适应新网络安全形势下的工业企业安全防护综述

叶青

（国电蚌埠发电有限公司设备管理部 安徽省蚌埠市 233000）

1 引言

正在运转的生产中心，突然计算机网络系统宕机，各监控终端频繁死机，各种异常的不安全指令多次发出，现场设备陷入瘫痪或失去控制，进而发生了严重的安全生产事故。在5G网络技术加持下，这是全球工业控制系统都将要面临的“安全噩梦”。

工业控制系统是用于操作或自动化工业过程的任何设备、仪器以及相关的软件和网络。它是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”，关乎着一国的命脉。也正因为此，各工业企业的工业控制系统将成为国家级黑客攻击的重点目标。

当5G 技术与工控系统深度融合的同时，5G 系统毫秒级的响应优势也给工控系统带来“毫秒级”的伤害之速。国外某安全实验室研究成果显示，工业控制系统的415 个漏洞中有一半以上被指定为高风险或严重风险级别的安全问题。我国工业互联网安全状况资料显示：有50%以上的工控系统带毒运行，100%的工控系统带漏洞运转，并且在短期甚至未来几年都不可能改变上述状况。可以说，5G 时代，工控系统迎来史上最严重的风险大考。

本文将以某大型火力发电厂为例，通过分析网络安全面临的主要攻击方式，从管理和技术两方面就加强网络安全防护提出针对性建议。

2 新的网络安全形势

网络安全是指网络系统的软硬件及系统中的数据受到保护，不因各种原因遭到破坏、篡改和泄露，网络安全从其本质上是指网络上的信息安全。

2.1 全球网络安全形势

2013年的“棱镜门”事件，彰显了网络安全的重要性，美国的网络霸权使得各国更加重视信息安全领域的自主可控，各国逐步加大了在网络安全领域特别是工控安全防护上的投入。随着大国网络空间博弈的水涨船高，全球网络安全竞争日益加剧，各国之间的网络攻防日趋频繁。2015年12月，乌克兰能源网络受到攻击，攻击者关闭了三家电力输配电公司，导致乌克兰全国大范围停电，超过20 万家用户在寒冷的冬季无电可用。2017年5月的「永恒之蓝」勒索蠕虫攻击事件，席卷了欧洲和中国在内的大多数国家和地区，在全球范围内有数十万家企业和公共组织被感染。

现阶段的网络攻击已经远远超出了利用病毒攻击和采用防火墙进行防护的范畴，已经深刻影响到了国家层面的网络安全和社会民生安全。为应对新的网络安全态势，美国于2015年2月成立了“网络威胁情报整合中心”，以对各种网络攻击进行整合归类分析，并采取相应措施。2016年7月，欧盟也出台了《欧盟网络与信息系统安全指令》，帮助欧盟各成员国共同应对网络威胁。

2.2 中国网络安全形势

图1

鉴于近年来国内外重大网络安全事故频频发生，国家对网络安全的重视程度不断提高，出台了大量政策扶持网络安全产业的发展。先后发布或修订了《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《国家网络空间安全战略》、《“十三五”国家信息化规划》、《软件和信息技术服务业发展规划（2016-2020）年》、《信息通信网络与信息安全规划（2016-2020）年》等政策法规，从国家层面促进国内网络安全产业的发展。2019年12月1日《信息安全技术网络信息安全等级保护基本要求》的正式实施，标志着“等保2.0”时代的到来。等保2.0 更加注重全方位主动防御、动态防御、整体防控和精准防护，除基本要求外，还增加了对云计算、移动互联、物联网和大数据等对象的全覆盖。

2.3 新的网络安全形势下工控系统

2018年8月，世界500 强的半导体制造公司台积电生产园区电脑遭大规模病毒入侵，导致新竹、台中、台南三大生产基地全线停工，损失高达17.4 亿元。而造成如此轰动的罪魁祸首就是前年席卷全球的勒索病毒“wanna cry”，全球上百个国家曾遭受该勒索病毒的攻击，造成了30 多万民众大约80 亿美元的损失。

从德国的“工业4.0”到“中国制造2025”，数字化转型浪潮开展得如火如荼，在迎来发展新机遇的同时，工控系统也面临着新的网络安全问题。工控系统广泛应用于电力、水利、医药、食品以及航空航天等工业领域，堪称重要基础设施的“神经中枢”，关系到国家和企业的战略安全。

工控系统网络与传统IT 信息网络对比不同之处在于，前者直接控制物理设备，一旦工控系统遭受破坏，可能导致现实世界中不可逆转的重大事故。

随着信息化与大数据技术的发展与应用，很多工业企业的关键系统越来越多地与互联网连接，网络攻击对物理基础设施的风险和影响都在增长。在很多情况下，工业企业的网络拓扑结构复杂，系统中包含了一些老旧、落后的技术与设备，因此更为脆弱，也更难实现技术更新。如图1所示。

3 网络攻击的主要形式

由于计算机网络具有开放性、互连性等特征，使得病毒、黑客等产生的攻击层出不穷，目前常见的攻击方式主要有以下四种形式：

3.1 利用软件系统漏洞

主要利用了操作系统和应用软件在设计上存在的缺陷和错误，攻击者利用计算机、服务器的软件系统漏洞，对计算机、服务器进行攻击。可能导致计算机、服务器根据攻击者的意图不能正常工作、网页挂马、SQL 数据库损坏等危害。

