng)實施雙向的數(shù)據(jù)通訊。若無法獲得底層協(xié)議認證，也可以通過枚舉方法破解系統(tǒng)人機界面用戶信息，進入人機界面就可以直接控制管理進程，竊取各類信息。以上兩種技術只是眾多攻擊技術的代表，攻擊技術種類繁多，且還有多種復雜的變換，但最終目的就是要入侵到系統(tǒng)中來，所以防御和捕獲技術的研發(fā)是關鍵，兩者應結合運用才能保證系統(tǒng)安全。目前各類防御系統(tǒng)較多，但捕獲技術應用較少，在入侵來源識別、I/O接口監(jiān)控、動態(tài)檢測分析和系統(tǒng)運行檢測等方面開展工控系統(tǒng)保護工作效果將更加明顯。

三、安全防護管理探討

技術是手段，管理是保障，建立完善的工業(yè)控制網(wǎng)絡安全管理體系對于安全防護更為重要，管理體系架構應包含以下六部分：

1.建立完善的組織機構。

企業(yè)要結合本單位實際，制定網(wǎng)絡安全工作的總體方針和策略，明確本單位網(wǎng)絡安全工作的總體目標、范圍、原則和安全框架。應有專門的部門具體承擔網(wǎng)絡安全管理工作，組織制定和落實網(wǎng)絡安全管理制度，實施網(wǎng)絡安全技術防護措施，開展網(wǎng)絡安全宣傳教育培訓，執(zhí)行網(wǎng)絡安全監(jiān)督檢查等。

2.加強人員管理。

建立相關崗位人員上崗管理規(guī)定，進行相關教育和培訓、考核，與關鍵崗位的計算機使用和管理人員簽訂網(wǎng)絡安全與保密協(xié)議，明確網(wǎng)絡安全與保密要求和責任。建立相關崗位人員離崗管理規(guī)定，人員離崗時應終止其系統(tǒng)訪問權限，收回各種軟硬件設備及身份證件、門禁卡、UKey等，并簽署安全保密承諾書。建立外來人員管理制度，外來人員訪問機房等重要區(qū)域，應履行審批手續(xù)。

3.重視存儲介質管理。

建立存儲介質安全管理制度，對移動存儲介質進行集中統(tǒng)一管理，記錄介質領用、交回、維修、報廢、銷毀等情況。嚴格限制USB接口的使用，嚴格存儲陣列、磁帶庫等大容量存儲介質的管理，采取技術措施防范外聯(lián)風險，確保存儲數(shù)據(jù)安全。嚴格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡之間交叉使用移動存儲介質以及便攜式計算機。

4.規(guī)范網(wǎng)絡管理和運維工作。

建立網(wǎng)絡安全管理和日常運行維護管理制度，制定運維操作規(guī)程，規(guī)范日常運維操作記錄。建立安全風險控制流程，采取書面審批、訪問控制、在線監(jiān)測、日志審計等安全防護措施進行安全風險控制。日常維護要建立巡檢表，對網(wǎng)絡監(jiān)控日志和設備日志進行管理，定期審計分析，發(fā)現(xiàn)安全風險或問題，及時進行處理。嚴格口令管理，及時更改產(chǎn)品安裝時的預設口令，杜絕弱口令、空口令。建立涉密計算機管理制度，對涉密計算機進行重點監(jiān)控，嚴禁涉密計算機接入互聯(lián)網(wǎng)。

5.嚴格外包服務機構的管理。

建立網(wǎng)絡技術外包服務安全管理制度，與其簽訂服務合同和網(wǎng)絡安全與保密協(xié)議，明確網(wǎng)絡安全與保密責任，要求服務提供商不得將服務轉包，不得泄露、擴散、轉讓服務過程中獲知的敏感信息，不得占有服務過程中產(chǎn)生的任何資產(chǎn)，不得以服務為由強制要求委托方購買、使用指定產(chǎn)品。在網(wǎng)絡技術現(xiàn)場服務過程中應安排專人陪同，并對服務過程詳細記錄.

作者：宋鋼 劉海波 單位：滄州大化集團有限責任公司 河北工程技術高等?？茖W校