工业控制网络安全防御体系及关键技术探讨

摘  要：现阶段，两化融合战略正在积极推进，这也促使工业控制系统在设计、研发和生产等方面实现了信息化和工业化的融合，与此同时，增加了工业控制系统被攻击的可能性。基于此，该文探讨了工业控制网络的安全防护体系概述，分析了工业控制网络安全防御系统中存在的风险问题，研究了工业控制网络安全防御体系及关键技术，以供参考。

关键词：工业控制  网络安全  防御体系  关键技术

中图分类号：TP393                          文献标识码：A文章编号：1672-3791（2021）04（c）-0045-03

Discussion on Security Defense System and Key Technology of Industrial Control Network

HUO Lanyu

（Hunan Mechanical&Electrical Polytechnic， Changsha， Hunan Province， 410151  China）

Abstract： At present， the integration strategy of industrialization and informatization is being actively promoted， which also promotes the integration of informatization and industrialization in the design， R & D and production of industrial control system， at the same time it increases the possibility of industrial control system being attacked. Based on this， this paper discusses the overview of the security defense system of industrial control network， analyzes the risk problems existing in the security defense system of industrial control network， and studies the security defense system and key technologies of industrial control network， for reference.

Key Words： Industrial control; Network security; Defense system; Key technology

随着科学技术的不断完善，人们推出了新的信息技术以及防火墙技术，并促使该类技术在工业控制网络安全防御体系中得到了全面应用，降低信息泄露、被盗取等风险。在这些防护技术的帮助下，不仅能够实现防御技术的创新，还能保证风险问题能够及时发现，迅速了解侵入系统的病毒类型和特点，开展针对性杀毒操作，保证安全防护体系的防护效果。

1  工业控制网络的安全防护体系概述

近年来，针对于工业控制网络的恶性攻击事件经常出现，如乌克兰电网攻击事件等，这也充分说明了工业控制网络正在遭受严重的安全威胁。相比之下，工业控制网络的自身专业性特点较强，对于运行可靠性也存在极高要求，这也导致工业控制网络安全防护技术与IT信息保护技术之间存在明显差异。更为重要的是，现阶段有80%以上的关键信息技术设施，可以利用工业控制网络实现自动化操作。从这里也能够看出，工业控制网络已经成为国家信息发展系统中的重要部分，自身安全情况与国家战略发展安全存在直接关系。现阶段，由于信息化和工业化的全面融合，以及物联网的高速发展，使得很多工业控制网络产品开始应用通用协议、通用硬软件等，以保证能够与互联网等公共网络建立更好的连接关系，然而这就增加了病毒、木马等侵入概率，网络安全问题就越来越突出。再加上工业控制系统厂家所应用的通信协议具备封闭特性，其安全性与“中国制造2025”计划息息相关，所以针对工业控制网络安全防护中的关键研究应提高重视程度[1]。

2  工业控制网络安全防御系统中存在的风险问题

2.1 数据传输环节存在篡改风险

目前，工业控制网络安全防御系统和其中所应用的保护技术并不先进，很难在短时间内发现系统和软件中存在病毒，其内部安装的隔离保护装置无法实现整个控制防御系统的全面覆盖，进而引发漏洞问题，导致数据传输环节中出现被篡改的风险，无法确保信息的绝对安全，在控制中心内部也经常出现黑客入侵问题，增加网络瘫痪问题的出现几率，影响系统的功能发挥和数据传输速度，无法将系统传输的时效性特点展示出来。除此之外，实际防护技术的应用也不够先进，进而引发更加严重的网络安全问题，在此过程中，最为明显的环节在于输送环节，无法对终端设备进行保护，部分设备还容易被病毒感染，增加了数据被盗取的风险。倘若不能将该类问题解决，工业系统中的资源和信息将会面临巨大威胁，保护防御功能也很难得到发挥。

