初探工业控制网络的安全问题与策略研讨

　　就目前所整理的安全问题来看，其中呈现出事件频发、上报数量逐年增多的特点，说明技术的发展给了网络问题滋生的条件，但所面临的问题并非难治之症，需要在合理分析现有问题的前提下，就其中可改善的部分给定完善意见，从而更好的抵御外来网络干扰。通过给出解决思路能够更好的践行服务国民生活和提升生活质量的需求，因此要求技术人员要深化个人专业能力，针对性的构建安全防御体系。

初探工业控制网络的安全问题与策略研讨

　　1 工业控制网络的安全问题分析

　　1.1 当前工业控制网络安全问题的基本特点结合大量数据信息可以看出，目前工业控制网络的安全性较低，在信息化逐渐深入的状态下，安全事件频发在预料之中，但相较于普通互联网安全问题，以工业控制网络为背景的问题对于经济发展的打击需要着重考量，若持续较长的时间，会导致经济效益甚至是人员安全均受到一定的损失，不利于我国开展经济建设活动 [1]。而分析现有工控网络问题需要结合其所展现的基本特点，生产网和办公网组成网络体系，其中生产网遭受网络攻击对于现实经济效益的影响更为明显，因此需要确定安全问题的具体特征。就生产网中所面临的问题来看，其中涵盖黑客恶意攻击、工控机中毒、终端控制系统漏洞等不利事件，严重影响工控网络系统的安全性。由此可见，需要针对工控网络保护中的薄弱环节展开研讨。

　　1.2 工业控制网络保护的薄弱环节 1.2.1 保护力度不足由于多数管理者片面的认为在外部网络与工控网络中建立物理隔离系统即可保障安全，因而将管理和技术作用的重点聚焦到与工控网络相连的外部网络上，忽视了自身安全问题的研究，使得目前所构建的保护系统仍存在诸多问题，而就保护力度这一层面呈现出结构、设备、行为、技术等要素重视程度不高的问题。具体体现在以下几点：(1)结构方面：缺少风险评估的措施，没能就网络边界保护给出对应的管理举措，使得相关企业所设置的生产控制网与信息网直接相连，有些生产网甚至可通过 VPN 直接访问，外部用户能够获取到 SCADA 系统中的数据信息，即便是设置了防火墙，但管理信息网与工控网处在同一网段，不利于保护系统的数据安全 ;(2)设备方面：由于技术的限制，我国目前在工控网安全系统中所使用的设备来源于国外，其中涉及到设备缺陷和协议问题，容易出现漏洞难以修复的不良影响，无法实现自主管控，因此一定程度上抑制了组件的可靠性产出，使得工控网系统缺乏风险管理能力 ;(3)行为方面：在此方面主要表现为缺少设置安全审计的作业，存在着 IP 公用的情况，无法在第一时间发现系统中所出现的异常行为，说明所设计的保护防御体系不具备监控与审计的能力 ;(4)技术实现方面：上文提到设备多来源于国外，自然在控制系统管理方面缺乏自主自控能力，无法针对其中的服务设计可信计算模式 [2]。

　　1.2.2 保护体系理论缺失信息网与工控网之间存在着管理上的差别，但部分人员直接将信息网的安全防护理论应用于工控网中，没能认清二者之间的差异，因此所设定的保护系统不具备科学理论的支持。首先，两类网络机制在保护需求方面存在差异，工控网面对的是各类控制系统，工作目标是避免业务数据和控制系统遭受破坏，而信息网面对的是业务系统，其管理目标是不被攻击者窃取关键信息 [3]。其次，业务请求响应时间上不同，工控网响应时间短，一般要求在毫秒级，而信息网为百毫秒级。最后，更新周期不同，工控网要保证不间断运转，不能随意设置重启或停机的操作，难以实现更新作业，而信息网需要及时更新安全补丁，具备更新周期短的特点。因此，完全套用信息网系统保护理论不足以应对工控网的安全问题。

　　1.2.3 设备资产监管程度不够相关企业在开展设备监管的环节，对于其中所包含的类型和数量的认知不够清晰，使得所构建的资产视图并不具备现实作用，出现设备变更等也难以形成对应的报告，无从考证设备重置的状态。并且部分企业所构建的业务系统中缺少对终端设备接入的管理措施，为外部网络攻击提供跳板，对于全面掌控能力的提升是种抑制。因此，所形成的网络不具备及时感知安全问题的能力，自然难以对攻击事件作出反应，给出反制的方案 [4]。