3.2 通过病毒或木马进行数据流攻击

攻击者利用大量的数据流占用带宽，堵塞网络，瘫痪服务器，造成系统崩溃或让服务器充斥海量垃圾信息，使得系统性能降低。或利用木马通过欺骗IP 地址、DNS 解析地址等，使服务器无法正常响应或辨别这些请求来攻击服务器，从而造成缓冲区资源阻塞。进而通过消耗计算机、服务器硬件资源引起系统响应迟缓、数据文件损坏等，也可能沦为攻击者的工具，对系统造成更大的破坏。

3.3 通过密码破解攻击

通过暴力破解密码，获取服务器、路由器的管理权限，或者通过获取普通网络节点的用户密码，从而绕开系统防火墙，开展攻击进而获得服务器、路由器的高级管理权限。导致丢失系统控制权，引起系统无法正常使用或被攻击者利用。

3.4 采取社工方式攻击

社会工程攻击，是一种利用"社会工程学" 来进行的网络攻击行为。在计算机科学中，社会工程学指的是通过与他人的正常合法地互动交流，来获得机密信息的方式。例如伪装成上级单位发送的电邮、伪装成公安部门的网络安全检查等，都可以绕开系统防火墙直接从系统网络内部开展低难度的攻击，从而达到控制网络的目的。

4 加强计算机网络安全的对策措施

一般工业企业会配备各种安全防护设备设施，并设置完善的安全防护策略，但并不具备主动发现和防止网络攻击的人员技术能力。以某大型火力发电厂为例，虽然配置了如堡垒机、防火墙等，通过网络传输系统的隔离装置，使用镜像技术等实现了工控网络的逐层隔离，企业的DCS 系统、NCS 系统、调度数据网等工控网络以“横向隔离、纵向认证”为原则，互相之间通过加密装置和网闸进行数据交换。安全防护基本依赖于各种防护设备，一旦系统受到安全攻击，基本没有灵活性的应对手段。

为此，一般大型集团都会使用统一局域网，将所有下属企业全部通过专线连接到集团特定的连接点处，再由上述连接点统一对外连接互联网。集团公司内部部署统一的防病毒终端。由集团集中统一安排专业安全防护人员对连接点进行监控和防护，这也极大提高了公司的网络防护能力。因此在集团基层，做好安全防护工作就更多的依靠的是安全行为管理。

4.1 安全防护技术措施

（1）确保各信息控制系统实现安全可靠分区，绘制工业控制系统网络拓扑图，整理网络安全设备部署列表，统计各设备安装的软件组件及其版本、补丁信息及配置参数等，避免存在分区不明确或者跨区无防护连接。定期对网络拓扑图进行更新，网络安全建设要随信息系统技术改造工作同步进行。

（2）确保工控网络专网专用，所有工控网络中使用的软硬件都经过了工信部认证和工控软件商授权。任何非授权设备私自连接工控内部网络行为都应准确定位、进行有效阻断并发出报警。

（3）所有跨区连接必须符合横向隔离、纵向认证的要求。确保生产控制大区与管理信息大区之间、一区与二区之间都安装有通过认证可靠的横向单向隔离装置。各同级大区之间安装有通过认证的纵向加密认证产品。

（4）确保工控系统各主机硬件满足安全防护要求。禁止各主机设备采用双网卡方式跨区连接。长期不使用的计算机等网络设备，应将其停电并和系统断开。将各生产控制大区各终端上的物理端口（包括软盘、光盘驱动、USB 接口等）进行封闭，杜绝无线、蓝牙等接入方式。如必须保留，必须登记备案，派专人严格管控。

（5）加强对操作系统的管理。定期对现有账户进行梳理排查，删除多余的、过期的帐户。严格限制默认帐户的访问权限，对系统默认帐户的默认名称和口令进行修改。用户密码应使用大小写字母、数字和特殊字符的组合。如果有密码保管者调离岗位，应立即更新密码或者删除原用户名。对同一用户连续失败登录次数进行限制。如有外部人员需接入受控网络，必须提出书面申请，经批准后由专人开设账户、分配权限，并登记备案，离开后应及时清除其临时账户及访问权限。

（6）加强技术运维管理。定期进行等保测评与安全评估，及时升级防病毒软件。接收文件或邮件之前，应先进行病毒扫描。外来计算机或存储设备接入网络系统之前应进行病毒检查。定期进行数据备份，做到冗余及异地备份。对各类介质进行控制和保护，确保介质存放在安全的环境中，并实行存储环境的专人管理。外部来访人员必须在审批合格后方可在全程监护的情况下进入机房。机房等区域应配置电子门禁系统和配置24 小时连续视频监控系统，视频存储文件应至少保存30 天以上。各种程序的安装、数据备份应统一采用光盘形式。

4.2 安全行为管理

（1）加强对工控网络的管理。不得将工控系统业务外包，工控网络进行维护时，不得在工控网络外部对生产控制大区业务系统进行远程运维、调试。

（2）加强对工控系统区域防护。未经许可不得让非授权人员进入生产控制大区设备机房、工程师站等关键区域。不得使用未经检测认证的网络设备、安全防护产品、控制系统及U 盘等移动设备，

（3）加强对社工行为的防护。加强厂区保卫工作，任何人员进出务必有联系人。上级行政管理人员必须对其身份进行验证，确认身份后再开展工作。慎重将外来人员携带的移动存储、设备等接入公司设备及网络。

5 结语

从数字化到智慧化智能化，已经成为工业企业下一步发展的关键点，要实现这一目标必然离不开可靠的安全防护保障。因此，从各工业企业的实际出发，采取完整严密的网络安全防护措施显得尤为重要。本文阐述了目前主流工业企业网络安全的主要风险点和应对措施，为同类型企业提供了借鉴与参考。