浅谈当前工业控制系统信息安全解决方案

邱金龙

【摘要】 工业控制系统，简称ICS，主要可以分为以下部分：SCADA（数据采集与监视控制系统）、DCS（分布式控制系统）、PLC（可编程逻辑控制器）及其他类的控制系统等。现阶段工业控制系统已被广泛应用在我国社会市场的各行业各领域，如电力企业、水力企业、石化企业、医药行业、食品行业、汽车行业及航天工业等，是我国基础设施的构成部分之一，也与国家整体的战略安全息息相关。基于此，对工业控制系统的信息安全作出保障，并制定相关的解决方案，是现阶段工业技术员需要思考与分析的问题。本文首先对工业控制系统信息安全存在的问题进行介绍，再对工业控制系统安全解决方案展开研究与分析。

【关键词】 工业控制系统 信息安全 存在问题 解决方案

按照工业控制系统信息安全的相关要求及防范手段的特点，当前工业控制系统对信息安全提出了解决方案，在控制系统内部建立防火墙、安装入侵检测系统及建立连接服务器的验证机制，能够在控制系统内部实现网络安全设备交互信息的目的，以此可以提升工业控制系统的整体防御能力[1]。在此情况下，工业控制系统现已成为信息安全领域愈来愈受关注的话题与重点之一，对其中存在的问题加以解决是迫不可待的[2]。

一、当前工业控制系统信息安全存在问题分析

工业控制系统，一般来说可以分为三个层面，即现场控制层面、监控管理层面与生产控制层面。现场控制层面由生产设备、DCS及PLC等相关控制器组成，用来通讯的工具主要是工业以太网及现场总线；监控管理层面基本由上位机、数据服务器、监控设备及数据采集机等组成，用来通讯的工具为工业以太网及OPC；生产控制层面由管理终端组成，比如：供应链、质检与物料等相关的管理服务器，主要用以太网来进行通讯。当前工业控制系统的信息安全问题来自以下方面：1、工业控制系统通讯方案较为落后守旧。大多数的工业控制系统通讯方案都具有一定的历史，是由技术人员在多年前便已设计好的，基本上都是在串行连接的基础上访问网络，设计时考虑的主要因素便是工业控制系统的可靠性与实用性，而忽视了控制系统的安全性，加之通讯方案对于用户的身份认证、信息数据保密等这些方面存在考虑不足的问题[3]。2、接入限定点不够明确。接入限定点不够明确的问题主要体现在系统终端与计算机接口等，不同版本、不同安全要求及通讯要求的设备都可以直接或者间接连接互联网，加上访问的策略管理工作存在松散与懈怠的情况，能够在一定程度上增加工业控制系统内部病毒感染的几率[4]。3、工业控制系统信息安全的关注降低。现阶段网络安全方面很少有黑客攻击工业网络的情况发生，故工业控制系统技术人员对于工业控制系统信息安全的关注逐渐降低，也没有制定科学化与合理化的工业控制系统安全方案、管理制度，也没有加强培养操作人员与设计人员的安全意识，随着时间的推移，人员的安全意识愈来愈淡薄，操作管理的实际技术能力与安全思想观念存在差异，极容易出现违规操作与越权访问的情况，给工业控制系统的生产系统埋下安全隐患[5]。4、在信息科学技术及工业技术的高速融合下，现代企业的物联程度与信息化程度不断提升，这样便促使更多更智能的仪器设备将会在市场上出现，也将带来更多的安全问题。

二、当前工业控制系统信息安全的相关特点分析

传统计算机信息系统信息安全的要求主要有：保密性、可用性与完整性，而现代工业控制系统信息安全首要考虑的是可用性。工业控制系统的控制对象为不同方面的生产过程，如物理、生物与化学，系统终端设备与执行部位能够严格设定生产过程中的实际操作，故在对安全措施进行调整与试行之前必须要将生产设备保持停机状态，对工业控制系统采取的安全措施必须查看其是否具有一定的准确性及时效性，并要在停机状态下对其进行测试与调整，但这些程序势必会给企业带来一定程度的经济影响[6]。

根据相关的研究报告显示，在已公布于社会与民众的工业控制系统漏洞中，拒绝服务类与控制软件类等漏洞造成系统业务停止的比重，分别占据了百分之三十三与百分之二十，这样的情况，便给工业控制系统的实用功能带来了巨大的威胁，不但会在信息安全方面造成信息丢失，增加工业生产过程中生产设备出现故障的几率，而且会在最大程度上造成操作人员的意外伤亡情况及设备损坏情况，造成企业经济利益严重亏损。

三、当前工业控制系统信息安全解决方案分析

1、主动隔离式。主动隔离式信息安全解决方案的提出，来自于管道与区域的基本概念，即将同样性能与安全要求的相关设备安置在同一个区域内，通讯过程主要靠专门管道来完成，并利用管道管理工作来起到抵制非法通信的作用，能够集中防护网络区域内或者外部的所有设备。这种方案，相对来说具有一定的有效性，可以按照实际需求来灵活运用工业控制系统，并为其实施信息安全防护工作，但在实施这种解决方案之前，必须先确定防护等级与安全范围，并寻找出一种适度的防护与经济成本折中办法。

2、被动检测式。被动检测式解决方案是一种以传统计算机系统为基础的新型网络安全保护方案，因为计算机系统本身便具有结构化、程序化及多样化等特点，故除了采取对用户的身份认证与加密数据等防护技术之外，还添设了查杀病毒、检测入侵情况及黑名单匹配等手段，以此有助于确定非法身份，并结合多方面的部署来提升网络环境的安全。这种方案的硬件设备除了原部署的系统之外，还能利用代理终端的白名单技术来实现主机的入侵抵制功能，这些措施能够减少对原来系统具备性能的负面影响，达到工业控制系统实用的目标。但网络威胁的特征库无法及时更新，故黑名单技术对于新出现的违法入侵行为不能做出实时回应，故对于工业控制系统来说还是带来了一定的危害。

结束语：总而言之，本文主要对当前工业控制系统信息安全存在的问题展开分析，针对工业控制系统通讯方案较为落后守旧、接入限定点不够明确及工业控制系统信息安全的关注降低等问题，研究了当前工业控制系统信息安全的特点，最后对当前工业控制系统信息安全解决方案展开剖析，即主动隔离式与被动检测式。当然，要完全解决工业控制系统存在的问题，还得要求我国政府机关及相关部门提高网络安全的意识，构建并不断完善一个有效、科学且合理的安全机制，以此来推动我国工业控制系统的发展。

参 考 文 献

[1]朱世顺，黄益彬，朱应飞，张小飞.工业控制系统信息安全防护关键技术研究[J].电力信息与通信技术，2013，11：106-109.

[2]张波.西门子纵深防御DCS信息安全方案在青岛炼化项目的应用[J].自动化博览，2015，02：42-45.

[3]陈绍望，罗琪，陆晓鹏.海洋石油平台工业控制系统信息安全现状及策略[J].自动化与仪器仪表，2015，05：4-5+8.

[4]张波.基于纵深防御理念的DCS信息安全方案在青岛炼化项目的应用[J].中国仪器仪表，2014，02：30-35.

[5]周显兵，冯慧山，王士新.浅析工业过程控制系统网络安全解决方案[J].石油化工自动化，2014，01：10-13.

[6]梁潇，高昆仑，徐志博，郑晓崑.美国电力行业信息安全工作现状与特点分析[J].电网技术，2011，12：221-228.