　　2 工业控制网络安全问题的解决思路

　　2.1 准确分析工控网络的特点工业控制安全防御体系特点研究需要基于其所应对的作业项目以及其安全保护需求来看。由于信息网络与工业控制网络所具备的安全保护需求有所差别，因此不能将信息网络中所采用的体系直接应用于此，需要准确分析工控网安全防御体系所具备的特点。首先对于工控网而言，其区别与信息网络可随时予以更新的特点，能够对业务请求的响应时间控制在毫秒级的范围内，所采用的加密等安全保护机制，应当满足响应时间以及通信协议的相关要求。对于 OPC 协议而言，如果按照信息网络处理方式施行加密机制的办法，使得业务相应时间予以提升，扩展为之前的 5~8 倍，则可能会影响到工控网运行的稳定性和安全性能，因而对于工控网来讲，要保证其协议报文的完整程度，并考量传输两端身份的合法性。其次界定网络环境使其具备清晰明确的特点，面对信息网络所具备的互通互联特性，使得在此种网络基础上开展操作行为、连接终端设备等，不存在明确的局限内容，因此网络编制也不够明确，使得在开展安全保护作业的过程中，所面临的网络环境更为复杂，提升了控制的难度。而工业控制网络，其所具备的特点是边界较为清晰可信，使得终端设备连接通信协议以及其他操作行为均可在可控的网络环境内开展，通过一定的措施明确了上述操作行为的边界范围，所形成的研究对象更为有限。最后结合工控网的基本特点，在设计安全防御体系的过程中，要充分考量其所使用的免疫学理论是否适用于所建项目。

　　2.2 全面推行先进的管理理念对于安全管理理念的升级要立足于现阶段工控网所遭受的攻击类型，对于封闭的网络同样要提升管理意识，由于恶意病毒等可攻击现有内部封闭网络，因此为其设设置防御系统十分必要。并且，对于生产网和办公网要采取不同的机制，生产网设置白名单，办公网设置黑名单，不同的机制下，所提供的数据才能够被合理应用。而对于生产网和办公网而言，其所构建的系统特质也要有所区别，办公网的构建是为了更好的联系不同区域，完成信息数据传输和人员交互的任务，因此要设定符合广域网的系统，生产网是连接安全网关，将小局域网予以连接，因此要满足局域网布控的要求，避免出现病毒等扩散至其他区域的情况。

　　2.3 设置专业的工控防火墙通过配置专业专用的防火墙能够支撑网络协议识别并过滤掉其中通讯协议的数据信息，利用内置自动化过滤模块的方式，充分弥补原有防火墙难以完成过滤任务的缺口，准确应用 OPC 协议等，就工控网安全设置可行性的措施。为达到深度包解析的效果，应用相应的解析检测技术和应用层通讯追踪技术能够将工控网协议解析到指令层，起到阻断、拦截非法指令、协议的作用，有效防护关键控制器，提升整体的安全性能 [5]。

　　2.4 设计安全防御系统

　　2.4.1 划分防御区域一般将安全防御体系划分成三个可行区域，其中包括终端设备、传输信道和网络边界，不同的区域发挥出应用的效能。就网络边界而言，其所起到的作用是划定工控网的网络构建范围，避免不属于此边界范围的外部攻击行为作用于内部系统，通过传输信道的监控作用，对所传输的数据信息予以监管，能够及时发现当中所包含的异常行为，并给出响应 [6]。最终，在终端设备的宏观调调控下，监控运行状况，将可疑终端设备等阻断在边界外，所形成的区域模型图如图 1 所示。

　　通过分析该防御体系区域模型可以发现，要想完善工控网要确保具备明确的边界，并将其分为人机交互和数据传输接口两大类。其中，人机交互接口是指用户与工控网产生交互外设类型，例如鼠标等，应当管理审计机制和行为，从而使得操作指令和业务数据等在满足对应程序访问要求的前提下运行，保证数据信息的安全。而数据传输接口指的是产生数据交换行为的其他区域网络与系统所构建的外设接口类型，例如 USB 接口，此类接口仍需要实施管控措施，例如设置检测机制、封闭不必要接口等，合理管控数据传输接口。

