工业自动化控制系统信息安全研究

胡 锐

武汉钢铁有限公司热轧厂 湖北 武汉 430070

一、工业自动化控制系统的应用优势

1.1 灵活操控工业设备

流程工业中,设备数量众多,动辄数千个设备联合运行;设备门类复杂,从原理到结构各不相同;品牌繁杂,几乎是万国设备,进口设备与国产设备协同运行;通过自动化的系统构建,可使得工业的设备用具能够一体化的进行协调,互相完善对方的运行不足,使得工业的生产能够持续化的进行。

1.2 透明工厂成为可能

自动化技术将工业的各个接口进行统一化的管理,构建统一化的操作模式,通过后台的集中管理,同步化的了解工业生产各个层面的信息,及时的获取工业生产的危险警报,并定位隐患问题。使得透明工厂成为可能。

1.3 人工智能助力生产效率

全数字的工厂,大量的生产信息进入数据服务中心。建立在历史数据记录上的大数据分析,为人工智能提供了数据源。通过计算机辅助手段,将每个工况下的生产数据与设备数据进行分析,通过基于现代控制理论的智能优化软件,迅速为特定装置量体定做一套具备预估、优化功能的控制算法,能够大幅提高企业的生产效率,获得丰厚的经济收益。

二、工业自动化控制系统中应用计算机技术的优势

2.1 首先,计算机技术的应用可使自动化控制系统具有交互性及可操作性特点。所以,在整个系不同设备之间可实现相互代替以及替换。

2.2 其次,计算机技术的应用可使自动化控制系统具备开放性特点。在工业自动化系统中,通过对计算机技术进行运用,可使其具备开放性及公开性特点,其中对于开放性特点而言,其表现主要为能够使全部设备与系统连接,从而使各个相关设备均能够保证运转正常。在实际操作过程中,相关工作人员可依据实际工作需求,对接入设备及系统进行合理选择,具有较强灵活性及便捷性。

2.3 应用计算机技术可使自动化控制系统具有智能化特点。在工业自动化控制系统中,通过对计算机技术进行应用,可使系统总线具备智能化特点,在实际工作过程中,在利用传感设备的基础上,对于现场各个相关设备,现场总线可进行分析及监控,同时在此基础上可实现自动化控制设备,从而可对设备运行状态实行实时监测,对于系统运行过程中所出现故障可及时进行处理。

2.4 应用计算机技术可使自动化控制系统具有较高精确性。相比于普通调节器而言,在工业自动化控制系统中,通过对计算机技术进行运用,由于计算机具有较强数值运算能力,可对偏差最大程度地进行缩小及控制,从而保证在元件老化及噪音等因素不会对控制精度产生影响,可使系统精确性得到较好保证。

三、工业自动化控制系统的安全隐患分析

3.1 操作系统的隐患

当前大多数工业自控系统都是windows平台的,考虑到操作系统与控制系统的兼容性,对windows平台往往不安装补丁,系统的稳定性无法保证。各个品牌厂家的组态监控软件依赖于windows操作系统自带的各种服务,任何一个服务出现损坏,则会导致监控软件的部分功能甚至全部功能失效。

3.2 通信协议的隐患

信息化和工业化的高层次的深度结合,使得TCP/IP等通用协议和技术越来越广泛地应用在工业自控网络中,这就减弱了控制系统与外界的隔离。病毒、木马向控制网扩散,工业自控系统的安全隐患问题日益严峻。

3.3 杀毒软件的隐患

杀毒软件的病毒库需要不断的更新,这一要求不适合工业控制环境,许多工控系统通常不会安装杀毒软件。即使安装了杀毒软件,由于软件对新病毒的处理总是滞后的,在使用过程中也有很大的局限性。

四、建立工业控制系统安全的防范对策

4.1 基于终端的工业系统安全防御体系

工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络,考虑到不同业务终端的安全性与故障容忍程度的不同,对其防御的策略和保障措施应该按照等级进行划分,实施分层次的纵深防御体系。按照业务职能和安全需求的不同,工业网络可划分为：满足办公终端业务需要的办公区域;满足在线业务需要DMZ区域;满足ICS管理与监控需要的管理区域;满足自动化作业需要的控制区域。

4.2 办公网络终端的安全防御

办公网络相对于工业控制网络是开放的,其安全防御的核心是确保各种办公业务终端的安全性和可用性,以及基于终端使用者的角色实施访问控制策略。办公网络也是最容易受到攻击者攻击并实施进一步定向攻击的桥头堡,实施有效的办公网络终端安全策略可最大限度的抵御针对ICS 系统的破坏。办公网络通用终端安全防御能力建设包括：木马等病毒威胁系统正常运行恶意软件防御能力;基于白名单的恶意行为发现与检测能力;终端应用控制与审计能力;基于角色的访问控制能力;系统漏洞的检测与修复能力;基于系统异常的恢复能力。

4.3 工业控制网络终端的安全防御

工业控制网络具有明显的独有特性,其安全防御的核心是确保控制系统与监控系统的可用性,以及针对ICS系统与管理员、ICS系统内部自动化控制组件间的访问控制策略。同时需要确保控制系统在发生异常或安全事件时,能 够在不影响系统可用性的情况下,帮助管理员快速定位安全故障点。同时,在确保控制系统可用性的前提下,工业控制网络终端安全防御能力建设需要做到如下几个方面：基于行业最佳实践标准的合规保证能力;基于白名单策略的控制终端恶意软件防御能力;基于白名单的恶意未知行为发现与检测能力;基于ICS协议的内容监测能力;基于控制系统的漏洞及威胁防御能力;基于可用性的最小威胁容忍模型建设能力;基于事件与行为的审计能力;基于可用性的系统补丁修复能力;终端安全的应急响应能力。

结束语

综上所述,加强对工业自动化控制系统信息安全问题的研究分析,对于其良好实践效果的取得有着十分重要的意义,因此在今后的工业自动化控制系统应用过程中,应该加强对信息安全关键环节与重点要素的重视程度。