工业控制系统网络安全防护建设

李凯阳

随着信息化时代的到来，工业控制系统网络安全受到了诸多方面的干扰，导致安全问题不断发生，在很大程度上制约着工业生产以及信息安全。为了有效的避免此类问题的出现，需加强工业系统网络安全防护系统的搭建，加强安全防护措施，从而更好的保证工业控制系统的稳定运行。本文对工业控制系统网络安全防护建设进行分析，以供参考。

工业控制系统;网络安全防护;建设

引言

随着信息化的飞速发展，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。同时，工业控制系统已被广泛应用于社会生产的各个领域，特别是能源、石化、冶金、水利、交通等关乎国家安全和国计民生的行业。

1工业控制系统现状分析

1.1技术体系滞后

工控系统重大共性关键安全技术尚需突破，适应我国工控安全需要的安全标准和技术体系等相对滞后，我国关键基础设施受制于人、技不如人的现状仍未改善。随着我国互联网普及和工业互联网、大数据、数字化工程等新技术、新业务的快速发展与应用，我国在工业控制系统方面面临的安全问题日益复杂。与此同时，敲诈勒索病毒、设备后门漏洞、分布式拒绝服务攻击、网络攻击“武器库”泄露、APT攻击等安全事件层出不穷，使得工业控制系统面临的网络安全威胁与风险不断加大，给网络空间安全造成严重的潜在安全威胁，对我国工控系统安全不断提出新的挑战。

1.2工业控制系统安全配置较弱

由于工业控制系统在运行维护过程中，主要考虑其可用性和方便性，未对工业控制系统的安全项进行配置，比如弱口令、开放多余的端口，未删除多余的账号等等，存在一些安全配置上的弱点。这些弱配置项很容易被病毒、木马、黑客甚至敌对势力等利用造成一定损失。

1.3工业主机存在大量安全问题

工业场景中使用的操作员站、工程师站以及工业数据库主机大部分为Windows的操作系统，如WindowsXP、Windows7、WindowsServer2003、2008等操作系统，这些操作系统微软已经不再提供相应的服务。还有这些工业主机安装杀毒软件不足，即使安装了杀毒软件，由于兼容性问题、操作系统多样性以及病毒库需要定期更新等问题，导致杀毒软件在工业主机上无法很好的使用，安全问题屡有发生。另一方面，移动存储介质的不规范使用，病毒、木马等恶意软件的攻击，工艺、配方泄密等安全问题不断发生。

2工业控制系统网络安全防护措施

2.1安全审计

通过部署数据库审计，基于数据库协议分析与控制技术，实现对数据库操作“危险指令阻断、访问行为控制、安全态势分析、全面行为审计”的数据库安全主动防御。通过部署工控安全卫士进行主机审计，对安全事件、审计记录、监测数据上报到安全管理平台。同时，通过部署日志审计系统，对安全设备、网络设备以及工业主机、控制系统、数据库、应用系统的日志进行统一收集、记录、分析。

2.2技术方面

仍网络安全、主机安全、应用安全、数据安全等几个层面迚行安全防护建设，充分考虑DCS安全防护隑离措施后不能影响整个工控系统的稳定性以及可用性。系统建立起可视化的网络模型，能实时监视整个系统设备的运行状态和安全状态，一旦収生安全亊件，能在网络图上迚行直观、实时报警。

2.3实施安全防御措施探讨

对于像一些比较重要的设备以及工控网络区域等等这样的外网连接系统，一定要通过一定的方法把这些设备与外界的环境进行隔离，比如工控防火墙、网络隔离等等方法。①我们可以采用工业安全隔离网关的方法来隔离控制系统以及数采机。这种控制方法不仅能够完成数据收集，物理格局以及网关等等重要的工作，同时还可以降低成本以及故障点出现的几率，完全的实现了一种一机多用的理想目标;②数采机以及控制系统的架构之间一般都运用“2+1”物理隔离的方法来进行隔离，只有拥有私密密码的数据才能够进入到控制系统，同时也大大的提高了控制系统的安全系数;③为了能够在存在多个工业协议的工业控制系统之间取到数据，可以通过采取opc协议和工业协议的方法来进行采集，那么数采机如何与外网获得信息？我们可以采取防火墙的方法来进行工业数据的筛选，这种方法对整个工业协议的数据是非常重要的，只有合法的访问才能够进去到工业控制系统中来，其他一些不合格的訪问，这种系统将会直接拒绝，所以说，相关用户可以根据自身的业务通信配备以及业务放行规则来改善自己所了解的网络通信协议;同时能够使整个工业控制系统进入一个非常安全戒备的状态。

2.4建立安全管理制度

设立工业网络安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责;成立指导和管理网络安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权;制定文件明确安全管理机构各部门和岗位的职责、分工和技能要求;配备安全管理专职人员，不可兼任;加强与供应商、安全企业、安全机构的合作与沟通，获取网络安全的最新发展动态。由安全管理部门定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。制定、实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

3工业控制系统网络安全防护建设

在“两化融合”的过程中，如果想要保证工业控制系统的安全性，第一，我们可以采取分层处理的方法，对控制系统进行分层能够有效的降低恶性软件以及病毒等等对工业控制系统带来的不良影响。在我们的生活中运用到最后的就是工业控制系统，工业控制系统大概都分为计划管理层、制造执行层、工业控制层这三层。①计划管理层，为了使工作人员能够更加快速，便捷的完成制定计划等等工作，可以采取通过连接管理服务器的方式来改善。②制造管理层，在这一层除了要像计划管理层一样连接相应的服务器之外，还必须给每个防火墙连接上自己独有的计算机系统。③工业控制层，在这一层所要连接的服务器是最多的，除了要连接控制管理的终端以外，对于监控终端也应该做好互相连接的工作。同时，在访问一层以及二层的时候，我们可以使用实名制的方法，从而为它们的安全提供保障。除此之外，对整个系统进行一个监测工作，这也是为了避免恶意病毒或者软件入侵我们的系统，从而使得每个层次都能够独立的完成自己的工作。这样的分层式结构有效的降低了由于“两化融合”给系统带来安全隐患，此外，这种分层模式除了能够使防护能力上升之外，还能够降低因为互联网导致工业控制系统出现问题的几率。

结束语

通过对工业控制系统的安全现状分析，以及结合等保2.0标准通用要求和工业控制系统扩展要求，设计了一种基于等保2.0标准的工业控制系统网络安全防护体系，即构造1个中心，3重防护的纵深防御体系，分别建设安全管理体系和安全技术体系以及安全运维体系等三大安全体系，为工业控制系统的网络安全防护提供了理论参考依据。

参考文献

[1]王希虎.电气控制中的PLC自动化应用研究[J].建材与装饰，2020（03）：233-234.

[2]喬元健，李军.工业水箱液位智能控制系统设计[J/OL].齐鲁工业大学学报，2019（06）：59-63[2020-01-13].2019.06.010.

[3]邱志顺.PLC抗干扰技术在工业控制系统中的应用[J/OL].集成电路应用，2020（01）：88-89[2020-01-13].2020.01.038.

[4]李艺.工业控制网络安全防御体系及关键技术研究[D].华北电力大学（北京），2017.

[5]赖英旭，刘增辉，蔡晓田，杨凯翔.工业控制系统入侵检测研究综述[J].通信学报，2017，38（02）：143-156.