工业信息控制网络信息安全的防护措施

牛书宁NIU Shu-ning；梁佳伟LIANG Jia-wei

（①宁夏回族自治区工业和信息化融合促进中心，银川 750001；②中国移动通信集团宁夏有限公司，银川 750001）

0 引言

工控系统网络是将网络中的各种业务、设备、应用、服务等进行互联互通，作为请求端和服务端的上下游直接的转化枢纽，所以对于网络的安全要求和级别更应该得到保障。如果关系到工业企业生态环境的网络被攻破，不但网络设备、应用设备、服务设备被损坏，并且国家、企业以及人民的财产也会受到相应的损失，社会的安定团结稳定环境也会受到影响；甚至如果企业的保密的信息数据被攻击窃取，将会造成更多不可估量的损失。所以，为了国家的稳定，人民的安宁，企业的良好发展，需要着力加强工业网络的安全运行管理和稳定运行。过去的大部分工业企业搭建了内部生产应用网络，该网络从未与外部网络进行链接，所以对网络的安全性的保障措施极其缺乏甚至没有任何防护。但是当前互联网技术、物联网技术、5G通信技术的快速发展，内部网络不能永远封闭，与外部网络的链接一旦打开，将会给工业企业的网络及服务到了前所未有的安全风险。工业网络的生产资料，生产数据对于企业的经营，市场的保护是非常重要并且及其保密，所以为了保证数据安全，需要将工业企业的生产网络进行重点管理，建立健全工控系统安全应急工作保障机制，提高应对工控系统安全生产的组织协调和应急处置能力，预防及减少工控系统信息数据泄露造成的损失和危害，如何保障工业信息安全已经迫在眉睫[1]。

1 工业控制网络安全的现状分析

工业控制系统从起初的搭建，到当前形成各自的复杂系统，是经过长期的发展形成的。“工控”即“工业控制”，工业控制系统（ICS，Industrial Control System）是一种用于工业生产的控制系统的统称，它包含了PLC控制系统（PLC，Programmable Logic Controller）、分布式控制系统（DCS，Distributed Control System）、监控与数据采集（SCADA，Supervised Control And Data Acquisition）系统等。工控安全事件是指由于人为原因导致的软硬件缺陷或故障、以及自然灾害等原因，对工业控制系统及系统信息数据造成的危害，影响正常工业运行和生产的事件。随着工业大规模的互联互通，快速的技术发展，互联网的使用也被工业企业所采用。在工业企业中，组织架构的复杂性，组织成员之间复杂的利益关联，并且企业组织未制定网络安全的规章制度，即使存在相应的制度，执行也大都不到位。所以工业企业的网络安全问题接二连三的发生，风险也在逐渐增加。

首先，随着网络的越来越开放，以往建立的工业控制系统和网络的安全问题逐步凸显。工业系统搭建使得设计缺陷、老旧的操作系统的系统漏洞，没有任何防护措施的工业网络常常被黑客、病毒通过远程控制、病毒侵蚀等方式进行攻击。其次，网络安全的防范意识未随着网络环境的完全开放程度而增加。裸奔的系统和网络逐渐链接到了开放的互联网中，但是系统和网络的管理者未能掌握安全的防范能力，也不能及时提升安全的防范意识。第三，工业系统被黑客攻击的难度相对较小。工业系统的设备及应用在构建时的研发能力较低，技术不成熟，并且在安全防范技术方面从未被重视。工业控制系统的服务运行环境及网络未及时进行优化升级和改造。所以，黑客和病毒进行攻击和非法入侵的时候既方便又随意。最后，我国在工控领域中对国外的设备和技术的依赖程度比较强。我国正在应用的工控系统产品中，国外产品已经占领了绝大部分市场份额，例如PLC产品国内的市场占有率不到1%，工业控制中用到的逻辑控制器产品95%是来自施耐德、西门子等[2]，所以非我国的自研产品对系统的安全性没有任何控制和防范的能力，工业企业的设备控制系统成为了国外攻击的主要目标。

近年来，我国工业行业互联网的发展，也带来了极大的安全风险，所以才更加需要安全保障，我国对安全生产和安全技术的支持正在逐渐加强，为工业企业系统的优化升级改造和安全的生产提供了支持。通过优化升级改造当前的工业控制系统，建立安全保障的技术体系，构建从运行状态监控、网络异常扫描、故障应急保障、安全分析补救、安全保障原则及法规等方面全面着手形成安全生产防护网。