2.2 信息采集环节容易出现泄露

总体来说，在工业控制网络防御体系之中，信息采集工作经常会出现一些疏漏，从这里也可以看出，该系统的防护能力十分有限，保护技术不够先进，导致传输和接收信息的过程容易出现问题，无法做到安全性和严密性维护，引发信息被盗用风险，整个体系很难被工作人员完全掌控，讓不法分子有机可乘。经过具体的分析和总结，整个工业防御体系之中并没有设计访问功能，对于点击控制体系下的客户端，也不能进行充分辨别，即使无法对访问者身份进行辨别，也能够将恶意文件打开，导致机密信息被泄漏，增加了安全风险问题的出现几率，各个传输环节也不能得到有序控制，对工业领域的后续发展产生极大的影响。网络系统的控制权限设计存在很大问题，所采用的安全技术实用性有限，无法对工业控制体系提供全面保护，最终影响了信息安全[2]。

2.3 处理环节过于复杂

在网络安全技术应用过程中，很难呈现出自动化特点，让整个处理环节变得越来越复杂，无法在短时间内完成太多工作，影响了工业制造效率，在保护控制体系建设上，相关企业和部门需要投入大量的人力、物力，只有这样，才能对监管系统内部情况进行充分了解，在增加人工负担同时，很难发现病毒所在，以及具体的入侵位置，对于病毒的处理环节和过于复杂，很难把控最佳的网络安全问题处理时机。也正是由于该种情况存在，让病毒有了可乘之机，保证能够在短时间内完成扩散，增加数据被盗用、篡改等风险。更为重要的是，整个环节很难做到简化处理，而且操作流程越繁琐，越容易出现不规范行为，导致整个信息传输过程受到影响，尤其是在重要文件传输上，遭受病毒和黑客攻击的几率也会增高，很难让工业控制系统处于安全运行状态。

2.4 不具備及时响应和反制的能力

尽管相关部门已经针对基础设施安全事故制定一系列应急管理制度，但某些危害依旧需要用户自己去判断，最终错过了工业控制网络恢复的正常运行时间，损失也会大幅增加。在我国，需要建立起一个完善的工控网络环境，这对于整个工业控制网络安全保护建设来说具备积极意义。

3  工业控制网络安全防御体系及关键技术

3.1 工业控制网络协议安全性研究

我国工业控制网络建设主要以较为复杂的专用封闭通信协议为主，如DNP3、OPC等，这些协议内容往往存在很多漏洞，黑客们可以通过利用这些漏洞来发送非法控制命令，再加上整个通信过程保密性有限，容易出现伪装、篡改等现象，从这里也能够看出，我国工业控制网络和通信协议安全性需要尽快得到改善。从《工业控制网络安全防护指南》中能够了解到，在实际工业现场之中，需采用指令级别的工业防火墙，除了能够对OPC协议指令级别进行分析之外，还可以对OPC服务器以及OPC客户端之间的协商动态端口进行跟踪，做到生产控制网端口的最小化，与此同时，做好客户端和服务器之间的指令请求检测操作，一旦发现与操作指令不符的要求，应立即进行拦截，保证OPC协议下的工业控制网络安全性。对于指令级工业防火墙在OPC协议安全性维护上，涉及到的关键技术如下[3]。

首先，监控OPC网络和服务器。在通信过程中，相关工作人员需要做到对OPC服务器分配的动态跟踪，尽可能少地打开防火墙端口，保证数据连通的同时，将未使用端口关闭。其次，对于OPC客户端和OPC服务器之间传输指令请求，需开展实施检测操作，同时保证OPC的写入控制，这也是OPC单向只读控制的本质所在。最后，做好通信内容加密操作，当所有内容被加密后，工业防火墙对受到的信息进行解密，之后完成内容的深度解密和调查，将风险彻底排除。

3.2 工业控制网络的风险评估技术

现阶段，工业控制网络安全系统工程已经得到了很多专业人士的认可，其中，系统的风险评估工作同样得到了足够重视，但在该领域之中，我国依旧存在很多不足，如缺乏自主知识产权和标准评估体系等。目前，与工业控制网络风险评估相关的内容只有《工业自动化和控制系统网络安全》系列标准，但由于工控网络系统本身具备较强的敏感性和时效性，在实际技术性评估上，需要开展全面的风险识别和处理预案操作。例如：在某安全厂商发展中，受邀对国内著名火电集团工控系统进行风险评估操作，在应用在线漏洞扫描方式时，引发数据采集服务器宕机问题，最终导致很多关键数据丢失[4]。

