工业自动化控制系统信息安全探析

李亚波 柏金果

摘要：目前工业自动化控制系统信息技术在飞速发展，同时系统信息安全正面临严峻的挑战。为适应当前工业控制的需求，提升企业的生产效率和安全，在工控系统信息安全概念和标准体系基础上，需要对包括系统的架构和漏洞分析，方案部署、风险评估、体系管理、工控系统检测入侵与防护入侵、工控系统补丁管理等进行全面的深入研究。

关键词：工控系统;信息安全防护;措施建议

1工业控制系统信息安全内容简介

工业控制系统被广泛应用于现代社会的诸多关键领域，包括能源、水电、通信、交通、调度、工业制造等。一个完整的工控企业的信息系统通常分为四层，即企业管理层、生产管理层、生产控制层和设备层。企业管理层实现企业内部办公系统功能，生产相关数据不包括在内。一般将生产管理层、生产控制层和设备层涉及的部分统称为工业控信息系统。因此工业控制信息系统不但包括SCADA、DCS、PLC、RTU等专用的信号采集、数据传输和信息控制系统，还包括专用的工业通信输设备及工业企业专用数据库。

2工业自动化控制技术

工业自动化控制技术就是指利用微电子技术、电气技术、机械技术以及计算机软件技术来对工业生产过程进行控制，而无需使用人工操作机械来控制生产进度。也就是说，在工业自动化控制下的工业生产机械设备是利用各种仪器、仪表和控制器，按照预先设定的流程进行机械自动调节来进行生产运行的。因此，在自动化控制系统中，必须要对所有涉及到生产调节的仪器都进行精准的参数设置，以确保其在生产中能够充分发挥职能作用，并且确保生产顺利进行的目的。目前我国的工业自动化控制技术已经得到了很大的发展，自动化控制系统也逐渐趋于完善。但尽管如此，工业自动化控制技术仍然具有很大的发展应用空间。就目前来看，较为常用的自动化控制产品主要有PLC与工控PC两种，这两种自动化控制产品的应用代表了我国的工业自动化控制水平已经有了很大的发展。

3自动化控制系统信息安全隐患问题

3.1操作系统的隐患

当前大多数工业自控系统都是Windows平台的，并且考虑到操作系统与控制系统的兼容性，对Windows平台往往不安装补丁。因此系统就存在被攻击的可能，有很大的安全隐患。

3.2杀毒软件的隐患

杀毒软件的病毒库需要不断的更新，这一要求不适合工业控制环境，许多工控系统通常不会安装杀毒软件。即使安装了杀毒软件，由于软件对新病毒的处理总是滞后的，在使用过程中也有很大的局限性

3.3通信协议的隐患

信息化和工业化的高层次的深度结合，使得TCP/IP等通用协议和技术越来越广泛地应用在工业自控网络中，这就减弱了控制系统与外界的隔离。病毒、木马向控制网扩散，工业自控系统的安全隐患问题日益严峻。

4工业自动化控制系统安全防范举措

4.1工业控制网络终端的安全防御

工业控制网络具有明显的独有特性，其安全防御的核心是确保控制系统与监控系统的可用性，以及针对ICS系统与管理员、ICS系统内部自动化控制组件间的访问控制策略。同时需要确保控制系统在发生异常或安全事件时，并且能够在不影响系统可用性的情况下，帮助管理员快速定位安全故障点。同时，在确保控制系统可用性的前提下，工业控制网络终端安全防御能力建设需要做到如下几个方面：基于行业最佳实践标准的合规保证能力、基于白名单策略的控制终端恶意软件防御能力、基于白名单的恶意未知行为发现与检测能力、基于ICS协议的内容监测能力、基于控制系统的漏洞及威胁防御能力、基于可用性的最小威胁容忍模型建设能力、基于事件与行为的审计能力、基于可用性的系统补丁修复能力、终端安全的应急响应能力。