2 工业系统自身的安全问题分析

我国工业各行业的控制系统建设的时间早，使用的时间长，在建设初期以及使用中通过物理方式进行了隔离，初看起来系统网络在安全方面没有任何风险。但是随着互联网技术的快速更新迭代，工业控制系统的漏洞也在增加，并且系统和网络同时缺乏安全手段，遭受到外界的网络攻击也越来越频繁，漏洞攻击的方式主要有网络设计漏洞、服务器系统漏洞、系统数据库漏洞等。所以工业系统网络的漏洞问题正在影响工业行业的安全。工业系统网络的病毒防护技术严重缺乏，病毒对网络、系统、服务器、数据库等的破坏性非常严重。虽然工业系统内网通过物理方式与外部网络进行了区隔，但是网络的封闭给网络中的设备、系统、数据库、软件等的升级带来了困难，如果通过物理外接设备的方式给内网感染了病毒，那么内网就无法抵抗病毒的危害，严重的导致系统瘫痪或者数据丢失等。我国早期及近期的工业控制网络的相关系统在建设的过程中设置了密码控制，但是默认密码以及设置的新密码的要求却及其简单，密码长度短，并且大部分以数字为密码，最复杂的仅增加字母，对字母的大小写和特殊字符的使用都未有强制性的要求。也更加无法通过高级秘钥，例如指纹、人脸、声纹、虹膜等。设置的简单密码很容易被攻击者快速攻破。当入侵者通过密码登陆到工业系统中，可以更加方便的窃取工业数据以及利用工业数据。工业的系统管理网络在信息安全管理规范中缺失，或者安全体系管理规则不完善，更甚者及时有安全管理规范，但是安全管理执行完全不到位。由于制度的不健全，则会导致对网络攻击的预防、修复以及恢复则无法达成。所以要通过建立、健全、执行、监督等一系列手段建立工业控制网络管理体系。

3 工控系统安全的预防和保障方案

统筹工控网络安全的全面管理，建立健全相关人员网络安全认知。由于工业企业组织者在日常的生产管理的运营中，管理方法不当，管理力度不到位等管理方面的原因，导致了超过百分之五六十以上的网络安全问题。所以在工业企业的系统安全管理的工作中，责任与权利的分离、负责期限的管理、一主一备等的相互监督管理就更好推进系统安全的执行。通过管理规范对管理员的管控工作进行了加强，也需要对工业系统的使用者在日常的工作以及生活中有意识的强化自己的网络安全的意识。

优化升级工控网络系统，加强内外部网络分界管理。工控系统网络在优化升级时，不但需要升级自身的安全体系，也需要增加对整体网络安全的布控布防，将工控系统中的软件应用、服务设备、数据库、网络传输等进行统一的管理，形成一体化的安全防护体系。将内部网络的应用设备划分到安全区域，将外部网络设备划分到公共区域，两个区域之间增加安全检查、跳转、鉴权、验证等。采用国产的工业化的防火墙等产品隔离内部系统网络的访问；对无线通过固定的端口进行限制和分离，实现网络的安全保护。

加强工控系统信息网络安全管理，提高网络防护能力。坚持“安全第一、预防为主”的原则。和有关部门合作建设工业互联网信息安全形势差异感知平台和互联网一体化备案信息监管平台，从而实现收集工业领域信息安全相关信息并及时发布相关信息安全漏洞、安全风险和风险预警等功能，通过平台实现对所辖区内工业互联网信息系统实时、定期有效的安全监测，实现将每一件工控安全事件都能追踪到根源的信息化管理，这样可以在网上一键通报，线下快速处置问题，大大减少了传统通讯在公共交通、人力损耗、物力损耗以及统筹管理等方面的成本支出，有效降低了各种方面资源的消耗，更加节约社会资源。将行政赋能监督、各级人员被动式监督转变为正在进行式、更加主动式全方面、全流程监督，可以大大提高行政效率，节约减少办公经费指出，提高各类信息的利用率和实时性。增强工业互联网信息安全可靠和统筹治理能力，为建设现代智能化工厂、数字化生产车间、智能一体化安全生产线提供保障。

4 应用实例

为进一步提升宁夏某生产企业（以下简称“某某生产企业”）信息网网络安全整体安全防护能力，按照“一个中心、三重防护”建设要求，现对某某生产企业开展网络安全升级改造。

如图1所示，在银川网络服务器区与核心交换机之间部署2台高端IPS入侵防御系统，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控和阻断，提供动态保护大大提高了网络的安全性。做到“事前预警、事中防御、事后取证”。事前警告：能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；事中防御：入侵攻击发生时，入侵检测系统可以及时发现、阻断连接、TCP Killer等方式进行事件报警及网络连接阻断；事后取证：被入侵攻击后，入侵防御系统可以提供详细的攻击信息，便于取证分析[3]。在银川网络的2个新增无线覆盖区与核心交换机之间以及核心交换机与A网络、B网络之间各部署1台第二代防火墙设备，在提供传统安全防护能力的基础上，通过事前预测、事中防御、事后检测和响应的全流程威胁防御，主动积极防御网络威胁，增强企业边界的威胁检测能力。高性能硬件平台结合单路径并行处理的安全检测引擎，可以实现对用户、应用和内容的深入分析，为用户提供安全智能的一体化防护体系。替换银川Internet出口区防火墙，解决现有防火墙设备性能不足，特征库无法升级等问题，在提供传统安全防护能力的基础上，通过事前预测、事中防御、事后检测和响应的全流程威胁防御，主动积极防御网络威胁，增强企业边界的威胁检测能力。高性能硬件平台结合单路径并行处理的安全检测引擎，可以实现对用户、应用和内容的深入分析，为用户提供安全智能的一体化防护体系。增加一台高性能IPS入侵防御设备，提升互联网出口安全防护能力。增加一台负载均衡设备，解决公司现有多链路无智能链路负载，双联路主备模式利用率低下的问题。提升公司对外提供业务效率和公司内部对外访问优化。