　　2.4.2 设置防御体系结构防御体系结构是在防御属性的要求下创建，其中包含安全机制、安全服务和网络协议，不同的协议层次均包括相应的安全管理机制 [7]。应用层、网络层、传输层、链路层和物理层构成了网络协议，而安全服务能够实现内容识别、设备鉴别、行为审计等操作，对于提升防御效能的作用不言而喻，有效保证网络中传输的数据信息保持完整性，及时响应异常情况。而不同的网络层次可提供不同的服务，需要针对其中的差别设置针对性的配置方案。例如，在物理层，可实现边界保护和容错容侵，而传输层能够起到保持数据完成性和识别内容的作用。安全机制的构建要与安全服务产生对应关系，即其中所包含的技术措施要能够实现相应的服务内容。通过建立冗余备份、攻击阻断、事件分析与展示、协议深度解析、数据安全访问与保护、接入控制和区域划分与隔离机制达到一对一或者一对多的关系，进而实现安全防护。本文以构建区域隔离与划分机制为例，阐释其中所涵盖的对应关系。在工控网中，信息互联互通是行使效用的一项基本任务，其属于信息网络的基本特征，但工控网要在此基础上加上能够支撑业务流转与运行的技术，保证其按照安全稳定的需求运行，因此要切实管控网络边界问题，使其具备可控的特征。而所构建的区域隔离与划分机制是合理分区的结果，就其内部各部分功能的不同采取相应的隔离措施，不同功能区得以划分，实现内部与外部的合理分界，提升工控网防御能力，为其他机制的构建做好铺垫 [8]。除了区域隔离与划分对应边界保护的需求外，其他安全服务与机制间的对应关系是：设备鉴别——接入控制机制、数据完整性——数据安全访问与保护机制、内容识别——协议深度解析机制、行为审计——事件分析与展示机制、容错容侵——攻击阻断和冗余备份机制。由此可见，完整的防御体系结构要具备“5+6+7”的功能。

　　2.4.3 建立防御体系框架通过大量研究结果表明，生物体的免疫系统与工控网安全保护之间的关系较为密切，其中存在较多的相似点，因此可基于生物体免疫系统的形态创建防御体系框架。在建立安全防御体系的环节，要满足其具备其他区域与网络的出口，设定科学的访问控制办法，隔离内外部区域，构建资产管控体系，针对设备资产的可信度予以评测，只有满足可信度标准的设备资产方可进入到内部系统中，保证交互行为的可控与安全，所提供的交互行为更加可信，避免出现因蓄意攻击而导致系统安全性受损的问题。可疑信息要被及时发现并作出相应是接入感知机制构建的现实意义，联系异常行为监测功能保证异常行为和可疑终端能够被第一时间发现，确保各项业务在安全访问的环境下进行作业。防御体系框架中除了以上所述的结构外，还需要增设检测网络环境变化的自适应机制以及排除异常恢复策略等，所形成的框架如图 2 所示。

　　2.4.4 生产网网络结构的设想首先，要确定工控网的自动化网络安全控制结构，其中包含企业网、监视网和控制网，以上所述的三层网络具备一定的独立性，安全网起到“桥梁”的作用，能够实现数据采集、储存、传输、监视、展示等作用，为日常办公提供数据信息支持，分析监视层和控制层级，防止出现病毒扩散影响其他控制系统结构的问题，降低损失。其次，准确按照管理模式和特点设定结构图，在其中设置好井站、中心站和作业区等的布局形态。就井站而言，应用以太网交换机作为连接其他场站的结构，将 DSC、PLC 等组建成控制网，并确保中心站和网关紧密相连，利用白名单的防火墙功能，设定可通过的网络协议，例如：双向语音对讲等，过滤 ModBus 协议，实现高效与安全兼顾的目标。中心站设想是在其所从场站接收的生产数据所确定，起到连接生产系统和工控机的作用，一般将工控机设置在安全防护客户端，保证服务器和工控机能够使与其相连的作业区所传输的数据信息更具有应用价值，同时也要运用白名单的防火墙功能，过滤 OPC 协议，仅能通过生产视频监控端口等。其他结构间无需设置工控防火墙，利用一体化的安全防护平台，将通过审计的数据上传到办公网络上，保证其能准确利用。由此可见，此种生产网络安全防护结构的具备即便是控制终端等被恶意利用也无法提供访问服务或者阻止错误指令的优势，其既能够使 OPC 协议通过，避免出现病毒扩散的问题，体现出对工控网安全问题的管控结果。

　　参考文献

　　[1] 李艺 . 工业控制网络安全防御体系及关键技术研究 [D]. 华北电力大学 ( 北京 ),2017.

　　[2] 冯凯 . 工业控制网络入侵检测系统的设计与实现 [D]. 郑州大学 ,2018.

　　[3] 王禹贺 . 工业控制网络安全评估方法研究 [D]. 哈尔滨理工大学 ,2019.

　　[4] 蒋宁 . 面向数字化车间工业控制网络的信息安全技术研究 [D]. 中国科学院大学 ( 中国科学院沈阳计算技术研究所 ),2019.

　　《初探工业控制网络的安全问题与策略研讨》来源：《电子测试》，作者：瞿宇辰