3.3 工控网络安全事件关联分析和态势评测技术研究

为了保证工业控制网络系统始终处于安全运行状态，人们可以将工业防火墙、IDS以及漏洞扫描系统应用其中。不同网络安全设备在使用中，均会出现不同的安全事故信息，如果这些设备功能不完善，而且不能相互协调在一起，便会引发重复报警问题。与此同时，由于工控网络复杂性特点，所引发的网络安全问题更是多种多样。为了更好地对该类网络安全问题进行处理，人们需要保证对网络安全数据的全面处理，明确网络安全事件的关联性特点，将相似的网络问题合并处理，保证网络安全状态评估的准确性。站在工控网络安全态势分析角度，相关工作人员要做的就是明确对网络安全性存在影响的各种网络要素。一般来说，影响网络安全的要素很多，如时间要素、空间要素等。当所有要素被采集和获取后，工作人员还要对信息进行分类，之后对安全信息进行综合评估和分析，获取整体网络安全状态信息，根据已有的网络安全态势，对未来安全态势进行合理预测[5]。

3.4 安装安全管理软件

在新的发展形势之下，各大工业企业在各项工作开展上，均需要做到与时俱进，紧跟时代发展步伐，保证对各种安全管理软件进行妥善安装，在实际操作设备上，可以利用好监控模块操作，及时了解工业系统的具体运转情况，以及设施是否处于完整状态。另外，还要看网络终端是否存在外来插件问题，并开展全方位监控和管理操作，了解风险和问题所在，尽早采取相关解决措施，保证安全防护技术的先进化和自动化特点，检查好网址以及产品广告等内容，一旦发现病毒，整个防御体系便会立即响应，避免发生信息和数据泄漏问题。因此，在工业控制系统运行上，可以借助安全管理软件应用，及时了解设备是否存在异常问题，尽可能早地确定病毒类型，保证信息的严密性。

3.5 建立全生命周期网络安全防御体系

（1）在系统设计和分析中，明确具体的安全目标和防护内容，保证安全防护体系设计和系统设计结合在一起。（2）在系统开发过程中，执行全面的代码安全评估操作，并对同阶段问题进行安全测试，如产品选型情况、工业装备等。（3）当建设完成并执行验收操作时，还要开展有序的风险评估，只有经过全面的网络安全验收测试，才能确保安全保证能力得到更好展示。（4）对于系统的运营和维护，可开展周期性风险评估操作，并通过系统攻防环境设计，保证工控系统漏洞的深入性挖掘，这也是安全技术优化的必备措施[6]。

4  结语

综上所述，实际工业控制网络安全防御体系属于是整个工业发展中的重要保护设施，同时也是核心内容。因此，在应用过程中，相关工作人员需提升对系统信息和数据的保护力度，避免出现信息篡改、破坏等问题。同时，还可以将防火墙和识别技术等应用其中，尽早发现病毒所在，强化系统的严密性特点。

参考文献

[1] 韩正.智能制造领域工业控制系统网络安全防护研究[J].网络安全技术与应用，2020（11）：161-163.

[2] 孟瑜炜.构建以业务为核心工业控制系统网络安全主动防御体系的方法[J].现代制造技术与装备，2020（8）：149-150，155.

[3] 项露露.工业控制系统网络安全形式化建模验证方法研究[D].浙江工业大学，2020.

[4] 王宝来，陈安国，肖伟.工业控制系统网络安全防御体系研究[J].网络安全技术与应用，2020（1）： 119-120.

[5] 黄兆军.智能工厂的工业控制系统网络安全防御体系的构建[J].工业技术与职业教育，2019，17（2）：5-10，18.

[6] 李艺.工业控制网络安全防御体系及关键技术研究[D].华北电力大学，2017.

①基金项目：湖南省教育厅科学研究项目《工业网络智能安全监测技术应用研究》（项目编号：18C1383）。

作者简介：霍览宇（1981—），男，本科，副教授，研究方向为控制理论与控制工程。