在安全运维管理区部署堡垒机系统、数据库审计系统以及日志审计与分析系统，强化、提升安全运维能力，加强对数据库操作的日常审计能力以及日志综合分析能力。堡垒机系统：为企业提供集中的管理平台，减少系统维护工作量；能够为企业提供全面的用户和资源管理，减少企业的维护成本；能够帮助企业制定严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源的安全；能够详细记录用户对资源的访问及操作，满足对用户行为审计的需求[4]；数据库审计系统：通过监控数据库的多重状态和通信内容，不仅能够对数据库所面临的风险进行多方位的评估，还可以通过审计功能对数据库所有操作进行审计，提供事后追查机制；日志审计与分析系统：帮助用户满足安全审计的合规要求，可帮助用户快速出具满足国家法律法规，行业标准的多种合规报表和报告，帮助安全人员对内部管理的合规情况一览无余。

在A网络、B网络以及互联网网络出口分别部署上网行为管理系统，实现对数据进行2-7层的全面检查和分析。深度识别、管控和审计近千种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等常见应用，并利用智能流控、智能阻断、智能路由等技术提供强大的带宽管理特性。配合创新的网络应用行为精细化管理功能、清晰易管理日志等功能，提供业界最全面、完善的网络行为管理解决方案[5]。为全公司增加主机监控及审计系统，实现对突发终端违规安全事件的监测、告警、审计等管理流程。通过有效的实时监测，及时发现用户单位终端安全事件，根据统一的策略，提供有效监控管理措施；实现网络准入控制、网络访问行为有效监控。对用户办公网络进行安全防护，杜绝非法外联等情况发生；实现用户计算机设备统一安全管理。按照积极防御、综合防范、突出重点的方针，对用户全程、全网、全终端实施有效地安全监控，事前对安全事件进行预警预测，为查处各类违规行为提供依据；实现用户移动存储介质统一安全管理。确保移动存储介质在用户单位合法使用，禁止跨网使用；及时发现网络中的终端设备系统漏洞并自动分发、安装补丁；对网络中占用大量带宽的终端及时发现并告警；实施资产全生命周期信息化管理，记录各硬件资产状态，杜绝资产孤岛情况出现；管理全终端软硬件资产，确保用户合规使用，使用权限有效控制；实现对单位内计算机敏感信息检查。按照制定的文件格式策略进行自动化、网络化检查，及时发现计算机上所存储的敏感信息，准确定位相关单位、部门、使用人等，确保重要敏感信息的安全[6]；提供管理员有效运维管理手段，终端信息审计反馈与远程维护方式相结合，有效减少其维护工作量。

5 结束语

综合以上所述，可以发现工业信息化已经是工业现代化发展的必然趋势，其中工控系统网络安全门类融合了多学科、多技术和多领域之间的相互交叉。这个门类里面包含计算机科学、电气/电子仪表、通信技术和信息等多种专业的内容。现在对工业控制的系统信息化安全等级要求日益渐增，随之而来的就是工控系统安全的问题，这个问题的影响也越来越深。近几年来使用网络的人群逐渐增加，网络可以应用到的地方越来越广，与此同时工业网络信息的安全风险也随之增大，如果受到外部的袭击就可能会给工业企业甚至上升到国家和社会层面造成不可挽回的损失。“没有网络安全，就没有国家安全，就没有经济社会平稳运行，广大人民群众利益也难得到保障”。所以，工业系统的安全这项工程具有能影响大局和核心的不可撼动的地位。

近年来我国的工业水平稳步发展，为了保障我国工控网络系统信息化朝着安全、可持续的方向发展，工业和信息化主管部门必须高度重视网络安全防护问题，构建科学良好可持续的网络结构，保障工业网络安全设施的基础设置，充分发挥高科技网络技术的优势，这样可以让工业控制的网络跟外界网络之间相互具有独立性和保密性，同时又有互通性，为工业安全、高效的生产打好坚实的基础[7]。

工业系统的信息安全到目前为止还不够完善，一直处于不断变化中，并且这种变化没有规律，所以信息安全风险可能随时随地在发生。仅凭一个人或者一个企业的力量可能无法维持这种工控系统一直处于安全的状态，所以需要政府或者大众的力量先把握好上层结构，综合分析、调整。再联合其他社会相关人士共同建立工业系统信息安全机制，把各环节有效的利用起来，最终成立一个工业系统相关的信息安全平台保障体系，这项活动以后可能会成为信息安全领域发展核心关键。