工业网络信息安全现状分析及安全防护系统研究

◆刘丽娜

(济南职业学院 山东 250014)

工业网络信息安全现状分析及安全防护系统研究

◆刘丽娜

(济南职业学院 山东 250014)

本文针对国内工业网络信息安全存在的问题，分析了网络信息安全现状进行了分析，指出了信息安全漏洞，提出了安全防护策略。

应用安全；工业网络；数据安全

0 前言

二十世纪九十年代以前的大多数控制系统一般都采用专用的硬件、软件和通信协议，有自己独立的操作系统，系统之间的互联要求也不高，因此几乎不存在网络安全风险。多年来企业更多关注的是管理网络的安全问题，许多企业对控制系统安全存在认识上的误区：认为控制系统没有直接连接互联网、黑客或病毒不了解控制系统，无法攻击控制系统，因此控制系统是安全的。而实际情况是，企业的许多控制网络都是“敞开的”，系统之间没有有效的隔离。同时黑客和病毒的入侵途径又是多种多样的，因此尽管企业网内部安装了一些网络安全防护产品，施行了各类网络安全技术，但随着信息化的推动和工业化进程的加速，工厂信息网络、移动存储介质、因特网以及其它因素导致的信息，安全问题正逐渐向控制系统扩散，直接影响了工厂生产控制的稳定与安全。近几年来，国内、外许多企业的 DCS控制系统已经有中病毒或遭黑客攻击的现象，给安全生产带来了极大的隐患[1]。

1 工业网络的信息安全漏洞

信息化时代的来临使工业控制系统暴漏出一些信息安全漏洞。

1.1 操作系统漏洞

目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，现场工程师在系统开车后通常不会对Windows平台安装任何补丁，从而埋下安全隐患。

1.2 安全策略和管理流程漏洞

追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略[2]。

1.3 杀毒软件漏洞

为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于杀毒软件的病毒库需要不定期的经常更新，这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的，导致每年都会爆发大规模的病毒攻击，特别是新病毒。

1.4 应用软件漏洞

由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当应用软件面向网络应用时，就必须开放其应用端口。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂以及其他大型设备的控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想。

2 系统设计

策略设计要求对系统目标作明确而充分的分析，了解系统的要求及对系统目标的具体实现，并掌握系统的功能结构，如大数据收集、病毒数据库的建设、物理环境、安全策略、路由协议与安全协议的部署等。

2.1 设计目标

根据对该系统的要求，本系统可以实现以下目标：物理环境下隔断内部攻击，网络环境下隔断网络攻击。对局域网内的数据进行MD5数据加密。系统运行稳定，安全可靠。

2.2 功能结构

根据工业网络的特殊性，可以将其分为物理环境和网络环境两个部分进行设计。网络端主要用于搜集病毒数据库，建立即时防范机制，物理端主要用于用户注册和登录、信息的发送、文件的加密传送等，功能结构如图1所示。

图1 系统功能结构

2.3 网络管理

安装数据库软件SQL Server软件，用于对全网上路由器的连接进行可视化管理和监控。

数据库设计是指根据用户的需求，在某一具体的数据库管理系统上，设计数据库的结构和建立数据库的过程。本系统为使数据和程序更加安全、稳定、可靠，采用了SQL Server数据库。SQL Server的数据库是用来存放数据、视图、索引、存储过程等对象的“容器”。该项目数据库名为“病毒数据库”，病毒数据库包含三个体系结构用于保存不同的信息，如基本表，储存文件，视图状态，如图2所示。

图2 数据库特性图

2.4 系统特点整个网络为一个工业领域专用的覆盖的数据通信网络，支持业务、办公自动化以及病毒防御的应用。

（1）支持多协议

路由器本身就支持多种网络协议，并且可以根据用户的需求有效的控制每种协议对网络资源的使用，可根据用户的策略控制哪种应用占用多少带宽。

（2）技术先进，性能优越

采用先进的路由技术，充分发挥Cisco路由器这个领域中的领先性能，网络性能最佳，可使商业银行在国内网络建设中的居于领先地位。

（3）带宽利用率

高通信线路采用DDN或帧中继信道 、速率高、质量好，并且Cisco路由器也可实现针对不同协议的排队、优先级、压缩等功能，充分有效的利用带宽。

（4）可靠性高

Cisco路由器可提供全面的路由备份、迂回功能，利用Cisco 的eigrp路由协议可自动实现对通信子网的路由迂回。

（5）安全性高

保证工行数据安全性Cisco路由器的强大的防火墙功能，可实现针对应用一级的防火墙过滤，防止非法用户对关键数据的存取。

（6）可升级性、可扩展性强

Cisco路由器可支持当前及未来的各种网络技术及接口介质，采用的FLASH技术易于升级，所选的关键设备均留有扩展端口。

3 结语

针对国内工业网络信息安全存在的问题，分析了网络信息安全现状进行了分析，指出了信息安全漏洞，提出了安全防护策略及策略的优势。

[1]李栓保． 网络安全技术[M]．西安：清华大学出版社，2012．

[2]许勇．工业通信网络技术和应用[J]．西安电子科技大学出版社，2003．