王红岗(蒲城清洁能源化工有限公司,陕西 蒲城 715500)
工业控制系统网络中应用了TCP/IP技术,加强了与企业办公网络的联系,同时也将传统的目标系统转化为全新的开放系统,实现了数据的互连互通,提高了控制系统的运行效率,为管理决策提供了更好的数据支持。目前,无论是工业控制系统网络还是企业办公网络,都缺少足够的安全防护措施,从而导致网络安全隐患问题严峻,急需得到有效的控制和管理,避免由于网络安全问题而导致工业控制系统网络运行瘫痪。
工业控制系统主要包括分布式控制系统(DCS)、安全仪表系统(SIS)可编程逻辑控制(PLC)和消防火灾报警系统等四个不同类型的控制系统[1]。工业控制系统被广泛应用到各个领域,例如电力、交通、水利以及工业领域等,实现对重点生产设备的运行控制。工业控制系统一旦受到网络攻击遭到破坏,就会导致工业生产受阻,直接影响产业的经济发展,也会对国家的安全和经济发展造成严重影响[2]。所以,在工业领域实施控制系统的时候,必须对可能发生的网络系统安全问题进行有效的排查,并且进行科学的管理,进而提高工业控制系统网络的运行可靠性和安全,确保工业可持续发展。
工业控制系统网络在没有授权的情况下被入侵是最为常见的安全隐患问题,入侵者在没有得到授权的情况下可以非法使用工业控制系统网络中的计算机,并且可以随意查看和下载各种网络资源和数据,对工业控制系统网络的安全运行造成巨大影响。入侵者如果对工业控制系统网络的运行参数进行修改,同时网络管理者又没有及时发现入侵问题的话,工业控制系统网络的运行很可能进入瘫痪状态,进而造成工业生产的间断。城市的供电系统、供水系统以及供气系统均可能发生运行故障,会对城市经济和人们的生命安全造成严重威胁[3]。
随着计算机技术的普遍应用,工业控制系统网络的功能越来越多,受到的服务请求种类也逐渐增多。在此情况下,如果工业控制系统网络受到拒绝服务攻击,系统的各项功能则会在短时间内受到影响而无法实现,从而使得网络带宽、计算机处理能力或者连接数等基础的服务请求得不到回应,导致工作网络控制系统瘫痪。拒绝服务攻击是一种十分难以防范的网络安全问题,因为它的攻击目标十分多,而且攻击途径多种多样,例如服务器、交换机、防火墙以及其它网络设备都可能受到拒绝服务攻击。
病毒攻击是利用工业网络控制系统中的漏洞,通过编写的病毒代码对系统中的某些驱动程序进行数字签名的伪造,从而入侵到工业网络控制系统中并进行全面的传播。病毒攻击是一种影响最大的安全隐患问题,病毒可以突破工业网络控制系统的局域网物理限制,对系统的功能和运行造成严重破坏,恶意损坏工业基础设施。所以,针对病毒攻击的安全与管理是最为重要的一环,是确保工业控制系统网络安全运行的关键,应该得到相关部门的重视,并且采取积极、有效的应对措施进行防护,降低病毒攻击的概率。
在对工业控制系统网络进行全面管理的过程中,除了要清晰界定互联网、局域网以及工业控制网络的边界以外,还应该对工业控制系统网络实施分区分层级管理,将其按照功能的不同分为若干的分区,从而可以使用不同的网络安全与管理技术对分区进行安全防护[4]。另外,工业网络控制系统中不同分区的电脑主机之间也需要进行访问的限制,以免其中一台主机受到外来攻击后扩大攻击范围,有效的将网络安全问题控制在小范围内,有助于安全问题的筛查和处理,减少了工业网络控制系统安全与管理的成本,提高了管理效率。
随着现代科学技术的飞速发展,基于网络安全问题的各种主动防御技术也获得了良好的发展,并且在工业控制系统网络中获得了广泛的应用。其中,白名单主动防御技术是比较常见的一种,该技术的工作原理是利用提前写好的协议规则去限制了不同网络之间的信息交互,通过分析约定协议的特征和端口限制的方式,在根源上制止了未知来源软件的安装与运行,从而加强了对工业控制系统的网络安全防护。白名单主动防御技术在应用的过程中不但涉及到防火墙软件的设置,而且对网络的操作者身份也做出了严格的规定。例如,网络设备操作者需要使用指定的U 盘、电脑设备等,同时在使用网络的时候还需要认定管理人员的身份信息,任何没有得到过授权的行为都将会被白名单所拒绝。
物理隔离技术最早的应用是解决涉密网络和非涉密网络之间的数据安全传输问题,该技术诞生时间比较早,应用经验比较丰富,因此具有很高的应用价值,被广泛的应用在电力、金融、保险以及税务等多个行业或者部门中,拥有较好的安全防护作用。物理隔离技术在工业控制系统网络中的应用主要是采用“2+1”的三模块结构,通过一个隔离单元连接两个主机系统,在总线技术的支持下建立一条数据传输的安全通道。物理隔离技术仅仅为工业控制系统提供了通信功能,而没有提供上网功能,因此比较适合内部办公网络以及网络控制的应用[5]。
工业控制系统网络可以通过使用防火墙软件来制定不同的安全防护规则,从而对系统之间、控制设备之间的数据传递进行有效控制。防火墙软件的使用需要建立在网络连通的前提下,通过更改规则和分析协议,将一些对管理较为敏感或者不安全的信息进行主动的过滤和限制,对未经授权的行为进行访问限制。工业控制系统网络如果需要使用多个防火墙的时候,应该使用不同品牌的防火墙软件,由于每个防火墙软件的设计原理都是不同的,联合使用会提高安全防护的有效性,对外部攻击者造成较大的困难。
入侵预防系统简称“IPS”,是一种比较先进的计算机网络安全防护系统,同时也是对防火墙和杀毒软件的有效补充[6]。它可以对网络或者网络设备中的资料传输行为进行实时监视,可以对一些异常的或者具有攻击性的网络资料传输行为进行及时的中断和隔离,以此减少网络安全问题的发生。与防火墙和杀毒软件相比,入侵预防系统侧重于网络安全的前期预警,无需网络管理者对其进行定期的维护和更新,是一种比较有效的应对措施。除此之外,私有云、远程访问限制以及应急响应机制等也是应用效果较好的入侵预防机制,均可以起到防护网络安全的作用。
总之,工业控制系统的网络安全与管理措施有很多种,在具体应用的过程中要结合企业规模、系统运行现状和网络环境而定,同时也要采用多种管理措施联合应用的模式,提高安全防护的等级,进而全面加强工业网络控制系统的运行安全与管理,保证其运行稳定。