4.2恶意软件防护技术

在使用Windows系统的工作站和服务器上，病毒、蠕虫等恶意软件的攻击是最常见的安全威胁和隐患之一。并且由于工控系统是一个高度确定性的系统，HMI、服务器等下级应用程序都是提前设置的，其生命周期很少发生变化，因此可以在这些基本窗口的工作站和服务器上部署白名单机制，大大提升抵御各种恶意软件的攻击，避免了病毒数据库不断更新带来的维护开销和新的安全风险。

4.3网络分区与边界防护

在工业自动化控制系统中，每个控制单元是一个相对独立的子系统，不同的控制单元相互集成、相互连接。因此，根据其功能和特点，可以将其划分为不同的安全域，并定义明确的安全域边界。例如根据PROFINET应用和通信服务的不同，可以将PROFINET中的操作站和维护站进一步划分为一个独立的安全域。此外，防火墙、安全网关等隔离设备也部署在安全域之间的接口上。因此，对于远程访问、远程维护、无线访问等，还需要在其接口处部署边界访问控制。

4.4工业防火墙技术

传统模式下的防火墙信息技术对进一步保护工业控制系统相关数据信息的内部和外部非法入侵并无较大实际意义。在工业控制系统中，企业为保护相关数据信息和资料必须进一步采用工业防火墙技术，该类防火墙技术和传统模式下的防火墙信息技术相比具有以下三大优点：首先，是工业防火墙技术具备对工业控制系统进行动态检测和实时访问控制的相关功能。其次，针对诸如OPC等工业控制协议，工业防火墙技术相关内容具备支持性和兼容性。最后，工业防火墙技术能最大限度满足工业控制系统较高的实时性需求和运行稳定性需求。

4.5工业控制扫描漏洞与工业控制挖掘漏洞技术

一般而言，扫描漏洞技术主要是基于完整的工控系统及工控网络安全漏洞数据库，根据扫描高频漏洞引擎和检测方法等自动进行匹配，以扫描出企业所用工业控制系统内部关键设备、关键软件和关键硬件等是否存在未发现的漏洞的方法。挖掘漏洞技术则可进一步分为分析静态挖掘漏洞方法和分析动态挖掘漏洞方法两大类。静态挖掘漏洞分析方法在工业控制系统程序非运行状态下对漏洞进行检测和对比扫描，强化对静态代码审计、逆向分析和补丁等的对比研究，动态分析漏洞挖掘技术则是在系统软件运行的情况下，并且对工业控制系统进行程序格式、黑盒子测试等针对性的漏洞扫描，以此发现工控系统可能存在的信息安全隐患，保障工控信息系统的安全运行。

4.6确保各个控制单元间的通信

通过软件技术保证控制单元之间的通信安全，保证通信内容的机密性、完整性和通信认证，避免非法通信。同时，还可以将组态通信、数据采集等监控业务与实时控制业务隔离，避免相互干扰对通信效果的影响。

结语

工业自动化控制系统信息安全将信息安全与控制系统充分结合起来，引领着工业生产的发展方向。它不仅给对企业深入了解计算机控制系统提出了要求，还要求必须掌握信息安全保障相应知识。工业自动化控制系统信息安全与企业生产的多个环节密切相关，离不开生产各部门的精诚协作。科学合理的运用工业自动化控制系统将会大力推进我国工业的快速发展。我们有理由相信，只要政府、企业及其员工积极行动起来，我国的工业自动化控制系统将逐步缩小与世界先进国家的差距，信息安全的保障也会更加有力、更加充分。

参考文献

[1]王玉敏.工业自动化和控制系统现场服务提供商的信息安全要求[J].自動化博览，2017（12）：32-35.

[2]俞华军.工业控制系统信息安全浅谈[J].科学管理，2019（1）：312

[3]王营，臧易非.工业自动化控制技术的发展与应用[J].中国新技术新产品，2018（05）.